Jabatan Sukarelawan Malaysia (Rela) baru-baru ini dihujani kritikan apabila warganet mendapati nama mereka telah didaftarkan menjadi ahli Rela tanpa pengetahuan mereka.
Mereka memeriksa status keahlian di laman web Rela. Dengan hanya memasukkan nombor kad pengenalan (IC), mereka dapat memeriksa nombor keahlian dan kod platun yang terpapar di laman web berkenaan. Bagaimanapun, halaman itu kini sedang dalam penyelenggaraan ekoran isu yang tercetus.
Tanpa perlu mengesahkan identiti pengguna, ia jalan yang mudah buat orang ramai memeriksa status keahlian mereka dan turut boleh membantu sanak-saudara atau rakan taulan mereka berbuat demikian.
Bagaimanapun, adakah ini bermakna orang lain juga turut bebas mengakses data peribadi anda sekiranya mereka tahu nombor IC anda? Adakah ini dikira pelanggaran privasi?
Pada masa sama, berapa banyak lagi laman web kerajaan yang secara tidak langsung mendedahkan data peribadi anda dengan meminta nombor IC untuk membenarkan akses?
Masukkan nombor IC, ketahui data apa yang boleh diperoleh daripada laman-laman web kerajaan.
Data terbuka memudahkan akses awam
Di Malaysia, tidaklah sukar untuk mendapatkan nombor IC seseorang memandangkan maklumat itu diperlukan oleh begitu banyak borang yang dikeluarkan sektor awam mahupun swasta. Ia bahkan mungkin tertera pada pas kerja sesebuah syarikat. Sekarang, penghantar barang juga meminta nombor IC untuk mengesahkan identiti penerima barang.
Peguam Chan Shao Kang memberitahu Malaysiakini, nombor IC pengarah syarikat pun boleh diperoleh dengan mudah menerusi Suruhanjaya Syarikat Malaysia.
“Di Malaysia, nombor IC tidaklah sepenuhnya sulit. Secara teori, sesiapa pun boleh mendapatkan nombor IC kita dan menggunakannya untuk memeriksa laman web kerajaan dan mengakses maklumat kita.”
Bagaimanapun, Chan percaya kebolehan untuk memeriksa maklumat peribadi secara bebas dengan hanya menggunakan nombor IC, adalah ciri yang memudahkan, memandangkan pengguna tidak perlu mencipta atau mendaftar akaun, atau perlu untuk mengingati pelbagai macam nama pengguna dan kata laluan.
Seorang lagi peguam, Foong Cheng Leong berkata, pendirian kerajaan berhubung perkara itu nampaknya adalah untuk membenarkan akses bebas kepada data orang lain untuk tujuan tertentu, berdasarkan data peribadi yang disiarkan di laman-laman web kerajaan.
“Contohnya saman trafik, pihak bank atau pembeli kereta terpakai boleh memeriksa sama ada sesebuah kenderaan itu ada saman tertunggak atau tidak,” katanya.
Kata Foong, yang merupakan bekas pengerusi bersama Jawatankuasa Ad Hoc Majlis Peguam tentang perlindungan data peribadi (2013-2016), banyak syarikat turut bergantung kepada maklumat awam di laman-laman web berkenaan untuk membuat kerja mereka.
Contohnya, seorang peguam boleh mengesahkan sama ada nama dan nombor IC seseorang itu benar atau pun tidak.
“Laman web data terbuka memudahkan orang awam dan syarikat - mereka boleh dapatkan maklumat tanpa kertas kerja, tanpa perlu bersusah payah dan membayar untuk memohon secara bertulis kepada jabatan berkaitan, yang selalunya memakan masa. Ini dapat menjimatkan masa agensi kerajaan untuk membuat kerja lain,” katanya.
Berkenaan jenis data peribadi apakah yang wajar menjadi data awam yang boleh diakses di laman-laman web kerajaan, kata Chan, ia bukan soal jenis maklumat, tetapi untuk tujuan apa maklumat tersebut digunakan.
