社论:保护身份资料措施来得及时

字体大小:

社论 

个人资料保护委员会日前发出最新的咨询指导原则,从明年9月起加强保护消费者的身份证资料,阻止任意或不公正收集、使用及公开个人身份证号码,或扣下身份证的做法。在黑客盗取个人资料事件频发的数码经济时代,任何加强保护个人资料的举措都是及时的。不过,在没有比身份证更有效的认证办法的情况下,对身份证明文件的保护,可能引发对其他个人资料遭滥用的疑虑。

《个人保护资料法令》2012年在国会通过,不同的章节在2013年至2014年分阶段生效。之前的指导原则呼吁业者避免索取过多个人资料,同时保护好消费者的身份证号码。委员会去年底制订新的指导原则,加强对身份证明文件如身份证、护照、工作准证、出生证及外籍人士身份证等的保护,并就此展开公众咨询。

根据新指导原则,到诊所看病、订购新移动电话服务配套、入住酒店、到按摩院按摩、买香烟、进入学前教育中心、买卖房地产、购买保险和索赔、进行身体检查和索取医药报告、与信贷相关的背景调查等等,业者可以要求公众提供身份证资料。商业大楼或私人公寓可以要求访客出示证件,以查核身份,但核实后须立即归还,不能扣下证件。

本地业者索取个人身份证资料或以身份证换取访客证的做法由来已久,许多机构掌握了大量敏感的个人资料。多数国人知道身份证资料非常重要,但保护个人资料的意识并不强烈;人们可以为了参加幸运抽奖,不加质疑地公开身份证号码。此外,黑客入侵数据库盗取资料的情况越来越频密,例如最近新加坡保健集团150万名病患的个人资料被盗、优步38万本地用户资料外泄等,还有像退出市场的共享脚踏车业者oBike会否负责任地保护用户资料等状况,在在显示个人资料保护的脆弱性,也突显加强保护措施变得更加刻不容缓。

身份证号码、联系电话号码、生日、住家地址等资料看似没有太大的商业价值,但有心人士可以利用它们拼凑出资料主人的完整概况,甚至通过社会工程学猜测出密码,进而盗用身份;或者作为二次攻击的基本工具,当事人可能会收到更多的诈骗电话或钓鱼邮件,犯罪分子只须得手一次,就可以让当事人破财。这也是为什么新保集团病患资料外泄后,必须尽快通知所有病患,以防有人利用这些资料进行欺诈。

总的来说,除了上述提到的许可情况,以及法律规定必须证明身份的情况,公众遇到其他扣下身份证的要求,基本上都可以拒绝配合,或者提供手机号码或身份证号码后三个位数及英文字母,供对方核实身份。政府部门、法定机构和国家机关等公共机构不受新指导原则影响,因为相关的法令条文不涵盖公共机构,这种情况可能造成公众的混乱。

此外,减少使用身份证资料,意味着必须使用其他可替代的认证办法。新指导原则鼓励提供手机号码或电邮地址,这可能加剧不良商家滥发垃圾短信和垃圾电邮的非法广告问题。手机号码和电邮地址虽然可以更换,但它们已经成为另一种个人身份资料;手机号码已经和我们的银行账户相关联,人们可以通过手机号码转账。这说明它们也应该受到更多的保护。事实上,虽然消费者可以登记“谢绝来电”,一劳永逸谢绝广告电话和短信,但目前仍无法完全阻止滥发垃圾短信的行为,尤其是大耳窿、放贷公司、非法博彩业者等处于灰黑色地带的个人和商业机构。

很显然,我们缺乏可以取代身份证、成本相对较低的认证系统。全国职工总会就估计,改用其他认证系统,需要5年到10年时间和数千万元费用。使用生物识别也许将成为未来认证系统的主流,例如开发可以运用手机指纹识别功能的应用,但开发成本也不低。因此,目前看来,手机号码和电邮地址未来将变得更公开。

在数码经济和大数据时代,掌握数据就是赢家,个人资料将成为机构最重要的资产。保护好个人资料,有助于提升用户信心,有利于电子政府、无现金交易等的推行与普及化。因此,加强对个人资料的保护是及时和必要的。

LIKE我们的官方脸书网页以获取更多新信息