(獨媒報導)個人資料私隱專員公署今日發表調查報告,發現醫療集團「醫思健康」,在未經客人的同意下,透過統一系統互用旗下28個品牌、約108萬名會員的資料,涉及品牌包括遭投訴的匯兒兒科醫務中心、Dr Reborn、紐約醫療集團及香港仁和體檢。公署指集團違反《私隱條例》,要求旗下品牌停止互用資料。
個人資料私隱專員公署去年接獲兩宗有關醫療集團醫思健康旗下品牌共用客戶資料的投訴,於去年11月正式展開調查後發現,截止今年8月,醫思健康旗下的39個品牌中,共有28個品牌使用集團的統一內部系統,涉及約108萬名會員的資料,可查閱的資料包括個人資料、消費紀錄、接種疫苗紀錄等。
外婆收美容中心短訊提及孫女 因而揭發
個人資料私隱專員公署接獲的第一宗投訴,投訴人於2018年帶女兒到位於尖沙咀海洋中心匯兒兒科醫務中心的一位醫生求診,並提供了本人及女兒的個人資料,及女兒外婆的電話號碼作登記。
至2020年,一直有使用美容中心Dr Reborn 服務的外婆收到一個來自Dr Reborn 、載有孫女姓名的電話短訊,經查詢後得知該名醫生加入了 Dr Reborn, 故該醫生的客戶資料亦被轉移到Dr Reborn。
公署指出,Dr Reborn 職員在內部系統會輸入外婆的電話號碼後,能顯示該孫女及外婆的資料,而根據醫思健康提供的螢幕擷圖,系統亦會展示女童的會員號碼、姓名及病歷紀錄等。
電腦系統可查閱醫思健康所有客戶資料
至於另一宗投訴,男投訴人於2016年到紐約醫療光顧脊醫服務,但5年後到「仁和體檢」跟進其家人一宗投訴時,職員居然能以全名稱呼他,但自己從未告知其全名。
該職員向投訴人解釋,他曾光顧醫思健康旗下的紐約醫療,而職員可從電腦系統中看到醫思健康所有客戶的資料,除得知投訴人的全名,識員亦知悉其5年前光顧紐約醫療的日期。
個人資料私隱專員公署調查後發現仁和體檢職員在內部系統,能看到投訴人的姓名、部份電話號碼及會員號碼。
醫思健康向公署承認 ,匯兒及Dr Reborn、紐約醫療及仁和體檢亦是業務性質不同的公司,根本不需要使用另一機構的客戶的個人資料。
私隱專員鍾麗玲
私人專員:行為令人失望
個人資料私隱專員公署批醫思健康違反了《私隱條例》保障資料第3(1)原則規定,私隱專員鍾麗玲指醫思健康沒有通知所有收購前的既有客戶,相關品牌被醫思健康收購,而其個人資料會與其他品牌互用。
鍾麗玲強調若公司被收購後欲轉移客戶資料,需要通知客人並取得同意:「如果冇客人嘅同意,任何嘅資料搜集,邊個品牌收集,係為咗嗰個目的,就要係嗰個目的。」
鍾麗玲斥醫思健康不曾徵求當事人的同意就在集團內的不同品牌使用、披露及轉移他們的個人資料,不論在符合法律規定或尊重客戶意願的角度而言,均令人失望。
她指出,醫思健康作為上市公司,應有足夠資源及條件制定完善的政策及運作計畫,例如為系統進行私隱影響評估,對集團違反規定表示遺憾。
要求停止互用客戶資料
個人資料私隱專員公署已向醫思健康發出執行通知,要求旗下品牌停止互用存於系統的客戶個人資料,除非在收集相關客戶的個人資料時,已向其述明其個人資料將於集團的品牌間互用,及取得客戶就資料互用的同意。
私隱專員鍾麗玲提醒客戶,如懷疑自己的個人資料被轉移,最好詢問相關的公司。
醫思健康指客戶聯絡資料不完整 未能作通知
醫思健康則解釋,由於部分收購前既有客戶的聯絡資料不完整或可能不準確,如地址不完整或資料久未更新,因此未能通知客人及取得他們的同意。