胡翌霖:未来数字身份不该是更安全的身份证号,而应是按需证明的权利体系

共 6,896 字2026.07.06

导语|新加坡土地管理局近日披露,一处由 IBM 管理的云端开发与测试环境遭未经授权访问,约 7万人的姓名、NRIC 号码和当时的房产地址被暴露。事件引发公众对数字政府、外包系统和身份资料保护的讨论。学者胡翌霖认为,这起事件不应被简单理解为新加坡数字化失败,相反,新加坡近年限制 NRIC 使用的方向值得肯定。真正值得讨论的是下一代数字身份制度:未来身份验证不应继续依赖一个可复制、可泄露、可滥用的全局号码,而应转向由个人控制、按需披露、可撤销、可追责的证明体系。

一次泄露事件背后的制度问题

新加坡土地管理局 2026年7月3日 发布公告称,其供应商 IBM 管理的云端环境发生数据安全事件。IBM 负责支持和维护 SLA 的 Singapore Titles Automated Registration System(STARS)和 eLodgment System(ELS),受影响的是相关系统的开发与系统集成测试环境,而非正式运行系统。SLA 表示,涉事数据集创建于 1998 年,原本应只包含模拟和匿名化测试数据,但后来发现其中包含约 7万人的真实姓名、NRIC 号码和当时的房产地址。SLA 同时强调,正式业务系统和正式房产登记记录未受影响,调查仍在进行。

这一事件发生在新加坡重新调整 NRIC 使用规范的背景下。新加坡数字发展及新闻部(MDDI)今年公布,政府自 2025 年起推动公共和私人部门负责任使用 NRIC;私人机构须在 2026 年 12月31日 前停止将 NRIC 号码用于认证,2027 年起,个人资料保护委员会将加强对这类误用的执法。政府也已明确表示,NRIC 可以用于识别个人,但不应被当作证明“你就是你”的密码。

胡翌霖首先强调,他对新加坡数字政府改革持肯定态度。

“我非常肯定新加坡政府在数字化方面的努力,以及近年来限制 NRIC 使用的策略。历史数据泄露不是新加坡政府的锅。”

在他看来,这类事件真正暴露的并不是某个政府部门是否努力,而是现代身份制度本身仍过度依赖固定号码。

过去,身份证号、NRIC、社保号等长期承担多重功能:它既是识别符,又常被当作认证依据;既用于政府管理,也被私人机构反复收集;既出现在正式系统,也可能被复制到测试数据、表格、合同、客服系统和历史档案中。只要一个号码长期充当全局索引,它就无法真正“收回来”。一次泄露,可能在多年后仍被诈骗、画像和身份冒用链条利用。

胡翌霖认为,未来的数字身份改革不应只是把身份证号保存得更安全,而应让日常验证逐步脱离公开身份证号。

身份不是号码,而是按需证明的能力

胡翌霖设想的下一代数字身份体系,核心是引入加密技术,包括公钥—私钥体系、数字签名、可验证凭证和零知识证明。

在传统模式下,一个人进入某个服务场景,往往需要交出一组完整信息:姓名、证件号、出生日期、住址、手机号、邮箱,甚至学历、工作单位、家庭情况。验证者本来只需要确认一个简单事实,却习惯性拿走远超必要范围的数据。

在胡翌霖看来,未来应该反过来:验证者只提出它真正需要验证的命题,个人只证明这个命题成立。

酒吧只需要知道一个人是否成年,不需要知道他是 19 岁还是 91 岁。雇主如果只是确认应聘者是否拥有本科或以上学历,就不必默认取得整张学位证书。某些场景只需要确认一个人是公民、永久居民、EP 持有人或其他身份类别,也不必暴露完整证件号码和全部人口登记资料。

这正是可验证凭证和选择性披露技术试图解决的问题。W3C 的 Verifiable Credentials Data Model 把数字凭证设计为发行者、持有人和验证者之间的三方生态:政府、学校、雇主等机构可以签发凭证,个人作为持有人保存并按需出示,验证者则检查凭证是否真实、是否被篡改。W3C 也说明,凭证持有人可以向验证者提供凭证子集,实现敏感数据的选择性披露。

新加坡已有的 sgID 也体现了类似方向。sgID 官方介绍称,服务方可在用户许可下获得政府验证的信息;其 derived data fields 可以帮助服务方获得所需数据,而不必接触底层原始数据。胡翌霖的设想,是把这一路线进一步推进:不是让机构更方便地取得真实资料,而是让机构在大多数场景下根本拿不到多余资料。

