第四章 數位身分於我國銀行業之法規與應用
第二節 數位身分於我國銀行業之應用
國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
40
參、金融機構運用新興科技作業規範
銀行公會為協助銀行適當管理運用新興科技之風險,以促進銀行業務健全經 營,特定訂「金融機構運用新興科技作業規範」。此規範主要分為四大類,分別 是雲端服務安全控管、社群媒體控管程序、自攜裝置安全控管以及生物特徵資料 安全控管。就數位身分而言,「生物特徵資料安全控管」即為本節之重點。
第二章曾提及生物特徵可作為識別及驗證身分之因素,此規範則進一步規定 銀行業使用此類資料時,應盡之義務。像是運用生物特徵資料作為識別客戶身分 時,其蒐集、處理及利用之行為,應納入個資管理機制;蒐集生物特徵資料時,
應取得客戶同意,並讓客戶充份了解所蒐集之目的及方式;生物特徵資料儲存於 銀行內部系統時,應將原始生物特徵資料去識別化使其難以還原、將原始生物特 徵資料及假名標識符進行加密儲存、將生物特徵資料分別儲存於不同之儲存媒體
(如資料庫);以及應確保生物特徵資料於傳輸過程中之訊息隱密性、完整性、
不可重複性及來源辨識性,相關控管應符合「金融機構辦理電子銀行業務安全 控管作業基準」等等。
第二節 數位身分於我國銀行業之應用
「普惠金融全球合作夥伴組織」(Global Partnership for Financial Inclusion,
GPFI)指出,數位身分自首次開戶(Onboarding)」、客戶盡職調查(Customer due diligence,CDD),乃至個別交易確認放行均有應用空間78。
本節將簡單介紹目前我國銀行業實務上應用數位身分之時機,大致區分為開 戶、客戶盡職調查、驗證身分等。
78 THE GLOBAL PARTNERSHIP FOR FINANCIAL INCLUSION-GPFI, G20 Digital Identity Onboarding, https://www.gpfi.org/sites/gpfi/files/documents/G20_Digital_Identity_Onboarding.pdf (last visited July.
23, 2020).
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
41
壹、開戶
「銀行受理客戶以網路方式開立數位存款帳戶作業範本」規範了不同種類之 數位帳戶得採用之驗證方式,各家銀行得再依據自身風險評估後自行決定開放哪 些種類的數位帳戶或是哪些種類之驗證方式,舉例而言,某些銀行並無開放第一 類數位帳戶之開立,或是未採用以既有之自行信用卡驗證之方式開立第三類數位 帳戶。
貳、客戶盡職調查
金融機構為有效防制洗錢,應執行客戶盡職調查,至少包括取得客戶資訊、
評估客戶風險及辨識、驗證客戶之實質受益人等合理措施。依我國《金融機構防 制洗錢辦法》第三條之要求,銀行與客戶建立業務關係時,徵提客戶身分證明文 件,並進行客戶資料之審查,就客戶身分作確認,一般稱為「認識你的客戶(Know Your Customer, KYC)」。
以開立數位帳戶為例,銀行於確認客戶身分時,應以可靠、獨立來源之文件、
資料或資訊,辨識及驗證客戶身分,並保存該身分證明文件影本或予以記錄。(《金 融機構防制洗錢辦法》第三條第四項第一款)因此,要求客戶提供國民身分證正 反面影像檔及具辨識力之第二身分證明文件(如健保卡等)影像檔以供備查。
參、身分驗證
我國銀行在確認客戶身分時,可以透過很多不同的方式驗證客戶身分,例如 客戶臨櫃辦理業務時,可以透過面對面互動的方式向客戶取得基本資訊,並以紫 光燈查驗客戶提供之國民身分證以確認證件之真偽,再至內政部戶政司網站檢核 身分證換補發時間地點,核驗該證件是否為最新版本之身分證。
若客戶非臨櫃,而是透過網路與銀行進行業務往來,則此時便是銀行應用數
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
42
位身分驗證客戶身分的時候,銀行業實務上最常利用的幾個方式茲分述如下。
一、自然人憑證
自然人憑證是由我國內政部憑證管理中心所簽發的數位憑證,「憑證」包含 了「數位簽章」跟「公開金鑰」。這個公開金鑰是智慧型的 IC 卡自己演算出來 的一組金鑰對中的一半,另一半稱為「私密金鑰」,則永遠儲存在 IC 晶片當中。
經由憑證使用人和憑證管理中心約定,使用此憑證即可辨認身分,啟用了加解密 的功能,不管在網路上傳什麼資料,資料都被加密,即使駭客攔截了資料也無法 輕易的解開79。本文的第二章第二節曾提過「數位憑證」,自然人憑證即為一例。
自然人憑證作為台灣官方的網路身分識別機制,讓使用者在網路上作資料交 換時,如同網路身分證般辨識身分,因此我國銀行業在驗證客戶身分時,透過官 方機構內政部所簽發的自然人憑證,自是最基本的一種驗證方式。
二、生物辨識
我國金融監督管理委員會於 2016 年提出的「金融科技發展策略白皮書」將 生物辨識列為金融科技的重大基礎建設之一,銀行應瞭解相關技術如何運作並與 相關服務整合,以提供客戶更好的服務。
