個人資料真實性及維護

國

立 政 治 大 學

‧

N a tio na

l C h engchi U ni ve rs it y

71

端，「電子支付機構支付款項信託契約應記載事項」第 5 條則明文，

交付信託之支付款項，除依使用者支付指示移轉支付款項、使用者 提領支付款項、孳息或其他收益分配予受益人外，委託人不得指示 受託人動用。只是契約應記載事項之效力似乎稍嫌薄弱，委託人有 無可能依《信託法》第 3 條反面解釋、第 15 條變更受益人及信託財 產管理方法，損及使用者權益，不無疑義。

第四節

個人資料真實性及維護 第一項 實名制

以往因應網路的特色，電子商務平台提供線上支付服務的時 候，並不一定要求會員透漏真實之身分資訊，只要求使用者提供電 子郵件信箱、聯絡電話、地址等交易相關之資訊。為落實防制洗 錢、打擊資助恐怖主義，禁止匿名或明顯利用假名開設帳戶之要 求，以確保若有犯罪或不法情事發生時，得以追查交易人，《電子支 付機構管理條例》第 24 條第 1 項規定專營之電子支付機構建立使用 者身分確認機制之義務，將使用者提供真實資訊法制化。

電子支付體系納入金融管制環節的特色之一，就是強調使用者 的帳戶必須採用｢實名制｣，《電子支付機構使用者身分確認機制及交

‧ 國

立 政 治 大 學

‧

N a tio na

l C h engchi U ni ve rs it y

72

易限額管理辦法》規定支付業者應確認使用者身分資料之真實性，

不得接受使用者以匿名或假名申請註冊，並於使用者註冊帳戶時，

支付業者應向財團法人金融聯合徵信中心查詢使用者是否為疑似不 法或異常交易之存款帳戶，並留下資料。¹⁰⁰考量不同使用者對電子 支付帳戶交易功能需求不同，身分確認之嚴謹度亦有區別，依據

《電子支付機構使用者身分確認機制及交易限額管理辦法》與｢電子 支付機構業務定型化契約範本｣，單純自然人使用者僅使用｢代收轉 付｣與｢預付儲值｣功能，而無｢收款｣及｢帳戶間款項移動｣功能者，其 確認使用者資訊程度為行動電話號碼、電子郵件信箱或社群媒體帳 號、國民身分證資料或居留證資料；而自然人使用者欲使用｢收款｣

及｢帳戶間款項移動｣功能或法人使用者，除以上資訊確認外，必須 再確認金融支付帳戶之真實性，法人使用者更要求確認代表人或受 權代理人之真實性。¹⁰¹

(表 6)電子支付認證程序與開放功能對照表

類型 使用者身分認證程序 使用者帳戶功能與每 月收付款金額上限(新

台幣)

100 《電子支付機構使用者身分確認機制及交易限額管理辦法》第 3、4 條。

101 《電子支付機構使用者身分確認機制及交易限額管理辦法》第 6、8、9、13 條。

‧

‧

‧ 國

立 政 治 大 學

‧

N a tio na

l C h engchi U ni ve rs it y

75

4. 代表人或其所授權之代理人以 臨櫃審查或符合電子簽章法之 憑證確認使用者之身分。

(資料來源：本研究自行整理)

第二項 電子支付機構個人資訊安全之保護 第一款 遵守資訊安全標準

強調方便的線上支付，安全性也是大家所考量的因素，但通常｢

方便｣和｢安全｣是兩個互斥的概念。國際間線上支付賬戶被盜刷的案 件頻繁，線上支付的無權利者冒用風險，可能歸咎於支付機構風險 意識薄弱，存在較多安全漏洞，且缺乏保護用戶權益的有效機制，

儘管部分線上支付機構承諾先行賠付，或者引入盜刷保險，但畢竟 難以挽回使用者的不安全感，因此針對線上支付資訊安全之風險特 性，《個人資料保護法》、《電子支付機構管理條例》及相關子法對於 資訊安全標準有嚴格之規定。

