政府近日推行主要数据库(PADU),大规模收集民众资料,作为针对性补贴的根据。然而,PADU系统推出数日,其安全性引起了广泛关注,批评声浪不断……
根据《当今大马》报道,首相拿督斯里安华于1月2日推介主要数据库(PADU),并在推介礼上致词时说,通过PADU系统,可避免政府发放的援助金和补贴出现纰漏,并真正帮助到贫穷群体。他强调,没通过数码举措发放补贴,只会令超级富豪和外籍人士受益。
“政府发放的补贴以令吉计算现已接近800亿令吉,若无法解决此问题,大马就不可能在管理国家预算财政方面支撑下去。”
“创建PADU的能力清楚显示,政府机关有能力落实新举措,无需依赖涉及高成本的国际顾问。”
PADU从1月2日起即日起至3月31日开放给18岁以上民众注册,以更新及核实39项个人资料,例如身份证号码、住址等等。
注册PADU个人账户的第一步是输入身份证号码、身份证上的地址邮政编码、电话号码和电子邮件。完成这些信息后,接下来可以设置账户密码。在设置密码后,用户将通过短信收到一次性密码(OTP)。在输入OTP后,必须进行e-KYC程序,包括拍摄身份证照片和自拍照,以验证身份。
经济部长拉菲兹早前指出,PADU由三个主要机构,即经济部、统计局和大马行政现代化及管理策划单位(MAMPU)的公务员共同开发,并得到所有其他机构的配合。
他强调,PADU是由公务员开发并完全由政府拥有,而公务员是使用现有的拨款和已有的设施来开发PADU,无需向私人界开放新招标。因此,政府不需要像以往般每年支付私人系统供应商。
不过在短短24小时内,这项系统就遭到多方批评。不少网民发现PADU系统存有多个破绽,甚至有网民声称只需要拥有个人身份证号码,即可在应用编程接口(API)覆盖和修改PADU的登入密码。
其中国际贸易及工业部前副部长王建民更是亲身测试,在推特发文揭穿PADU系统中潜在的安全漏洞,只要拥有他人身份证和邮政地址的人即可盗用他们的身份资料注册账号,无需通过e-KYC流程。
王建民表示,从选民册中获取了人力资源部长沈志强、青年及体育部长杨巧双、投资、贸易及工业部副部长刘镇东和通讯部副部长张念群的身份证号码和邮政编号,并在PADU进行注册。
“我使用了我自己的电话号码和电邮来注册PADU账号,现在他们无法自己注册帐号了。”
拉菲兹随后强调,账号注册需经过e-KYC验证程序,在通过验证程序前,所有账号皆为不完整且无效,因此不存在他人盗用身份资料注册个人账户的问题。“由于e-KYC程序可能需要尝试几次,因此此程序安排在最后,以方便注册过程。”
同时,他也否认e-KYC验证需耗时三天的说法,并强调虽然e-KYC验证的标准最多可能需要三天,但PADU的实际过程只需大约5分钟。
至于数个政府机构已经配合共享数据,为何PADU系统上民众的个人资料却不完整,拉菲兹解释,这是因为政府只上传一些基本数据,包括薪水、公积金储蓄等敏感信息并不会上传到用户连接的服务器上。
他表示,政府将完整数据存储在一个单独的服务器上,以免数据泄露。而人民输入的个人资料将与PADU的主要服务器整合,数据将交叉检查、验证和更新。
王建民隔天发表文告坚称,他未经e-KYC验证程序,即可带行动党同僚开设账号,且可以随意更改他们的学历、职业和工作地点,“我还可以更改杨巧双的一些学历和职业等详细资料,而无需通过e-KYC的验证。”
当天,拉菲兹也重申,为了简化个人更新过程,用户可以在注册账号后跳过e-KYC流程,直接登录。在更新资料、核实及提交资料时,用户才必须进行e-KYC流程。任何未经e-KYC验证填写的信息将不会纳入PADU系统中,只有成功完成e-KYC验证的用户提交信息才被视为有效。
“e-KYC是用户身份验证流程。用户需要确保每个更新的信息都被保存。一旦所有信息都已保存,用户需要执行e-KYC,以进行对已更新信息的认证。”
此外,拉菲兹表示,团队在发现第三方能够使用身份证号码来更改注册密码后,立即采取行动,并在一小时内实施了解决方案,于2日晚上9:15完成了修复。
然而,王建民于4日再度发文炮轰PADU资料错漏百出,竟显示他仍是国际贸易及工业部副部长。不仅如此,资料还显示他是一名单身人士,而且学术资格仅为大学文凭。
