近日，医管局九龙东联网发生资料外泄事件。医管局表示，事件中有5.6万名病人资料外泄，包括姓名、身份证号码、性别、出生日期、医院编号、预约日期，以及健康资讯；并有少数员工资料泄漏。警方昨日（4月8日）以“不诚实意图取用电脑”的罪名拘捕一名30岁男子，是医管局外判系统承办商的系统开发员，涉嫌非法在医管局资料系统偷取个人资料。据报道，医管局本月初透过恒常监察系统发现事件后，已通报私隐专员公署跟进，并通知受影响病人。

所幸的是，今次事件由医管局恒常监察系统发现。然而，公私营机构资料外泄事件屡次发生，可见单靠机构的自觉远远不够的。凡是出了事故，政府总会说现行政策及指引已经有要求，如果写了要求就管用，我们不会重复见到资料外泄事件。今次事件目前看似与承办商的员工有关，政府就说对员工已有明确要求。我们必须加强法律的效能和提升防范、侦察和惩罚机制的有效性，让不法之徒不能犯、不敢犯！

事实上，早在2022年，笔者就促请修订《个人资料（私隐）条例》，落实强制通报机制、直接对第三方资料处理者规管及加强罚则等。 其后，在不同场合包括立法会大会、政制事务委员会、特别财务委员会，以及采访及活动等都不遗余力，倡筑牢私隐保障。在2025年初，笔者担任《保护关键基础设施（电脑系统）条例草案》法案委员会主席，在审议中多次强调，政府当局应按风险为本的原则和相关实务守则就绪程度将医院管理局和积金易平台公司等八大类别中的营运者纳入规管。今次事件无疑又是一次教训，持续完善资讯安全和网络安全的监管制度刻不容缓。