政府今天正式推介主要数据库(PADU),并呼吁民众踊跃登记和审查个人资料。
不过民众对这个涵盖至少39项个人资料的数据库依然有疑虑,尤其在个人资料保护的课题上,政府至今都没有公布相关方案。
网络安全专家冯宗福接受《八度空间华语新闻》访问时直言,将所有政府部门的数据集中在一个数据库中,对个资安全来说会产生极大的风险,因为只要骇客攻陷一个数据库,就能获得所有资料。
“这个中心点的资料库因为它集合了所有的资料,如果我是骇客的话,当然这对我来说是非常有吸引力的,与其我去攻击其他各种不同的政府部门,我只需要攻击1个资料库而已。”
他认为,政府在PADU上应该更加透明化,公开此数据库操作模式、管理和个资保护方案。
“既然它(PADU)把它(个资)集中在一个中心化的资料库里,目前我们还没有看到政府有很透明化的白皮书,讲他们怎样来处理这些资料,怎样用网络安全的方式来处理这些资料,资料到底有没有加密,透过什么方式来确保资料,政府方面还没有发布这个白皮书。”
他指出,目前更安全的方式是使用API Gateway系统,而不是收集所有数据的中心化数据保存模式。
“从网络安全来说,API Gateway系统更容易管理,更加容易掌控它的安全性。因为我们可以确保谁可以读取,或者是读到什么程度。比如说这个部门要读的牵涉到5个部门,那就只读取这5个部门,其他第6、7是读不到的。”
“有了API gateway,我们可以更好、更精确掌控这些数据资料。”
他补充,API Gateway系统已经在邻国新加坡实行,这个系统会在读取后消除资料痕迹,大大降低个资外泄风险。
此前,经济部长拉菲兹曾表示将会在今年中旬提呈综合法令,以实现政府部门共享和整合数据,同时规定如何使用、保护和分享这项数据。
然而,这项法令在确保个资安全上的效用仍有疑虑,因为法律不一定能阻止窃取个人资料的犯罪。
对此,冯宗福认为,政府应该要先关注在个人资料保护措施,而法律只能起到辅助作用。
他也强烈建议政府修改个人资料保护法,以提升人民对政府管理个人资料的信心。