也由於實名制之緣故，支付業者之既有使用者初期可能會有些 不習慣，要求使用者透漏真實資訊而讓使用者得到更多的支付功 能，或許使用者初始排斥的並非不便利的問題，而是真實資訊是否 獲得充足保障的疑慮。《電子支付機構使用者身分確認機制及交易限

‧ 國

立 政 治 大 學

‧

N a tio na

l C h engchi U ni ve rs it y

76

額管理辦法》第 7 條規定電子支付機構接受個人使用者註冊時，提 供之基本資料至少包含姓名、國籍、身分證明文件種類及號碼、出 生年月日。這些身分資料一旦外流，將增加使用者遭詐騙或冒用帳 號之風險，所以《電子支付機構管理條例》第 28 條規定電子支付業 者對於使用者之資料應保守秘密，並禁止其利用使用者個人資料為 第三人從事行銷行為。第 29 條第 2 項授權主管機關訂定《電子支付 機構資訊系統標準及安全控管作業基準辦法》，規範支付業者對於個 人資訊保護措施建置之基準，包含身分確認程序、使用者帳號密碼 設計之規定，如密碼不應少於六位、密碼不應和帳號相同、登入驗 證機制、實體機房的防護與監控、避免訊息重複之測試等，提供支 付業者遵守資訊安全之標準。

除了法規之外，ISO27001 是資訊安全管理標準，其宗旨在提供 用以建立、實作、維持及持續改善資訊安全管理系統(Information Security Management System, ISMS)之要求事項，將資訊管理分為 三種，｢機密性｣(confidentiality)：指使資訊不允許使用或不揭露 給未經授權之個人、個體或過程(指資訊由輸入轉為輸出的流程)；｢

完整性｣(integrity)：指準確度和完全性的性質；｢可用性｣

‧ 國

立 政 治 大 學

‧

N a tio na

l C h engchi U ni ve rs it y

77

(availability)：指確保經過授權的用戶在需要時，可以存取並使 用相關資訊資產的性質。¹⁰⁴

第二款 驗證方式吹起生物特徵辨識風

目前電子支付驗證方法的問題，在於容易被盜用，簽名容易被 複製，密碼會有被竊取及遺忘的問題，現代人因為手機密碼、銀行 帳戶密碼、電子郵件密碼等，頭腦已應接不暇，根據統計，67%的消 費者平均必須記得 11 組帳號密碼¹⁰⁵，故生物科技的獨一無二特性能 幫助人們解決記憶驗證帳號密碼的不便¹⁰⁶。因此近期境外支付業者 紛紛嘗試生物特徵的身分認證方式，除了 2014 年 9 月 Apple 的 iPhone6/6+手機所搭載的指紋辨識驗證技術，用戶可在電源鍵按上 指紋完成支付認證外，阿里巴巴於 2015 年 3 月推出｢微笑支付｣、

2015 年 7 月 MasterCard 開始測試｢臉部辨識｣技術、2015 年 4 月，

Yahoo 奇摩實驗耳紋辨識研究、2015 年 5 月，日本 NTT Docomo 在 ARROWS NX F-04G 手機上，搭載｢虹膜辨識｣技術，提供用戶能掃描

104丁冠齊，巨量資料與個人資料保護法之研究，世新大學法律學研究所碩士論文，2015 年 7 月，頁 19。

105 Consumers Ready to Say Goodbye to PINs, Passwords, and Probing, Nuance, May8, 2013

http://www.nuance.com/company/news-room/press-releases/2013_05_08_VoiceBioSurvey_forWeb.docx (last visited December10, 2016)

106 李元生、林建廷，行動商務概論、實務與應用：無所不在的雲端運算、行動裝置、RFID 與 物聯網，2012 年 9 月，頁 204。

‧ 國

立 政 治 大 學

‧

N a tio na

l C h engchi U ni ve rs it y

78

眼睛的虹膜完成手機螢幕解鎖或結帳付款認證等¹⁰⁷，如此的好處在 於提高身分認證的便利性，減少忘記密碼而需要後續確認本人身分 手續的不便，但前提是生物特徵辨識系統具充足的穩定性、可靠 性，否則可能弄巧成拙。而國內業者目前主要的心力在於衝高用戶 數與拓展合作商家，對於生物特徵辨識認證尚未有具體應用。

