导语|新加坡土地管理局近日披露,一处由 IBM 管理的云端开发与测试环境遭未经授权访问,约 7万人的姓名、NRIC 号码和当时的房产地址被暴露。事件引发公众对数字政府、外包系统和身份资料保护的讨论。学者胡翌霖认为,这起事件不应被简单理解为新加坡数字化失败,相反,新加坡近年限制 NRIC 使用的方向值得肯定。真正值得讨论的是下一代数字身份制度:未来身份验证不应继续依赖一个可复制、可泄露、可滥用的全局号码,而应转向由个人控制、按需披露、可撤销、可追责的证明体系。

一次泄露事件背后的制度问题
新加坡土地管理局 2026年7月3日 发布公告称,其供应商 IBM 管理的云端环境发生数据安全事件。IBM 负责支持和维护 SLA 的 Singapore Titles Automated Registration System(STARS)和 eLodgment System(ELS),受影响的是相关系统的开发与系统集成测试环境,而非正式运行系统。SLA 表示,涉事数据集创建于 1998 年,原本应只包含模拟和匿名化测试数据,但后来发现其中包含约 7万人的真实姓名、NRIC 号码和当时的房产地址。SLA 同时强调,正式业务系统和正式房产登记记录未受影响,调查仍在进行。
这一事件发生在新加坡重新调整 NRIC 使用规范的背景下。新加坡数字发展及新闻部(MDDI)今年公布,政府自 2025 年起推动公共和私人部门负责任使用 NRIC;私人机构须在 2026 年 12月31日 前停止将 NRIC 号码用于认证,2027 年起,个人资料保护委员会将加强对这类误用的执法。政府也已明确表示,NRIC 可以用于识别个人,但不应被当作证明“你就是你”的密码。
胡翌霖首先强调,他对新加坡数字政府改革持肯定态度。
“我非常肯定新加坡政府在数字化方面的努力,以及近年来限制 NRIC 使用的策略。历史数据泄露不是新加坡政府的锅。”
在他看来,这类事件真正暴露的并不是某个政府部门是否努力,而是现代身份制度本身仍过度依赖固定号码。
过去,身份证号、NRIC、社保号等长期承担多重功能:它既是识别符,又常被当作认证依据;既用于政府管理,也被私人机构反复收集;既出现在正式系统,也可能被复制到测试数据、表格、合同、客服系统和历史档案中。只要一个号码长期充当全局索引,它就无法真正“收回来”。一次泄露,可能在多年后仍被诈骗、画像和身份冒用链条利用。
胡翌霖认为,未来的数字身份改革不应只是把身份证号保存得更安全,而应让日常验证逐步脱离公开身份证号。
身份不是号码,而是按需证明的能力
胡翌霖设想的下一代数字身份体系,核心是引入加密技术,包括公钥—私钥体系、数字签名、可验证凭证和零知识证明。
在传统模式下,一个人进入某个服务场景,往往需要交出一组完整信息:姓名、证件号、出生日期、住址、手机号、邮箱,甚至学历、工作单位、家庭情况。验证者本来只需要确认一个简单事实,却习惯性拿走远超必要范围的数据。
在胡翌霖看来,未来应该反过来:验证者只提出它真正需要验证的命题,个人只证明这个命题成立。
酒吧只需要知道一个人是否成年,不需要知道他是 19 岁还是 91 岁。雇主如果只是确认应聘者是否拥有本科或以上学历,就不必默认取得整张学位证书。某些场景只需要确认一个人是公民、永久居民、EP 持有人或其他身份类别,也不必暴露完整证件号码和全部人口登记资料。
这正是可验证凭证和选择性披露技术试图解决的问题。W3C 的 Verifiable Credentials Data Model 把数字凭证设计为发行者、持有人和验证者之间的三方生态:政府、学校、雇主等机构可以签发凭证,个人作为持有人保存并按需出示,验证者则检查凭证是否真实、是否被篡改。W3C 也说明,凭证持有人可以向验证者提供凭证子集,实现敏感数据的选择性披露。
新加坡已有的 sgID 也体现了类似方向。sgID 官方介绍称,服务方可在用户许可下获得政府验证的信息;其 derived data fields 可以帮助服务方获得所需数据,而不必接触底层原始数据。胡翌霖的设想,是把这一路线进一步推进:不是让机构更方便地取得真实资料,而是让机构在大多数场景下根本拿不到多余资料。
