
醫療資料加指紋一齊外洩:NYC 事件提醒香港重看 biometric 收集
1.8 百萬人受影響,外判系統同生物特徵資料風險要重看

圖:TechCrunch.原文連結
密碼外洩,麻煩但至少可以重設;指紋、掌紋同病歷外洩,就唔係同一級數。紐約公營醫療系統 NYC Health + Hospitals 確認黑客入侵系統並複製檔案,美國 HHS breach portal 截至 2026 年 5 月 18 日列出受影響人數為 1,800,000。事件本身發生喺美國,但提醒好直接:香港人日常睇醫生、做僱員背景審查、入大廈門禁、申請金融 KYC,都可能交出比密碼更難收回嘅資料。
公開通知指,NYC Health + Hospitals 於 2026 年 2 月 2 日發現可疑活動,調查後相信未經授權人士大約由 2025 年 11 月 25 日至 2026 年 2 月 11 日存取部分系統並複製檔案。機構亦話,入侵者可能係因為一間未命名第三方供應商嘅保安事故而取得入口;但供應商身份、責任分界同攻擊手法未有公開確認。呢一點好重要,因為醫療機構好多時唔止自己營運病歷系統,仲會連住預約、帳單、影像、保險、外判 IT 同身份核實服務。
唔止醫療紀錄,仲有身份同位置
今次外洩資料按個別人士而異,唔代表每位受影響者所有欄位都流出。不過官方通知列出嘅範圍已經相當廣:健康保險計劃、保單、會員編號、醫療紀錄號碼、診斷、藥物、測試結果、醫學影像、治療計劃、帳單、索償、付款資料,另包括 Social Security number、駕駛執照、其他政府身份文件號碼、稅務身份號碼、金融帳戶資料、網上帳戶憑證、信用卡或扣帳卡號碼,甚至精準地理位置資料。最敏感嘅一項,係生物特徵資料,包括指紋同掌紋。
公開資料仍有幾個未解開嘅位。TechCrunch 指 NYC Health + Hospitals 未有解釋點解保存生物特徵資料,而準僱員一般要提交指紋作刑事紀錄查核;至於病人嘅生物特徵有冇包含在內,暫時未清楚。官方通知亦寫明資料審查仍在進行,並為 2020 年起曾經係病人或員工嘅人士提供 24 個月身份盜用防護及信用監察服務。換句話講,呢宗唔係單一表格錯寄,而係要處理多年資料、不同身份群組同未完全確定範圍嘅大型事故。
NYC Health + Hospitals 嘅背景,令事件更值得留意。紐約市官方文件形容系統每年服務約 100 萬名紐約人,約七成病人依靠 Medicaid 或無保險。呢類公營醫療系統承載嘅唔只係一般客戶資料,而係低收入、長期病患、急症、專科、帳單同公共服務身份資料。黑客攞到嘅資料如果足夠完整,可以用嚟做身份盜用、保險詐騙、針對式釣魚、勒索,甚至針對特定病歷或治療紀錄作社交壓力。
指紋比密碼麻煩,因為冇得真正重設
生物特徵資料最麻煩之處,係佢同人本身綁死。密碼、信用卡、登入 token 可以換;指紋、掌紋、面容、虹膜就唔係想換就換。PCPD 嘅 biometric guidance 指出生物特徵資料可被視為個人資料,亦可能涉及健康、精神狀況、種族來源等敏感資訊;一旦錯誤披露,後果可以包括重新識別、冒認身份,甚至因親密資料外洩而引致歧視。呢啲風險唔會因為機構事後道歉就消失。
技術上仲有一層分別:保存原始圖像或樣本,通常比保存轉換後嘅 template 風險更高。PCPD 建議資料使用者應盡快由原始生物特徵樣本產生 template,用於後續用途後安全刪除原始樣本,並避免 template 可被逆向還原成原圖。呢點對香港辦公室門禁、健身中心出入、學校或地盤點名系統都好實際:如果只係確認某人有權入場,是否需要保存完整指紋圖像?是否可以用員工證加 PIN、一次性碼、或本機裝置驗證取代集中式指紋庫?