换句话说,身份制度的目标不应是让“号码”更安全,而是让身份验证从“披露数据”变成“证明命题”。

不是用一把私钥替代所有证件

不过,胡翌霖并不主张把未来身份系统简化成“人人只靠一把私钥证明自己”。他特别澄清说,密钥丢失应当像身份证丢失、银行卡丢失一样,可以找官方机关补办。

“密钥丢失应该和身份证丢失和银行卡丢失一样,需要找官方机关补办,不是说每个人只剩一个私钥能证明自己。”

这意味着,未来身份制度不应是一套纯粹密码朋克式的孤立系统,而应是数字凭证、纸质凭证、生物识别、官方补办机制和法律程序共同构成的复合系统。纸质证明仍然可以存在,指纹和面部识别等生物验证也可以在必要场景中发挥作用。数字身份的目的,不是消灭其他证明方式,而是改善个人数字信息在日常服务中的暴露方式。

他用支付作类比:“正如数字支付和纸币支付并行不悖。”老人、儿童、弱势群体、不会使用智能手机的人,仍然应当有传统身份通道;数字系统应提供便利,而不能把公共服务门槛变得更高。

这一点对新加坡尤其重要。新加坡数字政府能力强,Singpass、Myinfo、sgID 等体系普及度高,但任何公共身份系统都必须避免把数字素养较低的人排除出去。胡翌霖的方案并不是以技术先进性压倒社会包容性,而是让数字技术成为一种更可控、更少暴露、更易追查的数据交换方式。

从扫码支付到扫码身份

在具体使用体验上,胡翌霖认为,数字身份可以借鉴移动支付的直觉设计:扫码、确认、授权、可追踪。

他说,数字化应该增加易用性,“比如扫二维码即可,和微信支付类似”。在一些信任较高、风险较低的场合,个人可以直接亮出二维码给验证者扫描。验证者扫描后,用户像知道“扣款多少”一样,知道对方读取了哪些信息。

在另一些场合,可以由验证者提供二维码,个人用自己的身份钱包或 Singpass 类应用扫描后,自主勾选要提交的信息。比如只勾选“已成年”,不提交出生日期;只提交“本科或以上学历已验证”,不提交学校、专业和证书编号;只提交“EP 有效”,不提交完整 FIN 或全部移民记录。

对老人或不熟悉数字操作的人,也可以设置简化模式。胡翌霖提出,可以设置每天若干次无需确认、自动提供特定低风险信息的机制,让老人不必每次仔细点选。但这种便利仍然应是可控制、可追查的:系统应记录哪些机构在什么时间读取了哪些信息,用户或监护人事后可以查看和撤销相关授权。

这就把身份授权从今天的“签一次隐私政策、交出一堆资料”变成类似支付账单的可见过程。过去用户常常不知道自己到底交出了什么;未来用户至少应知道:谁读取了我什么信息,凭什么读取,是否可以撤销,是否可以投诉。

“马甲联系方式”:被低估的身份基础设施

在胡翌霖看来,身份泄露不只是证件号泄露。手机号、邮箱、住址、即时通讯账号等联系方式,同样是长期风险源。

今天,真实手机号和真实邮箱承担了太多功能:登录、找回密码、收验证码、客户服务、营销联系、交易通知、社交绑定、反诈骗识别。一旦泄露,它们很难撤回。即使换号码,也会打断大量合法联系。

胡翌霖提出,应当把联系方式也纳入可撤销、可分场景的身份体系。每个要求留联系方式的机构,都只获得一个单独的邮箱别名或号码别名;这个别名可以限定用途和有效期。比如某个维修服务只需要一周内联系用户,那么用户给出的号码就可以只保留一周有效。某个平台若开始发送垃圾信息,用户可以废止该平台对应的别名,而不必更换真实号码。

这种机制有两个好处。第一,它减少真实联系方式的暴露。第二,它提高泄露追踪能力。过去一个手机号被骚扰,很难知道是哪家机构泄露;如果每家机构拿到的都是不同别名,哪个别名收到垃圾信息,就能大致判断问题源头。

这实际上把联系方式从“个人永久标识”改造成一种“临时联系能力”。我不是把真实的我交给你,而是给你一条有限、可撤销、可审计的联系通道。

最小披露不能只靠技术,也要靠市场和法律

对于“如果机构霸道要求用户交出全部信息怎么办”,胡翌霖认为,技术本身不能解决全部问题,还需要市场环境和法制环境双重约束。

他举例说,一个人走进酒吧,门卫查是否成年是合理的;但如果门卫要求查询你生了几个孩子,正常消费者显然不会配合,可能掉头就走。正常商家为了招揽顾客,不会提出过分要求。市场竞争本身会约束数据索取。