换句话说,身份制度的目标不应是让“号码”更安全,而是让身份验证从“披露数据”变成“证明命题”。
不是用一把私钥替代所有证件
不过,胡翌霖并不主张把未来身份系统简化成“人人只靠一把私钥证明自己”。他特别澄清说,密钥丢失应当像身份证丢失、银行卡丢失一样,可以找官方机关补办。
“密钥丢失应该和身份证丢失和银行卡丢失一样,需要找官方机关补办,不是说每个人只剩一个私钥能证明自己。”
这意味着,未来身份制度不应是一套纯粹密码朋克式的孤立系统,而应是数字凭证、纸质凭证、生物识别、官方补办机制和法律程序共同构成的复合系统。纸质证明仍然可以存在,指纹和面部识别等生物验证也可以在必要场景中发挥作用。数字身份的目的,不是消灭其他证明方式,而是改善个人数字信息在日常服务中的暴露方式。
他用支付作类比:“正如数字支付和纸币支付并行不悖。”老人、儿童、弱势群体、不会使用智能手机的人,仍然应当有传统身份通道;数字系统应提供便利,而不能把公共服务门槛变得更高。
这一点对新加坡尤其重要。新加坡数字政府能力强,Singpass、Myinfo、sgID 等体系普及度高,但任何公共身份系统都必须避免把数字素养较低的人排除出去。胡翌霖的方案并不是以技术先进性压倒社会包容性,而是让数字技术成为一种更可控、更少暴露、更易追查的数据交换方式。
从扫码支付到扫码身份
在具体使用体验上,胡翌霖认为,数字身份可以借鉴移动支付的直觉设计:扫码、确认、授权、可追踪。
他说,数字化应该增加易用性,“比如扫二维码即可,和微信支付类似”。在一些信任较高、风险较低的场合,个人可以直接亮出二维码给验证者扫描。验证者扫描后,用户像知道“扣款多少”一样,知道对方读取了哪些信息。
在另一些场合,可以由验证者提供二维码,个人用自己的身份钱包或 Singpass 类应用扫描后,自主勾选要提交的信息。比如只勾选“已成年”,不提交出生日期;只提交“本科或以上学历已验证”,不提交学校、专业和证书编号;只提交“EP 有效”,不提交完整 FIN 或全部移民记录。
对老人或不熟悉数字操作的人,也可以设置简化模式。胡翌霖提出,可以设置每天若干次无需确认、自动提供特定低风险信息的机制,让老人不必每次仔细点选。但这种便利仍然应是可控制、可追查的:系统应记录哪些机构在什么时间读取了哪些信息,用户或监护人事后可以查看和撤销相关授权。
这就把身份授权从今天的“签一次隐私政策、交出一堆资料”变成类似支付账单的可见过程。过去用户常常不知道自己到底交出了什么;未来用户至少应知道:谁读取了我什么信息,凭什么读取,是否可以撤销,是否可以投诉。
“马甲联系方式”:被低估的身份基础设施
在胡翌霖看来,身份泄露不只是证件号泄露。手机号、邮箱、住址、即时通讯账号等联系方式,同样是长期风险源。
今天,真实手机号和真实邮箱承担了太多功能:登录、找回密码、收验证码、客户服务、营销联系、交易通知、社交绑定、反诈骗识别。一旦泄露,它们很难撤回。即使换号码,也会打断大量合法联系。
胡翌霖提出,应当把联系方式也纳入可撤销、可分场景的身份体系。每个要求留联系方式的机构,都只获得一个单独的邮箱别名或号码别名;这个别名可以限定用途和有效期。比如某个维修服务只需要一周内联系用户,那么用户给出的号码就可以只保留一周有效。某个平台若开始发送垃圾信息,用户可以废止该平台对应的别名,而不必更换真实号码。
这种机制有两个好处。第一,它减少真实联系方式的暴露。第二,它提高泄露追踪能力。过去一个手机号被骚扰,很难知道是哪家机构泄露;如果每家机构拿到的都是不同别名,哪个别名收到垃圾信息,就能大致判断问题源头。
这实际上把联系方式从“个人永久标识”改造成一种“临时联系能力”。我不是把真实的我交给你,而是给你一条有限、可撤销、可审计的联系通道。
最小披露不能只靠技术,也要靠市场和法律
对于“如果机构霸道要求用户交出全部信息怎么办”,胡翌霖认为,技术本身不能解决全部问题,还需要市场环境和法制环境双重约束。
他举例说,一个人走进酒吧,门卫查是否成年是合理的;但如果门卫要求查询你生了几个孩子,正常消费者显然不会配合,可能掉头就走。正常商家为了招揽顾客,不会提出过分要求。市场竞争本身会约束数据索取。
