凭一组身份证号码,<br />能查到你多少隐私?

凭一组身份证号码,
能查到你多少隐私?

/ 黄俊南

志愿警卫团(RELA)最近爆出幽灵团员疑云,许多民众在RELA网站上查询时,才惊觉自己在不知情下“被加入”RELA,连行动党大山脚国会议员沈志强夫妇也中招

民众只需在RELA查询团籍网站上输入身份证号码,就可查获团员资料,包括团员编号和衔级。不过,在幽灵团员事件爆发后,网站即变成维修状态,无法运作。

这种开放数据的网站有利也有弊。查询者在无需验证身份下,只需键入搜寻目标的身份证号码就可查得个人资料。这非常方便,不少人也可代亲朋戚友查询,弹指之间就能知道他们是否也“被加入”Rela。

然而,这是否也意味着,若别人取得你的身份证号码,也可轻易获得你的各种个人资料,包括家庭收入?而这是否也侵犯了你的隐私呢?

目前究竟还有多少政府网站,能单凭身份证号码,就可得知你的个人资料?

广告

输入身份证号码,看看可从政府网站查询哪些个人信息?

为民众打开了方面之门

在马来西亚,要取得一个人的身份证号码说难不难。不管是由政府、商家或非政府组织发出的一些表格,大多都会要求填写身份证号码。有些工作证也会印上身份证号码,就连送货员在交货时,也会向你索取身份证号码,以确认收货人的身份。

你甚至可以轻易取得一些陌生人或商人的身份证号码。律师陈劭康(下图)接受《当今大马》访问时举例,任何人只需缴付手续费,就可从大马公司委员会(SSM)和法庭诉讼相关文件取得相关人士的身份证号码。

律师陈劭康
律师陈劭康

“在马来西亚,个人的身份证号码并不是完全保密,可以通过不少管道查询得知。理论上,任何人都有可能获得我们的身份证号码,在政府网站查询,即获得与我们相关的资讯。”

他认为,这对使用者提供不少便利,不仅无需耗时开设账号,也无需记下账号及密码。

另一名律师冯正良受访时也说,政府网站上公开的资讯,可让民众为了特定目的取得他人信息。他举例,银行或潜在二手车买家,可检查特定二手车主,有无拖欠交通罚单。

“很多企业也依赖这些网站上的公开资讯办公,如律师可核实某人的名字和身份证号码是否正确。”

冯正良曾任律师公会个人资料保护法委员会联合主席。他认为,民众或企业无需处理书面工作就可取得个人资料,也无需费时费力向相关部门申请,而政府机构则可把时间花在其他工作。

针对哪些资料应在政府网站上供人查询,陈劭康认为,这不该取决于资料类型,而应取决于资料用于什么领域。比如在企业营运和司法程序,为了保障公众知情权、公权力管理和公开透明的原则,许多个人信息都必须公开。

“如果不涉及公共利益,则可以考虑不公开,比如个人的交通罚单。”

开放资讯有助监督权贵

开放个人信息也有助于公众及媒体监督权贵。2020年4月,前首相纳吉妻子罗斯玛被揭露符合资格领取800令吉国家关怀援助金。此事曝光后,当局就撤除罗斯玛的资格。当时,也有一些国州议员被揭符合资格领取援助金,而大多数议员表示将把所得援助金捐出去。

罗斯玛曾被揭露有资格领取国民关怀援助金
罗斯玛曾被揭露有资格领取国民关怀援助金

《当今大马》2006年的系列独家报导也揭露了逾半内阁部长没缴还交通传票,而他们所累积的未缴付罚款数额竟高达11万5680令吉。

此外,这种机制不仅方便协助选民找到他们的投票站,政党和公民组织也时常使用选委会网站查询选民资料,揪出可疑的选民

便利引来隐私外泄忧虑

尽管利用身份证查询个人资料的做法带来不少便利,但这也引来隐私外泄的忧虑。当别人单凭你的身份证号码,就可轻易查获你的家庭收入等许多个人资料,这是否意味着个人信息已过度公开?