“Contohnya, dalam perniagaan dan kes mahkamah, banyak data peribadi perlulah (boleh diakses secara) terbuka untuk melindungi hak mendapatkan maklumat, menegakkan prinsip keterbukaan dan ketelusan, serta pengurusan pihak berkuasa awam.
“Untuk hal yang tidak berkaitan dengan kepentingan awam, seperti saman trafik peribadi, anda boleh pertimbangkan untuk menjadikannya tidak boleh diakses secara terbuka,” jelasnya.
Data terbuka untuk pemantauan awam
Laman web data terbuka turut memudahkan orang awam dan media untuk memantau dasar kerajaan dan isu-isu awam yang lain.
Contohnya, sebelum ini didedahkan bahawa Rosmah Mansor, isteri bekas perdana menteri Najib Razak, “lulus” untuk menerima RM800 di bawah program Bantuan Prihatin Nasional (BPN) pada 2020. Statusnya kemudian ditukarkan kepada “tidak lulus” selepas isu itu dilaporkan.
Pada masa sama, beberapa wakil rakyat turut didapati "lulus" untuk menerima bantuan tunai itu. Kebanyakan daripada mereka berjanji untuk mendermakan wang berkenaan.
Dalam siri laporan eksklusif pada 2006, dengan menggunakan maklumat awam, Malaysiakini mendedahkan bahawa lebih separuh menteri kabinet mempunyai lebih 918 saman trafik tertunggak dalam masa beberapa tahun.
Saman itu kebanyakannya kerana memandu melebihi had laju, dengan saman tertunggak berkenaan mencecah sekurang-kurangnya RM115,680.
Maklumat yang boleh diakses secara terbuka di laman web Suruhanjaya Pilihan Raya turut membolehkan masyarakat sivil dan parti politik untuk membantu pengundi memeriksa maklumat mereka, atau untuk memeriksa pengundi yang mencurigakan.
Kebimbangan tentang kerahsiaan
Meskipun memudahkan, akses kepada maklumat peribadi menerusi nombor IC menimbulkan kebimbangan tentang kerahsiaan (privacy).
Beberapa laman web kerajaan, seperti BPN, secara tidak langsung mendedahkan julat pendapatan seseorang individu atau keluarga, kerana kelayakan itu ditentukan berdasarkan faktor ini.
Sebagai contoh, jika seseorang menerima bantuan tunai RM1,000 di bawah BPN1.0, ini bermakna pendapatan isi rumahnya adalah antara RM4,001 hingga RM8,000.
Sesetengah laman web kerajaan turut membenarkan orang awam memohon dokumen-dokumen penting, dengan tiada mekanisme tersedia untuk mengesahkan identiti si pemohon berkenaan.
Contohnya laman web e-Lembaga Peperiksaan oleh Kementerian Pendidikan Malaysia. Ia boleh digunakan untuk memohon sijil pelajaran rasmi yang baru, seperti sijil keputusan SPM.
Bagi menguji mekanisme tersebut, wartawan A dari Malaysiakini memasukkan nombor IC wartawan B di laman web berkenaan, kemudian mengisi alamatnya sendiri (wartawan A), nombor telefon dan emel, sebelum membuat bayaran yang ditetapkan.
Sijil SPM kemudiannya dihantar ke rumah wartawan A.
Bukan soal bersembunyi dari pihak berkuasa
Hak terhadap kerahsiaan, bukan bermaksud bersembunyi daripada pihak berkuasa atau orang awam, tetapi ia tentang mempunyai kawalan terhadap diri kita sendiri, kata Serene Lim, pengarah rakan kongsi KRYSS Network - satu organisasi hak asasi manusia.
Oleh hal yang demikian, katanya, penyalahgunaan data peribadi, jika mendatangkan bahaya, boleh diperdebatkan sebagai satu pelanggaran integriti badan (bodily integrity).
