香港獸醫診所及專職醫療服務機構的網絡安全：在新條例下安全營運

作者：Rendy Ng

‍

網絡安全現已成為香港醫療相關行業必須正視的法律、營運及聲譽風險。獸醫診所、物理治療診所、心理學診所、脊醫診所、牙科診所及其他專職醫療服務機構，日常都會處理大量敏感資料，包括個人資料、預約紀錄、付款資料、治療紀錄，以及對業務運作非常重要的系統。

隨着《保護關鍵基礎設施（電腦系統）條例》於 2026年1月1日 生效，香港已建立一套更正式的網絡安全制度，以規管營運重要電腦系統的機構。該條例主要針對被指定為「關鍵基礎設施營運者」的機構。不過，對於希望降低網絡風險、加強資料管治的小型醫療及護理相關服務機構而言，條例所反映的標準同樣具有重要參考價值。

對專職醫療服務機構而言，問題不只是「這條例是否直接適用於我們」。更實際的問題是：在現今的網絡風險環境下，我們的系統、病人或客戶資料、供應商安排，以及事故應對程序是否足夠安全？

甚麼是《保護關鍵基礎設施（電腦系統）條例》？

《保護關鍵基礎設施（電腦系統）條例》的目的是加強支援香港必要服務的電腦系統之網絡安全。條例向若干被指定為「關鍵基礎設施營運者」（通常稱為 CI Operators）的機構施加法定責任。

「關鍵基礎設施」一般包括對維持公共服務、公共安全、經濟穩定或社會正常運作有重要影響的系統及機構。醫療、運輸、電訊、能源、銀行及金融服務，以及其他必要服務行業，都可能屬於較廣泛的關鍵基礎設施框架。

就醫療界而言，醫院、大型醫療網絡、主要醫療服務提供者，以及其他具重大影響力的機構，可能會被評估是否需要被指定。小型私營診所、獸醫診所或專職醫療診所未必會自動被指定，但仍可能因網絡安全期望、供應商要求、保險條件、合約責任及客戶信任等因素而受到間接影響。

條例是否適用於獸醫診所及專職醫療服務機構？

條例直接適用於被正式指定為關鍵基礎設施營運者的機構。如您的業務被指定，相關主管機關應會向您發出書面通知。

在作出指定前，專員亦可能要求機構提供資料，以評估該機構是否營運關鍵基礎設施或相關電腦系統。如未能遵從正式通知，可能會引致法律後果。

對許多獸醫診所及專職醫療服務機構而言，除非其營運規模或重要性被認為對香港的必要服務具關鍵影響，否則被直接指定的機會未必很高。然而，小型服務機構不應因此忽視該條例。

即使條例並不直接適用，它仍可作為網絡安全管治、事故應對、供應商管理、資料保障及營運韌性的實用參考標準。

從實務角度而言，該條例為香港建立了新的網絡安全標準。採取類似管控措施的診所，將更有能力：

• 保護敏感的客戶、病人及動物健康紀錄；

• 降低勒索軟件攻擊及資料被盜的風險；

• 更快速地應對網絡安全事故；

• 滿足保險公司、業主、企業客戶、專業團體及業務夥伴的要求；

• 展示對個人資料的負責任處理；以及

• 在發生資料外洩時，減低法律及聲譽風險。

為何診所及醫療相關服務機構需要重視網絡安全？

獸醫診所及專職醫療服務機構所持有的敏感資料，往往比管理層想像中更多。這些資料可能包括：

• 客戶姓名、地址、電話號碼及身份資料；
• 預約及收費紀錄；
• 醫療紀錄、治療計劃、診斷紀錄及轉介信；
• 付款資料；
• 保險相關資料；
• 員工僱傭紀錄；
• 閉路電視片段；
• 雲端診所管理系統資料；
• WhatsApp、電郵、短訊及網上預約通訊紀錄；以及
• 供應商、化驗所、藥房或第三方平台紀錄。

網絡安全事故所造成的影響，並不只限於資訊科技系統。事故可以令診所無法接受預約、延誤治療、令員工無法查閱紀錄、導致機密資料外洩，甚至引發監管投訴、合約爭議及客戶信任受損。

診所常見的網絡風險包括：

• 發送予接待處或行政人員的釣魚電郵；
• 加密診所管理系統的勒索軟件攻擊；
• 未經授權登入雲端預約平台；
• 弱密碼或員工共用帳戶；
• 不安全的 Wi-Fi 網絡；
• 未修補漏洞的軟件；
• 被入侵的付款系統；
• 遺失手提電腦、平板電腦或手機；
• 不完善的備份安排；以及
• 與資訊科技供應商之間缺乏足夠合約保障。

