身份識別和身份驗證有何區別？如何更好地保護個人資料？ | 聯合早報

會計與企業管制局網絡平台Bizfile可搜索到一些人完整身份證號碼事件，讓公眾感到困惑與不安。根據《個人資料保護法令》，身份證號碼屬於個人資料。政府的立場是：這些資料只能用作識別個人身份，不應用於驗證身份。

《聯合早報》整理了數碼發展及新聞部和財政部聯合記者會內容，為讀者解答相關疑問；同時説明個人和企業接下來該採取哪些做法，才能更好地保護個人資料。　

問：身份識別（identification）和身份驗證（authentication）有何區別？

答：“身份識別”，就是讓人知道你是誰。身份證號碼就好比個人姓名，具備識別身份的功能，但又比姓名更加獨一無二，因為同名同姓者不少，身份證號碼不可能重複。“身份驗證”，則是向對方證明你就是自稱的身份，必須經過身份驗證，才能獲取各種信息、服務、權限。

但是既為識別身份的工具，個人身份證號碼也和姓名一樣，不屬於完全機密資料，也總會有人能掌握我們的身份證號碼。因此，它不適合用來進行身份驗證。但是政府發現如今越來越多機構組織會要求客户以身份證號碼來驗證身份，一通過驗證就可獲取一些個人私密的資料如醫療記錄、銀行賬目等等。其實要驗證身份，不應使用身份證號碼，而應該通過不容易猜測的密碼、密碼生成器、面部識別等其他方式來進行。

延伸閲讀

[政府將加快宣導身份證號正確用法

](https://www.bdggg.com/2024/zaobao/news_2024_12_20_727804) [企管局誤解政府指示 導致Bizfile網站公開完整身份證號碼

](https://www.bdggg.com/2024/zaobao/news_2024_12_20_727810) 問：身份證和身份證號碼有何區別？

答：身份證和身份證號碼其實是兩回事。一個人可以用身份證來識別自己，也可以驗證我就是自稱的某某人。這是因為身份證上不僅有一組編號，還有頭像、指紋可查證；而且身份證不易偽造。

出示身份證以證實我就是身份證持有人，與光報出身份證號碼就聲稱自己就是自稱的身份，這兩種情況是截然不同的。

問：我們應該在什麼時候提供完整的身份證號碼？

答：政府提醒，在識別身份時，只有需要高度精準的情況，如到醫院接受治療或獲配處方、到酒店辦理入住、申辦手機，才需要提供完整身份證號碼識別身份，如患者必須確保醫生不會因為搞錯身份而開錯藥。

一般情況如商家抽獎活動、註冊為商場會員，兑換禮券等等，無需要求完整身份證號碼來識別身份。業者應該採用其他的替代驗證方式，如索取客户的電郵地址、手機號碼，來識別客户身份。

問：目前隱蔽部分身份證號碼，只公開後面四個號碼和字母的方式，為什麼不再適用？

答：正因為如今許多商家採取身份證號碼部分隱蔽，只要求最後四個號碼和字母識別身份，公眾會以為既然身份證號碼沒有全部公開，那就還是安全的。政府提醒其實不然，因為單憑最後四個號碼和字母也能查出完整的身份證號碼。繼續沿用這個方法，只會給公眾製造假象以為很安全，形同“虛假的安全感”（false sense of security），反而更讓人放鬆警惕，更輕易地提供部分身份證號碼。

問：接下來公眾應怎麼做？

答：由於身份證號碼不是保密資料，公眾不應以它來設定密碼。已經這麼做的人，為確保安全，應馬上修改密碼。

政府提醒，如果接到來電，而對方又能説出你的身份證號碼，這也並不代表對方就是官方人員。相反地，公眾應該提高警惕，避免透露更多個人信息或回應對方要求，或依照指示行事，否則可能掉入詐騙陷阱。

想了解如何正確處理身份證號碼，可查詢個人資料保護委員會在2018年發佈的指導原則。 

問：已收集個人身份證號碼的企業和組織，接下來該怎麼做？

答：如果有企業和組織使用個人部分或完整的身份證號碼，用作密碼或驗證用途，這樣的做法並不安全，應該儘快停止這麼做。

但是企業和組織還是可以繼續負責任地收集和使用個人身份證號碼。不過處理這些資料須格外謹慎，除非有充分理由，否則不應公佈個人身份證號碼，也不應繼續使用部分或完整身份證號碼進行身份驗證。

政府會在明年展開公眾諮詢，收集各方反應之後，才更新2018年個人資料保護委員會發布的指導原則。