新加坡政府不再将身份证号码视为隐秘信息,但这不表示企业和机构可以掉以轻心。在个人资料保护委员会新的指导原则出台之前,鉴于个人资料保护法令未有任何更改,企业和机构仍应继续隐藏部分身份证号。
受访法律专家提醒公众,切勿使用包括身份证号码在内的身份信息作为密码。企业机构也必须停止使用身份证号码进行验证和身份认证,并加强遵守行业用户身份验证标准。
以资料保护法专家身份受访的新加坡法律学会首席执行官杨子健说,随着政策即将改变,公众须意识到更多机构将持有他们的身份证号码。切勿因为对方知道自己的身份证号码就放松警惕,误以为对方一定是合法机构或人员。
“机构也必须更加谨慎地遵守现行行业标准和用户身份验证规范,停止使用包括身份证号码在内的识别信息作为密码,如果还没这么做的话,就应该立即执行。”
12月12日,会计与企业管制局BizFile网站搜索功能会显示完整身份证号码的信息一经传出,引发关注。数码发展及新闻部随后声明,政府认为隐藏部分身份证号码的做法已无必要,公共机构正逐步取消这种做法。
PDPC:完成业界和公众咨询前
不修改现有准则
两天后,个人资料保护委员会(Personal Data Protection Commission,简称PDPC)指出,它将更新相关指导原则以配合政府的新政策,但在完成业界和公众咨询前,不会修改现有准则。委员会也提醒公众,切勿使用身份证号码作为密码,如有应立即更改。
杨子健认为,或可改进企管局BizFile网站的搜索功能和屏幕流程设计,以更好地保护身份证号码和姓名。“我注意到搜索功能暂时不能用,希望他们正在修改屏幕流程。”
新加坡管理大学杨邦孝法学院副教授陈庆文说,身份证号码不太可能被随意公开,但在某些情况下可被搜获,为了谨慎起见,最好不要使用身份证号码作为密码。
陈庆文说,即使计划不再隐藏部分身份证号码,企业和机构也绝不能掉以轻心,对待身份证号码仍须谨慎。(档案照片)
“身份证号码是独特的身份识别码,但未必只有自己知道,用身份证号码当密码,根本就不是个好主意,它从来都不是个强密码。”
他认为,企业机构应停止使用身份证号码进行验证和身份认证,也应采用超过一种验证机制。
新加坡主要通过个人资料保护法(PDPA)保障个人数据,但公共部门不受法令管制,而是由公共部门(治理)法令规范个人资料的收集、使用、共享和处置。
不过,由于不少新加坡人已经内化了不公开个人完整身份证号码的做法,陈庆文认为还是应当给予个人隐藏部分身份证号码的选项。“数据保护的关键就是只在必要时,才披露个人的资料。”
义正律师事务所(TSMP Law Corporation)诉讼与纠纷解决部门合伙人王佩晶律师认为,披露任何个人信息始终存在身份盗窃或欺诈的风险。
王佩晶说,披露任何个人信息始终存在身份盗窃或欺诈的风险。要降低恶意使用的风险,像银行这类可能会显著影响个人事务的组织,应建立健全的身份验证流程,例如实施双重身份验证(2FA)政策。(义正律师事务所提供)
“为了降低恶意使用的风险,可能会显著影响个人事务的组织(例如银行),应建立健全的身份验证流程,例如实施双重身份验证(2FA)政策。”
她认为,若必须高度准确地验证客户的身份,也不该仅仅依靠身份证号码进行验证和身份认证。“这可能意味着要求个人通过密码、机构签发的二维码、生物识别数据或查看实体身份证来证明身份。”
王佩晶也提醒公众不应使用其身份证号码作为密码。“如果有人这样做,应立即更改密码。个人也不应使用容易猜到的数字或单词作为密码,例如出生日期或手机号码。”
点击文末左下角阅读原文(Read more)。
相关阅读:
文:傅丽云
我们入驻小红书啦!
请关注《联合早报》官方账号
带给你新加坡最“红”资讯