但如果某个机构可以非常霸道,不交齐信息就不让你通过,那往往说明它是垄断机构,或者掌握了过分权力。胡翌霖说:“如果某个机构可以非常霸道,不交齐信息就不让你过,那么很可能这是一个垄断机构,可能掌握了过分的权力。”

此时就不能只靠消费者“用脚投票”,而需要法律规定最小必要原则:机构只能请求与服务目的直接相关的信息,不能把过度收集变成准入条件。

这也是数字身份改革的关键:零知识证明、选择性披露、凭证钱包等技术提供了“少给信息”的能力,但能不能真正少给,还取决于法律是否禁止过度索取,市场是否允许用户拒绝,公共部门是否以身作则。

胡翌霖的方案并不是技术决定论,而是一种技术—市场—法治共同构成的身份治理模型。

可吊销凭证:个人不是自报结论,而是发起授权查询

数字身份制度还必须处理凭证过期和吊销问题。签证会过期,驾照可能被吊销,学历可能被撤销,专业资格可能暂停。如果个人只是保存一份离线凭证,那么验证者如何知道它现在仍然有效?

胡翌霖提出,涉及可能吊销的凭证,应当以权威机构为准。个人向验证者提供的,不应只是一个自报结论,而应是一个签名后的查询请求。验证者拿到个人签名后,获得向权威机构查询特定事实的权限。权威机构不必反馈完整身份资料,只需反馈用户提交的信息是否准确、凭证是否有效。

这套设计有两个要点。第一,验证不是由个人单方面声称完成,而是可以向权威来源确认。第二,权威机构也不必知道或返回过多信息。它只回答必要问题:这个人是否满足某个条件,这项凭证是否仍有效。

例如,某平台要确认用户是否拥有有效驾驶资格。用户签名授权后,平台向交通主管机构查询;主管机构只返回“有效”或“无效”,而不返回完整证件号码、住址、出生日期或其他驾驶记录。对于签证、学历、专业资格,也可以采用类似模式。

这就把传统的“复印证件给机构存档”,改造成“由本人授权、机构即时核验、最小反馈结果”的流程。

默认隐私,不等于绝对匿名

数字身份制度还必须面对执法问题。完全匿名不现实,也不一定正当。诈骗、洗钱、严重侵权、暴力犯罪等场景,需要有追责能力。胡翌霖的原则是:追溯应当可能,但不能任意。

“执法机关应该掌握追溯的可能性,但不能任意使用。”

他设想一种分权式密钥安排。个人自己掌握全权限密钥,想公开某些信息时可以主动公开;但执法机关只掌握“半把密钥”,政府相关部门或证书发行机构掌握另一半。执法机构要么取得个人同意,要么取得证书发行者或政府监督部门同意,才能进行信息追索。

这种设计本质上是一种“1+2/2”的权力分配:个人可以自愿公开;国家也保留必要追溯能力;但任何单一执法机关不能绕过监督,单方面揭示个人全部身份链条。

更重要的是,追索范围应按案件性质分级。大多数民事案件,只应获得有限追索权,例如确认某个交易身份背后的法律责任主体;只有少数有严重危害的刑事犯罪,才可以获得更全面的追索权。胡翌霖强调,这要求现代法治政府具备权力分立、程序审查和互相监督的架构。没有这样的法治结构,所谓“可追责”很容易滑向“默认可监控”。

这里的关键区分是:未来身份制度应当是默认隐私、例外追责,而不是默认监控、偶尔保护隐私。

政府不应成为全知节点

胡翌霖此前提出,理想的数字身份体系应避免让任何单一机构掌握个人全部真实信息。他特别强调:

“包括政府在内没有人能同时掌握我的全部真实信息,这是最好的办法。”

这不是否认政府的身份登记职能。现代国家当然需要人口登记、税务、社保、移民、公共安全等基础能力。问题在于,政府是否应当同时知道一个人所有身份凭证的日常使用场景、所有平台交互、所有资格展示、所有联系方式和所有交易身份。

在胡翌霖看来,下一代数字身份制度应实现数据层面的权力分立。政府可以签发“公民”“PR”“EP”等身份凭证,但不必知道用户每次向谁证明了这些身份。学校可以签发学历凭证,但不必知道毕业生向哪些雇主出示过。银行可以完成监管所需的 KYC,但不应无限期保存超出必要范围的资料。平台可以验证年龄或资格,但不能把这些信息变成跨平台追踪标签。

