志愿警卫团(RELA)最近爆出幽灵团员疑云,许多民众在RELA网站上查询时,才惊觉自己在不知情下“被加入”RELA,连行动党大山脚国会议员沈志强夫妇也中招。
民众只需在RELA查询团籍网站上输入身份证号码,就可查获团员资料,包括团员编号和衔级。不过,在幽灵团员事件爆发后,网站即变成维修状态,无法运作。
这种开放数据的网站有利也有弊。查询者在无需验证身份下,只需键入搜寻目标的身份证号码就可查得个人资料。这非常方便,不少人也可代亲朋戚友查询,弹指之间就能知道他们是否也“被加入”Rela。
然而,这是否也意味着,若别人取得你的身份证号码,也可轻易获得你的各种个人资料,包括家庭收入?而这是否也侵犯了你的隐私呢?
目前究竟还有多少政府网站,能单凭身份证号码,就可得知你的个人资料?
输入身份证号码,看看可从政府网站查询哪些个人信息?
为民众打开了方面之门
在马来西亚,要取得一个人的身份证号码说难不难。不管是由政府、商家或非政府组织发出的一些表格,大多都会要求填写身份证号码。有些工作证也会印上身份证号码,就连送货员在交货时,也会向你索取身份证号码,以确认收货人的身份。
你甚至可以轻易取得一些陌生人或商人的身份证号码。律师陈劭康(下图)接受《当今大马》访问时举例,任何人只需缴付手续费,就可从大马公司委员会(SSM)和法庭诉讼相关文件取得相关人士的身份证号码。
“在马来西亚,个人的身份证号码并不是完全保密,可以通过不少管道查询得知。理论上,任何人都有可能获得我们的身份证号码,在政府网站查询,即获得与我们相关的资讯。”
他认为,这对使用者提供不少便利,不仅无需耗时开设账号,也无需记下账号及密码。
另一名律师冯正良受访时也说,政府网站上公开的资讯,可让民众为了特定目的取得他人信息。他举例,银行或潜在二手车买家,可检查特定二手车主,有无拖欠交通罚单。
“很多企业也依赖这些网站上的公开资讯办公,如律师可核实某人的名字和身份证号码是否正确。”
冯正良曾任律师公会个人资料保护法委员会联合主席。他认为,民众或企业无需处理书面工作就可取得个人资料,也无需费时费力向相关部门申请,而政府机构则可把时间花在其他工作。
针对哪些资料应在政府网站上供人查询,陈劭康认为,这不该取决于资料类型,而应取决于资料用于什么领域。比如在企业营运和司法程序,为了保障公众知情权、公权力管理和公开透明的原则,许多个人信息都必须公开。
“如果不涉及公共利益,则可以考虑不公开,比如个人的交通罚单。”
开放资讯有助监督权贵
开放个人信息也有助于公众及媒体监督权贵。2020年4月,前首相纳吉妻子罗斯玛被揭露符合资格领取800令吉国家关怀援助金。此事曝光后,当局就撤除罗斯玛的资格。当时,也有一些国州议员被揭符合资格领取援助金,而大多数议员表示将把所得援助金捐出去。
《当今大马》2006年的系列独家报导也揭露了逾半内阁部长没缴还交通传票,而他们所累积的未缴付罚款数额竟高达11万5680令吉。
此外,这种机制不仅方便协助选民找到他们的投票站,政党和公民组织也时常使用选委会网站查询选民资料,揪出可疑的选民。
便利引来隐私外泄忧虑
尽管利用身份证查询个人资料的做法带来不少便利,但这也引来隐私外泄的忧虑。当别人单凭你的身份证号码,就可轻易查获你的家庭收入等许多个人资料,这是否意味着个人信息已过度公开?
政府推出的国家关怀援助金,是根据家庭收入鉴定申请资格。这也意味着,查询结果也间接曝露个人或家庭的收入范围。
因此,若能得知某人在国家援助金1.0计划中领取1000令吉,就可知道其家庭收入介于4001至8000令吉。
有些网站也开放给民众,仅以身份证号码就可以申请取得重要文件,而过程中完全没有验证申请者身份的机制。其中一例是,教育部供人申请取得补发大马教育文凭(SPM)等考试文凭的网站。
《当今大马》记者亲自试验这个机制。甲记者在网站输入乙记者的身份证号码,然后填写自身的邮寄地址、联络电话和电邮,并付上邮费。乙记者的SPM文凭在几天后,就顺利地寄到甲记者的家。当局在整个过程都没要求甲记者出示身份证明。
隐私权不代表意图隐瞒
人权组织KRYSS Network董事合伙人林佩莹表示,隐私权并非要一个人对政府或公众有所隐瞒,而是一个人对其信息的掌控权。
她认为,个人信息属于身体和人格的延伸,若滥用任何人的信息而构成伤害,或可被视为一种侵犯身体的行径。
“我们的身份证号码可揭露很多个人信息,如从注册地址和选民资料中,揭露我们所处的位置,或是我们小时候的家乡;交通罚单可显示我们去过什么地方;还有那可能不好意思分享的考试成绩。”
她提醒,网站上展示的个人信息,也不够全面,无法反映社会和个人的整体面貌。
“在隐私权方面,同意和掌控很重要,但民众的个人信息被放上这些公开平台前,却未受到充分咨询或知情。”
私人信息不应唾手可得
国际伊斯兰大学法律系院副教授索尼(Sonny Zulhuda)(下图)认为,在科技发达的年代,尤其是疫情期间,保护个人信息显得更为重要。
“当民众常待在家,就更常使用数码工具,这也提高侵犯私人信息的风险。所有这些信息都不应该随意和无管制地取得,否则若让陌生人取得,可能会带来巨大伤害。”
