针对政府不再视身份证号为个人隐秘信息,受影响领域的企业受询时多表示,现阶段它们需掌握更多信息,暂时无法提供应对方案,且需要等待多方机构更新数据治理指南后,才能评估新政策对运营的影响。
电信业是收集身份证号的主要行业之一。
新电信(Singtel)新加坡首席执行官黄天聪答复《联合早报》询问时说,公司正在等待个人资料保护委员会(Personal Data Protection Commission,简称PDPC)关于数据治理指南的更新,随后再评估对运营的影响。“我们明白隐私对客户的重要,并将尽最大努力保护他们的个人信息。”
星和受访时则表示,公司正在等待资讯通信媒体发展局(IMDA)发出更新指南。
根据资讯通信媒体发展局《订户验证流程指南》,电信商最好在通过电话、网站、移动应用或面对面交流时,要求用户提供包括身份证号在内的基本个人信息以加以验证。
根据这份现行指南,任何涉及“金钱影响”,或披露账单及用户记录的服务,包括重新签订合同、终止服务以及购买增值服务时,电信商须验证基本信息以外的订户独有信息(如安全问题),或者采取一次性密码或生物特征等措施。
也就是说,当身份证号码不能再用来核实身份时,电信业或要用别的方法来验证或核实用户。
与此同时,根据2018年9月通过的更新版个人资料保护法令及相关指南,只有在法律规定,或极其必要的情况下,业者才能向公众索取身份证号。根据现行指南,这些情况包括保险索赔、金融产品申请以及电信服务等。
银行公会未就新政策作出说明
银行业是收集身份证号的另一主要行业。
新加坡银行公会现行的《银行业务行为守则(个人数据保护法)》并未对身份证号的具体使用情况作出说明,仅指出银行须在任何用户访问前验证身份,例如查看身份证。
这份守则指出,在银行环境中,在与非公开的财务信息结合使用时,个人的全名、别名或完整的身份证号码,将被视为敏感数据。这意味着,这些信息的泄露可能对个人造成重大伤害。
《联合早报》就身份证号码在银行业的使用情况,以及这守则是否会随着政府指引改变而加以更新,向银行公会查证。截至发稿时间,银行公会未作出说明。
据了解,本地大部分银行在验证用户身份时,已使用包括一次性密码(OTP)和生物特征等验证方式。不过,一些情况还会使用身份证号作为用户验证的一部分,尤其是银行客服热线服务。
譬如,信用卡用户可通过银行热线服务,在提供全名和电话或身份证号后,即可“锁卡”。近期,就发生有国人到外地旅游期间遭人冒充身份,以丢失财物为由向银行要求取消他的信用卡。
也就是说,政府不再视身份证号为个人隐秘信息后,银行业需要用别的方法,来验证或核实用户身份。
资料保护法专家:远程验证接下来须使用更可靠途径
新加坡法律学会首席执行官杨子健以资料保护法专家身份接受《联合早报》采访时说,当客户亲身出现在前线员工面前时,目前的身份验证做法基本无须改变:这通常是个人出示有效身份证让前线员工确认。此外,职员也通常会复印身份证作为记录,这种做法预计会继续。
相比之下,远程身份验证一直是较为困难。杨子健说:“我认为对于身份证号使用指引的更新,并未带来任何改变。远程验证须依赖可信的途径,例如SingPass和MyInfo。”
