为更有效保障公民个人资料安全,私人企业应尽快停止仍使用完整或部分身份证号码作为身份验证的方式。
这包括不应再将身份证号码设为默认密码(例如用于加密电邮附件的密码),也不应将身份证号码与其他容易获取的个人信息组合成密码,例如将身份证尾号与出生日期结合,如“567A01Jan80”。
相关指南已经发布
数码发展及新闻部星期四(6月26日)发文告指出,若确有必要验证身份,私人企业应考虑改用其他方式,比如强密码、密码生成器(security token)或指纹识别等。
网络安全局(CSA)与个人资料保护委员会(PDPC)也联合发布相关指南,指导私人企业停用以身份证号码作为身份验证方法。
指南已上载到这两家机构的官网。政府也正与金融、医疗、电信等受监管行业合作,预计在未来数月内发布各行业专属的详细指导原则。
国务资政李显龙星期四晚上在脸书贴文,提醒民众养成良好的自我保护习惯,例如使用较强密码或密码生成器,并保持警惕,防范各种诈骗或未经授权获取个人信息的行为。“政府将与公司、组织和个人合作,保护新加坡人和我们的数据。”
李资政也解释为何可使用身份证,而非身份证号码来证明一个人的身份,这是因为身份证不易伪造,它会显示个人照片和指纹,从而与持卡者进行匹配验证。
“身份证号码缺乏这些安全功能。知道你身份证号码的冒名顶替者或不法分子可能冒充你,试图登录仅供你使用的服务或信息。因此,银行或政府机构等服务提供商,不得接受身份证号码用于这类目的。”
中小企业商会:盼明确范围与实施时间表
中小企业商会(ASME)会长洪煜回复《联合早报》询问时说,希望数码部能够更清楚说明这项指南的适用范围,以及落实的时间表。
他说,多数中小企业早已不再将身份证号码或身份证后最后四个号码作为唯一识别码,这在业界已普遍实施一段时间。
不过,在一些常见的情况,例如报读课程或进出大楼的访客登记,身份证号码仍常用于身份核实。
他说,若数码部能明确说明指南是否适用于所有情境,或清楚列出具体的例外情况,将有助于企业更清楚地理解和遵守相关规定。
洪煜也说,商会将协助向会员和中小企业传达最新指南,并通过商会的人工智能与数码化行动小组,探讨是否有必要制定更具体的技术实施指南,协助中小企业顺利过渡。
他指出,若当局能提供实施指南的时间表,也有助于企业规划过渡流程。
电信公司SIMBA的发言人说,公司正在详细审查数码部提出的相关建议。
“客户个人数据的安全始终是我们的首要任务。在评估任何必要调整时,我们将继续秉持最高的数据保护标准。”
政府自今年1月起,已着手规范私营领域对身份证号码的使用方式,以加强保护国人的资料。
文告指出,政府将持续确保公民个人资料的安全使用,且仅限于正当用途。
尽管机构仍可在电话或使用数码服务时,将身份证号码用于识别用途,但身份证号码不应作为身份验证方式,用于获取专属个人的服务或资料。
目前,一些私营企业仍要求用户以身份证号码作为密码以查阅个人信息,如保险文件等。这种做法存在安全风险,因为别人可能已知道有关用户的身份证号码,任何知情者都可能冒用身份,轻易获取当事人的资料或记录。
银行界根据政府指南 探索其他验证身份方法
新加坡银行公会常务主任洪爱雯星期四发声明说,银行界正根据政府发布的指南,探索其他验证身份的方法。
她重申,正如公会去年12月19日发布的文告所述,银行客户无法仅凭身份证号码进行付款和转账等资金交易,并须采用多重身份验证。