Katanya, dalam banyak segi, data merupakan lanjutan daripada tubuh fizikal dan keperibadian seseorang.
“Nombor IC mengandungi perincian yang mendedahkan lokasi fizikal menerusi maklumat pengundi dan alamat yang didaftarkan, atau di mana kampung halaman kita semasa kecil; saman trafik boleh dedahkan ke mana kita pernah pergi; keputusan peperiksaan yang mungkin kita terlalu malu untuk dedahkan,” katanya.
Namun dalam masa sama, Lim memberitahu bahawa data tersebut selalunya tidak menceritakan keseluruhan cerita sesebuah masyarakat, dan tidak juga mewakili seseorang individu secara keseluruhannya.
Perkara pokok dalam hal itu, kata Lim, adalah berkenaan izin dan kawalan. Katanya, orang awam tidak ditanya terlebih dahulu atau dimaklumkan bahawa data mereka boleh diakses di platform awam sebegitu.
Data peribadi tak sepatutnya boleh diakses secara bebas
Dalam perkembangan teknologi dan pendigitalan pada masa kini, terutamanya dalam musim wabak, melindungi data peribadi boleh menjadi isu yang lebih genting berbanding aspek kerahsiaan yang lain, kata Sonny Zulhuda, Prof Madya di Kulliyyah Undang-Undang Ahmad Ibrahim (Aikol), Universiti Islam Antarabangsa Malaysia.
“Apabila rakyat dipaksa berkurung dan mengasingkan diri di rumah dan premis mereka, interaksi digital semakin meningkat dan ini menggalakkan lagi risiko pencerobohan kepada data peribadi anda. Semua data ini tidak harus dibiarkan boleh diakses secara bebas dan tanpa kawalan, kerana sekali ia boleh diakses oleh orang asing, impaknya boleh membinasakan,” katanya.
Hak terhadap kerahsiaan ini termaktub di bawah Perkara 5(1) Perlembagaan Persekutuan, yang menyatakan bahawa “tiada seorang pun boleh diambil nyawanya atau dilucutkan kebebasan dirinya kecuali mengikut undang-undang”.
Dalam kes Sivarasa Rasiah vs Badan Peguam Malaysia & Anor (2010), Mahkamah Persekutuan memutuskan bahawa “kebebasan diri” seumpama itu turut termasuk hak terhadap kerahsiaan.
Sonny berkata, melindungi hak kerahsiaan bermaksud melindungi kebebasan diri seseorang individu dan sebarang data yang dapat mengenal pasti identiti individu tersebut, baik secara langsung mahupun tidak. Ini termasuklah nama, alamat, nombor telefon, nombor IC, nombor plat kenderaan dan sebagainya.
Berdasarkan Akta Perlindungan Data Peribadi 2010 (APDP), data peribadi bolehlah difahami sebagai sebarang maklumat yang berhubung kait secara langsung dengan seseorang individu, tambahnya.
Katanya, langkah agensi kerajaan yang menjadikan data boleh diakses oleh orang awam merupakan satu perkembangan yang baik di peringkat global - lebih-lebih lagi dalam soal ketelusan dan kecekapan.
Meskipun begitu, katanya, potensi untuk penyalahgunaan mestilah diminimumkan.
“Menjadikan maklumat peribadi (lain) boleh diakses dengan mudah kepada orang awam tidak selari dengan tujuan yang ingin kita capai. Membuka (akses) data peribadi tanpa kawalan mencukupi boleh mengancam sistem kepercayaan asas yang diperlukan dalam pembinaan ekonomi digital,” katanya memberikan amaran.
Pennyalahgunaan data peribadi mungkin langgar undang-undang
Meskipun data peribadi di laman-laman web kerajaan boleh diakses umum, Sonny berkata, pengumpulan data peribadi di platform-platform ini mungkin menyalahi undang-undang.
