我們可以觀察出來,民眾與金融機構非面對面往來的機會未來將會有大幅增加的趨勢,因此客戶身分驗證必須有新的做法,生物辨識技術則是金融機構遠端驗證客戶身分的解決方案之一的參考。應用生物辨識技術於金融服務的身分驗證,已成為各國政府推動金融科技的重要基礎建設之一,新加坡金管局局長 Ravi Menon 在 2015 年 6 月的演講[1]提到了影響金融的六大科技包含了:數位及行動支付、區塊鏈及、雲端運算、大數據、機器學習與身分驗證及生物辨識;我國金管會提出的「金融科技發展策略白皮書」也將生物辨識列為金融科技的重大基礎建設之一(下圖)。可見生物辨識技術預計將會慢慢成為各種金融領域身分驗證的主流趨勢。
.jpg)
我國金管會提出的「金融科技發展策略白皮書」[2]
生物特徵的類別
生物辨識技術從生物特徵的類別,可區分為生理特徵(Physiological characteristics)與行為特徵(Behavioral characteristics),生理特徵包括指紋、臉部、虹膜、靜脈、掌紋、掌形,是屬於靜態的特徵,其「內容」不易由使用者任意變更,如指紋等;行為特徵如聲紋、心跳、步態、簽名等,是屬於動態的特徵,部分的特徵型態,使用者可變更其內容,如簽名的內容等。生物辨識技術在犯罪偵防、門禁控制、出入國自動查驗通關等場景均已普遍應用,唯近年來因應行動裝置已可配備越來越多的感測器如指紋辨識晶片、用來偵測人臉以及虹膜的紅外線LED以及用來偵測手機揮舞動作的陀螺儀與線性加速器等,加上輔助辨識的演算法快速發展,已將生物辨識技術普及到不需要專用設備,一台行動裝置即可達到一定程度的辨識率。
目前生物辨識技術在金融方面最看好的應用主要是行動支付的身分驗證。自從Apple在iPhone採用Touch ID指紋辨識器支持Apple pay行動支付,帶動了Samsung跟進也在Samsung pay採用指紋辨識技術以及Goolge 的Android Pay,阿里巴巴、騰訊、百度等中國互聯網巨頭也陸續公布了各自在人臉、聲紋、簽名辨識等領域的研發成果。在國內,中國信託已使用指靜脈紋辨識技術作為ATM無卡提款的客戶身分辨識;花旗銀行也在電話客服採用聲紋辨識技術,取代冗長的電話審核身份的程序。由此可見,生物辨識技術確定是金融科技中不可或缺的一環。
生物辨識技術的風險
金融機構採用生物辨識技術的風險在於生物辨識技術存在一定程度的錯誤接受率(False Acceptance Rate, FAR)。然而多低的FAR是可以接受的水準?有個指標可以作為參考,以美國NIST800-76-2規範聯邦政府採購生物特徵識別系統的要求,錯誤接受率不能超過0.0001,同時錯誤拒絕率(False Rejection Rate)不能高於0.02。生物辨識技術伴隨而來的另一個風險是隱私權議題,尤其是利用生理特徵如指紋、虹膜等的生物辨識技術。由於生理特徵大多有終生不變的特質,金融機構若搜集了顧客的生理特徵做身分驗證,萬一發生資料外洩,則可能終生無法再使用,後果不堪設想。因此,全球最大的身分驗證技術聯盟(Fast Identity Online Alliance, FIDO)即建議,設計生物辨識系統須將生物辨識裝置與生物特徵數據存在終端,而終端裝置與伺服器端依靠公私鑰架構的密碼學技術進行身分驗證,一方面統一不同身分驗證技術的資料與驗證格式,另一方面降低大批生物特徵資料存於同一處遭大量外洩的風險。因此在導入生物辨識技術時,採用符合FIDO Alliance訂定的標準產品,也是目前金融機構降低生物辨識技術風險考量的方式之一。
除了上述的安全要求之外,金融機構因應各種不同的應用場景,也應該考量生物辨識技術的方便性、應用成本、跨平台能力及是否能達到大量快速的部署及更新。
參考資料:
1. "A Smart Financial Centre" - Keynote Address by Mr Ravi Menon, Managing Director, Monetary Authority of Singapore, at Global Technology Law Conference 2015 on 29 Jun 2015
2. 金管會「金融科技發展策略白皮書」
本文作者目前任職於AirSig營運總監