關鍵基礎設施營運者的主要責任

如醫療相關機構被正式指定為關鍵基礎設施營運者，便必須遵守法定網絡安全責任。這些責任大致可分為三個範疇。

1. 機構責任

被指定的關鍵基礎設施營運者須：

• 在香港維持適當的本地業務存在或代表；
• 就關鍵基礎設施的擁有權或營運變更通知相關主管機關；
• 委任或聘用合資格的網絡安全管理單位；
• 維持內部網絡安全合規管治安排；以及
• 確保高級管理層監督電腦系統安全。

這些責任反映，網絡安全不應只被視為技術問題，而應由機構層面管理，並由高級管理層參與及承擔清晰責任。

2. 網絡安全管理計劃

被指定的營運者一般需要制定並維持電腦系統安全管理計劃。該計劃應說明機構如何識別、管理、減低及監察網絡安全風險。

對診所及醫療服務機構而言，類似的計劃應涵蓋：

• 存取權限控制；
• 密碼及多重身份驗證政策；
• 資料加密；
• 系統備份；
• 軟件及裝置的安全設定；
• 遙距存取控制；
• 員工網絡安全培訓；
• 供應商管理；
• 事故應對程序；
• 災難復原計劃；以及
• 定期測試及檢討。

即使診所未被指定為關鍵基礎設施營運者，一份書面的網絡安全計劃仍是非常有用的風險管理工具。

3. 事故匯報及應急準備

條例對被指定的關鍵基礎設施營運者訂有嚴格的事故匯報要求。嚴重網絡安全事故可能需要在短時間內作出匯報，並在事故調查後提交跟進報告。

這一點尤其重要，因為網絡事故往往發展迅速。當診所發現紀錄無法存取，或客戶資料可能已被洩露時，業務可能已經面臨營運中斷、監管風險、合約問題及聲譽損害。

一份實用的事故應對計劃應列明：

• 診所內部由誰負責應對事故；
• 應聯絡哪一位外部資訊科技供應商或網絡安全專家；
• 何時應尋求法律意見；
• 如何隔離受影響系統；
• 如何還原備份；
• 員工應如何在內部溝通；
• 是否需要通知客戶、病人、保險公司、監管機構或業務夥伴；以及
• 應如何記錄事故。

不合規的潛在罰則

被指定的關鍵基礎設施營運者如未能遵守條例，可能面對重大罰則，包括最高港幣500萬元 罰款，並可能因持續違規而被加每日罰款。

對未被指定的小型診所而言，更即時的風險可能包括：

• 根據個人資料保障法律提出的投訴；
• 客戶、合作夥伴或供應商提出的合約申索；
• 如員工資料受影響而引發的僱傭相關問題；
• 保險保障爭議；
• 客戶信任流失；
• 業務中斷；以及
• 聲譽損害。

因此，網絡安全應被視為法律及營運風險管理的一部分，而不只是資訊科技問題。

獸醫診所及專職醫療服務機構可採取的實務網絡安全措施

以下是診所可採取的實務步驟，以加強網絡安全，並為更嚴格的監管環境作好準備。

1. 進行網絡安全風險評估

第一步是識別診所的主要系統、資料及潛在漏洞。可考慮以下問題：

• 客戶及病人紀錄儲存在哪裡；
• 誰可以存取每個系統；
• 員工是否使用共用登入帳戶；
• 系統是雲端還是本地託管；
• 是否定期進行備份；
• 是否曾測試備份還原；
• 軟件及裝置是否已更新；
• 手機、平板電腦或手提電腦是否載有客戶資料；以及
• 第三方供應商是否可存取診所系統。

風險評估不必過於複雜，但應作書面記錄，並定期檢討。

2. 加強存取權限控制

許多網絡事故都是由薄弱的存取權限控制開始。診所應考慮：

• 要求每位員工使用獨立登入帳戶；
• 避免共用管理員帳戶；
• 啟用多重身份驗證；
• 按員工職責限制存取權限；
• 員工離職時即時移除其存取權限；
• 採用強密碼政策；
• 限制遙距存取；以及
• 定期檢視使用者權限。

