• 沒有找到結果。

第五章 研究結果

第一節 政府法令限制

一、消費前之身分辨識程序繁瑣

依據信用卡業務機構辦理手機信用卡安全控管作業基準(104.9.3)之第四章 手機信用卡之安全管控-特殊安全設計之二行動交易手機:「手機信用卡交易超過 主管機關規定免簽名金額上限時,須依安全設計通則三、來源辦識性進行身分驗 證,始能完成交易,以增加其安全性。若為主機卡模擬交易,則於交易前都必須 依安全設計通則三5、來源辦識性進行身分驗證,始能完成交易。」

此外,電子支付機構管理條例(104.2.4)第 1 7 條 :「 專營之電子支付機 構應依各方使用者之支付指示,進行支付款項移轉作業,不得有遲延支付之行為。

專營之電子支付機構應依各方使用者之支付指示,進行支付款項移轉作業,不得 有遲延支付之行為。專營之電子支付機構應於收到支付指示後,以各方使用者同 意之方式通知各方使用者再確認。」

37

依上述2項條文,除採用TSM技術外,無論是採用HCE或一、二條碼方式結帳,

都須經由身分辨識後才能使用,在安全性上確實扮演好把關的腳色,然而,若將 Paywave、Paypass免簽式信用卡輸入行動支付APP後,原先可直接感應使用,反 倒在綁定後無論消費金額大小,每次使用前還需進行身分辨識,且至少輸入四位 數以上之使用者密碼,延長整體結帳時間,反而原先實體信用卡比行動支付更方 便,如此一來,強制規定身分辨識密碼程序,豈不畫蛇添足,增加使用者困擾?

此外,在TSM技術方面,依據本研究自行申辦RicoPay之經驗,以及詢問相關經辦 後,除搭乘大眾交通工具時,無須辨識外,其他任何場合消費都需經過身分辨識 才能使用,失去原先行動支付的便利性。

5安全通則三

來源辨識性:應確保持卡人之正確性,密碼/驗證碼可採用下列任一種持卡人認證方式。

(一)固定密碼/驗證碼:採用此方式應有下列之安全設計:

1. 固定密碼/驗證碼的長度不應少於四位。

2. 不得為相同之數字或連號數字。

3. 固定密碼/驗證碼輸入連續錯誤達五次即不得再繼續執行後續動作或交易,必須透過信用卡 發卡機構的服務中心,確認身份或狀況後重新啟動相關作業。

4. 輸入固定密碼時不限於以數字輸入,例如可以點陣圖連線替代數字之輸入。

(二)動態密碼/驗證碼:動態密碼/驗證碼係運用動態密碼產生器、簡訊、或以其他方式運用一 次性密碼/驗證碼(One Time Password;以下簡稱 OTP)原理,隨機產生限定一次使用之密碼/

驗證碼者。

(三)經信用卡組織核可之生物辨識機制,例如,指紋辨識。

38

考量使用上極為相似的悠遊信用卡,同樣也具有遺失冒用的風險,但卻可依 據電子票證發行管理條例之許可,在使用上卻無須經由任何身分確認之程序,此 外,在考量國人平均每日使用手機約為197分鐘下,平均每7分鐘會使用一次手機,

而實體信用卡卻在消費時才會使用,故發現手機遺失的時間較快,遺失冒用的風 險相對較小,再者,若是擔心資訊安全導致盜刷損失,國內任一家行動支付APP 上線前,皆須通過金管會核准之資安規範,採對稱性加解密系統或非對稱性加解 密系統,針對訊息進行全文加密,並且須符合VISA、MasterCard等國際發卡行與 發卡銀行端的雙重嚴格資安規格,才能在消費時通過兩方的資訊認證,故具有相 當高的安全等級。

本研究認為消費者原先既可接受 Paywave 等免簽式信用卡,在透過行動支付 app 使用同一張卡時,自然也希望能以相同免辨識方式消費,用以減少攜帶卡片 與縮短結帳時間,建議開放由消費者”自行設定”所有卡別免辨識之門檻金額,

讓原先感應式信用卡能照原先免簽使用方式,而未具感應式功能之信用卡也能增 加免辨識之功能,以享受免辨識之便利,或是依據個人承擔風險意願,來自行設 定免辨識金額高低,若消費者完全不希望承擔風險,也可關閉免辨識功能,採用 每次消費需先經過辨識的程序,而免辨識金額上限可與主管機關規定金額 3,000 元相同,而在初次設定或日後調整辨識金額時,需輸入相關辨識密碼或以人工授 權方式進行,可兼具風險控管與交易便利性。

39

二、帳戶功能與交易額度不足

依據電子支付機構使用者身分確認機制及交易限額管理辦法(104.4.27) 第 6 條:「電子支付機構接受使用者註冊所開立之電子支付帳戶,其分類及交易 功能如下:一、第一類電子支付帳戶:個人使用者之電子支付帳戶,得具代理收 付實質交易款項之付款及儲值功能,無收款及電子支付帳戶間款項移轉之付款功 能。二、第二類及第三類電子支付帳戶:個人使用者及非個人使用者之電子支 付帳戶,得具收款、付款及儲值功能。未完成第八條第一項第三款身分確認程序 之個人使用者,其電子支付帳戶不得具儲值功能。」