事实上,王建民已婚,并取得了博士学位。他曾在2018年希盟政府执政时担任贸工部副部长,直到2020年的喜来登政变希盟倒台。
王建民表示,对于可变动的信息如职业和教育水平,用户确实可以自行更新。但对于更为固定的信息,如婚姻状况,PADU系统应当自动填入正确的信息。
他指出,一些人可能会出于个人利益而故意提供虚假信息以获得补贴,“PADU应该在系统中‘预先填写’这些信息,以防止用户修改这些金额(薪资)。如果不准确,用户可以进行投报。”
“如果我报告我的月收入为X令吉,而这与公积金记录相矛盾,那么将使用哪个金额作为参考?如果采用公积金的记录金额,那么PADU就应该在系统中‘预先填写’这些信息。”
“当基本信息如婚姻状况不正确时,这引发了一个问题,即PADU系统中尚未‘预先填写’的其他信息是否准确。如果资料或‘结构’没有顺利整合,而用户输入的信息无法证实,那么最终PADU数据库将无法用于其原始目的——即推出更为精准的有针对性的补贴系统。”
王建民建议内阁作出集体决定暂停PADU的用户注册,直到安全漏洞获得解决。
他认为,在PADU系统再次推出前,政府进行适当的压力测试,“应当让资讯科技和网路安全专家参与(架设数据库),以为改进PADU系统设计提供意见。”
据《当今大马》报道,拉菲兹于1月4日召开记者会回应相关课题。他表示,PADU系统由公务人员内部开放而节省了成本,但这只是次要目标,“当然,我们重视节省公共资金,但同样重要的是建立公务员的专业知识和内部能力。”
他指出,过去指定供应商或私营公司开发政府应用程序的做法已不再适用,由公务员内部开发的PADU能够迅速回应公众反馈。
“任何数码产品的开发都将是一个持续过程。特别是根据用户反馈而持续改进”。
拉菲兹表示,如果PADU由第三方供应商维护,将难以执行维修或修复漏洞的过程。
同时,PADU由受制于官方机密法令的公务员来开发和管理,限制了第三方对数据的访问。若公务员违反法令,可被刑事对付和被控上法庭。这不会像之前政府与第三方签署合约,面对个资外泄风险。
拉菲兹透露,在PADU正式推出前,政府咨询了独立专家小组,并让他们审查了整个系统,包括其中的各种安全措施。
此外,捍卫自由律师团(LFL)因担忧个资安全而呼吁政府暂停使用主要数据库,直到修订《2010年个人资料保护法令》为止,以防当局滥用民众个资或发生外泄问题。
但拉菲兹强调,PADU的数据已受各部门和机构的法规所监管,“我希望捍卫自由律师团首先能够了解,《个人资料保护法令》和公开数据之间的区别。”
“每一个(政府)机构的数据都受自己的法规监管。如果是JPJ(陆路交通局)的数据,那么数据隐私就由它们的法规所管辖。”
“我本以为‘所谓’的律师组织应该理解这一点。如果我们谈论我们不了解的法律,我们就显得愚蠢。”
根据《星洲日报》报道,拉菲兹指出,政府将PADU的注册截至日期设定在3月31日,是为了加速落实财政整合和针对补贴措施。若将注册期限延长至6月,政府的补贴措施就会拖得更久;届时,人民就会追问政府如何才推行合理化补贴政策。
他表示,政府必须要有具体的资料才能做决定,资料不齐全的话,最终会引起争议。
根据《当今大马》报道,捍卫自由律师团总监再益玛立(Zaid Malek)抨击拉菲兹对法令的回应无知且不负责任,完全忽视了《个人资料保护法令》的必要性。他表示,《个人资料保护法令》涵盖了披露、安全、保存、可靠等多个方面,而个别政府机构或部门的规定是临时的且表面化,两者无法相提并论。
再益玛立批评拉菲兹声称政府数据无需受个人资料法监管的说法荒谬,指出全球各国政府收集的数据都受到《个人资料保护法令》的监管,唯有马来西亚和新加坡例外。因此他认为拉菲兹的说法“政府数据不受个人资料法监管是不切实际的”非常荒谬。
再益玛立表示,拉菲兹声称个人资料法和公开数据有所区别,显示他严重缺乏了解。他解释,无论数据用途是为私人企业还是政府,个人资料都应受到同等的保护。
政府推行PADU的初衷虽然良好,但如今漏洞百出,民众不免担忧系统的稳定性和安全性是否经得起实际考验,以及能否有效执行计划。因此,政府必须确保系统能够安全、稳定地运行,并提升人民对系统得信心,这将会对PADU的成功实施和可持续运作起到至关重要的作用。
