司法部长：公司核对客户身份后没有须要保存身份文件

1111112

司法部长 Mark Dreyfus 说他以为各公司在反省完顾客的身份后没有必要保存身份文件，并表示他要寻求变革隐私法。

他的这番话是在Optus数据泄漏，黑客接触到2017年以来的数百万顾客的公家信息后说的。

Dreyfus周四上午告知记者们：“我们将斟酌假如搜集信息的目的不外是确认某人的身份的话，是不是公司应当被允许保存这些数据。”

“我们都熟习这个100点身份反省：假如公司说‘我们需求见到你的驾照’或‘我们需求见到你的护照号码’，这是为了核实你的身份，但是就该到此为止了。”

在数据走漏后，各州和领地都允许受益人换驾照，关于护照和Medicare卡号码的讨论也在进行中。

Dreyfus说他以为各公司在反省身份后没有必要保存这些信息。

他说澳洲人应当取得包管，一家公家公司或政府机构要求他们的数据后，数据仅用于一开端搜集的目的。

他说还将斟酌对《隐私法》的变革是不是能在本年剩余的议会闭会周里处理。

https://www.sbs.com.au/news/article/companies-dont-need-to-keep-100-points-of-customer-identification-on-file-attorney-general-says/zo2ubqhyu

asdfg10000

确切没有必要，除了形成平安隐患不测

tianjun_007

看行业吧，会计和房产需求保管资料7年，审计要求

longlive

赞同。应当保存在政府那里。然后让政府提供个API，大家谁需求就直接调用。然后黑客的攻击目的就转移过来了。出了成绩，政府也能够疾速收费给大家改换证件

cnma

Make sense ! 银行等等还要把团体信息照片复印留底，这TMD走得太远了，希望看到一家公司或者银行马上据此破产，以警示其他公司和银行！

juneyi

Totally agreed!

兰色畅想

我觉得对！

vivian921

听上去仿佛很有道理，但是就是瞎扯淡。不保存信息，那一开端确实认信息还有甚么意义？我要确认你是谁才干提供相应的办事，开端提供办事了，我却不克不及再确认你是谁了？给你开电话卡的时分要确认你是01/01/1901年诞生，驾照号是12345678，从卡号是1234432112344321的信誉卡（这张信誉卡是否是在你名下都没法确认）扣钱，然后要烧毁你的信息记载，回头没法扣钱了，电话公司找谁要债？连你的详细信息都没有，打官司找谁都不晓得。固然那些证件的复印件能够没有必要保管，但是我们通常所说的泄漏信息自身也无所谓是否是包罗驾照，护照的复印件，毕竟光是号码曾经很有用了。

lnck366

固然电话公司和保险公司需求晓得你是谁，所以姓名和地址还存在本地

但是信誉卡之类的就不会了。

澳大利亚要存储金融类信息的企业是有必然要求。

就用电话公司和保险公司做例子。他们很多不存这些信息的。

信息可以存在大银行，保险公司存的是一个token，他们需求收钱的时分给银行客户账户的号码和Token，银行那边按照这些信息划款。

从头到尾这些保险或者电话公司在收钱进程外面都不再需求提取客户信息。

出来甚么事情，银行把token作废就行-了。

lovememe

友人做过这方面的研讨


不断在设想一个身份标识的替换方案，像中国身份证号码那样分明表露少量公家信息的真不适用。


新的身份标识，应当不带有任何团体信息，例如名字、诞生日期和住址等等，


单纯的一个标识，加上密码和静态随机校验码。最好能全球通用，独一标识。


至于标识前面对应的信息，放在平安的中央，有需求的去拜候读取便可。

想念倾盆大雨

改东西一概自己去柜台操持，或者经过视频验证。

试一烙铁

大银行又收手续费赚一笔

xyasan

重点就是你说的所谓平安的中央其实不存在，都是绝对的，靠大部份人的信任所构成的一个平安的抽象，一旦失事就崩了。欧普塔斯失事前大家也觉得很平安不是吗

ctwl

没错


所以增加运用这些信息的场景，尽可能增加风险，风险为零是很难完成的。

易江南

搜集信息没有成绩，但是不克不及直接把源文本存进数据库，这是关键！

一切的信息，必需哈希加密，密钥严厉保密

即使黑客进数据库，拿到的也是乱码！

lucygan

严重赞同！

2288

有道理的，有点像RGDP uk了，其实原本就是客户的信息，客户可以随时要求删除的，然后反省完了法律就应当不允许再保存了。

早起的鱼

比企业去履行政府compliance 廉价啊。

对应存储不同等级的数据有不同的compliance。

很多保险公司和电话公司本身没有几个员工。严厉来讲他们做的是有点像broker或者promoter的生意。

一个真实的故事，之前有个国际保险公司，但是其在新西兰的分部是小范围的。他们的IT是外包的，外包商不是一人公司也超不外几团体。由于我每次都和公司owner直接联络。

有次他们说保险计费软件输入有成绩，我需求看看他们的数据。他们直接电邮给了我IP，admin用户名，密码。用RDP链接。乃至没跑RDP over TLS，无需VPN。

我转头发email过来告知他们这样搞不可。他们解释是外包的IT公司是硬件专家，不是软件的。我懒得和他们多说了。希望他们的用户好运。

好男人

手机验证码最迷信，不需求问生日住址

刺猥

支持！真的没有必要保管。

hhclemend

下一个暴雷的我预测医疗业各家clinic 留意review 一下本身的security framework

黑VS深黑

clinic的电脑应当拔掉网线

fing2575

真心希望看到哪一个小银行暴雷，直至破产，然后来整理一下这个成绩

hxzhan

那土澳专家们还怎样用google给病人看病？

houlujin

旁边加一个电脑呗

难为水

确认 nab如今还在不断地让前几年开账户的人补资料

aaaname

澳洲的信息平安很多公司还是没注重起来 这东西就像保险没事都一样 出了事才晓得应当早买

无【冥】见

隐私法是一种社会文明的产物
说白了就是比谁命贵
PII泄漏看起来是外表上的会被盗用身份去做不法行动或者直接简介形成经济损失
但是实践上这是一种权益的被进犯。假如隐蔽版哪天不谨慎露了ID能够会有人要他杀。

零肆妖妖nuodesi

TPB有新的规则了，当面或者视频认证后不允许留影印或者拍照片了。

xyasan

这不是童话世界。
这个主张好