金管會。資料照
金管會公布「金融服務業辦理數位身分驗證指引」在數位環境下。協助金融服務業運用數位身分驗證機制時,風險愈高就須採取適配的技術驗證客戶的身分,降低潛在的風險,透過參考國際規範ISO 29115數位身分驗證等級分級。做為金融業銀行、證券和保險等辦理數位身分驗證時的共同語言準據。未來業者申辦創新業務,不需要透過自律規範也可加速創新業務試辦。
「金融服務業辦理數位身分驗證指引」包括:
一、 本指引的訂定目的。其中所稱金融服務業係指「金融監督管理委員會組織法」第2條第2項所稱的金融服務業。
二、 明定金融服務業辦理數位身分驗證除應遵循的相關法規外,依本指引辦理。指引僅適用於金融服務業辦理自然人的數位身分驗證。
三、 就數位身分驗證及該驗證機制的參與者予以定義,並說明數位身分驗證機制在數位金融服務提供的過程中的運用情形。
四、 說明數位身分驗證中「身分登錄」、「信物管理」及「身分驗證」三階段作業程序。
五、 說明金融服務業「應用場景的風險等級」與客戶身分「驗證機制的信賴等級」,應依風險基礎原則相互適配。若有現行法規、各業別自律規範及金融周邊單位相關規章未規定到的新式數位金融服務應用場景或新式數位身分驗證機制,除應依本點規定辦理評估作業外,開辦前並應洽詢主管機關是否須提出業務試辦的申請。
六、 說明數位身分驗證機制失效時,可能產生的風險及風險等級評估作業。
七、 對數位身分驗證機制的信賴等級予以定義,並說明金融服務業依業務性質可將信賴等級區分為不同級數。並舉例說明區分為四個等級的狀況下,各等級代表的意義。
八、 說明辦理數位身分驗證應建立風險管理機制,並納入內部控制及稽核制度,並且依照業務及科技發展的情形適時檢討。
九、 說明辦理數位身分驗證,應注意與客戶權益有關的事項。
十、 說明各金融產業公會及周邊單位在訂定數位身分驗證作業程序及評估作業時,宜給予個別業者訂定其內部規範的彈性,使業者能依據自身業務發展情形,因應相關風險。
金管會表示,考量金融各業別有各自的業務特性,且並不是都訂有數位身分驗證的規範,加上金融科技變化快速,技術也持續精進,業者就可以依據本指引的規定,以風險為基礎的原則,經過評估後採用新的應用場景或新的身分驗證方式。
不過金管會提醒業者,在開辦前仍宜洽詢主管機關是否須申請業務試辦;如果各業別現行已經訂定數位身分驗證的規範,則可參考本指引的原則,評估調整規範的內容。