|
|
|
|
 |
|
|
|
【最新】【移民部數碼化申請】有部分申請人隱私或已曝光
(2025/9/8)
【明報專訊】加拿大庇護系統的隱私保護存有漏洞,聯邦政府斥資6800萬元的計劃竟未完成強制性安全測試。
據CBC News獲悉,三個政府機構在合作進行一項價值6,800萬元的計劃,旨在改造加拿大的庇護系統。然而,該計劃在實施多年期間,卻未能完成強制性的隱私保護測試。
有律師指出,這種隱私保護措施的缺失引發了「危險訊號」,可能讓難民申請人的資料和申請處於風險之中。
加拿大移民、難民及公民部(Immigration, Refugees and Citizenship Canada,IRCC)、加拿大邊境服務局(Canada Border Services Agency, CBSA)以及移民及難民局(Immigration and Refugee Board, IRB)共同推動這項「庇護互通性計劃」(asylum interoperability project),目標是將庇護系統轉變為更有效率的數位化模式,並解決不斷增加的待審庇護申請積壓問題,目前積壓量已超過29萬件。
這項於2019年啟動的計劃,在2024年被CBSA稱作「意料之外」的舉動中,提前終止。
現在,透過《自由資訊法》(access-to-information legislation)獲得的文件顯示,這項在完成度僅達64%時悄然終止的計劃,存在「尚未完成」的隱私影響評估(privacy impact assessments,簡稱 PIA)。
據一份政府的數位隱私指南(digital privacy playbook),PIA 是一種「在潛在隱私風險發生前,進行識別、評估和緩解的政策程序」。該指南明確指出:「所有這些步驟都必須在計劃啟動前完成。」
雖然這項互通性計劃現已取消,但它已經實施了改變資料數位收集和使用方式的措施。專門處理移民與難民法、同時也從事隱私法業務的律師安德魯.科爾頓(Andrew Koltun)表示,完成PIA仍然是風險識別過程中的重要一環。
然而,這些部門在回覆 CBC 的電子郵件中表示,這些隱私評估仍然未完成。IRCC稱其正在起草該部門的PIA部分,預計在2025年底前完成。
科爾頓說,這些評估至今仍未完成,這引發了「很多危險訊號」。他表示:「不幸的是,如果你沒有隱私影響評估,資料被洩露並被惡意行為者獲取的風險就會大大增加。」
加拿大財政部秘書處(Treasury Board of Canada Secretariat)的指令要求,當機構計劃「實質性修改」出於行政目的而收集和使用資訊的方式時,必須在啟動或更新計劃「之前」,完成這種隱私健康檢查。
這項庇護互通性計劃建立了一個線上難民申請流程,這與過去的紙本申請有著顯著差異。
加拿大隱私專員辦公室(Office of the Privacy Commissioner of Canada)稱隱私評估是一種「預警系統」,透過確保政府機構合法合規並保護民眾隱私,來協助建立公眾信任。
隱私監察機構拒絕了採訪,表示其進行的隱私諮詢是保密的,但在一封電子郵件中重申,專員先前曾建議將PIA的義務納入法律。
據CBC取得的一份CBSA簡報文件,內部對於誰應負責 PIA 似乎存在混亂。文件顯示,最初的預期是由 IRCC 領導一個大型的隱私評估。
但在三年後的2022年底,IRCC通知CBSA和IRB,他們不再為「整個計劃」進行單一的PIA,而是「每個合作夥伴將各自負責自己的部分」。
文件顯示,隨後CBSA表示IRCC改變了做法,「並將範圍擴大到程式層級」的評估。
去年,當計劃意外終止時,CBSA表示PIA 是「一個懸而未決的問題」,IRCC 仍期望其他合作夥伴完成他們的隱私計劃。CBSA 的文件寫道:「然而,鑒於資金和資源的缺乏......還需要進一步討論。」
科爾頓審閱了這些內部文件,他形容各部門在隱私檢查上像是在玩「燙手山芋」(hot potato),而這原本應該是「最基本的基石」。
他說:「這就是 IRCC堅持以驚人的速度推動數位現代化的象徵,卻沒有事先確保所有適當的風險緩解措施都已到位。」
「難民領域是個不適合採取『快速行動,打破常規,然後再修復』這種測試方法的糟糕領域。」
安省倫敦市的難民律師威洛比(Greg Willoughby)表示,IRCC 寄給他的電子郵件「多到數不清」,這些郵件洩露了非他客戶的私人文件和高度敏感資訊。
威洛比說:「這似乎是系統性地缺乏對隱私和保密問題的關注。」他回憶起一個最糟糕的例子,IRCC竟將他一位客戶的資料郵寄給了在伊朗的家人——而這位客戶正是為了躲避這些家人而申請庇護,此舉直接讓這些家人得知了她的庇護申請。
威洛比說:「我想,這算什麼?這些人正是迫害她的幫兇啊。」
他接著說:「這對她來說真的極度創傷和有害。太可怕了。」
目前尚不清楚「庇護互通性計劃」中的數位更新,與威洛比近年經歷的隱私外洩事件是否有直接關聯。但威洛比警告,政府在追求效率和技術整合時,若沒有適當的隱私保護措施,將會「非常、非常危險」——尤其當資料有被惡意行為者不當存取的風險時。
「政府和移民部門應該保持高度警惕。這應該是首要考慮的事。」
IRCC在一份聲明中表示,合作夥伴之間所收集和分享的資訊類型並未改變,而是「該計劃創建了資訊科技介面,以確保這些資訊的安全傳輸」。
IRCC仍然聲稱其遵循財政部秘書處的指令——儘管該指令明確規定,特別是在「使用任何新或修改過的資訊技術」時,PIA 必須在實施計劃之前完成。IRCC 寫道:「政府合作夥伴之間的所有協議都包含強有力的保障措施。」
同時,CBSA表示他們「不再進行」隱私影響評估,並將此計劃的責任歸於 IRCC。一位發言人寫道:「CBSA 認可 PIA 流程的重要性。」
IRB則表示,當計劃啟動時,他們「仔細審視了隱私影響」,並認定其自有系統的現有 PIA 已經「充分解決」了隱私問題。
科爾頓表示,IRCC和IRB的回應「不充分」,因為「它無視了聯邦指令下的法律責任」。他說:「當使用新的或修改過的資訊科技或 IT 流程時,最基本的要求就是必須創建一份更新的 PIA。」
|
|
|
|
|
|
|
|
| A D V E R T I S E M E N T |
|
| |
| |
| |
|
|
| |
| A D V E R T I S E M E N T |
|
| |
| |
| |
|
|
|
| |
|
|
|
| [] [] [] [] [] [] |
|
|
|
| MING PAO DAILY NEWS |
| A wholly owned subsidary of Ming Pao Enterprise Corporation Ltd. |
|
|
1355 Huntingwood Drive, Scarborough, Ontario, Canada M1S 3J1
Tel.: (416) 321-0088 Fax: (416) 321-9663 Advertising Hotline Tel: (416) 673-8250
|
|
|
|