政府推出的国家关怀援助金,是根据家庭收入鉴定申请资格。这也意味着,查询结果也间接曝露个人或家庭的收入范围。

因此,若能得知某人在国家援助金1.0计划中领取1000令吉,就可知道其家庭收入介于4001至8000令吉。

有些网站也开放给民众,仅以身份证号码就可以申请取得重要文件,而过程中完全没有验证申请者身份的机制。其中一例是,教育部供人申请取得补发大马教育文凭(SPM)等考试文凭的网站

《当今大马》记者亲自试验这个机制。甲记者在网站输入乙记者的身份证号码,然后填写自身的邮寄地址、联络电话和电邮,并付上邮费。乙记者的SPM文凭在几天后,就顺利地寄到甲记者的家。当局在整个过程都没要求甲记者出示身份证明。

隐私权不代表意图隐瞒

人权组织KRYSS Network董事合伙人林佩莹表示,隐私权并非要一个人对政府或公众有所隐瞒,而是一个人对其信息的掌控权。

她认为,个人信息属于身体和人格的延伸,若滥用任何人的信息而构成伤害,或可被视为一种侵犯身体的行径。

“我们的身份证号码可揭露很多个人信息,如从注册地址和选民资料中,揭露我们所处的位置,或是我们小时候的家乡;交通罚单可显示我们去过什么地方;还有那可能不好意思分享的考试成绩。”

她提醒,网站上展示的个人信息,也不够全面,无法反映社会和个人的整体面貌。

“在隐私权方面,同意和掌控很重要,但民众的个人信息被放上这些公开平台前,却未受到充分咨询或知情。”

私人信息不应唾手可得

国际伊斯兰大学法律系院副教授索尼(Sonny Zulhuda)(下图)认为,在科技发达的年代,尤其是疫情期间,保护个人信息显得更为重要。

国际伊斯兰大学法律系院副教授索尼
国际伊斯兰大学法律系院副教授索尼

“当民众常待在家,就更常使用数码工具,这也提高侵犯私人信息的风险。所有这些信息都不应该随意和无管制地取得,否则若让陌生人取得,可能会带来巨大伤害。”

他解释,人们隐私权至关重要,而大马联邦宪法5(1)条文列明,除了依循法律之外,无人之生命与个人自由可被剥夺。联邦法院在2010年的一项判决中,也指出“个人自由”包括隐私权。

“保护隐私权也属于保护个人自由的一部分,而这包括任何可直接或间接鉴定一个人身份的信息,如名字、地址、联络号码、身份证号码、车牌号码。”

他向《当今大马》指出,在《2010年个人资料保护法》(个资法)下,个人资料可被理解为任何直接或间接与个人有关的资讯。

他认为,虽然各国政府机构开放公共数据是全球良好的发展趋势,但政府在提高透明度和效率之余,也应减少滥用隐私的可能。

“让大众轻易获取(他人的)个人信息,并不符合我们要达到的目标。在没做好足够管制就开放个人信息,可能会影响到我们在建立数码经济时,所需要的基本信任制度。”

滥用私人信息涉嫌违法

虽然政府网站上的个人信息随手可得,但索尼提醒,这也可能违反个资法。

“任何人收集、处理和存储这些信息,以作为商业用途,可能就已犯罪。”

他补充,当政府聘请的第三方处理这些资料时,通过他们本身的网络平台发布这些个人资料作为商业用途,他们就已不是数据处理者,而是数据使用者,而这可能违反个资法。

无论如何,虽然滥用个人信息作为商业用途涉嫌违法,马来西亚在保护隐私方面仍有灰色地带。

陈劭康指出,大马现有法律无法对付 “用别人身份证查询资料” 这个行为,而在民事法下也不构成一种侵权行径。

“然而,查询这些资料后的某些后续行动,却有可能是犯法的,比如伪造身份或文件、欺诈。”

因此他认为,政府网站应减少甚至是废除让使用者通过身份证号码查询特定资料,尤其是像罚单、学业资历之类的资料。

推行多层认证加强保护

那要如何让民众方便查询个人信息之余,又保障个人隐私呢?数名专家不约而同建议,可通过注册账号或多层认证措施。

索尼认为,尽管民众可在政府网站上轻易获取个人资讯,但也应减少让他人获取的机会,如通过注册账号或多层认证。

“民众不应获准随意填上其他人的身份证号码,就可获得他人的资料。这种方式完全不安全。”