身份制度的理想状态,不是把所有信息集中到一个更安全的超级数据库,而是让发行者、持有人、验证者、监管者和统计者彼此分离。每个主体只知道自己需要知道的部分。

这也是胡翌霖对“大数据治理”保持警惕的原因。国家需要了解社会总体状态,但不必掌握每个人的全息画像。人口统计、政策评估、社会调查、公共服务规划,可以通过抽样、走访、统计模型和隐私保护计算来完成。全量数据看起来更精确,却也更容易诱导国家把社会变成一个持续被记录和关联的对象。

根身份系统要因国情而异

对于政府是否应保留一个根身份登记系统,胡翌霖并不主张全球统一答案。他认为,这取决于国家规模、政治传统、政府能力和权力结构。

“像新加坡这样的小国家,家长式政府,我认为是可以相对中心化的。”

新加坡面积小、人口规模有限、政府能力强、公共信任度较高,长期形成了较高整合度的国家治理模式。在这种国情下,一个相对中心化的根身份系统未必不可接受,只要它有足够的数据最小化、授权透明、权限隔离和追责机制。

“而像美国这样的大国、小政府、多级政府,那么就没必要设置统一的根身份系统。”

美国联邦制、多级政府、地方自治、私人部门发达,社会对中央身份系统也更警惕。在这种结构下,统一根身份系统不仅政治阻力大,也未必符合其制度传统。更分散的身份发行、多机构凭证、州级和联邦级并存的架构,可能更自然。

这一区分很重要。数字身份改革不应被想象成一套全球通用技术产品,而应嵌入不同国家的制度土壤。新加坡可以在强政府、高信任和高数字化水平基础上推进“相对中心化但最小披露”的体系;美国则可能更适合“多根凭证、分散发行、强私权保护”的体系。

从号码社会走向证明社会

SLA 资料外泄事件提醒人们,数字国家的风险不只在正式业务系统,也在测试环境、历史数据、供应商链条和旧制度遗产中。但胡翌霖并不把讨论停留在事故追责上。他认为,更有建设性的方向,是借此重新思考身份制度本身。

新加坡正在做的第一步,是把 NRIC 从“认证密码”降格为“识别号码”。这一步重要,也值得肯定。但未来还可以更进一步:让公开身份证号逐渐退出日常验证场景,让个人通过数字签名、可验证凭证、选择性披露、零知识证明和可撤销联系方式,在不同场景中只展示必要信息。

这意味着身份不再是一串被机构反复复制的号码,而是一套个人可以行使的证明能力。它可以证明我成年,却不暴露生日;证明我有学历,却不暴露完整证书;证明我有合法身份,却不暴露完整档案;证明我可联系,却不交出永久真实号码;在必要执法场景中可以追责,但追责必须经过分权、授权和程序审查。

从这个意义上说,未来数字身份的目标不是“建一个更大的数据库”,而是建立一种新的社会关系:机构不能默认索取全部信息,政府不能成为全知节点,个人也不必在每一次服务中重复交出自己。

真正成熟的数字国家,不只是把服务搬到线上,也不是把每个人都纳入实时数据流,而是知道哪些信息不该被收集,哪些证明只需临时展示,哪些权力必须被拆开,哪些身份必须重新还给个人。

参考资料

1. 新加坡土地管理局(SLA):Security incident involving an IBM-managed cloud environment:https://www.sla.gov.sg/news/press-release/security-incident-involving-an-ibm-managed-cloud-environment-/

2. 新加坡数字发展及新闻部(MDDI):Responsible Use of NRIC Numbers Across Public and Private Sectors:https://www.mddi.gov.sg/newsroom/responsible-use-of-nric-numbers-across-public-and-private-sectors/

3. W3C:Verifiable Credentials Data Model 2.0:https://www.w3.org/TR/vc-data-model-2.0/

4. sgID:官方介绍:https://www.id.gov.sg/

5. PDPC / CSA:Joint Advisory Against Using NRIC Numbers for Authentication:https://www.pdpc.gov.sg/media-events/joint-advisory-against-using-nric-numbers-for-authentication-by-pdpc-and-csa

提交后请到邮箱点确认信,才算订阅成功。

高级订阅:只订部分主题

勾选后只收所选主题的新文章;不勾选则订阅全部。

评论

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注

To respond on your own website, enter the URL of your response which should contain a link to this post’s permalink URL. Your response will then appear (possibly after moderation) on this page. Want to update or remove your response? Update or delete your post and re-enter your post’s URL again. (Find out more about Webmentions.)