個人資料保護委員會宣布,所有私營機構須在2026年12月31日前逐步停止使用身份證號碼(NRIC)作為身份驗證方式。自2027年1月1日起,當局將加強執法,對仍以完整或部分身份證號碼進行身份驗證的私營機構採取行動。
政府機構已停用身份證號碼驗證
個人資料保護委員會指出,早在2025年6月,個人資料保護委員會和新加坡網絡安全局聯合發布通告,明確說明身份證號碼不應被濫用於身份驗證。常見的誤用做法包括將完整或部分身份證號碼作為默認密碼,或與姓名、出生日期等容易獲取的個人資料結合使用(例如「567A01Jan80」)。當局強調,這類密碼不應被用於存取電子文件,或作為登錄個人帳戶的憑證。
目前,政府機構已全面停止使用身份證號碼進行身份驗證,以降低服務及信息遭未授權訪問的風險。
此外,資訊通信媒體發展局、新加坡金融管理局及衛生部也已分別向電信、金融與保險,以及醫療保健領域發出指引,要求相關行業停止以身份證號碼作為身份驗證方式。
2027年起加強執法
個人資料保護委員會表示,所有私營機構應儘快檢討現有做法,並在2026年12月31日前完成過渡。若機構仍使用身份證號碼作為訪問個人資料的身份驗證方式,可能被視為未能作出合理的安全安排,從而違反《個人資料保護法》(PDPA)。
從2027年1月1日起,個人資料保護委員會將對相關違規行為加強執法,包括在適當情況下發出整改指示或處以罰款。機構可參考個人資料保護委員會最新發布的個人資料保護指南,其中涵蓋身份證號碼的保護措施。
公眾若發現任何濫用身份證號碼進行身份驗證的情況,可上網https://go.gov.sg/reportnric向個人資料保護委員會舉報。
