在卫生部用于监控新冠疫情的吾安(MySejahtera)应用程序管理权和数据安全争议刚落幕不久,近日又爆出了国民登记局的国人资料遭外泄的疑云,这折射出了互联网的便利与风险共存现象,即在享受互联网科技带来的巨大便利之际,人们也得面对著个人讯息安全暴露风险。
不过,内政部长韩沙再努丁否认国民登记资料外泄,但他不排除如过去案例般,这些贩卖的数据可能涉及一些可以接触到国民登记局资料的机构。在去年9月时,也有人声称可在网上获取到内陆税收局的个人资料数据。
无论如何,这是否反映了政府机构内部没有认真看待个人资料外泄的现象,对网络资料管理松散,也没做好有效防制,进而让事件一再重演?
尤其在万物互联的时代,凡走过必留下痕迹。人们在互联网或手机上的浏览、消费或填写的资料数据,将暴露其消费行为,家庭背景,甚至健康或财务状况。这些庞大的个人数据,也被喻为数码经济时代的“石油”,许多科技巨头或社交媒体就是数码石油的提炼商,不管是美国的面书、推特、Instagram、优管或中国的微博、抖音等,就是运用手上掌握庞大的数据,而获得超额利润。
因此,也就有个人或集团违规收集、贩卖和运用个人的资料以谋利,譬如数年前英国的政治谘询公司“剑桥分析”事件就是一例。该公司利用社交媒体数据,影响英国2016年脱欧公投和美国2016年大选,而国阵也曾与该公司合作,企图影响2018年大选的选情。
一些非法份子和团伙更滥用和盗用个人的数据,量身定做各种各样的电话或网络骗局。这些个人数据外泄或遭骇事件频发,不只对个人造成损害,也会动摇著网络乃至整个社会的信用体系。
为此,各国纷纷推出个人资料保护法,其中由欧盟于2016年制定的《通用数据保护条例》(GDPR),就被喻为至今最全面的数据隐私保护法,许多国家如日本、韩国皆参考其作为修订本国数据保护条例。在欧盟《通用数据保护条例》下,其对数据保护的定义和地域范围更加详细和广泛,如欧盟权力之手可延伸到保护任何储存于海外的欧盟公民资料。美国许多科技巨头如谷歌、面书就因个人数据保护问题,在欧盟面对著数十亿欧元的罚款。
我国法令缺陷
实际上,我国是东南亚首个落实《个人资料保护法令》的国家,早在2010年就通过《个人资料保护法令》,管制商业交易中的个人资料处理、使用及储存。
不过,有关的法令主要是针对商业交易中被取用的个人资料,并不包括非商业活动如政治或慈善活动中涉及的个人资料,同时联邦政府及州政府也不受到《个人资料保护法》的限制。这有别于英国和香港,《个人资料保护法令》涵盖了政治或慈善等各方面。
此外,就如我国许多政策上的通病,往往虎头蛇尾,执法不力。尤其随著互网络技术日新月异,许多国家已在个人资料保护法上做出相适的调整,譬如把个人资料保护延伸至包括政府机构内的个人资料,可是我国依然沿用12年前,存在漏洞和缺失的条例。
尽管,政府在数码经济大蓝图下,计划检讨《个人资料保护法令》,而通讯部也于2020年初,针对法令的修订咨询公众意见,不过之后就没有任何的下文。
同时,除了《个人资料保护法令》外,我国目前也没有针对网络安全相关犯罪的具体法律。执法机构,如警方或通讯部,是依据现有其他法令,如1998年通讯和多媒体法案(CMA)、1957年诽谤法和1948年煽动法,来打击网络犯罪。
因小见大,频频发生的数据外泄事件,除了让我们看到数码科技发展的黑暗一角外,实际上也揭露了权力机构在立法和执法上的缺失。