“Sesiapa yang mengumpul data dan kemudian memproses atau menyimpannya untuk tujuan komersial, mungkin melakukan kesalahan.
“Pelanggaran APDP juga boleh berlaku apabila contohnya satu entiti ketiga yang diupah oleh kerajaan untuk memproses data, mendedahkan data peribadi menerusi platform maya untuk tujuan perniagaan mereka - (mereka) bertindak sebagai pengguna data, bukannya pemproses data,” tambahnya.
Meskipun penyalahgunaan data peribadi untuk tujuan komersil melanggar APDP, wujud daerah kelabu (grey areas) dalam perlindungan kerahsiaan di Malaysia.
Menurut Chan, undang-undang sedia ada tidak menangani tindakan “memeriksa data peribadi orang lain menggunakan nombor IC”. Hal itu tidak menjadi satu kesalahan di bawah undang-undang sivil.
“Bagaimanapun, tindakan selepas daripada mendapatkan data itu mungkin salah, seperti pemalsuan identiti atau dokumen, atau penipuan,” katanya.
Oleh itu, peguam itu mencadangkan agar laman-laman web kerajaan haruslah mengurangkan atau menghapuskan fungsi yang membenarkan pengguna memeriksa data peribadi spesifik menerusi nombor IC, terutamanya dalam saman trafik dan sijil pelajaran.
Pengesahan pelbagai faktor untuk perlindungan
Beberapa pakar mencadangkan penggunaan sistem pengesahan pelbagai faktor dan pendaftaran akaun untuk mendapatkan perlindungan kerahsiaan yang lebih baik.
Sonny berkata ini akan masih membenarkan orang awam untuk mengakses maklumat peribadi mereka secara bebas di laman web kerajaan, dalam masa sama mengehadkan akses pihak ketiga.
“Seseorang itu tidak harus dibenarkan untuk mudah-mudah menampal (paste) nombor IC orang lain yang membolehkannya mengakses maklumat lain dalam perkhidmatan tersebut. Tak selamat langsung,” katanya.
Buat masa ini, memang ada beberapa laman web kerajaan yang memerlukan pengguna mendaftar akaun sebelum mereka boleh memeriksa data mereka. Proses pengesahan Bantuan Sara Hidup (BSH) telah diperketat sejak ia dinamakan semula sebagai Bantuan Prihatin Rakyat (BPR) pada 2021.
Apabila pengguna mendaftar akaun di laman web BPR, mereka dikehendaki menjawab beberapa soalan keselamatan seperti status perkahwinan, poskod atau bandar alamat yang didaftarkan untuk mengesahkan identiti mereka sebelum dibenarkan memeriksa status permohonan.
Orang awam juga perlu mendaftar akaun jika mahu memeriksa saman trafik polis menerusi portal MyBayar Saman atau laman web MyEG.
Bagi perunding kanan keselamatan siber, Razwan Mokhtar, manfaat dapat mengakes data peribadi di laman web kerajaan dengan menggunakan nombor IC, mengatasi keburukannya.
Katanya, memang akan wujud “orang pintar dengan muslihat jahat” yang akan cuba melakukan manipulasi. Hal itu, katanya, tidak dapat dielakkan.
Namun, tambahnya, kerajaan boleh mengambil contoh daripada negara-negara lain untuk memperkuat perlindungan seperti memasukkan pengesahan dua faktor / two-factor authentication (2FA).
Dalam sistem seumpama itu, pengguna akan diberikan nombor pengesahan peribadi (PIN) menerusi telefon atau e-mel supaya identiti mereka boleh dikenal pasti, jelasnya.
Razwan mempunyai pengalaman membantu pelbagai agensi kerajaan melaksanakan sistem keselamatan IT yang baru. Katanya, terdapat beberapa syarikat dan bank di Malaysia yang sudah pun melaksanakan 2FA.
Tambahan daripada itu, katanya, pihak berkuasa harus meningkatkan kesedaran awam untuk mengelak penyalahgunaan data peribadi.