他解释,人们隐私权至关重要,而大马联邦宪法5(1)条文列明,除了依循法律之外,无人之生命与个人自由可被剥夺。联邦法院在2010年的一项判决中,也指出“个人自由”包括隐私权。
“保护隐私权也属于保护个人自由的一部分,而这包括任何可直接或间接鉴定一个人身份的信息,如名字、地址、联络号码、身份证号码、车牌号码。”
他向《当今大马》指出,在《2010年个人资料保护法》(个资法)下,个人资料可被理解为任何直接或间接与个人有关的资讯。
他认为,虽然各国政府机构开放公共数据是全球良好的发展趋势,但政府在提高透明度和效率之余,也应减少滥用隐私的可能。
“让大众轻易获取(他人的)个人信息,并不符合我们要达到的目标。在没做好足够管制就开放个人信息,可能会影响到我们在建立数码经济时,所需要的基本信任制度。”
滥用私人信息涉嫌违法
虽然政府网站上的个人信息随手可得,但索尼提醒,这也可能违反个资法。
“任何人收集、处理和存储这些信息,以作为商业用途,可能就已犯罪。”
他补充,当政府聘请的第三方处理这些资料时,通过他们本身的网络平台发布这些个人资料作为商业用途,他们就已不是数据处理者,而是数据使用者,而这可能违反个资法。
无论如何,虽然滥用个人信息作为商业用途涉嫌违法,马来西亚在保护隐私方面仍有灰色地带。
陈劭康指出,大马现有法律无法对付 “用别人身份证查询资料” 这个行为,而在民事法下也不构成一种侵权行径。
“然而,查询这些资料后的某些后续行动,却有可能是犯法的,比如伪造身份或文件、欺诈。”
因此他认为,政府网站应减少甚至是废除让使用者通过身份证号码查询特定资料,尤其是像罚单、学业资历之类的资料。
推行多层认证加强保护
那要如何让民众方便查询个人信息之余,又保障个人隐私呢?数名专家不约而同建议,可通过注册账号或多层认证措施。
索尼认为,尽管民众可在政府网站上轻易获取个人资讯,但也应减少让他人获取的机会,如通过注册账号或多层认证。
“民众不应获准随意填上其他人的身份证号码,就可获得他人的资料。这种方式完全不安全。”
无论如何,目前也有一些政府网站会要求用户须先注册账号才能查询资料。譬如说,生活援助金(BSH)在2021年更名为人民关怀援助金(BPR)后已加强验证程序。民众在注册账号时,必须准确回答几道验证身份的问题,如婚姻状况、注册地址的邮政编码或城市、配偶的身份证号码,才获准使用系统查询个人资料。
若你要查询警察开出的交通罚单,也可到警方的网上缴付罚单系统MyBayar Saman或MyEG公司网站,而你同样必须先注册账号。
网络安全顾问拉兹万(Razwan Mokhtar)受访时说,透过身份证号码在网站上取得个人资料,利大于弊。
“有一些‘有邪念的聪明人’会尝试操纵这些资料,而这也是难以避免的,但政府可效仿一些国家加强保护,如使用双因素身份认证(2FA),在输入身份证号码后,再通过电话号码或电邮获得个人识别号码(PIN)才能取得资料。”
拉兹万曾协助大马多个政府部门开发网络安全系统。他表示,这在技术上不是问题,大马一些企业如银行也已使用双因素身份认证。
他也认为,当局应提高民众在这方面的意识,教育他们勿滥用这些资料。
冯正良(上图)认为,政府要在隐私和知情权方面取得平衡并不容易,但至少应该在为隐私把关方面,设下最低门槛,如注册账号或付费等。
但他也说,若某人涉及一些公开的活动,如经商,或法庭诉讼,其个人资料就应公开,以确保透明度或保护公众。
他继说,若当事人要诈骗,起码还可追查得到。
政府全权拥有个人资料
针对政府网站可能引起侵犯隐私的隐忧,大马个人资料保护局接受《当今大马》访问时并无正面回应。
它仅解释,由联邦和州政府拥有和管理的资料,特别是援助人民计划的资料都属政府全权拥有。
它补充,任何有关管理个人信息的标准作业程序和政策的进一步细节,可向相关政府机构索取。
它也指出,大马个资法是管制那些在商业交易中处理个人资料的资料使用者,以及保护资料当事人的权益,而联邦和州政府并不受限于法令。
“无论如何,本局一直都有鼓励联邦和州政府遵守个资法的原则,以作为一个指南或最佳实践,确保时时保障人民个人信息的安全。”
促政府严格遵守个资法
索尼也认同,政府应该贯彻法令当中关于保护个人资料法令的原则。
“多国政府也受到它们的个人资料保护法令所管制,因此它们在处理数据时,也要严格遵守资料保护法。”
同时,他向政府提出多项加强个人资料保护的方案,如改善数据风险管理,并采用严格的数据管理,包括在过程中实施“隐私保护设计”(PbD)概念。
“政府在执行开放数据政策时,应遵守明确的标准作业程序,并受到稽查。”
他也希望政府采用一些国际标准,如资讯安全管理系统(ISMS或ISO 27001)及隐私资讯管理系统(PIMS 或 ISO/IEC 27701)。
“政府也可指定一个数据保护官员,来处理政府里有关个人数据的事务。”
他建议,政府必须拟定良好的数据隐私政策,并发布给大众知道。
他认为,政府机构和官员之间也需加强数据识读,而且是在整个处理数据的流程中全面实践,即涵盖从收集、储存、分享到销毁数据的整个程序。