個人資料保護委員會副專員楊子健受訪時透露,本地目前約有1080萬個有效電話號碼,但截至去年11月,只有87萬8000多個電話號碼已向謝絕來電登記處登記,相當于約8%。
登記電話號碼謝絕來電計劃推出已六年,但依然有不少公衆申訴收到來曆不明的短信和電話,有人也納悶爲什麽明明已登記,卻還是被騷擾。原來本地只有約8%的電話號碼向“謝絕來電”登記處登記,但登記後也非萬全。
個人資料保護委員會在2014年初設立全國謝絕來電登記處,讓國人可登記自己的本地電話號碼,拒絕商家的推銷來電和短信。該服務于2014年1月推出時,獲得不少民衆支持,可是真正動手登記的人卻不多。
個人資料保護委員會副專員楊子健日前接受《聯合早報》專訪時透露,本地目前約有1080萬個有效電話號碼,但截至去年11月,只有87萬8000多個電話號碼已向謝絕來電登記處登記,相當于約8%。換言之,絕大部分的電話號碼並不在商家須核查並排除的電話號碼清單裏。
屏蔽騷擾短信或電話 還須靠機構負起責任核查
不過,即便是已在謝絕來電登記處登記電話號碼的公衆,不時也有人反映收到垃圾來電和短信,其中的內容多數與借貸服務和網上賭博有關。
對此,楊子健說:“許多公衆誤以爲只要登記了自己的電話號碼,其他號碼發出的騷擾短信或電話就會‘神奇’地自動禁止,但事實並非如此。我們雖已在探討這方面的技術,但目前還無法辦到。”
他解釋,要禁止騷擾短信和電話,實際上得靠負責任的機構遵守登記處的條例,在發出推銷短信前先核對登記處的電話號碼,確保沒有把短信發給已登記的號碼。
垃圾來電和短信的問題因此有一部分得歸咎于不負責任的機構。另一方面,楊子健指出,手機號碼是有限範圍的數字,第一個數字爲8或9,機構可透過科技自動計算出其余的號碼。
他說:“針對不負責任的機構,我們須與對的夥伴合作。以推銷非法借貸服務和網上賭博爲例,這些屬犯罪行爲,因此我們會繼續就此與警方接洽。”
垃圾短信和來電是許多國家都面對的問題,盡管目前沒有具體的解決方案,但楊子健相信,能遏制這些騷擾短信和來電的科技方案會越來越先進有效,而個人資料保護委員會將與相關夥伴探討如何推行這些方案。
收緊保管身份證資料條例後 共對14違例機構進行調查
盡管目前無法做到百分百“謝絕來電”,個人資料保護委員會收到的相關投訴已從2014年的7280起,大幅減少至截至去年10月的1511起,六年來少了約75%。
除了謝絕來電,個人資料保護委員會去年9月1日也就身份證資料的保管收緊條例,只有在法律規定或有必要證明身份時,商家和業者等才能向公衆索取身份證號碼。
去年9月1日至10月31日,委員會共對14個觸犯該條例的機構進行調查,並通知這些機構,若不停止收集身份證資料,委員會將展開全面調查。
新條例生效後,許多機構已改用其他方式辨識公衆身份,包括收集手機號碼。不過,這也讓一些公衆擔心這將間接給機構更多機會向他們發短信或撥電進行推銷。
對此,楊子健強調,手機號碼是個人資料保護指導原則中設定的獨特認證資料之一,因此機構在收集這項個人資料後,同樣須有嚴格的機制保護這些資料。
過去四年共93次 個人資料保護委員會執法行動逐年增加
資料泄露事件一再發生,個人資料保護委員會過去四年采取的執法行動逐年增加,單是去年就有50次,罰款總額超過200萬元。
據個人資料保護委員會透露,當局在2016年至2019年間共對違例機構采取93次執法行動,其中包括發出警告、指示機構采取糾正措施,以及罰款。
當局去年采取的50次執法行動是過去四年來最多的,罰款總額高達203萬元,是2018年17萬7500元罰款額的約10倍。
個人資料保護委員會副專員楊子健接受《聯合早報》訪問時指出,隨著整個經濟邁向數碼化,越來越多機構采用科技收集及存放資料,發生資料泄露事件的風險也因此提高。
他說:“這是數碼化的自然後果之一。目前企業要購買一個數碼方案,比起確保該方案的網絡安全來得容易……收集的資料越來越多時,網安措施如果沒有到位,資料泄露發生的機會也相對增加。”
除了數碼化帶來的影響,公衆對資料保護的意識也有所提升,所以近年有更多資料外泄的事件被舉報,媒體也更爲關注。
楊子健認爲,有更多資料外泄事件被媒體報道“不一定是壞事”,因爲這有助向公衆灌輸妥善保護個人資料的重要,也意味著委員會“還有很多工作要做”。
從遵守條例轉向問責制
楊子健透露,過去四年的調查顯示,即使是看似複雜的資料外泄事件,造成事件發生的原因往往很簡單,主要是不完善的網安措施,例如分享管理賬號的密碼,以及多年沒有爲系統安裝補丁等。他說:“多數事件歸根究底,不外乎涉及那幾種基本的網安疏漏。隨著更多企業采納科技方案,它們在網安方面的知識和技能整體須進一步提升,才能趕上數碼化的步伐。”
爲了提高網絡安全,個人資料保護委員會去年5月推出現行執法框架(Active Enforcement Framework),旨在鼓勵機構從純粹的遵守條例轉向問責制。楊子健形容這是委員會過去一年取得的一項重要發展。
根據新框架,如果此前有相似的資料泄露案例,或是機構承認觸犯法令,當局可加快處理調查。發生資料外泄時,機構也可向當局證明已實施妥當問責程序及監督與補救計劃,並申請自行執行應急措施,當局就不會介入調查。該框架推出至今,委員會已收到三個加快處理案件的申請,以及五個自行執行應急措施的申請。
楊子健說:“我們在執法的同時,也應該爲有完善問責制度的機構給予認可,畢竟不論一個機構做了多少准備工作,仍會有發生錯誤的時候。比起等委員會展開調查,由機構實行補救措施顆達到相同,甚至更好的結果。”