新加坡政府个人数据保护委员会(Personal Data Protection Commission, PDPC)8月底发布声明,除非法律上的要求,9月1日起企业实质上持有个人身份证,并且收集身份证上的所有数据都是违法的。
这将包括身份证号码、国外身份证号码和工作许可证号码,保护委员会去年便宣布修改新加坡身份证(NRIC)建议纲要,修正过去过度使用NRIC的做法。
最大医疗组织遭黑催化个人信息法改革
促成星国当局更严厉审视民营企业使用身份证数据,导火线是2018年一起新加坡最大的医疗看护组织(SingHealth)遭入侵,黑客成功取得数据库的权限,导致医疗集团病患多达150万笔数据遭盗取,其中还包括新加坡总理李显龙的数据。
新加坡个人数据保护委员会(Personal Data Protection Commission, PDPC)9月1日起要求民营企业不能滥用身份证号码
因此医疗看护组织的信息部门(Integrated Health Information Systems, IHIS)被罚款新加坡币75万元,该组织则被罚新币25万元。
滥用身份证数据,缺乏完善保护措施
过去,身份证被广泛的用于各个生活场景:从填写抽奖优惠券活动、组织会员申请,到零售商要帮客户申请免停车费。
但是,9月之后依据政府最新发布的数据搜集纲要,公司或组织于某些场景下,将无法再收集新加坡身份证号码。个人数据保护委员会于声明中表示:“身份证号码是新加坡政府发布的永久性且无可替代的身份认证,主要应用于公共行政目的,和促进与政府之间的交易。”
“由于身份证号码可用于追回与连接跟个人有关的数据,因此需要减少滥用或不合理的收集,避免不恰当处理身份证号码的发生。”PDPC进一步指出。
有这么严重吗?
身份证是永久且不可替代的标示认证。若允许私人企业不加选择地收集,造成疏忽处理消息,可能会增加私密信息意外泄露的风险,并导致盗取身份或欺诈犯罪等非法活动。
此外,不只是国民身份证,其他标识(例如出生证明号码、外国身份证和工作许可证)都应遵循与国民身份证号码相同的处理规范。虽然新加坡规定人民必须在五年内定期更换护照,但个人数据保护委员会仍鼓励各组织严谨处理。
新加坡政府进行个人信息法改革,以避免个人信息被市场滥用、消费者成为安全犯罪猖獗的受害者。
此后,组织或公司若继续泛滥地收集、使用或披露身份证数据,将被视为藐视个人数据保护法,可能导致高达新币100万元的处罚。
不能/可以验证与搜集身份证的具体条件
安全人员可以收集、使用或披露身份证数据的场景:
当进入机密场所,如银行金库、数据中心、服务器机房或安全操作室时,不过,身份证上的信息不应在有其他访客或未经授权的人员能够审查信息时被记录。安全人员可要求检查实体身份证的状况(但不可记录完整身份证号码)——
•刑事犯罪,像是非法侵入。根据侵犯的严重程度和安全风险,可能无需严谨的身份确认。
•针对民事诉讼,如滋扰或骚扰案件,如果该官员认为您很可能没有披露真实个人数据时。
•违反内部规则,例如于私人住宅区吸烟或违规停车,因为管理公司可能需要对违法者采取后续行动。
•从保安手中领取包裹时。安全人员不应该询问身份证的情况——
在索赔或领取遗失物时,若为高敏感、高价值物品,保全人员可能会检查身份证以验证您的身份。如果该项目的价值不高,则其没有理由收集、使用或披露身份证。消费者可以选择不披露身份证号码——
兑换免费停车、网络上购买电影票、网上注册会员,或进入一些建筑物时,消费者可以根据情况提供移动电话号码、e-mail或其他形式的身份证明以取代提供身份证号码。
对于可能无法使用身份验证替代方案的情况,像是抽奖或进入私人公寓,可以提供其部分身份证号码(最多三位数字)作为验证。消费者仍然需要验证身份证号码——
若无法正确识其他人身份,存在造成重大伤害的风险时,例如进入幼稚园或关键基础设施、购置房地产、就医、入住饭店、申请市话号码,以及在新组织工作时,仍然得提供身份证号码验证身份。
消费者怀疑身份证遭违反个人信息保护法(Personal Data Protection Act, PDPA)搜集时怎么办?
新法规定消费者可以向个人数据保护委员会提出投诉,该委员会将对此事进行调查。若发现该组织确实违规,组织将被要求停止收集、使用或披露数据,也可能被勒令销毁数据、交出或更正数据;该组织或被罚款最高新加坡币100万元。
大型企业“遇黑”而数据外露时,更倾向不公开、不承认来避免投资人与消费者恐慌。
2019罚款超过前三年总合
委员会鼓励收集NRIC号码的组织和公司,评估他们到底是否需要保留这些身份证号码,如果没有必要,委员会建议他们负责任地遵守个人数据保护法(PDPA)规范的处理方法处置这些身份证号码。
若有其必要,可以考虑用其他验证方式,取代目前数据库中的身份证编号方式,或是购买其他技术解决方案,如访客管理或CRM(顾客关系管理)系统,以帮助根据新指导纲要和自动化流程来保护和运营业务。(史上最严个人信息法GDPR上路满周年,交出了一份成果报告)
新加坡个人数据保护法已经明文禁止不可不合理地收集客户的个人数据,并要求组织和公司必须对数据的使用负责。
从9月1日开始:
1. 唯有在法律规定的情况下,例如申请电话、预约看病或入住酒店时,才能拿取客户身份证号码,并复印身份证。
2. 当身份证需要“高度确认真实性”去验证个人身份时,也才可以进行收集NRIC,因为如果没有验证身份证会带来安全风险或可能造成重大伤害,举例来说,包括父母亲参访幼稚园,或是涉及医疗保健、金融或房地产事务的交易时。
根据个人数据保护委员会网站上的数据,2019年至今已有超过129万美元的罚款,超过了前三年的总额(2018年:17万7千5百美元;2017年:9万3千美元;2016: 12万3千5百美元);也已经有29个组织/企业因违反隐私法被罚款或警告。相较以往,2018年有28个案例、2017年有17个,在2016年则是24个,趋势增至来应是逐年增加的。