許多人原本將身份證號碼視為私密訊息,一夜之間卻發現竟然可以通過會計與企業管制局(ACRA)的Bizfile網站搜索得到,用戶甚至還能以區區33新元購買到包括地址在內的個人資料,令許多人擔心不法之徒利用它來假冒自己的身份或竊取其他資料,混亂、焦慮可想而知。
數碼發展及新聞部長楊莉明和財政部第二部長英蘭妮今天(12月19日)就這起事件召開記者會,說明其中的緣故並為此道歉。
如果要用一句話來概括,其實整件事就是在兩個層面上,都有人錯把馮京當馬涼。
停止部分隱蔽等於完全公開?數碼發展及新聞部在12月13日的聲明中指出,政府不再認為身份證號碼應是隱秘的個人信息,但Bizfile卻在宣導工作還沒展開之前,就率先允許公眾查詢部分人士的全名和完整身份證號碼,引起了公眾擔憂。
問題是,會計與企業管制局把停止隱藏部分身份證號碼(cease the use of masked NRIC),誤解為須在新的Bizfile網站公開完整的身份證號碼(unmask the NRIC)。
鄧慧敏說:
「很不幸的,職員之間就如何落實這項指示,出現了協調問題。會計與企業管制局後來根據錯誤的理解行事,認為應該在新版的Bizfile網站顯示身份證號碼。這是會計與企業管制局的失誤,我對此道歉。我們的疏忽導致公眾感到焦慮和困惑。」
鄧慧敏在提問環節中進一步解釋,會計與企業管制局嘗試和數碼發展及新聞部澄清這項新要求的落實時間表和範圍,但兩機構之間的溝通不夠清楚,導致ACRA錯誤行事。
楊莉明則提到,雖然兩機構嘗試協調和理清內容,但還是造成了誤解。
這個世界從來不是非黑即白,停止隱藏部分身份證號碼,可以有不同的做法,未必就要走到另一個極端,公開完整的身份證號碼。
但事情是否真的就是那麼簡單的誤解?英蘭妮說,當局還在「徹底檢討」這起事件,我們就暫且坐等當局的檢討結果了。
識別等於驗證?問題的第二個層面,出現在社會上:
身份證號的主要用途是識別身份(identification),但過去幾年越加普遍地被用於驗證身份(authentication)。
數碼發展及新聞部13日發布的聲明解釋了這兩者之間的差異,但最近刊登在亞洲新聞台網站的一篇評論也以相當淺顯易懂的方式闡明這兩個概念,紅螞蟻這裡就要借花獻佛了:
識別身份:假設兩個人同名同姓,都叫陳小明(對啦,就是「菜市場名」的概念),一個50歲,一個20歲,身份證號碼就可以幫助我們把兩位陳小明區分開來。
這種做法在醫院和綜合診療所尤為常見,醫護人員便是通過這個方式識別病人,避免給錯藥物。
驗證身份:這就是證明自己身份,證實自己有權執行某個行動或獲得某種服務。
以銀行服務為例,「陳小明」要進行轉帳或使用其他銀行服務,就必須向銀行證實自己的確是擁有某個銀行戶頭的陳小明。
但現在許多銀行卻利用身份證號碼和其他個人資料驗證客戶的身份,尤其是提供電話銀行服務的時候。
既然身份證號碼不是秘密,一般人甚至可以按照一定的方式推測出某人的身份證號碼,那任何人一旦掌握了你的身份證號碼,就可能冒充你的身份,通過電話獲取銀行服務。
這裡的漏洞倒不是身份證號碼容易「破解」,而是用來識別身份的身份證號碼遭誤用,成為驗證身份的方式。
楊莉明在記者會上強調,用身份證號碼驗證身份的做法存在風險,並且必須改變;政府不會一夜之間作出巨大調整,但必須堅定地逐步淘汰現有的不當使用方式,並應該儘快這麼做。
然後呢?下個星期起,用戶在Bizfile輸入一個人的部分或全名後,搜索結果會顯示所有相符合的名字,但初步查詢結果不會顯示身份證號碼,包括部分隱藏的身份證號碼。
數碼發展及新聞部原本也計劃展開公共宣導工作,內容涵蓋不當使用身份證號碼的風險、新加坡人可以如何更妥善地保護自己、以及各個機構可以如何糾正錯誤的做法。
楊莉明說,這起事件意味著當局的宣導工作必須更早、更快進行,以緩解人們的焦慮。
媒體也引述新加坡銀行協會(ABS)、新加坡保險協會(GIA)和新加坡人壽保險協會(LIA)的文告稱,相關機構正在檢討身份證號碼的使用方式,並強調人們不能單憑身份證號碼進行轉帳、購買或更改保單等操作。