Lepas dapat panggilan spam, mesti korang panas hati sambil tertanya-tanya:
Kami berpeluang untuk menemu bual Jabatan Perlindungan Data Peribadi (JPDP), sebuah agensi kerajaan yang menyelia pemprosedan data peribadi dalam transaksi komersial di Malaysia. Tapi, sebelum kami temu bual mereka, kami buat siasatan dulu beberapa perkara:
- Senang ke orang nak beli data peribadi?
- Mahal ke data kita?
Jadi, kami hubungi pihak-pihak yang selalu dikaitkan memiliki data kita – ejen hartanah. Percaya atau tak, kami dapat respon yang mengejutkan.
Data peribadi kita dijual dengan harga 1 SEN saja!
Mesti korang ingat pemanggil spam dan scammer bayar beratus ringgit untuk dapatkan nombor telefon, nombor kad pengenalan dan alamat rumah kita… tapi TIDAK. Harganya 1 sen je!
Mengikut Haiqal (bukan nama sebenar), ejen hartanah yang melayan soalan kami, diorang tak perlu cari port untuk beli data peribadi pun. Malah, broker-broker data ni yang mencari diorang:
Haiqal juga berkongsi mesej WhatsApp yang beliau terima dari seorang broker data. Broker-broker ni akan tawarkan satu “masterlist”, iaitu dokumen yang mengandungi data peribadi ratusan atau ribuan orang. Masterlist ni juga biasanya mengandungi nama, alamat, nombor telefon serta nombor kad pengenalan kita.
Beliau juga menambah yang data-data ni biasanya dari:
- Kawasan-kawasan tertentu (seperti Kelana Jaya, Jalan Klang Lama, dan USJ), atau
- Kawasan kediaman seperti kondominium dan tamah perumahan
Haiqal juga tak kekok berkongsi maklumat tersebut sebab beliau tak pernah beli masterlist ni (takut kena report katanya). Tapi dalam beribu-ribu ejen hartanah, tak mustahil ramai yang terjebak, kan?
Kalau korang buat kira-kira, satu masterlist mengandungi data dari 5,000 orang dijual dengan harga RM50 je. Kalau jual kepada satu pembeli je, memang tak balik modal la. Jadi bayangkan berapa ramai orang yang akan beli masterlist tu untuk diorang kaut keuntungan. Fuh, patutlah ramai telemarketer ada nombor kita!
Isu ni juga membuatkan kitaorang tertanya-tanya:
Macam mana diorang boleh dapat data kita?
Kami ajukan soalan ni kepada Puan Uma Annamallai, Pengarah Dasar & Perancangan Strategik, JPDP. Mengikut beliau, ada banyak cara data korang boleh bocor, tapi secara amnya, tiga sebab utama adalah:
- Ada orang dalam syarikat yang membocorkan data.
- Sesebuah syarikat gagal melaksanakan SOP yang ketat.
- Serangan luar oleh penggodam.
Pasal data yang dibocorkan oleh orang dalam syarikat tu, Puan Uma menjelaskan:
“Sesetengah orang dalam yang mempunyai akses kepada data, akan menyimpan atau menyalin data tu secara tidak sah, dan kemudian menjual data tersebut kepada penjenayah komersial untuk mendapatkan keuntungan atau untuk tujuan menjatuhkan imej syarikat.”
Puan Uma Annamallai kepada Cilisos (diterjemah dari bahasa Inggeris)
Tapi, kita tak boleh salahkan orang dalam je, sebab pada masa yang sama, ada sesetengah syarikat gagal melaksanakan SOP yang mampu menghalang kecurian data ni.
Kadang-kadang, punca kebocoran data ni bukan disebabkan niat jahat. Ia juga boleh juga berlaku kerana kecuaian, macam kes sebuah pusat kesihatan di Amerika Syarikat yang tak melupuskan hard drive dengan betul, sekaligus menyebabkan maklumat 100,00 pesakit mereka bocor.
Bagi mengelakkan perkara ni berlaku, sesetengah syarikat mempunyai SOP yang ketat; seperti melarang pekerja yang mempunyai akses kepada data peribadi daripada membawa peranti rakaman (telefon pintar, pendrive, hard disk) ke kawasan simpanan data.
“Setiap organisasi dikehendaki melatih pekerja mereka selaras dengan Akta Perlindungan Data Peribadi 2010, kerana kekurangan latihan adalah salah satu sebab utama kebocoran berlaku.”
Puan Uma Annamallai
Tambahan pula, kalau keselamatan siber syarikat tu tak power, penggodam juga boleh melepasi firewall untuk mencuri data mereka. Walaupun penggodaman bukanlah punca kebocoran data #1 di Malaysia, risiko kena hack ni masih ada. Akaun Telegram bekas Perdana Menteri kita pun pernah kena godam beberapa bulan lepas.
