身份证号码不再隐蔽的事件,可说颠覆了不少人的认知。
许多人原本将身份证号码视为私密讯息,一夜之间却发现竟然可以通过会计与企业管制局(ACRA)的Bizfile网站搜索得到,用户甚至还能以区区33新元购买到包括地址在内的个人资料,令许多人担心不法之徒利用它来假冒自己的身份或窃取其他资料,混乱、焦虑可想而知。
数码发展及新闻部长杨莉明和财政部第二部长英兰妮今天(12月19日)就这起事件召开记者会,说明其中的缘故并为此道歉。
如果要用一句话来概括,其实整件事就是在两个层面上,都有人错把冯京当马凉。
停止部分隐蔽等于完全公开?
数码发展及新闻部在12月13日的声明中指出,政府不再认为身份证号码应是隐秘的个人信息,但Bizfile却在宣导工作还没展开之前,就率先允许公众查询部分人士的全名和完整身份证号码,引起了公众担忧。
综合杨莉明和会计与企业管制局局长邓慧敏在19日的记者会上的解释,数码发展及新闻部今年7月向政府机构发出通知,要求停止在新工作流程和服务隐藏部分身份证号码的做法。
问题是,会计与企业管制局把停止隐藏部分身份证号码(cease the use of masked NRIC),误解为须在新的Bizfile网站公开完整的身份证号码(unmask the NRIC)。
邓慧敏说:
“很不幸的,职员之间就如何落实这项指示,出现了协调问题。会计与企业管制局后来根据错误的理解行事,认为应该在新版的Bizfile网站显示身份证号码。这是会计与企业管制局的失误,我对此道歉。我们的疏忽导致公众感到焦虑和困惑。”
邓慧敏在提问环节中进一步解释,会计与企业管制局尝试和数码发展及新闻部澄清这项新要求的落实时间表和范围,但两机构之间的沟通不够清楚,导致ACRA错误行事。
杨莉明则提到,虽然两机构尝试协调和理清内容,但还是造成了误解。
这个世界从来不是非黑即白,停止隐藏部分身份证号码,可以有不同的做法,未必就要走到另一个极端,公开完整的身份证号码。
但事情是否真的就是那么简单的误解?英兰妮说,当局还在“彻底检讨”这起事件,我们就暂且坐等当局的检讨结果了。
识别等于验证?
问题的第二个层面,出现在社会上:
身份证号的主要用途是识别身份(identification),但过去几年越加普遍地被用于验证身份(authentication)。
数码发展及新闻部13日发布的声明解释了这两者之间的差异,但最近刊登在亚洲新闻台网站的一篇评论也以相当浅显易懂的方式阐明这两个概念,红蚂蚁这里就要借花献佛了:
识别身份:假设两个人同名同姓,都叫陈小明(对啦,就是“菜市场名”的概念),一个50岁,一个20岁,身份证号码就可以帮助我们把两位陈小明区分开来。
这种做法在医院和综合诊疗所尤为常见,医护人员便是通过这个方式识别病人,避免给错药物。
验证身份:这就是证明自己身份,证实自己有权执行某个行动或获得某种服务。
以银行服务为例,“陈小明”要进行转账或使用其他银行服务,就必须向银行证实自己的确是拥有某个银行户头的陈小明。
在过去,银行会通过指纹验证客户的身份,因为指纹是独一无二的。
但现在许多银行却利用身份证号码和其他个人资料验证客户的身份,尤其是提供电话银行服务的时候。
既然身份证号码不是秘密,一般人甚至可以按照一定的方式推测出某人的身份证号码,那任何人一旦掌握了你的身份证号码,就可能冒充你的身份,通过电话获取银行服务。
这里的漏洞倒不是身份证号码容易“破解”,而是用来识别身份的身份证号码遭误用,成为验证身份的方式。
杨莉明在记者会上强调,用身份证号码验证身份的做法存在风险,并且必须改变;政府不会一夜之间作出巨大调整,但必须坚定地逐步淘汰现有的不当使用方式,并应该尽快这么做。
然后呢?
下个星期起,用户在Bizfile输入一个人的部分或全名后,搜索结果会显示所有相符合的名字,但初步查询结果不会显示身份证号码,包括部分隐藏的身份证号码。
数码发展及新闻部原本也计划展开公共宣导工作,内容涵盖不当使用身份证号码的风险、新加坡人可以如何更妥善地保护自己、以及各个机构可以如何纠正错误的做法。
杨莉明说,这起事件意味着当局的宣导工作必须更早、更快进行,以缓解人们的焦虑。
媒体也引述新加坡银行协会(ABS)、新加坡保险协会(GIA)和新加坡人寿保险协会(LIA)的文告称,相关机构正在检讨身份证号码的使用方式,并强调人们不能单凭身份证号码进行转账、购买或更改保单等操作。
