个人资料保护委员会宣布,所有私营机构须在2026年12月31日前逐步停止使用身份证号码(NRIC)作为身份验证方式。自2027年1月1日起,当局将加强执法,对仍以完整或部分身份证号码进行身份验证的私营机构采取行动。
政府机构已停用身份证号码验证
个人资料保护委员会指出,早在2025年6月,个人资料保护委员会和新加坡网络安全局联合发布通告,明确说明身份证号码不应被滥用于身份验证。常见的误用做法包括将完整或部分身份证号码作为默认密码,或与姓名、出生日期等容易获取的个人资料结合使用(例如“567A01Jan80”)。当局强调,这类密码不应被用于存取电子文件,或作为登录个人账户的凭证。
目前,政府机构已全面停止使用身份证号码进行身份验证,以降低服务及信息遭未授权访问的风险。
此外,资讯通信媒体发展局、新加坡金融管理局及卫生部也已分别向电信、金融与保险,以及医疗保健领域发出指引,要求相关行业停止以身份证号码作为身份验证方式。
2027年起加强执法
个人资料保护委员会表示,所有私营机构应尽快检讨现有做法,并在2026年12月31日前完成过渡。若机构仍使用身份证号码作为访问个人资料的身份验证方式,可能被视为未能作出合理的安全安排,从而违反《个人资料保护法》(PDPA)。
从2027年1月1日起,个人资料保护委员会将对相关违规行为加强执法,包括在适当情况下发出整改指示或处以罚款。机构可参考个人资料保护委员会最新发布的个人资料保护指南,其中涵盖身份证号码的保护措施。
公众若发现任何滥用身份证号码进行身份验证的情况,可上网https://go.gov.sg/reportnric向个人资料保护委员会举报。