Sementara itu, Foong berkata, sukar untuk menyeimbangi kerahsiaan dan hak mendapatkan maklumat. Tetapi, katanya juga, perlu wujud garis pemisah antara keduanya, seperti mendaftar akaun dengan maklumat lengkap atau pengguna dikehendaki membayar sebelum diberikan akses kepada data.
“Ringkasnya, jika seseorang itu memohon untuk melakukan sesuatu yang bersifat umum, seperti menjalankan perniagaan, menyaman di mahkamah, sudah pasti data peribadinya wajar menjadi (boleh diakses) umum bagi memastikan ketelusan dan melindungi orang awam.
“Ini supaya individu tadi boleh dikesan sekiranya mereka melakukan kesalahan,” katanya.
Data dimiliki sepenuhnya oleh kerajaan
Jabatan Perlindungan Data Peribadi (JPDP) bagaimanapun tidak menjawab soalan Malaysiakini berkenaan isu kerahsiaan membabitkan laman web kerajaan.
Jabatan itu hanya menjelaskan bahawa data yang dimiliki dan diuruskan oleh kerajaan pusat dan kerajaan negeri, terutamanya untuk program-program bantuan kepada rakyat, adalah sepenuhnya dimiliki oleh kerajaan.
“Maklumat lanjut berkenaan dasar dan prosedur operasi standard (SOP) dalam pengutusan data peribadi boleh didapatkan daripada agensi kerajaan yang berkaitan,” kata jabatan itu.
Katanya, APDP mengawal selia pemprosesan data peribadi dalam transaksi komersial oleh pengguna data dan melindungi kepentingan subjek data. Undang-undang itu tidak terpakai ke atas kerajaan pusat dan negeri, kata jabatan itu lagi.
“Bagaimanapun, JPDP sentiasa menggalakkan kerajaan pusat dan negeri untuk mengguna pakai prinsip di bawah APDP sebagai garis panduan atau amalan terbaik bagi memastikan keselamatan data peribadi sentiasa dapat dijaga,” kata JPDP lagi.
Undang-undang data peribadi lebih ketat di negara lain
Meskipun APDP tidak terpakai ke atas kerajaan, kata Sonny, konsep data peribadi boleh diguna pakai dalam konteks itu juga.
“Di banyak wilayah lain, kerajaan tertakluk kepada undang-undang perlindungan data peribadi di negara mereka sendiri. Fakta ini sahaja menjadikan pemprosesan data oleh kerajaan tertakluk ketat kepada undang-undang perlindungan data,” tambahnya.
Untuk menambah baik langkah perlindungan data peribadi di Malaysia, dia memberikan beberapa cadangan, termasuk menambah baik pengurusan risiko data dan melaksanakan konsep kerahsiaan mengikut reka bentuk / privacy by design (PbD) dalam proses kerja.
“Kita perlu melihat kerajaan mengekalkan dan melaksanakan undang-undang dan prosedur jelas di sepanjang inisiatif data terbuka mereka. Harus ada SOP untuk diikuti dan ia juga harus diaudit,” tegasnya.
Sonny berkata, kerajaan juga boleh melaksanakan piawaian seperti ISMS atau ISO 27001 terhadap pengurusan keselamatan, dan sistem pengurusan maklumat privasi (PIMS), dikodkan sebagai ISO/IEC 27701.
“Mereka turut boleh melantik seorang pegawai perlindungan data untuk menangani (hal ehwal) pemprosesan data peribadi dalam kerajaan.
“Agensi kerajaan perlu mewujudkan dasar kerahsiaan data yang baik dan sesuai dan menghebahkannya kepada umum,” katanya.
Dia turut mencadangkan penambahbaikan tahap celik data dalam kalangan pegawai dan agensi kerajaan, seperti mempunyai dasar komprehensif yang meliputi proses - bermula daripada pengumpulan, penyimpanan sehingga kepada pelupusan data.