(美里16日讯)想要制作个人疫苗认证,随身携带?或许该想想,它有可能是个人资料外泄的破口。
随着施打疫苗普及化,民众接种第二剂疫苗后在MySejahtera获得的电子疫苗认证也越来越普遍。
在《国家新冠肺炎疫苗接种计划》下,预约施打疫苗和取得电子疫苗认证是绑定个人身份证或护照。持智能手机者只要安装Mysejahtera,都可以随时提供接种疫苗的证明;若无智能手机者,则可携带医护人员发出的小卡片。
不过,目前网络出现另一门商机,提供“电子认证实体化”的服务,只需要花费15令吉就可以将应用程序中的疫苗认证打印在卡上,背面还可客制化心属的设计。
根据了解客制化的程序,客户可以将电子认证截图,传给制作者即可;后者会进行后制适合打印的尺寸与清晰度等等。
但如此看似方便携带和充满个性化的小卡,是否有其必要性,抑或存在何种安全漏洞?
法律责任在哪里?
我国在2010年颁布《2010年个人数据保护法(PDPA)》,是东南亚国家中最先落实保护个资法令的国家,排在2012年落实的新加坡之前。
根据个人资料保护的7大原则,包括任何“资料使用者”需要在使用个人资料以前,征求有关“资料拥有人”的同意,而且必须以马来文或英文的书面方式进行。
其中,11个领域的资料使用者更必须向个人资料保护局(JPDP)注册,否则可能会面对不超过50万令吉的罚款,或不超过3年的监禁,或两者兼施。
在这11个领域包括通讯、银行及金融机构、保险、医疗保健、旅游及酒店、交通、教育、直销、服务、房地产及公用设施。
个资外泄课题滚雪球 一度人心惶惶
2017年,马来西亚发生史上最严重的个资外泄案。科技网站《Lowyat.net》刊登一篇文章,揭露不法者向该网站提出兜售盗窃而来的个人资料,令我国史上最严重的个人资料外泄案曝光。
随后,在警方、通讯及多媒体委员介入调查,侦查到泄密的网络IP地址为远至5400公里外的阿拉伯半岛国家阿曼。
泄漏资料范围,从电讯公司、求职网站、外汇公司,甚至是医疗专业等等。
此课题延伸成人民一度对陌生来电的恐慌,怀疑任何一通市场行销或市场调查的电话,都是因为个人资料外泄。
只有大马卡的情况下能干什么?
的确,在处理文件、转账,或申请时,必须得有完整的身份证影印本,甚至需要同步提取指纹配对。不过,在拥有大马卡号码的情况下,还是可以凭藉号码到选民册资料库,搜寻住家街道;或在交通罚单网站,寻找名下汽车资料,包括车牌号码。
另外,你无法确保使用个人资料方,是否会转售个人资料给第三方,尤其是有办法透过一组大马卡号码,以个人或组织性的人脉网络,进阶式的核对系统,截取更多个人资讯。
在大数据的时代,个人资料如身份证号码,手机号码是搜索个人喜好、消费倾向最便利的方式。
一旦被滥用,欺诈者可冒充银行或政府机构,设下骗局,因此个人资料外泄,其实都存有此风险。
我非常相信资料使用者呢?
的确,本内容不评论资料使用者的个人道德与目的,但会带出第三方攻击窃取个人资料的可能性。
例如,你相信的对方突然手机失窃、被骇客入侵,尤其是公开手机号码提供打印服务,这些都是风险控制以外的被动性因素。
另一假设,就是打印的疫苗认证若遗失,对恰巧捡获的不法者来说如获至宝。
况且,目前政府并无出台必须随时携带电子疫苗的实体资料或影印本。