金管會昨日(10/24)發布「金融服務業辦理數位身分驗證指引」,建立一套金融三業辦理數位身分驗證的共通性原則,讓金融業者向主管機關申請新驗證場景或技術時,雙方可以根據同一標準進行評估。此外,為了加速金融創新,金管會也開放金融業者欲導入規範外的新應用場景或驗證技術時,可依照指引進行評估作業,並在開辦前洽詢主管機關是否需要申請業務試辦,不須等待自律規範修正,改善了以往作業程序漫長的痛點。
過去在數位身分驗證上,金融三業未有一套共通標準來衡量數位身分驗證機制,而是以業務類別來訂定各自需要的數位身分驗證標準,例如,規範保險業辦理遠距投保時,得使用特定幾種身分驗證機制。業者若要在尚未規範的業務場景中導入驗證技術,或是在已規範的業務場景中使用新驗證技術,需等待主管機關與公會修正相關規範,才有望實際落地。而主管機關也得因應創新業務和新技術一次又一次修正規範。
金管會表示,這份數位身分驗證指引提供了一套方法論,讓金融業者和公會都能迅速分析哪些應用場景適用哪些身分機制。該指引參考 ISO/IEC 29115,依照風險基礎原則,將數位身分驗證機制的信賴等級由低至高分為不同級數,讓業者可依據應用場景的風險高低來適配信賴等級,來評估該應用場景適當的身分驗證機制。
指引中列出了金融業者評估應用場景風險高低的考量因素,包含當身分驗證機制失效時,是否會造成客戶及金融服務業的財務損失或代理責任、機敏資料未經授權公布、造成客戶不便、困擾等。業者要依據可能產生風險的程度,來評估適配的信賴等級,當某項應用場景風險為最高等級,就須相應使用最嚴謹的驗證機制,來確保適配最高信賴等級。反之,風險程度較低時,就可以對應較低的信賴等級,使用相對簡單的驗證機制。
有了這項方法論,金融業者若想導入規範以外的驗證場景或技術時,就可依照風險基礎原則,自行辦理評估作業,製作驗證應用場景的風險評估報告,和數位身分驗證機制的信賴等級評估報告,再提出應用場景適當的身分驗證機制,並在開辦前向主管機關洽詢是否需要試辦,不用再等待公會修改自律規範。此外,金融各產業公會也可以按照新指引來修正原有的身分驗證規範。金管會主任秘書蔡福隆表示,《金融機構辦理電子銀行業務安全控管作業基準》自去年起開始改版,目前已修改上半部,依照新指引來框架適當的驗證機制,給予業者更多彈性。
不過,新指引也明定金融業者辦理數位身分驗證時,應建立風險管理機制,並納入內部控制及稽核制度,且適時檢討,也應注意與客戶權益有關的事項,例如告知客戶可以撤回或修正同意蒐集、處理及應用其個人資料。
熱門新聞
2024-12-10
2024-12-10
2024-12-08
2024-12-10
2024-12-11
2024-11-29