中華民國銀行公會「金融機構辦理電子銀行業務安全控管作業基準」(以下 稱安控基準)第七條交易面之介面安全設計規定,使用憑證簽章得應用於高風險 交易,而高風險交易之安全設計可應用於低風險交易;應用於低風險交易之安全 設計可應用於身分確認(如簽入作業)。使用晶片金融卡及使用一次性密碼(One Time Password, OTP)則僅限應用於低風險交易;至於使用前述三項之任「兩項 以上技術」,也僅限應用於低風險交易,明確闡述了生物辨識技術在金融機構的
79 內政部憑證管理中心,「什麼是自然人憑證」,網址:https://moica.nat.gov.tw/what.html(最後 瀏覽日:2020 年 7 月 23 日)。
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
43
使用,即在適當的「兩項以上技術」搭配下,生物辨識技術可以運用在低風險交 易及身分確認(簽入作業)上。
2017 年修訂之安控基準更將生物辨識技術增訂「間接」驗證機制,使金融 機構可選擇「直接」或「間接」驗證生物特徵。依據安控基準規定:「間接驗證」
係指由客戶端設備(如行動裝置)驗證或委由第三方驗證,金融機構僅讀取驗證 結果,必要時應增加驗證來源辨識。此為我國已經開放金融機構可透過一定的安 控機制而信任類似 Apple iPhone 手機指紋、臉部辨識或 Samsung Galaxy S8 虹 膜辨識的驗證結果,進而進行低風險交易或簽入作業。反之,「直接驗證」即指 自行驗證生物特徵,因此金融機構辦理生物特徵「直接驗證」需從事前述生物辨 識技術的感測、擷取、註冊、儲存、比對及決策等程序80。
「間接驗證」相較於「直接驗證」具備執行流程簡單、操作簡易及快速完成 特性,因此目前我國銀行業主要是利用「間接驗證」生物辨識技術,搭配第 2 項 身分認證技術於行動銀行進行客戶身分驗證81。
三、透過第三方業者進行身分確認
(一)財團法人金融聯合徵信中心
財團法人金融聯合徵信中心(以下簡稱聯徵中心)是國內唯一的金融信用資 訊中心,負責金融機構間信用資料的建置,並對會員機構提供信用資訊查詢服務,
以協助促進金融機構間信用交易的健全發展82。聯徵中心為了協助會員機構驗證 當事人之身分證與內政部戶政司提供予聯徵中心之六項驗證值是否相符,並加強 身分確認,開發 Z21「國民身分證領補換資料查詢驗證」及 Z22「通報案件紀錄
80 黃世欽,「生物辨識技術與我國金融機構之運用」,銀行公會會訊第 103 期,頁 8-9。
81 同上註。
82 財團法人金融聯合徵信中心編輯部,紙上談信「當事人信用報告」13 項資訊讓信用一覽無餘,
金融聯合徵信雜誌,民國 97 年 1 月號。
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
44
及補充註記資訊」此兩種產品以防止偽冒開戶等不法情事。
依據銀行公會制定之「銀行受理客戶以網路方式開立數位存款帳戶作業範 本」,銀行於客戶申請開立數位帳戶時,必須查詢聯徵中心 Z21「國民身分證領 補換資料查詢驗證」及 Z22「通報案件紀錄及補充註記資訊」,藉以檢視當事人 有無警示通報在案及防範偽冒開戶情形。
(二)財金資訊股份有限公司
財金資訊股份有限公司(以下簡稱財金公司)是由我國財政部及公、民營金 融機構共同出資所籌設,為全國金融資訊與跨行交易處理之樞紐,提供金融帳戶 資訊核驗服務83。
當客戶於銀行線上申請服務,使用「他行存款帳戶」進行身分驗證時,只要 是與財金公司配合「跨行金融帳戶資訊核驗」之機構84,皆可透過此方式進行驗 證,惟其驗證之存款帳戶需為臨櫃開立(非數位存款帳戶),且開通手機簡訊密 碼功能。
(三)財團法人聯合信用卡處理中心
財團法人聯合信用卡處理中心(以下簡稱聯卡中心)是由財政部及公、民營 金融機構捐助基金所成立,配合「電子化支付比率五年倍增計畫」政府政策,依 據法令規範,以提升金融服務作業效率前提,新增建置「信用卡輔助持卡人身分 驗證」平臺,提供電子支付機構及金融機構可接受民眾於線上以「信用卡」進行 輔助持卡人身分驗證之機制85。
83 財金資訊股份有限公司,公司介紹,網址:https://www.fisc.com.tw/tc/profile/index.aspx(最後 瀏覽日:2020 年 7 月 23 日)。
84 參與之機構名單請參考財金公司:
https://www.fisc.com.tw/tc/business/Detail.aspx?caid=b38613b7-e55d-4841-bba7-25643821fe1f
85 財團法人聯合信用卡處理中心,信用卡輔助持卡人身分驗證平臺,網址:
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
45
當民眾於電子支付機構網站線上註冊及開立第二類或第三類電子支付帳戶 時,或於銀行線上開立數位帳戶、申辦信用卡時,將透由送驗機構傳送信用卡資 訊至聯卡中心認證平臺,再由發卡機構驗證是否為使用者本人之信用卡支付工 具。
來源:財團法人聯合信用卡處理中心86
四、行動身分
行動身分亦即 Mobile ID,是新興起的一種數位身分驗證方式,透過載有 SIM 卡的行動裝置,與電信事業連線並驗證過去申辦該行動門號的個人資料87。
行動身分亦即 Mobile ID,是新興起的一種數位身分驗證方式,透過載有 SIM 卡的行動裝置,與電信事業連線並驗證過去申辦該行動門號的個人資料87。