随着政府不再把身份证号码当做隐秘的个人信息,个人资料保护委员会将相应更新个人资料保护法令中有关身份证号码的指导原则,与政府的新政策意图保持一致。
个人资料保护委员会(PDPC)星期六(12月14日)回应媒体询问时指出,委员会在完成业界和公众咨询之前,不会对现有的指导原则做进一步的修改。
数码发展及新闻部星期五(13日)晚上发布声明指出,我国长期以来一直采用隐藏部分身份证号码的做法,例如,把“S0123456A”处理为“****456A”,但当局如今认为这样做已没有必要和意义。公共机构因此正在逐步取消这种做法。
委员会回应时提醒公众,身份证号码不应当密码使用,就像姓名不应用作密码一样。任何已这么做的人都应立即更改密码。
身份证号仍受个人资料保护法约束
与其他个人识别码一样,身份证号仍然受个人资料保护法的约束,因此机构在索取身份证号时必须获得有效的许可,遵守合理使用的条件并确保数据获保护。
委员会之前也向那些因使用身份证号来验证身份,违反保护数据程序的机构采取行动。
个人资料保护法令(PDPA)2014年全面生效,主要规定商家在收集、使用与披露个人资料时,须征求消费者或客户同意。公共部门则不受个人资料保护法令管制。
根据2018年9月1日生效的更新版个人资料保护法令,只有在法律规定下,或有必要证明身份时,商家和业者才能向公众索取身份证号码。违例机构可面对最高100万元罚款。
资深媒体人、《海峡时报》前副总编辑默乐(Bertha Henson)星期四(12日)在脸书贴文中,阐述她在使用企管局Bizfile网站输入一些人的姓名时,搜索结果显示这些人士完整的身份证号码,引起不少公众对个人资料保护的关注。
默乐星期六受访时指出,政府有关身份证号码原来并非隐秘信息的说法,令她感到惊讶。她认为,要转变公众对身份证号的观念需要很长一段时间,也得包括改变私人领域的数据管理政策。
“坦白说,我认为由政府来决定我的身份证号是否是秘密,似乎有点专横。这应该由我自己决定。”
退休人士黄碧珠(66岁)星期五查询Bizfile网站时,发现自己的名字和身份证号码被公开时感到不安,尤其是在网络诈骗和虚假信息无处不在的时代。
“医院和银行目前都在使用这两个信息识别个人身份,这是否意味着任何人都能够冒充我的身份了?如果有人掌握我所有的个人信息,并跟我说一些令人害怕的消息,还谎称是政府部门人员,我在慌乱和恐惧之下,很可能会上当受骗。”
专家:或带来网络安全隐患
受访网络安全专家指出,虽然身份证号码本身不是高度敏感的信息,但如果和其他个人资料结合在一起,就可能带来网络安全隐患。他们希望当局能加强网络安全措施和公众教育,也建议公众对滥用个人信息提高警惕。
网络安全公司Check Point Software Technologies新加坡安全工程主管阿披舍克(Abhishek Kumar Singh)说,政府把身份证号码当成识别身份的方式,与验证身份的方式区别开来,可减少过度依赖用身份证号进行身份验证的情况。不过,在网络安全威胁日益严峻的时代,身份证号作为身份识别方式,还是能够跟其他信息交叉索引,导致信息被滥用的情况。
他认为,公开使用身份证号或会提高网络安全风险,网络罪犯可利用身份证号绕过身份验证系统,或创建用于网络钓鱼和社交工程攻击的身份,让身份盗窃、金融欺诈和账户泄露更容易发生。身份证号还可能在暗网上贩卖,用于各种诈骗活动。
公开使用身份证号的做法在其他国家也并不常见。阿披舍克举例说,美国把社会保障号码的使用限制在税收等特定用途;欧盟的数据保护条例则对所有个人数据实施严格的强制保护措施,包括身份识别的方式。
他说:“这些做法反映了全球共识,即公开这些号码会增加身份盗窃、欺诈和数据滥用的风险,强调了加强保护措施的必要。”
网络安全公司安通(UnThreats)董事总经理赖健荣指出,公开身份证号本身不会构成安全风险,除非与其他个人信息相结合,例如全名、年龄、地址、电邮等。全套的个人信息将可带来严重的网络安全风险,并可被加以利用展开恶意活动。
英国伦敦智库战略网络空间与国际研究中心的亚太区执行副总裁佘仰明则认为,每个人独有的身份证号,是比姓名更有效的身份识别方式。随着数码服务的普及化,身份证号作为身份识别工具被广泛使用,导致号码更容易被获取,从而提高被恶意利用的风险,这在所难免。
“公众尽可能保护好身份证号的同时,也不能认为它是一个保密的私人信息,尤其是在接到能够报出我们身份证号的来电时。要识别客户或潜在客户的商家,也应该改进识别和验证客户的流程。”
Keeper Security首席执行官兼联合创办人古乔内(Darren Guccione)建议公众定期检查线上和金融账户、学习如何识别网络钓鱼诈骗的迹象,并为账户开启多重认证等安全措施,来降低风险。企业也须实施更严格的数据安全措施,包括加强机密信息的权限管理、密码管理机制、加密和屏蔽重要的个人数据等。
立杰律师事务所科技、媒体及电信部门主管拉杰什(Rajesh Screenivasan)认为,各机构目前须要做的是,如何在日常运作时,根据新政策妥善处理身份证号码。