Secara amnya, semua data yang dicuri atau bocor akan berakhir di tangan broker data, seperti orang yang menghantar mesej kepada Haiqal. Mereka ini bertindak sebagai orang tengah yang menjual data kepada scammer, ejen telepemasaran, sindiket jenayah, atau dalam dark web di mana ia boleh disalahgunakan lagi.
Undang-undang berkenaan data di Malaysia masih belum sempurna
Ada satu akta di Malaysia yang sepatutnya melindungi data peribadi rakyat Malaysia dalam transaksi perniagaan dan e-dagang, iaitu Akta Perlindungan Data Peribadi 2010 (Akta 709). Mana-mana syarikat atau individu yang melanggarnya boleh dikenakan denda sehingga RM500,000, atau penjara sehingga 3 tahun, atau kedua-duanya sekali jika disabit kesalahan:
“… denda di bawah Akta 709 sangat parah, dan sesiapa sahaja, tak kira orang atas atau pekerja biasa, boleh didakwa.”
Puan Uma Annamallai
Masalahnya, Akta 709 agak ketinggalan zaman berbanding dengan perkembangan teknologi semasa. Akta ini diperkenalkan pada tahun 2010, dan ia masih belum dipinda seiring dengan perkembangan teknologi dalam 12 tahun lepas.
Puan Uma bagitahu kami, JPDP ada perancangan untuk meminda Akta 709 bagi menangani beberapa isu. Antaranya, mereka bercadang mewajibkan syarikat untuk melantik Pegawai Perlindungan Data. Mengikut Puan Uma, langkah ini telah diambil oleh negara-negara lain, termasuk Singapura.
Selain itu, dengan perkembangan dalam data raya (big data) dan cloud computing, semakin banyak syarikat kini melantik pihak ketiga untuk menguruskan data mereka. Pihak ketiga ni dikenali sebagai pemproses data.
Sebagai contoh, Beli Besar Sdn Bhd, sebuah platform e-dagang, mungkin tak mempunyai kepakaran dan server yang cukup untuk menguruskan jutaan data. Jadi mereka mengupah Data Cekap Sdn Bhd, sebuah syarikat yang pakar dalam pemprosesan data untuk mengendalikan data mereka. Dalam kes ini, Data Cekap akan menjadi pemproses data untuk Beli Besar.
Akta 709 sekarang belum lagi merangkumi SOP atau undang-undang untuk pemproses data. Jadi, JPDP bercadang untuk menutup lubang tikus ini dengan meminda Akta 709.
Akhir sekali, JPDP juga mahu mewajibkan syarikat untuk melaporkan kebocoran data kepada mereka. Walaupun kebanyakan syarikat memang akan memaklumkan JPDP sekiranya berlaku kebocoran, tapi ianya adalah secara sukarela. Pindaan yang JPDP cadangkan bakal mewajibkan perkara ini, dan boleh mempercepatkan proses siasatan.
Selain cadangan pindaan yang kami sebutkan tadi, JPDP juga ada beberapa cadangan pindaan lain untuk menambah akauntabiliti ke atas syarikat-syarikat yang menggunakan data kita. Itu bagi syarikat lah. Tapi, kalau data korang bocor, macam mana pula?
Buat aduan kepada JPDP kalau korang syak data dibocorkan dalam transaksi komersial
Selain kebocoran yang berpunca daripada syarikat yang menyalahgunakan data kita, satu lagi punca utama kebocoran data adalah daripada kecuaian kita sendiri.
Contohnya, ramai antara kita yang tak baca cetakan halus setiap kali mengisi borang, atau terus klik “Saya Setuju” di laman web dan aplikasi sesawang. Sedar atau tak, kita sendiri yang bagi diorang kebenaran untuk menggunakan data kita.
Puan Uma juga menasihatkan orang ramai supaya lebih berhati-hati apabila berkongsi maklumat peribadi di media sosial:
“Ramai orang kongsi nombor telefon dan alamat mereka pada profil media sosial mereka, dan ia mungkin dicuri oleh pihak yang tidak bertanggungjawab.”
Puan Uma Annamallai
Sangat menyakitkan hati bila kita fikir balik. Ye la, ada pihak yang jual beli maklumat peribadi kita macam kereta terpakai je. Jadi kalau korang syak yang data korang disalahgunakan, sila buat aduan kepada JPDP melalui mana-mana cara di bawah:
- Hubungi talian aduan JPDP: 03-8911 7927,
- Hantar emel kepada [email protected],
- Isi borang dalam talian di pautan ni,
- Atau buat aduan di pejabat mereka di Putrajaya
Lepas korang buat aduan, JPDP akan lancarkan siasatan. Jika syarikat yang korang laporkan didapati mencurigakan, JPDP akan membawa mereka ke mahkamah seperti dalam kes ini (yang akhirnya diselesaikan di luar mahkamah).
Dan kalau korang asyik dihujani panggilan spam, boleh juga baca artikel kami tentang cara hentikan panggilan spam 😉.