Fintech周報第100期：工研院聯手政大將區塊鏈IoT技術，延伸到物流箱以追蹤物流溫溼度

05/18-05/24

 工研院   政大   區塊鏈IoT  
工研院聯手政大將區塊鏈IoT技術，延伸到物流箱以追蹤物流溫濕度
由工研院、資策會、政治大學共同打造的B-Box智取櫃，用IoT設備結合區塊鏈技術，透過各類智慧鎖裝置與智能合約綁定，便可用智能合約操控IoT裝置的控制權移轉與追蹤。這套服務提供使用者能容易加入與退出、確保數據安全，且能便利安裝的非集中式裝置感應管理服務，並可直接用手機App進行互動控制。工研院服務系統科技中心專案副組長羅國書提到，工研院開發的區塊鏈Loker裝置，是結合智取櫃櫃體，他們採取的是跨鏈技術，業者只需2秒就能將自家裝置快速上鏈，且業者無需自行布署軟體與硬體設備，就能共享經濟。

羅國書更在5月21日舉辦的科技部數位經濟前瞻技術專案發表會上，揭露了與政大的合作，把B-Box智取櫃的區塊鏈IoT技術，延伸到會移動的物流箱。由政大開發區塊鏈Tracker裝置，並與物流箱結合，如此一來，物流業者只要將裝有區塊鏈Tracker的物流箱，加上GPS感測器，就可以追蹤物流狀況，在運輸過程還會記錄多項資訊，包括溫濕度。 目前B-Box智取櫃的服務驗證場域，有工研院、資策會與政大3地，共22個櫃位，220個櫃門，驗證場域有B2C市集到櫃、C2C櫃櫃傳遞、置物服務站等3項模式。羅國書指出，已有2家物流業者與2家櫃體業者預計共同投資布建此服務，並要在未來成為2家電商業者的服務取貨點。

 零知識證明   區塊鏈   身分管理  
政大提出新零知識證明技術，加強區塊鏈隱私應用於自主身分管理

在科技部數位經濟前瞻技術專案發表會上，政治大學揭露在區塊鏈技術的新進展，政大資科系主任左瑞麟指出，他們以零知識證明（ZK-Proof）技術為基礎，提出新的方案－零知識值域證明（Zero Knowledge Range Proof，ZKRP）演算法，要強化區塊鏈隱私。他提到，區塊鏈所使用的密碼技術為雜湊函數與數位簽章，卻無加解密技術，無法保障機密性。左瑞麟解釋，ZK-Proof的特性之一是不會洩漏任何額外的資訊，且是一種交互協議，證明者與驗證者的互動是雙向的。而新的ZKRP，則允許在不洩漏1個秘密數字的情況下，能證明其數字介於某範圍內。

政大資科系教授陳恭更進一步將ZKRP技術，實作於區塊鏈自主身分管理應用。他也展示以區塊鏈存證數位身分識別的具體作法，使用者可以在單一App上執行，其個人身分與成就如學歷，經過權威機構驗證後，即可自主保管並存證在區塊鏈上。當要驗證身分或相關資訊時，使用者可選擇性揭露個資，驗證機構則可透過區塊鏈查證，或透過零知識證明保護隱私。

 金管會   南山人壽  
南山人壽電商系統業務7項缺失違反個資法、保險法、洗防法，金管會祭出裁罰

金管會檢查局金檢時，查到南山人壽在辦理電子商務系統業務，違反個資法、洗防法、保險法相關規定，共計7項缺失。在5月17日裁罰南山人壽罰鍰240萬元，4項糾正處分，並限1個月內改正。根據金管會公布的7項缺失，一是在南山人壽辦理網路投保旅平險業務，沒有進行客戶姓名檢核作業。二是網路投保的個資可複製到個人電腦，並無稽核軌跡及管控措施；三是南山把正式主機的個資檔案及資料庫，複製到開發測試主機作業，有未去識別化的狀況；四是南山電商系統的安全設計涉及個資，尚未妥適隱碼顯示，以上3點都違反了個資法。

五是南山人壽所訂應用系統安全管理作業手冊，及各應用系統開發手冊等規範內容不完備，不利確保應用程式變更的正確性及系統維運安全。第六項缺失則與內稽內控有關，金管會指出，南山委託外部資安廠商做網路監控服務，卻對控管服務方式的決定延宕，南山也沒建立非重大資安事故事件的處理程序。此外，南山在App維護管理作業上，有違分工牽制原則。南山沒有依照內部規範，定期辦理App程式原始碼檢測、發行用密碼變更、憑證備份與封存等作業。

