身份證號碼公開事件 涉事政府部門的六大缺失 | 聯合早報

檢討小組發現，數碼發展及新聞部以及會計與企業管理局存在六大缺失，導致企管局Bizfile平台公開大量完整身份證號碼，引起公眾不滿。

缺失一：數碼部發出的內部通知不夠精準

數碼部在2024年7月發佈內部通知，指出計劃最遲在2024年11月1日停止使用身份證號碼來驗證身份，以及停止任何隱藏身份證號碼的新做法，但報告發現這項政策溝通不夠清晰明確。通告指出，各機構應立即停止任何計劃隱藏身份證號碼的做法，例如在新業務流程或數碼產品中。在關於各機構應如何處理現有系統中隱藏身份證號碼的問答部分，數碼部説，應顯示完整的身份證號碼，或考慮是否有必要使用身份證號碼。

小組認為，這既然是一項複雜的政策，數碼部的通知應精確並提供更多背景信息，“這將有助於像企管局這樣的機構更好地理解內部通知”。

此外，儘管數碼部和企管局進行了多次電郵溝通，但都沒有對誤解進行有效交流。例如，數碼部沒有明確將個人搜索功能歸類為“現有用途”而非“計劃用途”，也就不必停止隱藏身份證號碼的做法；企管局也沒有説明他們如何詮釋數碼部的指示。

數碼部承諾強化內部流程和員工培訓，確保未來有關政策的溝通能夠做到清晰、完整。數碼部也已提醒有關機構，當局對於個人信息管理的現有政策和標準。

延伸閲讀

[身份證號碼公開事件 涉事人員無刻意不當行為

](https://www.bdggg.com/2025/zaobao/news_2025_03_04_743355) [身份證號碼公開事件——數碼部與企管局溝通誤解始末

](https://www.bdggg.com/2025/zaobao/news_2025_03_04_743351)

缺失二：企管局內部溝通存在問題

檢討小組發現，企管局在針對新規的內部溝通中存在疏漏。例如，參加了數碼部説明會的企管局職員，並沒有將説明會上分享的信息和數碼部發出的常見問答，轉發給所有收到了內部通知的職員。

這導致包括項目負責人和企管局高層在內的人，沒有獲得與內部通知有關的所有信息，進而做出了在個人搜索中公開完整身份證號碼的決定。

企管局承諾優化內部與機構間的溝通流程，並加強職員培訓，確保充分共享關鍵信息，讓決策者做出正確判斷。

缺失三：數碼部應更關注新規在複雜情況下的應用

檢討小組認為，數碼部在要求機構不在新的項目中隱藏身份證號碼時，應該更關注那些複雜的個案。

與很多政府機構一對一的服務不同，企管局的Bizfile平台是面向公眾的公共登記處，存在向第三方提供大量信息的可能，應用場景更為複雜。

因此，數碼部應當提供額外的政策指導，確保當機構判定須使用完整身份證號碼時，能設立所需安保機制。

數碼局在回應檢討報告時，承諾會進一步指導有關機構如何應用與身份證號碼有關的政策。數碼局已辨別近800例各有不同的身份證號碼使用情況，並會分別與這些機構合作，支持它們更好地分析各自情況。

缺失四：企管局沒有平衡獲取完整身份證號碼的需求與獲取難度

從公共利益角度出發，能夠獲取完整的身份證號碼有助確保企業透明度，但號碼太易獲取又會讓人覺得泄露了個人信息。檢討小組認為，企管局決定在個人搜索中公開完整身份證號碼時，沒有平衡好這兩種訴求。

檢討小組認為，企管局應該充分考慮其他代替方案，確保所提供的信息足以讓搜索者識別併購買他們想要的資料。

企管局承諾，將進行更多定期系統審查，評估數據安全和風險，並實施適當的安全措施，特別是在重大的系統變更之前、期間與之後，以確保安全措施更新到位。

缺失五：企管局個人搜索功能沒有配置恰當的安全措施

企管局下線個人搜索功能後，通過政府科技局（GovTech）檢討這個功能的安全措施，發現包括驗證碼（CAPTCHA）在內的部分安全措施沒有安裝到位。這意味着，在12月9日至13日間，存在使用算法獲取信息的可能性。

企管局已立刻要求承包商解決這個問題，並在12月28日，即再次上線個人搜索功能之前已修復。檢討小組認為，儘管這項工作是外包的，但歸根結底，企管局須為這個缺失負責。

企管局承諾加強對承包商的監督，確保系統安裝高效和符合標準。企管局也會加強對承包商的管理框架，並在推出新系統前進行更多測試。

缺失六：身份證號碼公開事件發生後的處理方式不盡人意

檢討小組指出，身份證號碼公開事件引起公眾注意後，數碼部和企管局應該更快採取行動，評估事件發生的根本原因。同時，企管局也應在事件引發公眾憂慮後，在12月12日更早地下線個人搜索功能。

小組也認為，不同機構間應該更好地協調，更充分地回應公眾對於身份證號碼公開事件的擔憂。此外，在事件發生後，向公眾解釋身份證號碼的正確使用場景時，也應該更加清晰。