马来西亚通讯及多媒体委员会(MCMC)最近被揭发收集手机数据(Mobile Phone Data, 简称MPD),相关文件外泄后引发国人不安,许多人因此重新想起过去的数据外泄阴影,也更加担忧数码隐私、数据处理方式,以及谁能被信任来保管这些资料。
如果不是文件外泄,人民可能至今都不会知道这件事正在发生。
一些人为MCMC辩护,声称外界反应过度、并未收集个人数据,而且社交媒体公司本身也收集更多数据。但这种说法,完全回避了真正的核心问题。
我们不该再互相指责或模糊焦点。问题不在于数据有没有用——它当然有用。关键是:这种类型的数据收集真的有必要吗?如果有,那要怎样确保它是以透明、安全、公平的方式进行?
我要说清楚:我并不反对利用数据来改善生活。事实上,数据今天在我们生活中无所不在,从手机App到公共交通与旅游规划。但这不代表政府就可以为所欲为。数据的收集,必须合情合理,并且清楚交代收集什么、为什么收集、如何保护。
如果MPD真的是为了国家规划与公共政策所用,MCMC就不能在事情爆发后只发一则含糊声明草草了事。我们需要的是清晰沟通、隐私保障和公众参与。
如果MCMC真的想把这件事做好,那他们必须从以下几点开始:
1. 认清问题,不再掩盖
是的,相关数据集中没有姓名或身份证号码。但它包括了唯一识别码、时间戳与定位资料。这只是“伪匿名”(pseudonymised),不是匿名,两者差别很大。
匿名数据是无法回溯到任何个人的。而伪匿名数据虽然用了代码代替名字,但只要和其他数据集交叉比对,仍可还原使用者身份。MCMC目前的做法属于后者。
我们的手机是实时追踪装置。只要收集足够的“无害数据”——如基地台信号、移动轨迹等——就能拼凑出极为详细的用户画像:去哪里、什么时候移动、频率如何……这些足迹几乎等同“数码指纹”。
马来西亚人不是杞人忧天。这些风险真实存在。以我国多起重大数据外泄事故作为背景,公众的担忧完全合理。MCMC不应再轻描淡写,而必须清楚说明:收集了什么、为何需要、怎样保护。
这不是恐慌,这是基本安全意识。
2. 解释数据将如何被保护
目前,公众依然不清楚以下要点:
- 从电讯公司传送到MCMC的数据是否加密?存储时是否加密?
- 数据将被保存多久?由谁认证数据已删除?
- 谁来审计?谁能确认数据真的安全、匿名、不可识别?
- 最关键的:一旦发生外泄,谁负责?
这些问题过去就被问过,现在仍然没答案。
当牵涉到全国数百万人的行动轨迹时,要求一个政府说明如何保护资料,并不过分,反而是负责任的表现。但直至今日,我们依然一头雾水。
在过去多个政府数据外泄案件中,我们有充分理由保持警觉。MCMC原本有机会设定国家数据安全的标杆,但他们选择的是拖延与闪避。
3. 尊重数码社会的“知情同意权”
没错,Facebook、Google等私人公司也收集用户数据,但关键在于:用户可以选择退出、撤销权限、甚至删除账号。
而MCMC的手机数据收集方式,却不给任何选择。国人甚至根本不知道数据被收集了。
在数码社会里,透明与同意不是可选项,而是基本权利。如果政府要为公共利益收集数据,就必须纳入公众共识。
我们并不是要求“零数据收集”,我们要的是一个负责任的国家,处理我们的数据时有清晰、选择、问责的机制。
有些人回应“你怕就关机”——这完全忽略了重点,也封杀了本该有的建设性对话。
4. 若是“试点项目”,就请清楚说明时间表、范围、责任单位
这是试验?还是长期计划?涉及哪些部门?效果如何衡量?结果会不会公布?
如果政府希望赢得信任,就必须说清楚:数据怎么用、多久收、由谁负责。
不能一边说是试点测试,一边却又说一切已定案。如果人民是测试对象,就有权知道测试的细节。
5. 从“被动回应”转向“主动负责”
批评不等于反对。事实上,大多数人认同数据对政策规划的重要性。但他们提出的疑问很简单:
- 谁在收集?
- 收集了什么?
- 如何匿名?
- 谁审计?
- 保留多久?
- 外泄怎么办?
- 可以拒绝吗?
- 谁负责?
这些问题,在MCMC近期简报中没有一个被答清楚,却全都是信任的关键。
与其贬低质疑、把批评当成“破坏”,为什么不正面回应?只要做一个官网页面,列出进度时间表、改革路线图和保障机制,效果就比千言万语更实际。
请记住这些事:
马来西亚数据外泄早有前科:
- 2017年:4600万笔电讯用户资料外泄,MCMC监督下的承包商Nuemera被暂停,无人被提控。
- 2021–2023年:MySejahtera接连出事,“超级管理员”擅自下载300万笔疫苗数据,无人被起诉。
- 2022年:传出国民登记局2250万笔资料在网上兜售,无任何执法后续交代。
- 2024–2025年:Prasarana、Big Pharmacy、KLIA遭勒索攻击,数百GB敏感数据外泄,大部分调查仍无结果。
多数案件调查宣布了,却不了了之。因此,当人民对MPD计划表达不安时,他们不是杞人忧天,而是出于对过去种种“有前科、没责任”的反应的合理怀疑。
我的看法:
保护隐私,就是保护人民
数据不是敌人,质疑也不是。
数据确实是现代社会的基础,它改善政策、交通、医疗、基础建设……但这不代表可以弱治理、假透明。
如果MPD真是为了公共利益,那就应该以公众信任为根本。那就必须从透明、清晰、愿意承认错误开始。
MCMC声称手机数据是大马未来的重要资产,那就证明你值得托付。
这正是你们扭转局面、领导国家数码治理的关键时刻。
所以,MCMC——你打算怎么办?