第七項缺失，金管會認為南山人壽有礙健全經營之虞，原因是南山的資安政策是由總經理核定，卻未提報董事會，以及對應收集、監控的系統稽核軌跡或日誌紀錄(log)範圍尚未明確規範等。

 金管會   新戶網路申貸  
金管會擬開放10項銀行線上業務，銀行新客戶也能網路申貸
為了因應Fintech發展，金管會於5月14日宣布全面升級銀行線上服務，擬新增開放10項線上申辦業務項目，其中在開放授信業務的項目中，較為特別的是金管會擬訂新增讓新戶，也就是在銀行沒有開戶記錄的民眾，也能在線上申請貸款了。過去，只有銀行的既有存款用戶、貸款用戶或信用卡用戶，可以直接在線上申辦貸款。現在，即便不是銀行既有的顧客，也能在網路上申貸，不用再跑到銀行臨櫃申貸。金管會已讓銀行公會在6月底前修正相關安控自律規範，最快可在今年第3季上路。

 SEC   長期證券交易所   新創  
美國即將設立科技新創上市專用的證券交易所

美國證券交易委員會（SEC）正式批准鎖定新創企業的「長期證券交易所」（Long-Term Stock Exchange，LTSE），此一去年底由矽谷業者所支持而提出申請的交易所，將支持那些追求創新、不著眼於短期獲利的新創企業，預計於今年底問世。目前美國已有3個證券交易所，涵蓋上市標準最高的紐約證券交易所NYSE、全美證券交易所AMEX，以及吸引許多高科技企業的納斯達克NASDAQ，而LTSE則將成為首個座落在美國新創大本營：矽谷的證券交易所。

LTSE的願景是吸引不同產業的新創公司，讓它們在追求長期成功的同時也能上市，不管它們是不是還在虧損中。也期望藉由該平臺上市的企業，能夠發展著重長期成功的各項進度指標，且高層的薪資也應與長期績效而非短期績效有關，亦必須揭露長期的研發投資規畫。LTSE預計在完成各項行政與技術上的作業之後，於今年開始接受上市申請並開放交易。

 網路銀行盜轉   網路犯罪即服務  
美歐聯手破獲以木馬程式盜走1億美元的跨國犯罪網路
歐洲刑警組織（Europol）及美國司法部宣布已共同破獲於全球以GozNym木馬程式盜走1億美元的犯罪網路，它們起訴了參與該犯罪網路的10名嫌犯。2016年現身的GozNym木馬程式，可用來竊取使用者的網路銀行登入憑證，犯罪集團擅自登入了受害者的網路銀行再進行盜轉，估計全球有超過4.1萬名受害者，被盜轉的金額高達1億美元。

歐洲刑警組織、FBI及其它國家的執法機構聯手調查發現，此一犯罪網路實現了「網路犯罪即服務」（Cybercrime as a Service）的概念，它在不同犯罪論壇招兵買馬，尋得了各項所需的服務與技術，涵蓋防彈代管業者、錢騾、惡意程式開發人員、垃圾郵件服務供應商，以及專門替惡意程式加密以躲避偵測的技術人員。

 分散式身分網路   區塊鏈  
微軟發表基於比特幣區塊鏈的開源分散式身分認證網路ION
積極鼓吹分散式身分的微軟，發表了基於Sidetree協定的分散式身分（DID）網路，新的DID網路被命名為身分覆蓋網路（ION），能夠在維持分散式與自我所有權的區塊鏈特性下，解決DID所需的效能及規模問題。微軟則企圖建立一個分散式的身分生態體系，讓全球數百萬個組織、數十億名用戶或無數的裝置，可在一個由開源元件與開放標準建置的系統上安全地互動。ION是微軟用來解決效能問題的開源專案，它奠基在比特幣區塊鏈上，是個公開的、需要較少許可的開放網路，任何人都能用它來建立DID，並管理他們的公鑰基礎設施（PKI）狀態，既能提供DID所需的規模，也能保留區塊鏈的分散式特性。

圖片來源：攝影／李靜宜；南山人壽、LTSE

責任編輯／李靜宜
 金融科技近期新聞 
1. 臺灣網路金融犯罪手法追查細節大公開，偵九隊建議銀行KYC安全驗證應納入數位資訊來防範
2. 兩大挖礦駭客集團在雲端Linux環境爭地盤