【最新】【移民部数码化申请】有部分申请人隐私或已曝光(图)
发布 : 2025-9-08 来源 : 明报即时新闻网 用微信扫描二维码,分享至好友和朋友圈 | 加关注  明声网温哥华 微信公众号 |
【明报专讯】加拿大庇护系统的隐私保护存有漏洞,联邦政府斥资6800万元的计划竟未完成强制性安全测试。
据CBC News获悉,三个政府机构在合作进行一项价值6,800万元的计划,旨在改造加拿大的庇护系统。然而,该计划在实施多年期间,却未能完成强制性的隐私保护测试。
有律师指出,这种隐私保护措施的缺失引发了「危险讯号」,可能让难民申请人的资料和申请处于风险之中。
加拿大移民、难民及公民部(Immigration, Refugees and Citizenship Canada,IRCC)、加拿大边境服务局(Canada Border Services Agency, CBSA)以及移民及难民局(Immigration and Refugee Board, IRB)共同推动这项「庇护互通性计划」(asylum interoperability project),目标是将庇护系统转变为更有效率的数位化模式,并解决不断增加的待审庇护申请积压问题,目前积压量已超过29万件。
这项于2019年启动的计划,在2024年被CBSA称作「意料之外」的举动中,提前终止。
现在,透过《自由资讯法》(access-to-information legislation)获得的文件显示,这项在完成度仅达64%时悄然终止的计划,存在「尚未完成」的隐私影响评估(privacy impact assessments,简称 PIA)。
据一份政府的数位隐私指南(digital privacy playbook),PIA 是一种「在潜在隐私风险发生前,进行识别、评估和缓解的政策程序」。该指南明确指出:「所有这些步骤都必须在计划启动前完成。」
虽然这项互通性计划现已取消,但它已经实施了改变资料数位收集和使用方式的措施。专门处理移民与难民法、同时也从事隐私法业务的律师安德鲁.科尔顿(Andrew Koltun)表示,完成PIA仍然是风险识别过程中的重要一环。
然而,这些部门在回覆 CBC 的电子邮件中表示,这些隐私评估仍然未完成。IRCC称其正在起草该部门的PIA部分,预计在2025年底前完成。
科尔顿说,这些评估至今仍未完成,这引发了「很多危险讯号」。他表示:「不幸的是,如果你没有隐私影响评估,资料被泄露并被恶意行为者获取的风险就会大大增加。」
加拿大财政部秘书处(Treasury Board of Canada Secretariat)的指令要求,当机构计划「实质性修改」出于行政目的而收集和使用资讯的方式时,必须在启动或更新计划「之前」,完成这种隐私健康检查。
这项庇护互通性计划建立了一个线上难民申请流程,这与过去的纸本申请有著显著差异。
加拿大隐私专员办公室(Office of the Privacy Commissioner of Canada)称隐私评估是一种「预警系统」,透过确保政府机构合法合规并保护民众隐私,来协助建立公众信任。
隐私监察机构拒绝了采访,表示其进行的隐私谘询是保密的,但在一封电子邮件中重申,专员先前曾建议将PIA的义务纳入法律。
据CBC取得的一份CBSA简报文件,内部对于谁应负责 PIA 似乎存在混乱。文件显示,最初的预期是由 IRCC 领导一个大型的隐私评估。
但在三年后的2022年底,IRCC通知CBSA和IRB,他们不再为「整个计划」进行单一的PIA,而是「每个合作夥伴将各自负责自己的部分」。
文件显示,随后CBSA表示IRCC改变了做法,「并将范围扩大到程式层级」的评估。
去年,当计划意外终止时,CBSA表示PIA 是「一个悬而未决的问题」,IRCC 仍期望其他合作夥伴完成他们的隐私计划。CBSA 的文件写道:「然而,鉴于资金和资源的缺乏......还需要进一步讨论。」
科尔顿审阅了这些内部文件,他形容各部门在隐私检查上像是在玩「烫手山芋」(hot potato),而这原本应该是「最基本的基石」。
他说:「这就是 IRCC坚持以惊人的速度推动数位现代化的象徵,却没有事先确保所有适当的风险缓解措施都已到位。」
「难民领域是个不适合采取『快速行动,打破常规,然后再修复』这种测试方法的糟糕领域。」
安省伦敦市的难民律师威洛比(Greg Willoughby)表示,IRCC 寄给他的电子邮件「多到数不清」,这些邮件泄露了非他客户的私人文件和高度敏感资讯。
威洛比说:「这似乎是系统性地缺乏对隐私和保密问题的关注。」他回忆起一个最糟糕的例子,IRCC竟将他一位客户的资料邮寄给了在伊朗的家人——而这位客户正是为了躲避这些家人而申请庇护,此举直接让这些家人得知了她的庇护申请。
威洛比说:「我想,这算什么?这些人正是迫害她的帮凶啊。」
他接著说:「这对她来说真的极度创伤和有害。太可怕了。」
目前尚不清楚「庇护互通性计划」中的数位更新,与威洛比近年经历的隐私外泄事件是否有直接关联。但威洛比警告,政府在追求效率和技术整合时,若没有适当的隐私保护措施,将会「非常、非常危险」——尤其当资料有被恶意行为者不当存取的风险时。
「政府和移民部门应该保持高度警惕。这应该是首要考虑的事。」
IRCC在一份声明中表示,合作夥伴之间所收集和分享的资讯类型并未改变,而是「该计划创建了资讯科技介面,以确保这些资讯的安全传输」。
IRCC仍然声称其遵循财政部秘书处的指令——尽管该指令明确规定,特别是在「使用任何新或修改过的资讯技术」时,PIA 必须在实施计划之前完成。IRCC 写道:「政府合作夥伴之间的所有协议都包含强有力的保障措施。」
同时,CBSA表示他们「不再进行」隐私影响评估,并将此计划的责任归于 IRCC。一位发言人写道:「CBSA 认可 PIA 流程的重要性。」
IRB则表示,当计划启动时,他们「仔细审视了隐私影响」,并认定其自有系统的现有 PIA 已经「充分解决」了隐私问题。
科尔顿表示,IRCC和IRB的回应「不充分」,因为「它无视了联邦指令下的法律责任」。他说:「当使用新的或修改过的资讯科技或 IT 流程时,最基本的要求就是必须创建一份更新的 PIA。」