墨爾本醫院遭網攻，患者資料被洩

一個名為「Global Group」的勒索軟件組織聲稱對此次攻擊負責，並在暗網上公開了約40GB的敏感資料，包括信件、預約信息、手術清單和結果、醫學影像文件等。

Epworth Healthcare表示，他們的IT系統並未被入侵或遭到破壞，資料可能來自與Epworth IT環境無關的第三方。然而，Global Group在其暗網博客上設置了一個為期一週的倒計時，準備公開更多據稱來自Epworth的資料。

這起墨爾本醫院的網絡攻擊揭示了醫療機構在數據保護上的結構性脆弱。當駭客可以在暗網上大規模散布涉及手術記錄、個人信件、影像與薪資資訊等高度敏感資料，這不只是一次技術層面的失誤，更是對病患尊嚴與隱私的直接侵犯。

同路點評：

從法律層面而言，這起資料外洩事件也暴露出現行監管制度對於醫療資料保護的落差。在澳洲，雖然《隱私法》（Privacy Act 1988）對個資的處理有明文規範，但當資料涉及第三方承包商、外包雲端服務與跨機構傳輸時，責任歸屬往往變得模糊。Epworth醫院將資料外洩歸因於「非屬其IT系統的第三方來源」，但醫療機構仍有不可推卸的義務確保患者資料的全程安全。不論資料是否透過外包途徑處理，最終持有資料的主體仍應對外洩負擔一定的法律責任。

Epworth 將責任歸咎第三方，卻反映出外包機制的監管不足與不透明，病患卻承受風險。若系統不能保障個人資訊，醫患關係的信任基礎將被動搖。這應成為檢討資料保護機制與醫療倫理的契機，而非止於事後補救。