在人民关怀援助金网站上注册账号时需先回答数道验证身份的问题,否则就无法查询申请资格。
在人民关怀援助金网站上注册账号时需先回答数道验证身份的问题,否则就无法查询申请资格。

无论如何,目前也有一些政府网站会要求用户须先注册账号才能查询资料。譬如说,生活援助金(BSH)在2021年更名为人民关怀援助金(BPR)后已加强验证程序。民众在注册账号时,必须准确回答几道验证身份的问题,如婚姻状况、注册地址的邮政编码或城市、配偶的身份证号码,才获准使用系统查询个人资料。

若你要查询警察开出的交通罚单,也可到警方的网上缴付罚单系统MyBayar Saman或MyEG公司网站,而你同样必须先注册账号。

网络安全顾问拉兹万(Razwan Mokhtar)受访时说,透过身份证号码在网站上取得个人资料,利大于弊。

“有一些‘有邪念的聪明人’会尝试操纵这些资料,而这也是难以避免的,但政府可效仿一些国家加强保护,如使用双因素身份认证(2FA),在输入身份证号码后,再通过电话号码或电邮获得个人识别号码(PIN)才能取得资料。”

拉兹万曾协助大马多个政府部门开发网络安全系统。他表示,这在技术上不是问题,大马一些企业如银行也已使用双因素身份认证。

他也认为,当局应提高民众在这方面的意识,教育他们勿滥用这些资料。

律师冯正良
律师冯正良

冯正良(上图)认为,政府要在隐私和知情权方面取得平衡并不容易,但至少应该在为隐私把关方面,设下最低门槛,如注册账号或付费等。

但他也说,若某人涉及一些公开的活动,如经商,或法庭诉讼,其个人资料就应公开,以确保透明度或保护公众。

他继说,若当事人要诈骗,起码还可追查得到。

政府全权拥有个人资料

针对政府网站可能引起侵犯隐私的隐忧,大马个人资料保护局接受《当今大马》访问时并无正面回应。

它仅解释,由联邦和州政府拥有和管理的资料,特别是援助人民计划的资料都属政府全权拥有。

它补充,任何有关管理个人信息的标准作业程序和政策的进一步细节,可向相关政府机构索取。

它也指出,大马个资法是管制那些在商业交易中处理个人资料的资料使用者,以及保护资料当事人的权益,而联邦和州政府并不受限于法令。

“无论如何,本局一直都有鼓励联邦和州政府遵守个资法的原则,以作为一个指南或最佳实践,确保时时保障人民个人信息的安全。”

促政府严格遵守个资法

索尼也认同,政府应该贯彻法令当中关于保护个人资料法令的原则。

“多国政府也受到它们的个人资料保护法令所管制,因此它们在处理数据时,也要严格遵守资料保护法。”

同时,他向政府提出多项加强个人资料保护的方案,如改善数据风险管理,并采用严格的数据管理,包括在过程中实施“隐私保护设计”(PbD)概念。

“政府在执行开放数据政策时,应遵守明确的标准作业程序,并受到稽查。”

他也希望政府采用一些国际标准,如资讯安全管理系统(ISMS或ISO 27001)及隐私资讯管理系统(PIMS 或 ISO/IEC 27701)。

“政府也可指定一个数据保护官员,来处理政府里有关个人数据的事务。”

他建议,政府必须拟定良好的数据隐私政策,并发布给大众知道。

他认为,政府机构和官员之间也需加强数据识读,而且是在整个处理数据的流程中全面实践,即涵盖从收集、储存、分享到销毁数据的整个程序。

/ 分享

如果您觉得此报道有所帮助请资助我们,或者订阅《当今大马》,好让我们能继续推出更多不同的作品。

制作团队

《当今大马》新闻实验室为您带来这篇报道。2021年6月21日刊登 。

  • 企划协调人
    李龙辉
  • 资料研究与作者
    黄俊南
  • 插画
    沙里曼(Syariman Badrulzaman)
  • 设计及编程
    哈兹曼(Hazman Hazwan)、黄俊南与李龙辉

打赏支持

如果你喜欢我们的报道,你可打赏支持我们未来的企划。

Malaysiakini

新闻实验室是由《当今大马》于2018年成立的特别新闻团队。