第五章 銀行應用數位身分之操作準則與國際標準之遵循程度分析
第四節 小結
國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
54
若是臨櫃開戶之情形,當客戶回答開戶是為了薪資存款,銀行可要求客戶提供聘 書或是員工識別證等文件以茲證明,但開立數位存款帳戶僅需留存身分證件影像 而不必留存其他文件資料。
第四節 小結
雖然透過以上分析,我國銀行業現行之做法似乎形式上皆合於規範或是指引,
但根據筆者實際的工作狀況,仍覺得實務上在確認身分時有不足之處。
以簡訊驗證碼為例,該機制是透過使用者行動電話號碼確認身分,能夠得出 原留存行動電話號碼之人,與此次提出身分確認之行動電話號碼為同一人,但無 法確認當初留存行動電話號碼之人,真的是開戶之人。客戶變更行動電話號碼必 須透過雙因素驗證,例如透過晶片金融卡使用網路 ATM,再輸入晶片密碼,確 認無誤後始能變更行動電話號碼。但筆者實際碰到的例子是,太太持有先生的晶 片金融卡,由太太設定晶片密碼,最後留存太太的行動電話號碼,但帳戶的戶名 實際上是先生的。若將此例的當事人轉換為人頭以及詐騙集團,整個驗證過程一 樣會成功。
所以若是詐騙集團再透過前述之方式繼續申請開立數位帳戶,銀行其實在開 戶階段以及初步的客戶盡職調查都不會發現問題。但銀行針對客戶之交易都會進 行持續的交易監控,若經系統判斷交易態樣可疑或是疑似洗錢,會再由 AML 經 辦進行下一步的調查,依然能夠在三道防線內防堵洗錢或是資恐之風險。
然而道高一尺、魔高一丈,隨著科技不斷的進步,即便是 OTP 簡訊驗證碼 都有可能被不肖分子中途攔截或竄改,因此根據 NIST 最新的指引,已認證這種 驗證方式並不安全,建議取消這種 OTP 簡訊驗證碼在交易確認的使用,以筆者 服務的銀行為例,目前在交易確認方面已停用簡訊 OTP 服務,但在開戶之身分 確認時依然保有此種方式。
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
55
目前最新的趨勢是希望能夠利用區塊鏈分散式帳本的技術,從資料源頭進行 保護,亦即將身分資料加密後並切碎放在區塊鏈上,讓資料變得比較安全,並能 透過對應的技術將這些碎片快速組合以驗證。根據相關業者指出,他們是透過上 述的技術架構,來做到零信任(Zero Trust),以及去識別化(De-Identification)。
因為過去只要帳號密碼相符合,就信任你是使用者,而所謂的零信任,就是即使 帳號密碼正確但還是不信任,因為知道密碼可能會被盜用,而去識別化則是能因 應歐盟 GDPR 的法規要求93。
雖然筆者覺得我國銀行業目前之做法仍有改善空間,但是推動金融科技以及 數位身分應用之初衷,是希望能夠達成普惠金融。若是再以更嚴格的方式驗證身 分,可能會徒增成本以及造成民怨,反而與普惠金融的目標背道而馳,因此銀行 業在推出新產品、新服務甚至是應用新科技時,應該要衡量如何在監理與普惠金 融之中取得平衡。
除了分析我國銀行之做法外,透過比較歐盟、美國、ISO 以及 FATF 之規範 和指引,以下試著提出對我國做法上的啟發或借鏡。目前我國對數位身分之管理 以及識別/驗證身分機制之保證等級並沒有相關專法之規範,也沒有任何辦法、
注意事項、作業規範或是作業範本可茲參考,但是針對不同的業務仍有相應的規 範及安控基準可以遵循,像是金融機構辦理電子銀行業務安全控管作業基準,根 據交易之風險類型,規定在不同風險下,需要使用何種安全設計方法。
我國目前之做法是比較針對性的細部具體規範,規定在什麼情況下可以使用 什麼機制,與國際間從上位的角度,直接就確信程度予以分級的規範方式不同,
歐盟、美國以及 ISO 皆是以程度劃分,例如達到某種保證等級必須使用至少兩 種驗證因素,至於選擇什麼因素則交由當事者自己決定。後者這種規範方式比較
93 羅正漢,「基於區塊鏈技術的身分驗證方興起,強調零信任與去識別化」,網址:
https://www.ithome.com.tw/news/129143(最後瀏覽日:2020 年 7 月 23 日)。
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
56
具有彈性,尤其科技日新月異,原先認為安全可控的驗證因素可能過不久就被認 為不合適(像是 OTP 簡訊驗證碼)。因此,或許我國可以借鑑國際之做法,直接 規範保證等級。
但其實就我國目前的做法而言,就操作上的結果來說,與國外直接規範保證 等級的方式相比,差異並不大。保證等級之所以彈性,是因為它的定義較為籠統,
歐盟或是美國都有再額外訂定相關指引,進一步說明如何能滿足不同的保證等級 要求。因此要選擇哪一種方式其實是立法論的問題,筆者認為目前兩種方式沒有 孰好孰壞,端看立法者的選擇。只是目前對於數位身分的討論,不僅僅在於銀行 業之應用,我國未來即將換發數位晶片身分證,筆者認為或許應該在最上位的層 次制定專法規範數位身分之管理,至於金融業或是其他行業要如何應用,就是下 面層次有關如何具體適用的問題,不過數位晶片身分證不是本文主要探討的對象,
就點到為止。
至於 FATF 針對利用數位身分進行客戶盡職調查之指引,我國亦可參照其內 容作出相關法規之修正,透過法律正式授權,讓銀行業者在進行客戶盡職調查時 較無後顧之憂。
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
57