旗下28品牌互用客戶資料 醫思健康涉違私隱例

公署表示，早前收到兩宗投訴，涉及醫思健康旗下的4個品牌，包括匯兒兒科醫務中心、Dr Reborn、紐約醫療集團及香港仁和體檢。其中一個個案的投訴人，曾帶同女兒向匯兒的一位醫生求診，其後從Dr Reborn得知該名醫生在加入Dr Reborn後，其客戶（包括投訴人女兒）的個人資料被轉移到Dr Reborn。第二個個案的投訴人為跟進其家人所提出的投訴而聯絡仁和體檢，仁和體檢在回覆投訴人時，查閱及使用了投訴人在紐約醫療接受治療時提供的資料。

公署發現醫思健康旗下的品牌共39個，提供的服務包括有普通科、專科、牙科及醫學美容等，當中28個品牌已使用統一系統，涉及約108萬名會員的資料。

醫思健康在收購匯兒及紐約醫療後，將匯兒及紐約醫療客戶的個人資料儲存於統一系統中，並將他們部分個人資料在28個品牌之間互用。

鍾麗玲指，醫思健康在收購匯兒及紐約醫療後，不曾徵求兩位當事人同意醫思健康在集團內如上般供不同品牌使用，且披露及轉移他們的個人資料，亦沒有以任何方式通知當事人他們的個人資料會被儲存於該系統中，有關做法不論在符合法律規定或尊重客戶意願的角度而言，均令人失望，認為醫思健康違反了《個人資料（私隱）條例》附表1的保障資料第3（1）原則有關使用（包括披露或轉移）個人資料的規定。

她又認為，兩宗個案的情況均揭示醫思健康在開展其整合市場品牌的收購合併活動，並透過使用統一系統統合旗下品牌的客戶資料的同時，忽視了《私隱條例》的規定，亦未有充分考慮該系統的運作對客戶個人資料私隱的影響，對此表示遺憾，已向醫思健康發出執行通知。

醫思健康則表示，集團是根據有關員工職能及考慮服務顧客之工作需要，設定有限度之資料讀取權限，即使集團多個品牌在運用同一數碼科技平台，除非得客戶同意，絕不容許各品牌之間查閱，轉移及使用相關客戶病歷、診斷紀錄及醫療報告。就報告所述之個別個案，經集團內部調查，沒有涉及第三方洩漏等數據安全問題。