金管會近日公布「金融服務業辦理數位身分驗證指引」,做為金融服務業辦理數位身分驗證時的準據。此指引將可協助金融業的技術創新速度,並加速落實應用。
根據此指引,若有現行法規、各業別自律規範及金融周邊單位相關規章未規定到的新式數位金融服務應用場景或新式數位身分驗證機制,除應依本點規定辦理評估作業外,開辦前並應洽詢主管機關是否須提出業務試辦的申請。
金管會創新中心科長蔡少懷在媒體採訪時表示,目前各金融公會對身分驗證都有一套嚴規定,但有了此指引,想要加速金融創新的業者可以用「新解法走出新路」並依指引架構、風險配適架構來向金管會申請業務試辦。例如依銀行公會安控基準,民眾線上新開第一類數位帳戶,得用自然人憑證做身分驗證,未來業者做金融科技創新,想用其他數位身分驗證(如金融FIDO)機制時,就可逕自向金管會申請試辦,免再修規。
「金融服務業辦理數位身分驗證指引」的重點包含:
- 數位身分驗證中應有「身分登錄」、「信物管理」及「身分驗證」三階段作業程序。
- 金融服務業「應用場景的風險等級」與客戶身分「驗證機制的信賴等級」,應依風險基礎原則相互適配。
- 適配四個或多個等級驗證機制的信賴等級,如客戶行銷APP屬低風險,可僅用密碼做驗證;轉帳是最高風險、就得用FIDO或雙因子認證。
- 辦理數位身分驗證應建立風險管理機制,並納入內部控制及稽核制度,並且依照業務及科技發展的情形適時檢討。
- 在訂定數位身分驗證作業程序及評估作業時,宜給予個別業者訂定其內部規範的彈性,使業者能依據自身業務發展情形,因應相關風險。
金管會表示,本指引性質為行政指導,目的是針對金融服務業辦理數位身分驗證時,都具有共通性、一致性的應用原則。但考量到各業別有各自的業務特性,且並不是都訂有數位身分驗證的規範,加上金融科技變化快速,技術也持續精進,如果各業別針對數位身分驗證目前並未訂定規範,或者所訂的規範未包含可能的新式數位金融服務應用場景或新式數位身分驗證方式,那麼業者就可以依據本指引的規定,以風險為基礎的原則,經過評估後採用新的應用場景或新的身分驗證方式。
不過金管會提醒業者,在開辦前仍宜洽詢主管機關是否須申請業務試辦;如果各業別現行已經訂定數位身分驗證的規範,則可參考本指引的原則,評估調整規範的內容。