醫管局日前回覆傳媒查詢，確認發現一宗懷疑未經授權將病人資料取走，並於第三方平台泄漏的個案，局方報警及通報個人資料私隱專員公署。事件中有逾5.6萬名病人受影響，涉事的個人資料包括姓名、身份證號碼、性別、出生日期、醫院編號、預約日期，以及健康資訊。醫管局又指有小量員工資料泄漏；警方則指涉及1,000多名醫管局員工的資料。

警方今日（8日）表示，已於昨日（7日）在天水圍就案件拘捕一名男子，警方與醫管局將於今日傍晚5時45分舉行聯合記者會交代案件。被捕人為30歲本地男子，是醫管局外判系統維護承辦商的系統開發員，涉嫌不誠實使用電腦，正被扣查。醫管局表示，初步發現所有外泄的資料均涉及聯合醫院。該局已暫停所有承辦商接觸局方系統；如需緊急維護，要經局方審批及監察下進行

警方表示，本案涉及敏感的病人及醫護人員個人資料，引起社會高度關注。警方於4月3日接報後，立即聯同數碼法理鑑證及事故應變隊人員，全面檢視醫管局內部多個緊密互聯的資訊系統，仔細分析涉案系統的日誌紀錄及存取紀錄，尋獲資料外泄來源。

人員在屬於同一外判系統維護承辦商，位於葵涌及科學園的兩處辦公室，檢取超過60部數碼裝置，包括伺服器、電腦、手機及存儲設備，並進行即時與深入的數碼鑑證。網絡安全及科技罪案調查科最終鎖定一名系統開發員，他曾於資料外泄前，透過遠端存取，在未獲聯合醫院授權下，非法下載病人及醫護人員的資料。警方遂於4月7日，在天水圍拘捕該名30歲系統開發員，罪名為「不誠實使用電腦」，他現正被扣留調查。警方會繼續調查被捕人的犯案動機或是否有金錢得益，以及是否有其他人涉案。

外泄的資料被上載到一個網上論壇，網罪科警司張巧儀指出，警方與醫管局的資訊科技部門，正積極要求相關平台移除涉案檔案。警方呼籲市民，特別是可能受影響的病人，如懷疑個人資料被不當使用，請致電警方「防騙易」熱線18222查詢或求助。

醫管局稱，由於涉案外判承辦商是負責系統維護工作，故可進入相關系統；該承辦商有為其他聯網的醫院進行類似的系統維護工作，醫管局已停止他們接觸系統。

方保僑：或開發員更新系統後下載資料作測試

倡醫管局提供虛構資料試行系統

香港資訊科技商會榮譽會長方保僑估計，所謂的「原始檔案」，有機會是該名系統開發員完成醫管局系統更新後，上載原始檔案及試行新系統。

他說，最直接的防範方法是避免非醫管局員工能接觸真實資料，可提供虛構資料供他們試行系統。另外，亦可監督這些員工使用甚麼設備處理資料。至於這個漏洞是否普遍，他則指系統不同，很難一概而論。