第三款 資訊安全漏洞之損失承擔 第一目 歐盟

關於支付業者承擔損失之規定，歐盟《支付服務指令》首開歐 盟電子支付法制先例，將過失舉證責任納入強制規範¹⁰⁸，是根據使 用者發現未經授權交易後是否即時通知支付業者區分責任歸屬，使 用者通知後的未經授權交易，不論支付業者有無阻止能力，原則上 應由業者承擔相關損失，倘業者並無提供使用者服務電話、電子信 箱等隨時通知之管道，支付業者應就全部之損失負責¹⁰⁹；使用者通 知前之未經授權交易，使用者應承擔損失，但於使用者非故意或重 大過失發生損失時，使用者承受之損失最多為 150 歐元。¹¹⁰至於｢重

107 胡自立，虛擬經濟－行動支付之影響與商機研究 國際篇－行動支付趨勢與業者動態，財團 法人資訊工業策進會產業情報研究所，2015 年 9 月，頁 167。

108 蔡宗霖，同註 2，頁 56。

109 Reinhard Steennot, Allocation of liability in case of fraudulent use of an electronic payment instrument：The new Directive on payment service in the internal market, Computer Law & Security Review, 2008, 24, (6)：555-561.

110 Article 60、61, Directive 2007/64/EC.

‧ 國

立 政 治 大 學

‧

N a tio na

l C h engchi U ni ve rs it y

79

大過失｣之定義，有論者認為將支付密碼儲存紀錄於載體上，尤其是 紀錄於公用電腦，或將帳號密碼紀錄於易被取得之紙條上，都會被 認為使用者應負重大過失之責。¹¹¹

第二目 美國

美國聯邦《電子資金移轉法》(Electronic Funds Transfer Act, EFTA)中針對風險責任分配也有相同規定¹¹²，該法明文消費者 毋庸對未經自身授權之電子資金移轉負責，但消費者有即時通知義 務，並規定使用者負擔額度隨通知時間延後而增加，甚至全額負 擔。在通知業者後，隨即免除負擔損失之責。

(表 6)美國聯邦《電子資金移轉法》中規定使用者通知義務與 負責程度

事件 使用者通知業 者期間

使用者負責程度

裝置遺失或遭 竊

使用者得知裝 置遺失或遭竊

使用者最高僅需負擔 50 美元

111 蔡宗霖，同註 2，頁 57。

112 蔡宗霖，同註 2，頁 52。

‧

‧

資料來源：Consumer Liability for Unauthorized Transfers:

Electronic Fund Transfer Act - Regulation E (12 CFR 205.6)

第三目 台灣

我國《電子支付機構業務管理規則》第 16 條明文電子支付機構 對於電子帳戶偽冒交易之爭議應負舉證之責，如有不可歸責使用者 之事由者，應承擔該交易之損失。在不可歸責於使用者之資訊外流 風險上，支付業者承擔風險以維護使用者權益，有效督促支付業者

‧ 國

立 政 治 大 學

‧

N a tio na

l C h engchi U ni ve rs it y

82

建置資訊安全的確實性，也因支付業者相較於使用者有防範資訊外 流之優勢，且既然業者獲有利益，本該承擔風險。相較於歐美的消 費者負通知義務，我國採用業者必須為｢歸責於消費者的損失｣負舉 證責任，對於使用者未經授權交易之保護乃有過之而無不及。隨著 網路交易日益發達，相關業者在面對資料遭竊取而導致用戶權益受 損之情形，或許可以思考以｢個人資料保護責任保險｣方式分散理賠 之風險。

第三項 第三方支付業之資訊安全

在《電子支付機構管理條例》及相關規定的範圍下，資訊安全

在《電子支付機構管理條例》及相關規定的範圍下，資訊安全

在文檔中 以電子支付及第三方支付法制論消費者保護與產業發展 - 政大學術集成 (頁 79-92)