为了更有效保障公民个人资料安全,仍使用完整或部分身份证号码作为身份验证方式的私人企业,应尽快停止这个做法。
这包括不应再将身份证号码设为默认密码(例如用于加密电邮附件的密码),也不应将身份证号码与其他容易获取的个人信息组合成密码,例如将身份证尾号与出生日期结合,如“567A01Jan80”。
数码发展及新闻部星期四(6月26日)发文告指出,若确有必要进行身份验证,私人机构应考虑改用其他方式,比如强密码、密码生成器(security token)或指纹识别等。
个人资料保护委员会(PDPC)与新加坡网络安全局(CSA)也联合发布建议,指导私人企业停止以身份证号码作为身份验证方法。
指导原则已上载到这两家机构的官网。政府也正与金融、医疗、电信等受监管行业合作,预计在未来几个月内发布各行业专属的详细指导。
自今年1月起,政府已着手规范私营领域对身份证号码的使用方式,致力于加强国人资料的保护。
文告指出,政府将持续确保公民个人资料的安全使用,且仅用于正当用途。
尽管机构仍可在电话或使用数码服务时,将身份证号码用于识别用途,但身份证号码不应作为身份验证(即确认某人就是其所声称身份))的方式,用于获取专属个人的服务或资料。
目前,一些私营企业仍要求用户以身份证号码作为密码以查阅个人信息,如保险文件等。这种做法存在安全风险——因为他人可能已知道身份证号码,任何知情者都可能冒用身份,轻易获取当事人的资料或记录。
