調查個案摘要

編號: 0122/2015/IP

標題: 醫院文件散落街道

立案原因: 主動介入

個案簡介:

    2015年10月13日凌晨,有人發現衛生局仁伯爵綜合醫院的大量病人文件散落於羅理基博士大馬路上,本辦公室得悉事件後主動立案跟進。

分析:

    本辦公室於2015年10月15日收到衛生局的書面通報,後經兩次去函衛生局,取得如下資料:
  1. 事件起因
  衛生局的兩名人員在2015年10月12日丟棄機密廢料時,無依照局方的《機密廢料處理指引》用碎紙機銷毀機密廢料或者將機密廢料交給衛生局住院服務處,反而自行裝進黑色膠袋當成一般垃圾,兩人共丟棄了六袋以黑色膠袋包裝的機密廢料。
  當晚,澳門清潔專營有限公司在仁伯爵綜合醫院收集垃圾後,其中一輛垃圾車的壓板運作不良,不能把車邊的垃圾壓至車中,垃圾車司機打算更換另外一輛垃圾車,途中意外掉落一袋垃圾但未有發現。
  衛生局於半夜接報後即派人到文件掉落地點執拾文件,澳門清潔專營有限公司也安排了團隊沿路巡查和執拾文件,經清理後路面已無文件遺留。
  1. 散落街道的文件是仁伯爵綜合醫院臨床病理科和血液科化驗室的化驗報告、各種測試申請單等,當中載有病人的醫療咭編號、身份證號碼、姓名、出生日期/年齡、性別、診室類別、檢驗項目及結果等。
  2. 事發前,衛生局已制定《〈個人資料保護法〉的配套指引》、《機密廢料處理指引》、《機密廢料處理制度工作指引──外判公司及清潔工作人員》及《機密廢料處理制度工作指引──住院服務處》。
  《機密廢料處理指引》規定當廢料中含有個人資料,即屬機密廢料,醫院內各個部門對機密廢料的處理程序都需要遵守《機密廢料處理指引》,並將機密廢料分為四類(紙張與相片類、錄影帶類、醫療物品類、電腦設備及物品類),並規定相應的處理程序及負責部門。按照指引,衛生局規定紙張與相片類機密廢料的處理方法有兩種:
(1) 部門每天自行使用碎紙機銷毀,然後按一般廢物方式處理,澳門清潔專營有限公司會將仁伯爵綜合醫院的垃圾運往澳門垃圾焚化中心。
 
