新加坡企业是怎么做实名认证的?

阅读:35914
心得与体会
新加坡

三月是国内个税申报的月份,也是新加坡个税申报的月份,前几天收到一封信,告诉我应该填写个税申报的表格了。

image-20220319190748002.png

在这封信里,提到了下面这段话:

To file your Income Tax Return, log in to myTax Portal with Singpass.

这里面有说到一个东西叫Singpass,在我来新加坡的这几个月里,几乎可以把Singpass看成新加坡政府数字化建设的核心,也是我非常看好的一个模式。本文就来聊聊Singpass究竟是个什么,他能给我们带来什么。

这些年,中国的互联网行业发展有目共睹,从曾经的网购、团购,发展到现在几乎有点过犹不及的线上化,我们办任何事几乎都可以在线上解决,包括很多政府相关的业务。

这些线上服务极大地方便了日常生活,但也给我们带来了很多隐私相关的问题,今年315晚会也正好说到了手机号泄露、骚扰电话等问题。

手机号是国内用于识别独立用户的基本方式,国家也出台了相关法律规定,允许网民发表评论的网站和App必须使用手机号进行实名认证,这也导致我们日常生活中接触的每个线上服务,都需要使用手机短信验证码登录。更甚者,对于一些对用户实名身份要求较高的业务(比如云计算、金融相关),甚至需要我们上传身份证、手持身份证照片来进行实名认证,而用户上传的这些数据只能由这些业务厂商进行储存与保护。

保护隐私这件事,很多互联网厂商尚且无法独善其身,传统企业以及地方相关部门的安全建设我更加悲观。我认为从根本上来看,现有的很多安全防御措施是治标不治本的方法,而把国民数据保存在各个企业自己的数据库里才是核心问题所在。

相比起来,新加坡大量的网站、App可以直接使用邮箱注册与登录,他们如何来确保自己的用户是真实的用户,避免被“薅羊毛”呢?这就得说到Singpass。

Singpass是新加坡政府推出的一个统一身份验证应用,所有在新加坡工作的本地人、外国人都会有自己的Singpass账号。之前我也跟别人分享过一个趣事,就是这边Singpass的账号密码居然是线下通过信的方式寄给我的。

可以认为Singpass就是新加坡居民在政府部门数据库的一把钥匙,每个人有且只有一把。从技术层面来看,其实Singpass就是一个OAuth2.0的一个认证服务器,使用者集成OAuth2的流程,就可以用于获取访问者的各种信息。

我查阅了一下Singpass的官方开发文档api.singpass.gov.sg,能通过这个接口获取的信息真的还是挺多的,比如有用户的个人信息、公积金信息、工作信息、家庭信息、房产信息等等:

image-20220319194805395.png

据我的观察,这边基本所有的政府网站都使用了Singpass作为统一登录方式,很多需要验证用户身份的商业应用,比如银行、支付、保险等,也都集成了Singpass作为实名认证的方法。

不过可能有同学也会有疑问,既然开发者也可以通过Singpass来获取到这些用户的隐私信息,那么是否仍然可能存在隐私泄露的风险?

对于这个问题,Singpass官方当然也有想到。首先,申请Singpass API的企业需要编写一个PPT文档来描述自己需要哪些用户数据,这些数据主要会被如何使用,从业务设计层面来审核你是否真的需要这些数据。

image-20220319200411620.png

如果你的业务只是用Singpass做用户合法性认证(比如防止薅羊毛、二次认证等),那么可以只把Singpass作为Verify的工具,并不需要拉取用户信息。

image-20220319200546048.png

最后,服务真的需要拉取用户信息时,仍然需要用户在Singpass上对企业进行授权,此时会显示这个服务将会拉取的信息有哪些(实际上就是OAuth2里的scope),你可以自行决定是否其授予权限,甚至可以对滥用权限的应用进行举报等。

我还可以在Singpass的手机应用里看到历史上我授权了哪些信息给哪些服务。比如,这是我授权给花旗银行的信息列表,里面有姓名、联系方式、身份证号、公积金信息等:

image-20220319201409039.png

使用Singpass以后,我会更感觉自己的个人信息的掌控权是掌握在自己手上的,对于整个社会来说,也能更好地收窄企业对个人信息的索取范围。

当然,Singpass有没有缺点呢?我认为Singpass最大的问题可能就出在于它本身的安全性上,Singpass相当于是一个新加坡国民数据库,一旦这个数据库自己的安全出了问题,那整个国家的国民信息将会被一锅端。

最后说点自己的看法,从Singpass这一点上来看,新加坡国家政府给我的感觉更是像一个巨型的互联网企业,它提供了一系列开放接口给国内的第三方企业和民众,而自己仅作为一个信息Provider。

给我这个感觉的另一个事情就是,我发现新加坡政府居然有一个开发者平台(https://www.developer.tech.gov.sg/),里面有提供一系列的开发工具与文档,甚至还有政府维护的开源项目,我们可以在Github上找到他们:https://github.com/GovTechSG

怎么说呢,有时候新加坡政府部门给我的感觉是低效率的,办一个工作准证就要等大半个月;有时候政府部门给我的感觉又是高效和现代化的,能提供类似互联网公司才有的服务。也许这个世界就没有什么完美无缺的事物存在吧。

赞赏

喜欢这篇文章?打赏1元

评论

Escape 回复

【几乎可以把Sinpass看成新加坡】应该是拼写错误了吧?Singpass

phithon 回复

@Escape 感谢已修改~

吃葡萄不吐葡萄皮 回复

国内的eID和CTID也有类似的设计理念,但生活中很难见到它们的影子。

captcha