新指引将风险程度区分为低、中、高和极高等四个风险等级,并将信赖等级分为等级一至四,以此说明适配机制。不过,风险程度和信赖等级都不限于四个等级,业者和公会可弹性调配等级数量。(图片来源:金管会)
金管会昨日(10/24)发布「金融服务业办理数位身分验证指引」,建立一套金融三业办理数位身分验证的共通性原则,让金融业者向主管机关申请新验证场景或技术时,双方可以根据同一标准进行评估。此外,为了加速金融创新,金管会也开放金融业者欲导入规范外的新应用场景或验证技术时,可依照指引进行评估作业,并在开办前洽询主管机关是否需要申请业务试办,不须等待自律规范修正,改善了以往作业程序漫长的痛点。
过去在数位身分验证上,金融三业未有一套共通标准来衡量数位身分验证机制,而是以业务类别来订定各自需要的数位身分验证标准,例如,规范保险业办理远距投保时,得使用特定几种身分验证机制。业者若要在尚未规范的业务场景中导入验证技术,或是在已规范的业务场景中使用新验证技术,需等待主管机关与公会修正相关规范,才有望实际落地。而主管机关也得因应创新业务和新技术一次又一次修正规范。
金管会表示,这份数位身分验证指引提供了一套方法论,让金融业者和公会都能迅速分析哪些应用场景适用哪些身分机制。该指引参考 ISO/IEC 29115,依照风险基础原则,将数位身分验证机制的信赖等级由低至高分为不同级数,让业者可依据应用场景的风险高低来适配信赖等级,来评估该应用场景适当的身分验证机制。
指引中列出了金融业者评估应用场景风险高低的考量因素,包含当身分验证机制失效时,是否会造成客户及金融服务业的财务损失或代理责任、机敏资料未经授权公布、造成客户不便、困扰等。业者要依据可能产生风险的程度,来评估适配的信赖等级,当某项应用场景风险为最高等级,就须相应使用最严谨的验证机制,来确保适配最高信赖等级。反之,风险程度较低时,就可以对应较低的信赖等级,使用相对简单的验证机制。
有了这项方法论,金融业者若想导入规范以外的验证场景或技术时,就可依照风险基础原则,自行办理评估作业,制作验证应用场景的风险评估报告,和数位身分验证机制的信赖等级评估报告,再提出应用场景适当的身分验证机制,并在开办前向主管机关洽询是否需要试办,不用再等待公会修改自律规范。此外,金融各产业公会也可以按照新指引来修正原有的身分验证规范。金管会主任秘书蔡福隆表示,《金融机构办理电子银行业务安全控管作业基准》自去年起开始改版,目前已修改上半部,依照新指引来框架适当的验证机制,给予业者更多弹性。
不过,新指引也明定金融业者办理数位身分验证时,应建立风险管理机制,并纳入内部控制及稽核制度,且适时检讨,也应注意与客户权益有关的事项,例如告知客户可以撤回或修正同意搜集、处理及应用其个人资料。