(2) 如需要處理較大量廢料,部門可使用醫院住院服務處的定期機密廢料收集服務。部門要先將機密廢料放入「機密廢料收集袋」並用束帶紮好,再預約清潔服務供應商上門收集。交收時,清潔服務供應商會即場登記,並檢查部門是否已將機密廢料放入專用袋內並紮緊袋口,紮帶會寫上部門簡稱以茲識別。清潔服務供應商會將收集好的機密廢料袋用密封的手推車運送至有蓋的車輛,由住院服務處的人員陪同至澳門垃圾焚化中心焚毀。住院服務處負責監管清潔服務供應商的工作,包括:核對廢料袋的數量及所屬部門是否與交收登記一致,廢料袋的封條是否妥當,監督廢料袋運往焚毀的過程,保管記錄等。
  1. 事後,衛生局立即發出內部命令,規定即日起所有載有機密或私隱資料的文件須先用碎紙機毀碎,隨即更新了《機密廢料處理指引》,規定所有部門應每天自行以碎紙機銷毀機密廢料,然後以一般廢物的方式處理,取消由住院服務處定期收集機密廢料的安排。現時經碎紙機銷毀的機密廢料要放入專用綠色垃圾袋內封好,磅重後才能丟棄;部門主管需掌握部門內每月申領的垃圾袋數目、用量及每袋垃圾的重量,以建立數據恆常監察操作人員處理機密廢料的情況。
  由於散落街道的醫院文件中印有病人的身份資料及檢驗結果,屬於特定人士健康範疇的敏感資料,所以衛生局處理敏感資料須採取《個人資料保護法》第四章「處理的安全性和保密性」第15條與第16條規定的安全措施。
  《個人資料保護法》第15條規定:
  “一、負責處理個人資料的實體應採取適當的技術和組織措施保護個人資料,避免資料的意外或不法損壞、意外遺失、未經許可的更改、傳播或查閱,尤其是有關處理使資料經網絡傳送時,以及任何其他方法的不法處理;在考慮到已有的技術知識和因採用該技術所需成本的情況下,上述措施應確保具有與資料處理所帶來的風險及所保護資料的性質相適應的安全程序。
   二、負責處理個人資料的實體,在委託他人處理時,應選擇一個在資料處理的技術安全和組織上能提供足夠保障措施的次合同人,並應監察有關措施的執行。
   三、以次合同進行的處理,應由約束次合同人和負責處理資料實體的合同或法律行為規範,並應特別規定次合同人只可按照負責處理資料的實體的指引行動,並須履行第一款所指的義務。
   四、與資料保護有關的法律行為之意思表示、合同或法律行為的證據資料,以及第一款所指措施的要求,應由法律認可的具有證明效力的書面文件載明。”
  《個人資料保護法》第16條規定:
  “一、第七條第二款和第八條第一款所指的負責處理資料的實體應採取適當的措施,以便:
   (一) 控制進入設施:阻止未經許可的人進入處理上述資料的設施;
   (二) 控制資料載體:阻止未經許可的人閱讀、複製、修改或取走資料的載體;
   (三) 控制輸入:阻止未經許可而對已記載的個人資料加入其他資料,以及未經資料記載人許可的知悉、修改或刪除;
   (四) 控制使用:阻止未經許可的人透過資料傳送設施使用資料的自動化處理系統;
   (五) 控制查閱:確保經許可的人只可以查閱許可範圍內的資料;
   (六) 控制傳送:確保透過資料傳送設施可以查證傳送個人資料的實體;
   (七) 控制引入:確保可以在隨後查證引入了哪些個人資料、何時和由誰引入,該查證須在每一領域的適用規章所定的、與資料處理的性質相符的期間內進行;
   (八) 控制運輸:在個人資料的傳送和其載體的運輸過程中,阻止以未經許可的方式閱讀、複製、修改或刪除資料。
   二、考慮到各負責處理資料的實體的性質和進行處理的設施的種類,公共當局在確保尊重資料當事人的權利、自由和保障的情況下得免除某些安全措施。
   三、有關系統應確保將與健康和性生活有關的個人資料,包括遺傳資料,同其他個人資料分開。
   四、當第七條所指的個人資料在網絡上流通可能對有關當事人的權利、自由和保障構成危險時,公共當局得決定以密碼進行傳送。”
  衛生局的機密廢料處理程序是個人資料處理的最後階段(刪除或銷毀資料),並非中間過程,亦與資訊系統無關,所以《個人資料保護法》第16條第1款所指的「控制進入設施」、「控制輸入」、「控制使用」、「控制傳送」及「控制引入」這五個方面不適用於此。
  雖然衛生局設置了兩種紙張與相片類機密廢料的處理方法,不過《機密廢料處理指引》中寫明員工應盡可能即時自行按指引處理機密廢料,避免積存或轉介其他部門處理,並在完成處理前將機密廢料以機密資料的方式看待和保管,以減少洩密風險。
  首先,當部門自行碎毀然後按一般廢物的方式處理機密廢料時,由於這些機密廢料已不能辨別原來資訊,隨後只會交給澳門清潔專營有限公司直接從醫院運往澳門垃圾焚化中心,所以資料載體已不能被人閱讀或使用,旁人亦難以從中複製、修改或取走資料,這種處理機密廢料的方式符合《個人資料保護法》第16條第1款(二)、(五)及(八)項規定的要求。
  其次,即使部門不自行碎毀而尋求住院服務處的機密廢料收集服務,部門也必需先將機密廢料放入專用袋內兼用束帶紮好,之後接收的住院服務處及清潔服務供應商都不會接觸到袋內完整的紙張與相片類廢料,而且交收時有登記程序,清潔服務供應商亦要使用有蓋密封式之手推車與車輛運送機密廢料袋,如發現機密廢料袋口鬆脫或袋身破損時需即時通知住院服務處跟進,最後在住院服務處監督及核對下把各部門交來的機密廢料袋全數直接送往澳門垃圾焚化中心,可見上述程序中衛生局在「控制資料載體」、「控制查閱」及「控制運輸」方面都有針對性措施,防止機密廢料自源頭(各個部門)至運往焚毀的過程中被未經許可的人閱讀、複製、修改或取走資料,所以亦符合《個人資料保護法》第16條第1款(二)、(五)及(八)項的規定。
  實際上,把不需再保存的紙張與相片類個人資料碎毀是常見且保險的做法,而不論衛生局內各個部門以兩種中哪一種方法處理機密廢料,一般情況下外來人員只有澳門清潔專營有限公司與清潔服務供應商會經手處理,但他們都是直接將機密廢料從醫院送往澳門垃圾焚化中心,且正常的運輸程序中未發現有增加資料外洩風險的不必要接觸或操作。而且,衛生局已分別為機密廢料丟棄程序的三個執行方(各個部門、住院服務處及清潔服務供應商)制定書面指引,其中針對清潔服務供應商的部分,衛生局亦已將機密廢料收集服務的規則及要求加入外判合同與承投規則中,明令清潔服務供應商人員負有職業保密義務,不得打開機密廢料袋或者另作其他用途,並由住院服務處專責監督。
  由此可見,上述措施達到《個人資料保護法》第15條對負責處理個人資料的實體所訂出保護個人資料及監察次合同人的要求。
  如衛生局的人員嚴格按照既定的兩種方法處理紙張與相片類機密廢料,理應不會發生2015年10月12日的事件(完整紙張的機密廢料從垃圾車開口掉落街道)。鑑於衛生局的紙張與相片類機密廢料處理程序符合《個人資料保護法》第15條和第16條對安全措施的要求,所以事件不能歸咎於衛生局本身的程序和措施。
  衛生局事後亦已採取改善措施:部門每天自行碎毀是現時處理紙張與相片類機密廢料的唯一方法,碎毀的機密廢料要放入指定的綠色膠袋紮好再經儀器磅重才可丟棄。
  上述措施一來確保不會有完整的紙張與相片類機密廢料外流,縮減丟棄程序中經手處理資料的步驟及人手(住院服務處與清潔服務供應商不需再協助其他部門處理未經碎毀的機密廢料),減少機密廢料外洩的機會及風險;二來建立恆常機制監察機密廢料丟棄程序的執行情況,讓部門主管可從數據中發現異常狀況,防止人員違規。

處理結果:

    本案所針對的是個人資料處理的安全性問題。在分析衛生局於2015年10月12日發生醫院文件散落馬路事件時已生效的指引,該局針對紙張與相片類個人資料所制定的丟棄程序,在安全措施上並無違反《個人資料保護法》第15條和第16條的規定,事件不能歸責於衛生局。
  然而,雖然本次事件的發生不是衛生局本身程序問題所致,惟該局仍有必要汲取教訓,強化監察,慎防人員不按既定程序辦事而不被察覺。因應衛生局已即時針對本次事件制定相應的改善措施,尤其是建立恆常機制監管人員按章工作,防止同類事件再發生,基此,本案已歸檔。

註:
參考《個人資料保護法》第15,16條。