醫療紀錄本身亦有長期價值。診斷、藥物、化驗、影像同治療計劃,反映一個人嘅健康狀態、家庭狀況、收入能力同生活模式。呢啲資料可以用嚟冒充醫療機構發訊息,要求更新保險、補交費用、登入假病人平台;亦可能影響保險、僱傭或名譽。官方通知提到精準地理位置資料,但未解釋來源;無論來源係文件、相片 metadata、app 或系統紀錄,重點都係醫療資料庫往往包含比「病歷」兩個字更多嘅周邊身份資料。
外判供應商係醫療 IT 高風險入口
今次通知提到可能同第三方供應商保安事故有關,但供應商未命名,責任方亦未正式釐清,所以唔應該臆測邊間公司出事。不過方向已經足夠清楚:醫療機構嘅安全邊界,唔止係自家伺服器同員工電腦,仲包括外判技術支援、雲端服務、帳單平台、影像系統、遙距存取、身份核實、call centre 同資料分析公司。HHS breach portal 將事件列為 healthcare provider、Hacking/IT Incident、位置為 Network Server,正正反映攻擊點係系統層面,而唔係單純一封電郵附件。
醫療行業近年成為勒索軟件同資料盜竊重災區,原因好現實:系統停機會影響診症、手術、藥物同帳單,機構通常有壓力盡快恢復;而病歷同付款資料又有二次濫用價值。FBI 2025 年 IC3 報告指,勒索軟件仍然係關鍵基建機構最常見嘅網安威脅之一,常見受影響界別包括 healthcare and public health。現代勒索唔一定只係加密檔案,更多係先偷走一份資料,再威脅公開,令備份同災難復原只解決一半問題。
香港場景:診所、僱主、門禁同 KYC
暫時無證據顯示香港人士或本地機構直接受今次 NYC 事件影響。但同類風險喺香港並唔抽象:私家診所、化驗中心、保險理賠、僱員入職、商廈門禁、屋苑管理、金融 KYC、共享工作空間,都可能要求身份證副本、人面相片、病歷、健康聲明或生物特徵。HKCERT 2026 年 4 月亦就本地醫療機構病人資料外洩發出提醒,提到有超過 56,000 名人士受影響,並建議機構加強第三方存取監察、最小權限、加密、稽核紀錄同外洩應變計劃。
PCPD 對生物特徵資料嘅核心要求,其實可以濃縮成幾句:先問有冇必要,再問比例是否合理,最後先問點樣保護。指引特別提到,記錄出勤通常已有簽到、門卡等較低侵入性做法;僱主要用指紋或面容作考勤,應有壓倒性理由。即使保安理由可能成立,亦唔等於可以無差別喺所有可進入地方裝掃描器。資料使用者應該做 privacy impact assessment、收最少資料、保存最短時間、清楚交代用途、可否拒絕、誰可存取、會否轉交第三方,以及資料查閱和改正方法。
交資料之前,可以問得更直接
對香港用家而言,最實際唔係「完全唔交資料」,而係將問題問到足夠具體。醫療機構、僱主、物管或金融平台要求收集指紋、掌紋、人面或身份文件時,可以問:收集目的係乜,有冇非生物特徵選項;保存嘅係原始圖像、掃描檔,定係不可逆 template;資料會放本地、雲端,定交畀第三方;保存幾耐,離職、退會或終止服務後點樣刪除;邊啲人可以存取,有冇 MFA、稽核紀錄同異常存取警報;如果外洩,會幾快通知受影響人士,通知內容會唔會講清楚涉及邊幾類資料。
機構 IT team 同管理層要問嘅問題更硬:供應商合約有冇列明保安要求、通報時限、分判限制、資料刪除證明、加密要求、滲透測試同稽核權;遙距存取是否按最小權限同限時批准;高敏感資料是否分段保存;備份是否同生產系統隔離;偵測規則係咪覆蓋 lateral movement、批量下載同非辦公時間存取。外判唔等於外判責任,尤其當收集嘅係病歷同指紋,出事後承受風險嘅始終係病人、員工同客戶。
外洩之後,補救係降低風險,不是令資料消失
如果收到通知話身份、醫療或生物特徵資料可能外洩,第一步係確認通知真偽,唔好用短訊入面嘅連結登入。之後按涉及資料逐項處理:重設相關帳戶密碼、開 MFA、檢查銀行及保險紀錄、留意不明醫療索償或帳單、向機構要求列明自己受影響嘅資料類別,並要求停止或更改以外洩生物特徵作唯一認證。若涉及香港個人資料,可向機構索取外洩通報細節;懷疑身份盜用或詐騙就報警,亦可向 PCPD 或 HKCERT 尋求協助。
今次 NYC 事件最值得香港帶走嘅教訓,唔係「外國醫院又被黑客攻擊」,而係 biometric data 一旦集中保存,就應該被當成永久高風險資產處理。方便打卡、快速入閘、免密碼登入,全部都唔可以自動凌駕私隱風險。能夠用較低侵入性方法達到同一目的,就唔應該收指紋;真係要收,就要有清晰理由、最少收集、可審計保存、可驗證刪除同清楚外洩應變。否則每一次「方便」,都可能變成下一次無法重設嘅風險。
參考來源
- TechCrunch — NYC Health and Hospitals says hackers stole medical data and fingerprints during breach affecting at least 1.8 million people — original report
- NYC Health + Hospitals / Kroll: Notice of Data Breach — 事件通知全文,確認入侵時段、資料類型、補救措施及 24 個月身份監察安排。
- HHS OCR Breach Portal — 官方 breach portal,核實 New York City Health and Hospitals Corporation 受影響人數 1,800,000、提交日期及事件分類。
- PCPD: Guidance on Collection and Use of Biometric Data — 香港私隱專員公署 biometric 指引,支持生物特徵資料屬個人資料、必要性、最少收集、template 保存等分析。
- PCPD: Data Breach Notification — 香港資料外洩通報頁面,說明資料外洩定義、通報 PCPD 係建議做法及提交渠道。
- PCPD: Guidance on Data Breach Handling and Data Breach Notifications — 提供外洩應變、風險評估、通知受影響人士、保存紀錄同事後檢討框架。
- HKCERT: Reports Unauthorised Access and Leak of Patient Data — 本地醫療資料外洩背景同 HKCERT 對第三方存取、最小權限、加密及應變計劃嘅建議。
- FBI IC3 2025 Internet Crime Report — 行業脈絡來源,支持 healthcare and public health 係勒索軟件常見受影響關鍵界別之一。
本文根據原文及公開資料整理;資料有出入時,以原文及官方資料為準。