對聘有兼職醫生、代診人員、承辦商或輪班接待員的診所而言，存取權限管理尤其重要。

3. 改善資料備份及復原安排

在勒索軟件攻擊或系統故障的情況下，備份十分重要。診所應：

• 定期備份重要資料；
• 至少保留一份與主要網絡分離的備份；
• 定期測試備份還原；
• 記錄復原程序；
• 確保雲端服務供應商有足夠的備份安排；以及
• 評估診所在無法使用系統時可維持營運多久。

從未測試過的備份，可能會在最需要時失效。

4. 培訓員工識別網絡威脅

接待員、行政人員、臨床人員、護士、治療師及經理，均在網絡安全方面扮演重要角色。培訓應涵蓋：

• 釣魚電郵；
• 可疑附件及連結；

• 虛假付款要求；
• 冒認詐騙；
• 安全使用 WhatsApp 及電郵；
• 個人資料處理；
• 密碼安全習慣；
• 匯報可疑活動；以及
• 遺失裝置時的處理程序。

員工應清楚知道，如懷疑發生資料外洩或系統異常，應聯絡誰。

5. 制定事故應對計劃

書面的事故應對計劃可在網絡事故發生時減少混亂。該計劃應包括：

• 內部升級匯報步驟；
• 外部資訊科技及法律聯絡人；
• 決策權限；
• 溝通範本；
• 證據保存步驟；
• 通知安排的考慮因素；
• 系統恢復優先次序；以及
• 事故後檢討程序。

診所應透過桌面演練或簡單情境演練，測試事故應對計劃是否可行。

6. 檢視供應商及雲端服務協議

許多診所依賴第三方平台處理預約、紀錄、付款、會計、通訊、影像、化驗結果或雲端儲存。這些供應商可能代表診所持有或處理敏感資料。

供應商協議應就以下事項作出檢視：

• 網絡安全責任；
• 資料保障承諾；
• 資料外洩通知時限；
• 責任限制；
• 審核權；
• 分包安排；
• 資料託管地點；
• 備份及災難復原責任；
• 終止權；以及
• 在監管調查或客戶投訴期間提供協助。

即使事故源於供應商，診所仍可能需要承擔資料外洩所造成的後果。

7. 維持資料保障合規

網絡安全與個人資料保障密切相關。診所應確保其遵守適用的個人資料責任，包括負責任地收集、使用、儲存、保留、保障及處置個人資料。

良好做法包括：

• 只收集必要資料；
• 提供清晰的私隱通知；
• 限制內部人員存取敏感資料；
• 除非有合理理由，避免無限期保留紀錄；
• 安全刪除舊檔案；
• 在適當情況下加密敏感資料；
• 妥善管理同意及直接促銷做法；以及
• 記錄資料處理程序。

8. 保持軟件及裝置更新

未修補漏洞的系統，是攻擊者常用的入侵途徑。診所應備存以下項目的清單：

• 電腦；
• 伺服器；
• 平板電腦；
• 手機；
• 路由器；
• Wi-Fi 存取點；
• 打印機及掃描器；
• 閉路電視系統；
• 連接網絡的診斷設備；
• 診所管理軟件；以及
• 雲端應用程式。

診所應及時安裝更新及安全修補程式，特別是連接互聯網的系統。

9. 保障Wi-Fi 及網絡存取安全

診所應將內部業務系統與訪客 Wi-Fi 分開。實務措施包括：

• 使用強 Wi-Fi 密碼；
• 更改路由器預設登入資料；
• 分隔訪客及內部網絡；
• 限制管理設定的存取權限；
• 監察異常網絡活動；以及
• 檢視醫療、診斷或影像設備是否以安全方式連接網絡。

10. 記錄網絡安全管治工作

如診所日後需要證明其已採取合理步驟保護資料及系統，文件記錄將十分重要。實用文件包括：

• 網絡安全政策；
• 員工培訓紀錄；
• 供應商合約；
• 事故應對計劃；
• 風險評估；
• 備份紀錄；
• 存取權限檢討紀錄；
• 資料保留政策；
• 私隱通知；以及
• 安全更新紀錄。

診所網絡安全清單

獸醫診所及專職醫療服務機構可參考以下問題：

• 我們是否已識別所有儲存客戶、病人或付款資料的系統？
• 所有員工是否均使用獨立帳戶？
• 電郵、雲端系統及遙距存取是否已啟用多重身份驗證？
• 是否已定期進行並測試備份？
• 我們是否已有事故應對計劃？
• 員工是否已接受培訓，以識別釣魚電郵及網上詐騙？
• 軟件及裝置是否定期更新？
• 供應商合約是否已就網絡安全及資料保障條款作出檢視？
• 我們是否清楚知道診所資料儲存於哪裡？
• 員工離職時，我們是否有程序移除其系統存取權限？
• 訪客 Wi-Fi 是否已與內部系統分開？
• 私隱通知及資料保留做法是否已更新？
• 如發生網絡事故，我們是否知道應聯絡誰？