而各類帳戶交易金額規範,依據同法第 17 條:「電子支付機構接受使用者註 冊所開立之電子支付帳戶,其交易限額如下:一、第一類電子支付帳戶:每月累 計代理收付實質交易款項之付款金額,以等值新臺幣三萬元為限;儲值餘額以等 值新臺幣一萬元為限。二、第二類電子支付帳戶:每月累計收款及付款金額,分 別以等值新臺幣三十萬元為限。三、第三類電子支付帳戶:每月累計代理收付實 質交易款項之收款及付款金額,由電子支付機構與使用者約定之;個人使用者每 月累計電子支付帳戶間款項移轉之收款及付款金額,分別以等值新臺幣一百萬元 為限;非個人使用者每月累計電子支付帳戶間款項移轉之收款及付款金額,分別 以等值新臺幣一千萬元為限。」

各類帳戶身分辨識方式,同法第 8 條:「電子支付機構接受個人使用者註冊 及開立第一類電子支付帳戶,其身分確認程序應符合下列規定:一、確認使用者

40

提供之行動電話號碼。二、確認使用者提供之電子郵件信箱或社群媒體帳號。三、

提供國民身分證資料者,應向內政部或財團法人金融聯合徵信中心查詢國民身分 證領補換資料之真實性;提供居留證資料者,應向內政部查詢資料之真實性。無 法依前項第三款規定辦理身分確認程序之使用者,應以可追查資金流向之支付方 式進行付款。前項可追查資金流向之支付方式,以存款帳戶轉帳、信用卡刷卡或 其他經主管機關認定之支付方式為限。」

同法第 9 條:「電子支付機構接受個人使用者註冊及開立第二類電子支付帳 戶,其身分確認程序應符合下列規定:一、辦理前條第一項規定之程序。二、確 認使用者本人之金融支付工具。前項第二款規定之金融支付工具,以存款帳戶、

信用卡或其他經主管機關認定之金融支付工具為限。但不包含未以臨櫃或符合電 子簽章法之憑證確認身分後所開立之存款帳戶。」

同法第 17 條:「電子支付機構接受使用者註冊所開立之電子支付帳戶,其交 易限額如下:一、第一類電子支付帳戶:每月累計代理收付實質交易款項之付款 金額,以等值新臺幣三萬元為限;儲值餘額以等值新臺幣一萬元為限。二、第二 類電子支付帳戶:每月累計收款及付款金額,分別以等值新臺幣三十萬元為限。

三、第三類電子支付帳戶:每月累計代理收付實質交易款項之收款及付款金額,

由電子支付機構與使用者約定之;個人使用者每月累計電子支付帳戶間款項移轉 之收款及付款金額,分別以等值新臺幣一百萬元為限;非個人使用者每月累計電 子支付帳戶間款項移轉之收款及付款金額,分別以等值新臺幣一千萬元為限。」

41

在消費額度方面,本研究認為一般消費者信用卡每月額度約為月薪 2~3 倍,

若以社會新鮮人月薪約 3 萬元計算,至少也有 6~9 萬元額度,若為高收入者則額 度更高,但改用行動支付後反倒一律降為 3 萬元(第一類帳戶),且採用較嚴格之 累計制,同一張信用卡在不同載具下居然有不同的信用額度,如此設計怎會有消 費者願捨棄實體卡而轉向行動支付?若主管機關為降低盜刷損失而設立此限制,

但在考量國人平均每日使用手機約為 197 分鐘下,平均每 7 分鐘會使用一次手機,

而實體信用卡卻在消費時才會使用,故遺失後容易立即發現的行動支付僅能使用 較小額度,風險較大的實體信用卡卻擁有較大的信用額度,這種邏輯顛倒的立法 精神,實在難以理解此法條限制之用意。

此外,雖可經由升級為第二類帳戶,藉此提高每月消費上限為 30 萬元,但 第一類帳戶已通過確認信用卡卡號與後三碼之程序,在升級為第二類時卻僅需增 加確認本人之金融支付工具,在層級往上提升所需之資訊應該要比前一層的更難 取得才是,難道使用者的存款帳戶姓名、信用卡使用者姓名會比信用卡卡號更難 取得或更珍貴?再者,既便升級帳戶增加交易額為 30 萬元,仍可能會發生行動 支付之信用卡額度低於同一張實體信用卡額度之窘境,加上是以歸戶計算,當多 張信用卡綁定行動支付後,更容易發生此情形,此外,在第一類功能上功能也無 法使用電子帳戶移轉之功能,大幅侷限消費者間的使用範圍,如平攤餐費、繳交

此外,雖可經由升級為第二類帳戶,藉此提高每月消費上限為 30 萬元,但 第一類帳戶已通過確認信用卡卡號與後三碼之程序,在升級為第二類時卻僅需增 加確認本人之金融支付工具,在層級往上提升所需之資訊應該要比前一層的更難 取得才是,難道使用者的存款帳戶姓名、信用卡使用者姓名會比信用卡卡號更難 取得或更珍貴?再者,既便升級帳戶增加交易額為 30 萬元,仍可能會發生行動 支付之信用卡額度低於同一張實體信用卡額度之窘境,加上是以歸戶計算,當多 張信用卡綁定行動支付後,更容易發生此情形,此外,在第一類功能上功能也無 法使用電子帳戶移轉之功能,大幅侷限消費者間的使用範圍,如平攤餐費、繳交

相關文件