但如果某个机构可以非常霸道,不交齐信息就不让你通过,那往往说明它是垄断机构,或者掌握了过分权力。胡翌霖说:“如果某个机构可以非常霸道,不交齐信息就不让你过,那么很可能这是一个垄断机构,可能掌握了过分的权力。”
此时就不能只靠消费者“用脚投票”,而需要法律规定最小必要原则:机构只能请求与服务目的直接相关的信息,不能把过度收集变成准入条件。
这也是数字身份改革的关键:零知识证明、选择性披露、凭证钱包等技术提供了“少给信息”的能力,但能不能真正少给,还取决于法律是否禁止过度索取,市场是否允许用户拒绝,公共部门是否以身作则。
胡翌霖的方案并不是技术决定论,而是一种技术—市场—法治共同构成的身份治理模型。
可吊销凭证:个人不是自报结论,而是发起授权查询
数字身份制度还必须处理凭证过期和吊销问题。签证会过期,驾照可能被吊销,学历可能被撤销,专业资格可能暂停。如果个人只是保存一份离线凭证,那么验证者如何知道它现在仍然有效?
胡翌霖提出,涉及可能吊销的凭证,应当以权威机构为准。个人向验证者提供的,不应只是一个自报结论,而应是一个签名后的查询请求。验证者拿到个人签名后,获得向权威机构查询特定事实的权限。权威机构不必反馈完整身份资料,只需反馈用户提交的信息是否准确、凭证是否有效。
这套设计有两个要点。第一,验证不是由个人单方面声称完成,而是可以向权威来源确认。第二,权威机构也不必知道或返回过多信息。它只回答必要问题:这个人是否满足某个条件,这项凭证是否仍有效。
例如,某平台要确认用户是否拥有有效驾驶资格。用户签名授权后,平台向交通主管机构查询;主管机构只返回“有效”或“无效”,而不返回完整证件号码、住址、出生日期或其他驾驶记录。对于签证、学历、专业资格,也可以采用类似模式。
这就把传统的“复印证件给机构存档”,改造成“由本人授权、机构即时核验、最小反馈结果”的流程。
默认隐私,不等于绝对匿名
数字身份制度还必须面对执法问题。完全匿名不现实,也不一定正当。诈骗、洗钱、严重侵权、暴力犯罪等场景,需要有追责能力。胡翌霖的原则是:追溯应当可能,但不能任意。
“执法机关应该掌握追溯的可能性,但不能任意使用。”
他设想一种分权式密钥安排。个人自己掌握全权限密钥,想公开某些信息时可以主动公开;但执法机关只掌握“半把密钥”,政府相关部门或证书发行机构掌握另一半。执法机构要么取得个人同意,要么取得证书发行者或政府监督部门同意,才能进行信息追索。
这种设计本质上是一种“1+2/2”的权力分配:个人可以自愿公开;国家也保留必要追溯能力;但任何单一执法机关不能绕过监督,单方面揭示个人全部身份链条。
更重要的是,追索范围应按案件性质分级。大多数民事案件,只应获得有限追索权,例如确认某个交易身份背后的法律责任主体;只有少数有严重危害的刑事犯罪,才可以获得更全面的追索权。胡翌霖强调,这要求现代法治政府具备权力分立、程序审查和互相监督的架构。没有这样的法治结构,所谓“可追责”很容易滑向“默认可监控”。
这里的关键区分是:未来身份制度应当是默认隐私、例外追责,而不是默认监控、偶尔保护隐私。
政府不应成为全知节点
胡翌霖此前提出,理想的数字身份体系应避免让任何单一机构掌握个人全部真实信息。他特别强调:
“包括政府在内没有人能同时掌握我的全部真实信息,这是最好的办法。”
这不是否认政府的身份登记职能。现代国家当然需要人口登记、税务、社保、移民、公共安全等基础能力。问题在于,政府是否应当同时知道一个人所有身份凭证的日常使用场景、所有平台交互、所有资格展示、所有联系方式和所有交易身份。
在胡翌霖看来,下一代数字身份制度应实现数据层面的权力分立。政府可以签发“公民”“PR”“EP”等身份凭证,但不必知道用户每次向谁证明了这些身份。学校可以签发学历凭证,但不必知道毕业生向哪些雇主出示过。银行可以完成监管所需的 KYC,但不应无限期保存超出必要范围的资料。平台可以验证年龄或资格,但不能把这些信息变成跨平台追踪标签。
身份制度的理想状态,不是把所有信息集中到一个更安全的超级数据库,而是让发行者、持有人、验证者、监管者和统计者彼此分离。每个主体只知道自己需要知道的部分。
这也是胡翌霖对“大数据治理”保持警惕的原因。国家需要了解社会总体状态,但不必掌握每个人的全息画像。人口统计、政策评估、社会调查、公共服务规划,可以通过抽样、走访、统计模型和隐私保护计算来完成。全量数据看起来更精确,却也更容易诱导国家把社会变成一个持续被记录和关联的对象。
