新加坡政府個人數據保護委員會(Personal Data Protection Commission, PDPC)8月底發佈聲明,除非法律上的要求,9月1日起企業實質上持有個人身分證,並且收集身分證上的所有資料都是違法的。
這將包括身分證號碼、國外身份證號碼和工作許可證號碼,保護委員會去年便宣布修改新加坡身分證(NRIC)建議綱要,修正過去過度使用NRIC的做法。
最大醫療組織遭駭催化個資法改革
促成星國當局更嚴厲審視民間企業使用身份證資料,導火線是2018年一起新加坡最大的醫療照護組織(SingHealth)遭入侵,駭客成功取得資料庫的權限,導致醫療集團病患多達150萬筆數據遭盜取,其中還包括新加坡總理李顯龍的資料。
因此醫療照護組織的資訊部門(Integrated Health Information Systems, IHIS)被罰款新加坡幣75萬元(約合新台幣1,687萬元),該組織則被罰新幣25萬元(562萬台幣)。
濫用身分證資料,缺乏完善保護措施
過去,身分證被廣泛的用於各個生活場景:從填寫抽獎優惠券活動、組織會員申請,到零售商要幫客戶申請免停車費。
但是,9月之後依據政府最新釋出的資料搜集綱要,公司或組織於某些情境下,將無法再收集新加坡身份證號碼。個人數據保護委員會於聲明中表示:「身份證號碼是新加坡政府發布的永久性且無可替代的身分認證,主要應用於公共行政目的,和促進與政府之間的交易。」
「由於身份證號碼可用於追回與連結跟個人有關的資料,因此需要減少濫用或不合理的收集,避免不恰當處理身份證號碼的發生。」PDPC進一步指出。
有這麼嚴重嗎?
身分證是永久且不可替代的標示認證。若允許私人企業不加選擇地收集,造成疏忽處理訊息,可能會增加私密資訊意外洩露的風險,並導致盜取身份或詐欺犯罪等非法活動。
此外,不只是國民身分證,其他標識(例如出生證明號碼、外國身份證和工作許可證)都應遵循與國民身份證號碼相同的處理規範。雖然新加坡規定人民必須在五年內定期更換護照,但個人數據保護委員會仍鼓勵各組織嚴謹處理。
此後,組織或公司若繼續氾濫地收集、使用或揭露身份證資料,將被視為藐視個人數據保護法,可能導致高達新幣100萬元(2,250萬台幣)的處罰。(英國航空洩50萬乘客個資,遭判史上最高罰金71億元)
不能/可以驗證與搜集身分證的具體條件
安全人員可以收集、使用或披露身分證資料的情境:
當進入機密場所,如銀行金庫、數據中心、伺服器機房或安全操作室時,不過,身分證上的資訊不應在有其他訪客或未經授權的人員能夠查看資訊時被記錄。
安全人員可要求檢查實體身分證的狀況(但不可記錄完整身分證號碼)——
•刑事犯罪,像是非法侵入。根據侵犯的嚴重程度和安全風險,可能無需嚴謹的身份確認。
•針對民事訴訟,如滋擾或騷擾案件,如果該官員認為您很可能沒有揭露真實個人資料時。
•違反內部規則,例如於私人住宅區吸煙或違規停車,因為管理公司可能需要對違法者採取後續行動。
•從保安手中領取包裹時。
安全人員不應該詢問身分證的情況——
在索賠或領取遺失物時,若為高敏感、高價值物品,保全人員可能會檢查身份證以驗證您的身份。如果該項目的價值不高,則其沒有理由收集、使用或披露身份證。
消費者可以選擇不披露身分證號碼——
兌換免費停車、網路上購買電影票、網上註冊會員,或進入一些建築物時,消費者可以根據情況提供行動電話號碼、e-mail或其他形式的身份證明以取代提供身份證號碼。
對於可能無法使用身份驗證替代方案的情況,像是抽獎或進入私人公寓,可以提供其部分身份證號碼(最多三位數字)作為驗證。
消費者仍然需要驗證身分證號碼——
若無法正確識別個人身份,存在造成重大傷害的風險時,例如進入幼稚園或關鍵基礎設施、購置房地產、就醫、入住飯店、申請市話號碼,以及在新組織工作時,仍然得提供身份證號碼驗證身份。
消費者懷疑身分證遭違反個資保護法(Personal Data Protection Act, PDPA)搜集時怎麼辦?
新法規定消費者可以向個人數據保護委員會提出投訴,該委員會將對此事進行調查。若發現該組織確實違規,組織將被要求停止收集、使用或披露資料,也可能被勒令銷毀數據、交出或更正資料;該組織或被罰款最高新加坡幣100萬元。
2019罰款超過前三年總合
委員會鼓勵收集NRIC號碼的組織和公司,評估他們到底是否需要保留這些身分證號碼,如果沒有必要,委員會建議他們負責任地遵守個人數據保護法(PDPA)規範的處理方法處置這些身分證號碼。
若有其必要,可以考慮用其他驗證方式,取代目前資料庫中的身分證編號方式,或是購買其他技術解決方案,如訪客管理或CRM(顧客關係管理)系統,以幫助根據新指導綱要和自動化流程來保護和營運事業。(史上最嚴個資法GDPR上路滿週年,交出了一份成果報告)
新加坡個人數據保護法已經明文禁止不可不合理地收集客戶的個人資料,並要求組織和公司必須對資料的使用負責。
從9月1日開始:
1. 唯有在法律規定的情況下,例如申請電話、預約看病或入住酒店時,才能拿取客戶身份證號碼,並複印身份證。
2. 當身分證需要「高度確認真實性」去驗證個人身份時,也才可以進行收集NRIC,因為如果沒有驗證身分證會帶來安全風險或可能造成重大傷害,舉例來說,包括父母親參訪幼稚園,或是涉及醫療保健、金融或房地產事務的交易時。
根據個人數據保護委員會網站上的資料,2019年至今已有超過129萬美元的罰款,超過了前三年的總額(2018年:17萬7千5百美元;2017年:9萬3千美元;2016: 12萬3千5百美元);也已經有29個組織/企業因違反隱私法被罰款或警告。相較以往,2018年有28個案例、2017年有17個,在2016年則是24個,趨勢上看來應是逐年增加的。
資料來源:straitstimes、todayonline、pdpc
