加速金融創新腳步，金管會訂數位身分驗證指引

數位時代來臨，金管會 24 日公布「金融服務業辦理數位身分驗證指引」，做為銀行、保險、證券等金融業共通性指引，未來金融業若有關於數位身分驗證新應用，可洽詢金管會進行業務試辦，不必等自律規範修正後才能進行。

進入數位時代，數位身分驗證應用成金融科技重點之一，現行金融業各業別已有相關自律規範訂有身分驗證機制規定，但並未有跨業別共通準則，金管會因此訂定「金融服務業辦理數位身分驗證指引」，做為金融業跨業別共通的上位準則。

後續各金融業公會將參考金管會公布的「金融服務業辦理數位身分驗證指引」，訂定或修正各業別數位身分驗證相關自律規範或章程。為保留金融創新發展空間，金管會不僅在指引保留彈性，同時請各金融業公會在調整或訂定自律規範時同樣要保留彈性。

金管會創新中心專門委員劉秀玲在例行記者會說明，金管會訂定「金融服務業辦理數位身分驗證指引」，主要有2大效益，第一是透過訂定金融業共通性指引，有助促進跨業別規範趨於一致，其次是透過指引建立明確方法論，可望加速金融創新腳步。

金管會指引有3大重點，第1，金管會明定，金融業辦理數位身分驗證的應用場景風險等級與驗證機制信賴等級，應依風險基礎原則相互適配。

所謂應用場景風險評估考慮因素，包括是否可能造成客戶不便與困擾、是否可能造成客戶及金融業名譽損害、是否可能造成客戶及金融業財損或代理責任，以及是否可能對金融業、相關計畫或公共利益有損害、是否未經授權公布機敏資料、金融服務業是否違反相關法規等。

依應用場景風險程度，金融業可自行區分為低、中、高及極高等不同風險等級，並依風險適配性進行評估，對應建立不同信賴等級的驗證機制。

舉例而言，若金融業擬建置行銷宣導App，客群為一般大眾，應用場景風險程度相對低，對應的驗證機制信賴等級相對低，例如透過密碼保護即可；若金融業應用涉及轉帳交易，對應的驗證機制信賴等級相對拉高，例如資料必須加密保護，同時要進行OTP簡訊認證身分等。

其次，金管會明定金融業辦理數位身分驗證應建立至少6項風險管理機制，並應納入內部控制及稽核制度並適時檢討。

金融業辦理數位身分驗證風險管理機制，至少應包括透過定期評估報告評估身分驗證機制作業程序及使用者使用過程風險、威脅及弱點，進行檢討改進；防範、監控、管理資通安全風險，包含防止篡改、身分盜用及資料濫用等保護措施。

以及數位身分驗證若有涉及其他機構，應釐清相關風險與責任；建立受理客戶申訴、爭議處理及補救的內部標準程序，對辦理數位身分驗證員工實施相關教育訓練、建立營運持續及事件復原計畫等。

指引第3項重點是金管會明定金融業辦理數位身分驗證應注意與客戶權益有關事項，例如客戶是否加入金融業建立的數位身分驗證機制，應由客戶自主決定等。

劉秀玲表示，指引以風險為基礎，未來若金融業有關於數位身分驗證的新應用場景或新驗證技術，可洽金管會各業務局詢問是否可進行業務試辦，無須先等自律規範修正後才能進行，可避免金融創新腳步因修正規範需要作業時間而延宕。

金管會創新中心科長蔡少懷表示，以現行銀行公會訂定的「金融機構辦理電子銀行業務安全控管作業基準」為例，3種類別數位帳戶均有相對應的驗證機制規範，即自律規範已經給金融業設定相對應的標準答案，相對沒有彈性。

蔡少懷進一步指出，金管會訂定上位指引後，有創新點子的金融業資優生將有新的解法，業者可按指引訂定的方法論進行風險適配評估後，自行擬定對應的驗證機制，不必非得走單一的標準答案，並進行業務試辦。

（作者：謝方娪；首圖來源：shutterstock）