南非独立通信管理局 (ICASA) 提交了一份激进的提案，以解决该国的 SIM 卡交换攻击问题，建议当地服务提供商应保留手机号码所有者的生物特征数据。

通过这样做，像 Vodacom 和 MTN 这样的电信公司将能够使用这些数据来确认请求号码转移行动的人是合法所有者。

SIM 交换攻击是全球所有国家和服务提供商面临的数百万个问题，威胁行为者可以将人们的号码转移到攻击者的 SIM 卡上，实质上是劫持了用户帐户。

此攻击旨在绕过基于 SMS 的多因素身份验证步骤，以保护有价值的银行账户和加密货币钱包并控制受害者的资产。

大多数提供商没有足够的保护措施来防止这种情况发生，即使他们这样做了，流氓员工手动覆盖它们以换取几百美元的情况并不少见。

ICASA 认为，将手机号码与用户生物特征数据关联起来，最终将填补所有漏洞，结束手机号码劫持问题。

该提案已在 2022 年 5 月 11 日之前接受公众舆论审查，但并未明确生物识别数据是指纹、面部扫描、语音、虹膜还是这些的组合。

系统将如何工作
根据ICASA 昨天发布的提案，防 SIM 交换系统的工作原理如下：

在电信公司网络上激活手机号码（现有号码也将被视为新号码）时，被许可人（服务提供商）必须确保它收集用户的生物特征数据并将其链接到该号码。
被许可人必须确保他们始终持有指定手机号码的当前生物特征数据。
被许可人收集的生物特征数据必须仅用于对分配了手机号码的用户进行身份验证。
如果订户请求 SIM 交换（号码端口），则被许可方必须确保用户的生物特征数据与与手机号码相关的数据相匹配。如果不是，则必须拒绝移植请求。
唯一免于拟议法规的人是法人，可能是出于隐私和安全原因。南非云服务器租用

南非 Werksmans 律师事务所数据隐私和网络犯罪业务主管兼主管 Ahmore Burger-Smidt 告诉 Bleeping Computer，ICASA 的提议很可能是打击 SIM 卡交换欺诈的唯一解决方案。

不幸的是，SIM 卡欺诈在南非很普遍，移动网络运营商不知如何处理。此外，RICA 立法（2002 年第 70 号通信拦截和通信相关信息提供条例）规定了移动网络运营商在销售 SIM 卡时获取某些数据的积极义务。

在一个拥有各种立法的世界中，更广泛的立法格局应该服务于公共利益。毫无疑问，防止或至少旨在限制网络欺诈符合公众利益，因此收集生物特征信息可以很好地服务于公众利益。- Ahmore Burger-Smidt

SA中的数据隐私和安全案例
我们 一再 报道 有关电信服务提供商被 黑客入侵的新闻，因此包含无法重置或更改的敏感生物特征数据的数据库对南非数千万移动用户构成重大风险。

该国的隐私权倡导者还担心，不会严格强制执行身份验证的专有用途，并且当局或情报机构可能会被授予访问数据库的权限。

如果该数据库拥有面部扫描并且对其他实体开放，该国基本上可以建立一个类似于中国的面部识别、公共识别和跟踪系统，与执政党有 特殊联系。

南非一直 是发现NSO 的 Pegasus 间谍软件 感染的国家之一，而在 2019 年，据透露，政府一直 在对互联网流量进行大规模监控 自 2008 年以来

此外，政府此前曾试图通过 一项全能的通信拦截法 (RICA)，该法仅在该国高等法院裁定其违宪 时才被废除 。

尽管如此，对隐私和数据滥用的担忧可能是有道理的，希望 ICASA 能够考虑相关的公众反馈并相应地修改提案。