上議院成員警告,英國政府數據(包含NHS病患紀錄)被存放於海外且缺乏足夠資安防護,隨政府推進自願式數位身份系統,這一做法令人「無法接受」。
聯合主持去中心化數位身份全黨國會小組的烏丁男爵夫人在接受Yellow.com訪問時表示,關鍵政府數據正外包至美國與羅馬尼亞,卻無法保證維持英國的數據保護標準。
烏丁男爵夫人說:「大量GP病患數據直接送往美國。我認為這無法接受。我知道沙烏地、阿聯酋、新加坡還有非洲某些國家都確保自己的數據和資訊留在本地雲端、國家雲。對此我希望有個保證,但目前我們無法確保。」
男爵夫人特別提及Gov.UK基礎設施外包時缺乏監管。
她說:「如果政府數據主要來源Gov.UK被轉移甚至外包出去,卻沒有監督、缺乏網路韌性與資料保護義務,這會引起擔憂。」
她指出羅馬尼亞是英政府數據儲存地之一,質疑是否因成本因素壓倒了資安優先權。
「如果所有公民都屬於gov.uk的『顧客』,那為什麼資料會在羅馬尼亞?只是因為他們出價低而得標嗎?這些問題必須被質疑。」
這番發言正值英國政府推進自願數位身份系統提案,而2008年工黨推動同類政策卻因民意反對而失敗。
烏丁男爵夫人指出,英國大眾對強制身份系統反感仍相當強烈。
「2008年工黨試圖施行數位身份,民眾明確表示不支持,」她說。
她擔心現行方案是以分段方式推進,而非公開咨詢。
「我知道他們是悄悄推進。例如將所有駕照數位化,接著或許護照也會數位化。」
男爵夫人表示,她個人對數位身份制度並無異議,但要求處理數據必須透明。
「作為數位身份國會小組主席之一,我本身不排斥身份證。生活許多層面都需要身份證。我的疑慮,也是許多民眾的顧慮,就是數據會去哪裡?」
男爵夫人舉了自己親身遭遇金融詐騙事件,反映金融服務資安風險普遍存在。
「家人剛結束與美國運通通話,馬上就有一通新來的假冒來電,且掌握所有資訊。所謂的安全環境其實存在風險。」她指出大企業對資料外洩與詐騙缺乏足夠防護。
她認為無論是大型企業還是地方政府,都未具備足夠資源獨力抵禦高級惡意行為者。
「管你是帳單還是地方政府,真的沒有足夠的資金誘因或資源來阻擋不法分子。」
烏丁男爵夫人的主要擔憂之一是數位排除,以及公共數據權利教育不足。
她指出大約有一百萬英國家庭缺少網路及智慧型手機,容易被數位服務排除在外。
「所謂『數位排除』只是讓我們得以辯稱應該納入更多人士,但這只會使自願數據蒐集規模更大,而不是真正保護弱勢群體。」
她強調應自幼推動全面性的數位素養教育。
「如日本等國,孩童從小學習網路自我保護。不僅國會成員要學,沒涉獵這領域的人也要懂,畢竟創新者與企業都在不良習慣下賺錢。」她說。
男爵夫人還舉最近在兒童全黨國會小組的觀察:孩子們展現對數位風險的深刻理解。
「我們邀兒童扮演國會議員角色,發問專業問題,非常深刻甚至比我們這代還敏銳,說明學習的渴望很強。」
她認為現行監管制度無法追上科技腳步。
「一個規範鞏固了,馬上又有嶄新的出現且難以掌控。法規必須非常彈性,才能因應快步發展的科技需求。」
她強調現有法規如GDPR無法阻止數據蒐集或未授權資料交易。
「目前許多機構包含政府、私部門,大量要求不必要的資料。這麼細緻的細節由誰主機?放哪裡?如何監管?怎麼追蹤?未來會不會掉入暗網遭作不法用途?」她質疑。
男爵夫人強調,目前民間機構仍能毫無限制購買地方政府手中大量公民資料。
「人們可向地方政府購買大量個人資料,現在沒有限制。GDPR雖有界線,但數據仍被蒐集與挖掘,讓少數人得利。」
關於區塊鏈等去中心化身份系統,烏丁男爵夫人傾向於讓公民掌握主導權。
「Web3、AI等新興科技的承諾是:讓我們在資料交換上更民主,變成每個人有私有資料來源,決定給誰可以取用。」
但她強調任何系統都要把公民的資料主權放第一。
「如果這潮流繼續下去,我的數據到底在哪?誰掌控?為何不負責?為什麼他們可以賣掉?」
她認為區塊鏈技術可替代現有資料外包儲存模式。
「新興科技的承諾在於讓資訊的民主管理,你對資料的儲存、傳遞、給出等都更有發言權。這應是政府最核心的承諾。」
烏丁男爵夫人更希望英國數據標準能與歐盟對齊而非美國。
「我知道政府討論合作對象,但我更傾向與歐盟結盟,畢竟他們是鄰國,是我們的邊界。」
她對英國對美國科企在基礎設施依賴增加表達擔憂。
「我們不能什麼都仰賴美國。即便是特殊夥伴關係但也要堅守自身立場。最近還有大型企業要接管我們資安的討論,這讓我深感憂慮。」
男爵夫人認為確保數據主權留在英國對維護國家金融聲譽至關重要。
「我希望人才回流這裡,確保無論未來數位身份怎麼發展都必須數位主權化在英國,這很關鍵。英國有主權,個人也有主權,這是尊重權利的前提。」
對於數位身份能否帶動經濟成長的說法,烏丁男爵夫人持懷疑態度。
「我不認為這個論點被證明了。雖然某些利害關係人有經驗,像以瑞典、猶他州、懷俄明州為例,但英國迄今還看不到明顯對經濟或全民的正面成果,最大的受益者還是大公司。」
男爵夫人質疑政府在現今公眾不信任下能否有效推動數字身份。
「現階段公眾普遍不信任政府,各種政策都被批評,不知道該怎麼贏得民心。在這情勢下,政府能否妥善推動,我抱持疑問。」 There is not clear indication of how they intend to win over public confidence and trust for a digital ID."
她警告不要像在 COVID-19 期間那樣,透過緊急措施來實施相關系統。「我認為,公眾會覺得自己被迫交出盡可能多的資訊,因為大家會認為,只要自己沒什麼好隱瞞,就沒什麼可失去的。但實際上並不是這樣,因為你所提供的資訊會變成別人的資產。」
這位女男爵最後強調,必須建立以信任為基礎的監管框架。「我們針對任何建議的監管框架所做的一切,都必須以信任和信心為基礎。這是理所當然的事,而我覺得這正是問題所在。」
她呼籲要建立既能保障個人權益又能促進科技創新的標準。「如果我們要有數位身分證,就必須建立信任和信心的傳承,並且確保這個框架足夠有彈性,讓大家可以來和我們合作。」
Baroness Uddin 指出,只要重視數據主權,英國的監管聲譽完全有能力成為全球的標竿。
「我認為我們可以為其他國家樹立很好的標準,包括美國。我認為我們擁有足夠的公信力,而且有很多來自英國的機構,目前都已在杜拜、新加坡和美國運作。」她說。