独家报道：罗忆雯

网络与电话诈骗案件猖獗，造成人人自危，原来是不法之徒安插“无间道”潜藏各种职场领域，守候时机猎取客户个人资料，转手卖给诈骗集团所致！

在这个晋入电子时代、处处要求消费者线上注册个人账号的时代脉搏，有心者轻而易举搜集公众个资，另做变卖作不法用途，而公众个资曝露处在沦陷程度之下，个户隐私毫无保障可言。

公众也因已习以为常这种消费模式，本身陷入个资外泄风险，仍懵然不知。

个人资料在不法之徒眼中都是一座座的黄金山，公众个资黑市交易利润可观，同一批个资转手兜售几个不同领域对象，满足个别买家需求。

《光华日报》探悉，不法之徒向来看准销售领域需求，势力渗透银行、金融机构、社团组织、公寓管理、零售商店、电讯公司和特定政府单位，收买内鬼盗窃客户个资。

职场默许行销手段    个资买卖不是秘密

然而，这类个资数据黑市买卖，在本地保险业、房产或销售业，属公开秘密，大家心照不宣，尤其销售业面对激烈竞争，寻找具备潜在力客户视为目标，职业操守暂且抛诸脑后。

据悉，很多销售领域主管，鼓励下属购买个资名单提升业务，甚至主动介绍门路牵线，职场文化缺乏个资隐私监管，买卖个资活动渐渐沦为不成文一种规定，是职场默许公认的行销手段。

据了解，个资外泄露高风险出处，大致上离不开电子中央信贷资料系统（eCCRIS）、信贷情报服务私人有限公司（CTOS）、社团组织会员名单、电讯服务代理、餐饮业或商店问卷，或特定免费线上课程。

诈骗集团对猎物目标身份具备充分掌握，一击即中诱骗事主坠局，显然个资外泄不再单纯用在从前的商资业务手段，然而转移成为诈骗集团助纣为虐一种致命工具。

随着这几年户头频传存款非法转移、爱情包裹骗局、冒充执法官员诈骗活动癫狂失控，触动公众对个资外泄防范危机省思，也引起执法单位的关注，实施严厉措施保障个资，对个资漏洞仓促修补。

买卖方不露面交易   避免因放蛇被逮到

进行个资黑市交易的双方，尽量减低见面机率，以免被接到情报而“放蛇”的执法人员逮个正著。

一名揭秘者透露，本地黑市交收过程中，买卖双方避免露面，尽量降低面对执法单位安排卧底展开取缔行动风险。

“双方在交易协议上讲求信任，不法之徒在买家付款之后，才相约地点交货。”

“窃取得到的个资，不会列印纸张，而是全部资料储存记忆在随身碟。”

电子时代盛行快递服务，近期同时崛起的自提站点（Self-collection point）服务，成为不法之徒运递随身碟给买家的渠道。

消息披露，包裹自提站点服务形式，间接提供卖家隐藏身份便利，他们在不露脸情况之下，安排买家自行赴指定地点取随身碟。

个资附带家属资料   售价也会随之提高

个资的黑市交易数额，会根据数量项目多寡而定，若个资内容附带家属资料，售价也会随之提高。

据悉，变卖个资的基本项目，涵盖姓名、身分证号码、地址、职业、手机号码。

若是个资当中，内容附带家属成员资料，这类扩充性价值用途高，售价随即提升。

“个资数据按批量出售，量少则无人问津，涉及者都是机构内部职员偷窃转卖。”

“个资的黑市价格随行情浮动，每当惊动执法单位留意动向，价钱水涨船高。”

据了解，平均4000人的个资，在10年前的价格介于1000至3000令吉。

再者，出自同一份名单的资料，往往还能转卖几手给地产业者、保险业、阿窿等不同领域人士，因此售价可任意调整。

因此，过去10年个资黑市交易如鱼得水运作，也与公众对资料安全认知低的态度有关。

冯宗福：国行不可能拥全部客户资料   个资外泄由银行承担

网络安全服务公司LGMS创办人冯宗福受访揭露，其公司受委调查机构客户资料外泄事件，展开“揪鬼”任务。

他往往调查过程中，识破某些银行和电讯公司职员监守自盗行为，揭露内部人士盗取客户资料贩卖给不法集团。

至于国家银行是扮演监管角色，制定有效的反洗黑钱及反恐怖主义融资制度和政策，负责接收和分析可疑交易报告。

为此，冯宗福强调，国行绝对不可能拥有银行所有客户资料，银行个资外泄事件的责任，是由有关银行承担。

勿在社媒过度曝露隐私

此外，冯宗福透露，公众惯性在社交媒体公开照片隐私，这种举止招致诈骗集团盗用事主个照，移花接木伪冒身份，公众理应为自己行为负责，时刻提起警戒心。

他鼓励，公众学习放慢思考，不能单凭表象对事件草率判断，尤其网络世界假象特多，诈骗份子擅长以真假参半讯息，混淆视听。

“诈骗份子盗用帅哥美女、温馨家庭照作社交媒体账户人头像，博取公众好感，我奉劝公众不要在社交媒体过度曝露自己隐私或照片，这些都是个资外泄漏洞之一。”

新闻背景

滥用个人机密信息  5年接3699宗投诉

根据个人资料保护局（JPDP）总监马斯玛列莫哈末早前披露，从2017年至2021年7月，当局共接获3699宗涉及滥用用户个人机密信息的投诉。

根据报道，当局发现，有电讯服务代理悄悄留下顾客身份证副本，交给非法集团复制，导致个资被他人滥用于入住酒店的情况。

而通讯及多媒体部将会在10月国会中，提呈《2010年个人资料保护法》（709法令）修正案，来巩固个资保护政策。

以下是5项修正建议：

1.强制所有数据用户委任数据保护官；

2.推行数据泄漏通知，即所有数据用户必须在数据泄漏事件后72小时内，向个人资料保护局作出投报；

3.数据处理者必须遵守法令下的安全守则；

4.允许个人资料数据在个人资料数据主人的要求下转移给其他数据用户；以及

5.在跨境转移个人资料方面废除跨境名单，并以白名单（Ｗhitelist）和黑名单（Blacklist）取代。