个人资料外泄在国内外并非新鲜事。

二月中旬，国家总审计司报告揭露数百万MySejahtera用户的个人信息被一个授权用于疫苗管理的账户非法下载。更严重的是在去年，有超过2200万国人的个资与80万人的身分验证照被不法之徒在暗网兜售。

笔者友人最近购买了一辆新车，不久后就接到了第三方的电话，声称来自汽车服务中心，对买家的个资了如指掌，包括全名、电话号码、汽车型号、车辆登记日期与车牌号码。在核对了这些信息后，友人被要求提供住家地址和电子邮址。幸好友人机警，向原厂确认后得知该来电属诈骗性质。如果友人稍有不慎，或点击不法分子发送的链接，后果不堪设想。

武吉安曼商业犯罪调查组透露，网络犯罪案件从2018年的1万753宗增加到2022年的1万9175宗，几乎翻了一番，而当中不少涉及个资外泄的案件。

个资保护法不完善

我国在2010年拟定了个人资料保护法（PDPA），旨在规范商业用途的个人资料处理，并为存储和使用个人资料提供了一组指南。业者必须在收集个人资料之前获得客户的同意，并采取措施提防该数据未经授权下载和盗窃。

政府的个人资料保护局（JPDP）则与其相辅相成，负责执行个人资料保护法，监督商家是否遵守条规，并有权调查违规行为，发出通令，对违规者处以罚款。

其实，我国的个人资料保护法仍未完善，因此让不法之徒仍有机可趁。其中一个漏洞就是该法案并无明文规定商家据实呈报个人资料泄露事件。这使得违规者可以对资料泄露事故视而不见。

纵观欧洲的《通用资料保护条例》，法案规定，涉及资料外泄的公司必须及时向政府呈报，如果刻意延缓，罚款将翻倍。

其实在去年，时任通讯及多媒体部长丹斯里安努亚也提及了个资保护法案的漏洞与修订该法案的倡议。这包括规定所有涉及保存个人资料的商家与用户任命一名资料保护专员，并限定所有商家必须在资料泄露案件发生后的72小时内，向JPDP官员呈报。

当时他还表示，政府计划在2022年10月期间将该法草案提呈国会辩论。然而，国会在该草案提呈之前就宣布解散。如今，修订法案的重任落到了现任数字通讯部长法米身上。

加强执法加重刑罚

除了既有的草案外，法米可以考虑的法案修订还可以更全面。现今法案对资料外泄的最高刑法为50万令吉或监禁3年，或两者兼施。因此，如果加重最高刑罚，将提高犯罪成本及减低干案几率。

此外，政府应考虑将JPDP提升为法定委员会（类似多媒体委员会），增加自主权，确保其官员能够有效索取必要的资源，从而更有效地履行监管个人资料保护的职责。

到目前为止，我们鲜少看到涉及泄露私人资料的个人或集团被起诉。我们希望政府能够加强这方面的执法力度，及时惩治不法分子。

当然，我们也必须尽公民本分，保护好个资，发现个资被盗时及时向JPDP与相关部门举报，别让我国变成个资窃盗者的天堂。

视频推荐：