專家促請政府 為企業提供更清晰身份證號碼處理指導原則 | 聯合早報

zaobao

憑身份證號碼進行身份驗證的做法不夠安全,受訪專家建議,政府應為企業提供更清晰的身份證號碼處理指導原則,明確界定身份證號碼是否仍然屬於高度敏感的隱秘信息,並探討是否將其他標識符,如外國身份證號、工作準證號和護照號等納入隱秘信息範圍。

身份證號碼或不再被視為隱秘資料,但仍屬個人資料。個人資料保護委員會(Personal Data Protection Commission,簡稱PDPC或個姿委)日前指出,個資委暫不修改現有準則,但計劃在向業界和公眾諮詢後更新相關指導原則。

對此,受訪資料保護法專家、數據保護官和律師相信,對身份證號碼作為標識符 (identifier)的根本政策保持不變,即身份證號碼的收集和使用仍受嚴格限制,但政府應提供更清晰的指導原則,明確更安全的身份驗證方式,尤其是在更安全的身份驗證方面。

以資料保護法專家身份受訪的新加坡法律學會首席執行官楊子健説,根據現行政策,只有在須高度準確識別身份或遵循法律要求的情況下,才能收集和使用完整身份證號碼。

延伸閲讀

[待政府更新身份證號指南 電信業再評估影響尋對策

](https://www.bdggg.com/2024/zaobao/news_2024_12_17_727083) [【早知】從隱秘到公開:身份證號碼保護與使用知多少?

](https://www.bdggg.com/2024/zaobao/news_2024_12_17_727081) 個資委也提議在無法使用完整身份證號碼時,可用部分身份證號碼作為替代標識符,但行業實踐卻是把部分身份證號碼用作客户身份驗證密碼的一部分。

楊子健舉例,不少行業已將部分身份證號碼與個人出生日期,組合作默認密碼,或加密發送給客户文件的密碼。

“因此,個資委提議將部分身份證號碼用作標識符的建議,逐漸演變成行業慣例,以此作為身份驗證密碼的一部分。然而,身份識別和身份驗證是兩個截然不同的概念,它們的功能也大不相同。”

由於個人已向許多機構披露身份證號碼,這些號碼已不再完全保密,一些公開查詢數據庫也已包含身份證號碼。楊子健説,個資委調查發現,多個機構使用容易猜測的密碼,存在嚴重數據安全風險,企業應重新審視把部分身份證號碼作為部分密碼的做法。

他認為,個資委預計會修訂身份證號碼作為標識符的使用政策,至於政策如何改變則拭目以待。

若數據不再視為隱秘資料 企業數據外泄受罰不公平

義正律師事務所(TSMP Law Corporation)聯合管理合夥人張祉盈,希望政府明確不再隱藏身份證號碼的新立場,會如何影響企業的數據收集和保護隱私義務。

她指出,根據個資委指導原則,機構通常不得收集、使用或披露身份證號碼,“這個指導原則顯然須要更新;如果政府不再將這些數據視為隱秘資料,企業因相關數據外泄而受到處罰是不公平的。”

她同樣認為,組合部分身份證號碼和出生日期不適合作為安全的身份驗證方式,因此希望政府明確未來更安全的驗證方式,特別是針對銀行交易等重要事務。

她強調,不法分子會不斷嘗試破解各種驗證方式,新的驗證技術也就須要不斷升級。

隱私忍者(Privacy Ninja)聯合創始人方紹宇為超過350家公司提供數據保護服務。他希望政府提供更明確的身份證號碼處理指導,明確身份證號碼是否仍屬於隱秘信息。

“一旦客户數據外泄涉及身份證號碼,相關機構會面臨嚴重處罰。隨着政府立場轉變,處罰標準是否也會調整?希望更新的指導原則能加以説明。”

一名不願具名、從事數據保護工作超過10年的專業人士説,根據個資委指導原則,“個人身份證號是不可替代的永久身份標識符,可能解鎖大量個人信息”,政府立場轉變可能在機構適應中引起混亂。

“我擔心身份盜竊事件增多,由於身份證號碼廣泛用於身份驗證(如在藥店取藥),這一變化可能導致本應保密的數據外泄。”

他建議,更新的指導原則應説明是否仍須隱藏部分身份證號碼,“鑑於身份證號碼已經公開,是否應把身份證號碼改為更隨機的數字序列?”

議員下月在國會提出停止隱藏身份證號碼相關詢問

會計與企業管制局BizFile網站最近更新,開放讓公眾查詢完整身份證號碼後又暫停功能。期間,關於個人信息的在線查詢次數、使用身份證號碼查詢次數,以及究竟有多少訪問量分別來自新加坡和海外IP地址,是裕廊集選區議員陳有明有意在國會提出的問題。

針對身份證保密問題引發的爭議,陳有明星期二(17日)晚間在臉書説,他將於下月國會復會時,向數碼發展及新聞部長楊莉明提出口頭詢問。

負責金文泰事務的陳有明説,一些居民對Bizfile網站可輕易查詢到完整身份證號碼感到驚訝,也擔憂個人信息是否安全;也有居民關注企業如何驗證來電者身份。

他想了解BizFile網站何時開始允許公開查詢身份證號碼,以及政府是否評估過這類網站帶來的身份盜竊和詐騙風險。他還詢問,政府為何決定停止隱藏部分身份證號碼的做法,及為何選擇在此時作出改變。

據《聯合早報》瞭解,今年7月初,智慧國及數碼政府工作團向所有政府部門和機構發出通知,宣佈政策轉變:不再將身份證號碼視為隱秘信息,並取消隱藏部分身份證號碼的做法。

此外,通知明確,從11月1日起,政府內部系統應停止隱藏部分身份證號碼,同時啓動公共教育工作。