不再認為身份證號碼應隱秘政府將更新PDPA相關指導原則 | 聯合早報

zaobao

2024-12-15

隨着政府不再把身份證號碼當做隱秘的個人信息，個人資料保護委員會將相應更新個人資料保護法令中有關身份證號碼的指導原則，與政府的新政策意圖保持一致。

個人資料保護委員會（PDPC）星期六（12月14日）回應媒體詢問時指出，委員會在完成業界和公眾諮詢之前，不會對現有的指導原則做進一步的修改。

數碼發展及新聞部星期五（13日）晚上發佈聲明指出，我國長期以來一直採用隱藏部分身份證號碼的做法，例如，把“S0123456A”處理為“****456A”，但當局如今認為這樣做已沒有必要和意義。公共機構因此正在逐步取消這種做法。

委員會回應時提醒公眾，身份證號碼不應當密碼使用，就像姓名不應用作密碼一樣。任何已這麼做的人都應立即更改密碼。

身份證號仍受個人資料保護法約束

與其他個人識別碼一樣，身份證號仍然受個人資料保護法的約束，因此機構在索取身份證號時必須獲得有效的許可，遵守合理使用的條件並確保數據獲保護。

延伸閲讀

[企管局平台可免費查獲身份證號引發個資保護關注

](https://www.bdggg.com/2024/zaobao/news_2024_12_14_726497) [數碼部：政府有意宣導執行身份證號碼將取消部分隱蔽可公開使用

](https://www.bdggg.com/2024/zaobao/news_2024_12_14_726576) 委員會之前也向那些因使用身份證號來驗證身份，違反保護數據程序的機構採取行動。

個人資料保護法令（PDPA）2014年全面生效，主要規定商家在收集、使用與披露個人資料時，須徵求消費者或客户同意。公共部門則不受個人資料保護法令管制。

根據2019年9月1日生效的更新版個人資料保護法令，只有在法律規定下，或有必要證明身份時，商家和業者才能向公眾索取身份證號碼。違例機構可面對最高100萬元罰款。

資深媒體人、《海峽時報》前副總編輯默樂（Bertha Henson）星期四（12日）在臉書貼文中，闡述她在使用企管局Bizfile網站輸入一些人的姓名時，搜索結果顯示這些人士完整的身份證號碼，引起不少公眾對個人資料保護的關注。

默樂星期六受訪時指出，政府有關身份證號碼原來並非隱秘信息的説法，令她感到驚訝。她認為，要轉變公眾對身份證號的觀念需要很長一段時間，也得包括改變私人領域的數據管理政策。

“坦白説，我認為由政府來決定我的身份證號是否是秘密，似乎有點專橫。這應該由我自己決定。”

退休人士黃碧珠（66歲）星期五查詢Bizfile網站時，發現自己的名字和身份證號碼被公開時感到不安，尤其是在網絡詐騙和虛假信息無處不在的時代。

“醫院和銀行目前都在使用這兩個信息識別個人身份，這是否意味着任何人都能夠冒充我的身份了？如果有人掌握我所有的個人信息，並跟我説一些令人害怕的消息，還謊稱是政府部門人員，我在慌亂和恐懼之下，很可能會上當受騙。”

專家：或帶來網絡安全隱患

受訪網絡安全專家指出，雖然身份證號碼本身不是高度敏感的信息，但如果和其他個人資料結合在一起，就可能帶來網絡安全隱患。他們希望當局能加強網絡安全措施和公眾教育，也建議公眾對濫用個人信息提高警惕。

網絡安全公司Check Point Software Technologies新加坡安全工程主管阿披舍克（Abhishek Kumar Singh）説，政府把身份證號碼當成識別身份的方式，與驗證身份的方式區別開來，可減少過度依賴用身份證號進行身份驗證的情況。不過，在網絡安全威脅日益嚴峻的時代，身份證號作為身份識別方式，還是能夠跟其他信息交叉索引，導致信息被濫用的情況。

他認為，公開使用身份證號或會提高網絡安全風險，網絡罪犯可利用身份證號繞過身份驗證系統，或創建用於網絡釣魚和社交工程攻擊的身份，讓身份盜竊、金融欺詐和賬户泄露更容易發生。身份證號還可能在暗網上販賣，用於各種詐騙活動。

公開使用身份證號的做法在其他國家也並不常見。阿披舍克舉例説，美國把社會保障號碼的使用限制在税收等特定用途；歐盟的數據保護條例則對所有個人數據實施嚴格的強制保護措施，包括身份識別的方式。

他説：“這些做法反映了全球共識，即公開這些號碼會增加身份盜竊、欺詐和數據濫用的風險，強調了加強保護措施的必要。”

網絡安全公司安通（UnThreats）董事總經理賴健榮指出，公開身份證號本身不會構成安全風險，除非與其他個人信息相結合，例如全名、年齡、地址、電郵等。全套的個人信息將可帶來嚴重的網絡安全風險，並可被加以利用展開惡意活動。

英國倫敦智庫戰略網絡空間與國際研究中心的亞太區執行副總裁佘仰明則認為，每個人獨有的身份證號，是比姓名更有效的身份識別方式。隨着數碼服務的普及化，身份證號作為身份識別工具被廣泛使用，導致號碼更容易被獲取，從而提高被惡意利用的風險，這在所難免。

“公眾儘可能保護好身份證號的同時，也不能認為它是一個保密的私人信息，尤其是在接到能夠報出我們身份證號的來電時。要識別客户或潛在客户的商家，也應該改進識別和驗證客户的流程。”

Keeper Security首席執行官兼聯合創辦人古喬內（Darren Guccione）建議公眾定期檢查線上和金融賬户、學習如何識別網絡釣魚詐騙的跡象，併為賬户開啓多重認證等安全措施，來降低風險。企業也須實施更嚴格的數據安全措施，包括加強機密信息的權限管理、密碼管理機制、加密和屏蔽重要的個人數據等。

立傑律師事務所科技、媒體及電信部門主管拉傑什（Rajesh Sreenivasan）認為，各機構目前須要做的是，如何在日常運作時，根據新政策妥善處理身份證號碼。