根身份系统要因国情而异
对于政府是否应保留一个根身份登记系统,胡翌霖并不主张全球统一答案。他认为,这取决于国家规模、政治传统、政府能力和权力结构。
“像新加坡这样的小国家,家长式政府,我认为是可以相对中心化的。”
新加坡面积小、人口规模有限、政府能力强、公共信任度较高,长期形成了较高整合度的国家治理模式。在这种国情下,一个相对中心化的根身份系统未必不可接受,只要它有足够的数据最小化、授权透明、权限隔离和追责机制。
“而像美国这样的大国、小政府、多级政府,那么就没必要设置统一的根身份系统。”
美国联邦制、多级政府、地方自治、私人部门发达,社会对中央身份系统也更警惕。在这种结构下,统一根身份系统不仅政治阻力大,也未必符合其制度传统。更分散的身份发行、多机构凭证、州级和联邦级并存的架构,可能更自然。
这一区分很重要。数字身份改革不应被想象成一套全球通用技术产品,而应嵌入不同国家的制度土壤。新加坡可以在强政府、高信任和高数字化水平基础上推进“相对中心化但最小披露”的体系;美国则可能更适合“多根凭证、分散发行、强私权保护”的体系。
从号码社会走向证明社会
SLA 资料外泄事件提醒人们,数字国家的风险不只在正式业务系统,也在测试环境、历史数据、供应商链条和旧制度遗产中。但胡翌霖并不把讨论停留在事故追责上。他认为,更有建设性的方向,是借此重新思考身份制度本身。
新加坡正在做的第一步,是把 NRIC 从“认证密码”降格为“识别号码”。这一步重要,也值得肯定。但未来还可以更进一步:让公开身份证号逐渐退出日常验证场景,让个人通过数字签名、可验证凭证、选择性披露、零知识证明和可撤销联系方式,在不同场景中只展示必要信息。
这意味着身份不再是一串被机构反复复制的号码,而是一套个人可以行使的证明能力。它可以证明我成年,却不暴露生日;证明我有学历,却不暴露完整证书;证明我有合法身份,却不暴露完整档案;证明我可联系,却不交出永久真实号码;在必要执法场景中可以追责,但追责必须经过分权、授权和程序审查。
从这个意义上说,未来数字身份的目标不是“建一个更大的数据库”,而是建立一种新的社会关系:机构不能默认索取全部信息,政府不能成为全知节点,个人也不必在每一次服务中重复交出自己。
真正成熟的数字国家,不只是把服务搬到线上,也不是把每个人都纳入实时数据流,而是知道哪些信息不该被收集,哪些证明只需临时展示,哪些权力必须被拆开,哪些身份必须重新还给个人。
参考资料
1. 新加坡土地管理局(SLA):Security incident involving an IBM-managed cloud environment:https://www.sla.gov.sg/news/press-release/security-incident-involving-an-ibm-managed-cloud-environment-/
2. 新加坡数字发展及新闻部(MDDI):Responsible Use of NRIC Numbers Across Public and Private Sectors:https://www.mddi.gov.sg/newsroom/responsible-use-of-nric-numbers-across-public-and-private-sectors/
3. W3C:Verifiable Credentials Data Model 2.0:https://www.w3.org/TR/vc-data-model-2.0/
4. sgID:官方介绍:https://www.id.gov.sg/
5. PDPC / CSA:Joint Advisory Against Using NRIC Numbers for Authentication:https://www.pdpc.gov.sg/media-events/joint-advisory-against-using-nric-numbers-for-authentication-by-pdpc-and-csa
发表回复