上議院一名議員對英國政府數據(包括NHS病人記錄)存放於海外、未獲足夠網絡安全保障,直斥做法「不可接受」,政府同時推動自願性數碼身份制度。
議員Manzila Uddin男爵夫人(Baroness Manzila Uddin),現為議會「分散式數碼身份跨黨小組」共同主席,她接受Yellow.com訪問時指出,關鍵政府數據正被外判至美國及羅馬尼亞,卻未獲確保遵守英國數據保障標準。
「很多普通科門診(GP)病人的資料都被送到美國,這點我覺得不可接受。」Uddin男爵夫人說。「我知道沙特、阿聯酋、新加坡甚至非洲部分國家都確保資料屬地儲存於本地雲端、國家雲端。我希望得到這種保證,但目前我們無法做到。」
她特別提到 Gov.UK 的基礎設施被外判且缺乏監管。
「如果最主要的政府數據收集來源Gov.UK被遷移他處,例如外判運作,而我們沒有任何檢查、制衡及網絡安全、數據保護等義務,我認為這令人非常擔憂。」
男爵夫人又指出羅馬尼亞是其中一個存放英國政府數據地方,質疑節省成本取代了安全考慮。
「既然所有國民都是政府gov.uk的『客戶』,為什麼數據會去到羅馬尼亞?是否因為對方報價最低才中標?我們必須思考這些問題。」
評論出現於英國政府推動自願數碼身份系統之際,該計劃自2008年工黨政府推行失敗後,一直面對公眾質疑。
Uddin男爵夫人指出,英國仍然有強烈反對強制身份系統的民意。
「正如大家所知,2008年工黨政府曾嘗試落實數碼身份,當時很明顯公眾並不支持。」
她憂慮現行方案在缺乏公開諮詢下逐步推行。
「我覺得現在有點偷步進行。例如建議所有駕駛執照都要有數碼足跡。之後可能連護照都要跟。」
男爵夫人強調她個人對數碼身份系統本身無異議,但要求透明度。
「作為數碼身份議會小組共同主席,我不反對有身份證。現時我們生活中各方面都需要身份證明。重點是,亦有不少公眾關注,究竟這些數據去了哪裏?」
她又以最近個人經歷,反映金融機構網絡安全漏洞。
「我家人剛與Amex通電話,電話一掛即有自稱Amex來電的人打來,掌握所有資料。明明那本應是保安嚴密、討論金融活動的環境,卻仍出現問題。」她指大公司防範數據外洩及詐騙的措施不足。
她認為,不論大企業還是地方政府都難以有足夠資源對付頂尖黑客。
「無論是能源帳單還是地方政府,都無充分財政誘因或資源防範這些極惡意的騙徒。」
Uddin男爵夫人特別關注數碼排斥及公眾對數據權的認知不足。
她指出約有一百萬英國家庭沒有上網或智能手機,易被排除於數碼服務之外。
「談及排斥時,大家只當作藉口,以擴大自願參與數據收集的覆蓋。實際上並不是為保護弱勢。」
她重申需從小開始推動全面數碼素養教育。
「很多國家如日本,小朋友很早就學會網上自保。不單是議會成員要學,其他領域人士更要學,因為很多企業就是賺我們對網絡操作不懂的錢。」
她又提及與兒童事務跨黨小組的經驗,發現年輕人對數碼風險認識超前。
「我們有小朋友飾演議員,問專家問題,很深刻,比我們或你的世代更醒目,學習意欲亦很高。」
她認為現行規管難以追上科技進步。
「剛把一套規管做好,創新就來了,變得難以跟進。所以法例要靈活迎對新科技。」
她稱現時包括GDPR在內的規管無阻過度數據收集或未經授權販售。
「現時很多公營及私營機構都要求提供過量的數據,其實沒必要。我最大的擔心是當我們收集到某個程度,數據由誰托管?存在哪裏?誰監察?誰追蹤?這些會否流入暗網,日後成為針對市民的工具?」
她表示,現時企業可直接向地方政府購買大量市民資料,限制不足。
「市民的資料可以直接向地方政府購買,目前基本沒有限制。GDPR雖然訂有界線,但大家仍然持續收集、開採我們的數據為自己牟利。」
回應有關區塊鏈分散身份系統,她表示支持讓市民自主掌控數據的模式。
「新興數碼科技(如Web3、人工智能)的承諾,就是讓信息流通更加民主,我們每個人都可自主決定是否授權任何人的存取。」
她強調任何制度都必須優先考慮數據主權。
「如果這做法繼續,究竟我的數據在哪裏?誰掌握?為什麼他們不受問責?又為何准許買賣?」
她指出,區塊鏈技術有望替代現時數據外判模式。
「新興技術的好處在於信息民主化,令個人有更大話語權決定資料如何儲存、傳送或使用。這必須成為政府的主要原則之一。」
Uddin男爵夫人傾向英國應與歐盟對齊數據標準,而非美國。
「我知道現正討論與誰看齊,我較傾向歐盟,始終歐盟才是鄰國,是我們的邊界。」
她憂慮越來越依賴美國科技企業打造關鍵基建。
「我們不能什麼都靠美國。雖然英美是特殊關係,有既定合作,有些大型企業最近更談及接管我們的安全,這令我相當擔心。」
男爵夫人表示,維持英國自身數據主權對確立金融中心地位至關重要。
「我希望人才回流,要確保無論推行數碼身份抑或其他,都必須屬於英國自家主權。若屬英國數碼主權,自然也能保障個人主權,因為我們尊重個人權利。」
被問到數碼身份是否真的有助經濟增長,她表懷疑。
「這點從未被證明。雖然某些持份者有經驗,舉例瑞典、猶他、懷俄明等地表現良好,但英國至今未見到對經濟或市民有明顯好處,比較只有大企業受益。」
Uddin男爵夫人質疑政府在公眾信任度低下是否可推動該制度。
「政府目前各項政策都被質疑,公眾信心極低,我實在難以確信如何成功推行數碼身份措施。」 There is not clear indication of how they intend to win over public confidence and trust for a digital ID."
她警告,唔好好似COVID-19咁,用緊急措施嚟推行相關系統。「我覺得市民而家覺得自己被迫要交出盡可能多嘅個人資料,因為大家都會覺得,如果我冇嘢要隱瞞,就冇嘢會損失。但其實唔係咁,因為你俾出嘅資料,會變咗其他人嘅資產。」
The Baroness concluded by emphasizing the need for trust-based regulatory frameworks. "Everything that we're doing about any proposed regulatory framework has to be based on trust and confidence. That goes without saying, and I think that's where the problem lies."
佢強調要訂立保障個人權益之餘,又容許科技創新嘅標準。「如果我哋要有數碼身份證,就一定要有信任同信心嘅基礎,仲要確保成個框架夠彈性,等唔同持份者都可以同我哋一齊合作。」
Baroness Uddin stated that the UK's regulatory reputation could set global benchmarks if data sovereignty is prioritized.
「我覺得我哋可以為其他國家樹立一個好好嘅標準,包括美國。我覺得我哋本身已經有一定公信力,而且有好多機構其實都係喺英國起家,而家喺杜拜、新加坡同美國都運作緊。」