在印尼进入许多大楼时,访客被要求在门卫处留下身份证(KTP)或拍照留底,否则无法进入。这种做法虽普遍,但已引发对个人数据保护的担忧。ELSAM研究员指出,这种要求与进入大楼的活动无关,属于过度收集个人数据,违反了个人信息保护原则。
收集身份证和自拍并非必要,超出了安全管理所需。此举不满足“目的限定、数据相关”的法律要求,可能构成违法。印尼自2022年起实施《个人数据保护法》,严格规定了个人数据的收集、处理和存储,并设有相应罚则。按法律要求,个人数据保护监督机构本应在2024年10月前成立,但至今尚未完全落实,导致法律执行受阻。专家呼吁采用更安全的验证方式,管理方应探索无需留存身份证和照片的验证方式,如门禁卡、二维码等,以保障公众隐私和活动自由。隐私保护应“默认开启”(by default)并融入系统设计,受限区域的管理方有责任落实此原则。网络安全专家强调,身份证照片和自拍本身并非可靠的身份验证工具。安全风险关键在于数据存储和管理是否安全,一旦泄露,可能被用于AI换脸等恶意行为。