為何診所應立即行動

即使您的診所未被正式指定為關鍵基礎設施營運者，現在加強網絡安全措施，仍可降低營運風險並有助法律合規。

及早行動可協助診所：

• 預防可避免的網絡事故；
• 在事故發生時更有效應對；
• 保護敏感客戶及病人紀錄；
• 減少停機時間；
• 滿足保險及合約要求；
• 展示負責任的管治；以及
• 維持客戶信心。

對醫療相關業務而言，網絡安全已不再只是技術保障，而是專業風險管理的重要一環。

‍

‍

吳嘉汶律師事務所可如何協助

吳嘉汶律師事務所就網絡安全、資料保障、監管合規及商業風險管理，為香港企業提供法律意見。

我們可協助獸醫診所、專職醫療服務機構及醫療相關業務處理以下事項：

• 評估條例是否可能影響您的機構；
• 檢視網絡安全管治框架；
• 制定事故應對計劃；
• 審閱供應商及雲端服務合約；
• 就資料保障責任提供意見；
• 擬備內部政策及員工程序；
• 應對網絡安全事故；
• 就監管通知及客戶通訊提供意見；以及
• 支援機構遵守不斷演變的網絡安全標準。

如您希望就診所在《保護關鍵基礎設施（電腦系統）條例》下的準備情況尋求意見，或希望加強網絡安全及資料保障措施，歡迎透過 info@rknlegal.com 聯絡我們的團隊。

‍

常見問題

《保護關鍵基礎設施條例》是否適用於小型獸醫診所？

該條例直接適用於被正式指定為關鍵基礎設施營運者的機構。小型獸醫診所未必會自動屬於該類別。然而，該條例的網絡安全標準，可為任何處理敏感客戶、病人、付款或營運資料的診所提供有用指引。

香港專職醫療服務機構是否受該條例規管？

如專職醫療服務機構屬於大型醫療網絡的一部分，或以其他方式被指定為營運關鍵基礎設施，則可能受到影響。即使未被直接規管，物理治療、心理學、脊醫、牙科及其他專職醫療服務機構，亦應採取適當網絡安全管控措施，以保護敏感個人及健康相關資料。

診所應首先採取甚麼措施改善網絡安全？

診所應先進行網絡安全風險評估。該評估應識別診所持有甚麼資料、資料儲存位置、誰可以存取、如何備份、涉及哪些供應商，以及如系統無法使用時會對業務造成甚麼影響。

診所面對的最大網絡安全風險是甚麼？

常見風險包括釣魚攻擊、勒索軟件、弱密碼、共用帳戶、未修補漏洞的軟件、不安全的雲端系統及不完善的備份安排。人為錯誤往往是主要因素之一，因此員工培訓十分重要。

診所是否應檢視與資訊科技供應商及雲端服務供應商的合約？

是。供應商合約應清楚列明網絡安全標準、資料外洩通知、資料保障、責任承擔、分包安排、資料託管、備份安排，以及事故期間的支援。診所應了解供應商負責甚麼，以及哪些風險仍由診所承擔。

如診所發生資料外洩，應如何處理？

診所應啟動事故應對計劃、控制事故範圍、保存證據、聯絡資訊科技及法律顧問、評估個人資料是否受影響、考慮通知責任、謹慎溝通，並記錄補救措施。正確處理方式將視乎事故的具體情況而定。

‍

‍

免責聲明：本文內容在任何情況下均不得被解釋為向任何人提供法律意見。我們鼓勵讀者徵詢其法律代表以獲取獨立建議。本文所提供的資訊基於本行從業者的整體觀察及撰寫時的經驗。內容可能因法律變動而未經事先通知而更改。若文章存在兩種語言版本，內容如有歧異，應以英文版本為準。

關於我們：

吳嘉汶律師事務所是一家於香港的律師事務所，為各行各業提供全方位的商業法律服務。透過將法律指導與對商業實務的理解相結合，我們確保客戶獲得契合其商業目標及個人需求的定制化支援。如對我們的服務有任何疑問，歡迎隨時聯繫我們的團隊。

查詢請聯絡：

電話 | +(852) 6033-3072 電郵 | info@rknlegal.com 網站 | www.rknlegal.com