身分識別服務正往多角化發展，技術與標準則聚焦兩大趨勢，將推動用戶身分自主管理

隨著網路的發展，近年來身分識別也不斷跟著演進，例如，身分識別途徑的轉變，從臨櫃辦理轉向Web網頁應用，前些年又逐漸朝向智慧型手機的應用場景，不過，在新興技術推動之下，對於身分識別的應用趨勢與技術趨勢，現在有那些發展重點值得我們關注？在10月底，資策會產業情報研究所產業分析師黃仕杰公布相關趨勢觀察，從兩大層面來剖析，讓各界能瞭解國際間新的身分識別服務發展方向，以及需要重視身分識別責任的轉變。

身分識別服務發展差異大增

以身分識別服務面向而言，除了強調帳號保護，資策會認為可關注的新焦點是，現今已發展不同特色身分識別服務，這些特色包括：具有SaaS雲端服務型態，偽造證件預防，詐欺預防，以及因應監管需求的一站式服務。

隨著身分識別技術的不斷轉變，不論是密碼輸入、OTP、多因素驗證等，但對於應用層面而言，目的都是識別用戶。但是，黃仕杰表示，現在的身分識別與過去身分識別相比，有三大不同，首先是身分識別的途徑不同，從臨櫃、電腦端作業到智慧型手機使用，第二是身分識別的方法不同，從雙證件辦理、帳號與密碼驗證，到生物辨識，特別的是，第三是技術關注重點的不同，這是大家較少關注的部分。

黃仕杰解釋，過去身分識別強調帳戶保護的技術應用，但現在為了因應身分識別途徑改變，以及為滿足洗錢防制與打擊資助恐怖主義（AML/CFT），而有監管需求，進而發展出具有不同特色的身分識別服務，而且國際間已經有多家業者投入。

例如，愛爾蘭一家雲端服務業者id-pal，其特色是允許銀行等企業，能夠透過軟體訂閱方式，來委託該公司進行用戶的身分識別，讓客戶透過id-pal提供的客制化軟體，可以到登入銀行帳戶。

來自加拿大的業者Trulioo，是專注於偽造證件預防，該公司將蒐集多方來源資料，特別是來自社群媒體、報章雜誌等非結構化資訊，供金融機構等查詢企業資料，藉此比對用戶上傳的資訊，預防有人透過偽造身分資訊開戶。

另一家專注於詐欺預防的美國業者Jumio，則是要求用戶登入時上傳自拍照，以短影片錄製搭配臉部辨識，避免僅利用照片或面具，而可能有冒用情形的開戶行為。

還有另一家美國業者NICE Actimize，特色是提供因應監管需求的一站式服務，包括身分識別、交易分析與異常交易報告自動產出等，而且企業可以依據需求任意選用這些功能，相當具彈性。

綜合來看，上述這些應用也還有些共通點，例如，有許多都會以AI，來簡化身分識別與認證流程，以及可透過Web或API介接他們的資料庫。

黃仕杰並提到，上述概念與當前推動開放銀行類似，因為第三方服務公司（TSP）是依據銀行所提供的資訊，進而提供服務，也就是信任基礎架構在銀行之上，而銀行本身是受高度監管行業，所以資料具備高可信任度，讓TSP業者願意接收銀行所提供的資訊。

近年國際間出現不少新興的身分識別服務，資策會產業情報研究所產業分析師黃仕杰歸納出4個發展特色，包括，SaaS雲端服務型態，偽造證件預防，詐欺預防，以及因應監管需求的一站式服務，他並認為一站式服務是業者可以考慮的拓展方向。

迎接開放銀行潮流，做好身分識別將是重點

臺灣企業該如何看待身分識別服務？黃仕杰表示，由身分識別擴展至一站式服務，是業者可以考慮的服務發展方向，這是未來新的商機，可因應不同場景需求，提供客製化的身分識別軟體服務。同時，他也指出AML與CFT是一大焦點，銀行等金融機構與Fintech新創公司都在關注。

另外，這方面的發展，他也以國內執行身分識別最徹底的行業──銀行業來舉例，現在不論網路銀行、數位銀行與純網銀，都提供用戶透過網頁或行動App方式，來進行用戶的身分識別，但是，他們的身分識別都採內部部署方式進行，這與前述提到歐洲採雲端服務的作法，並不相同。

他認為，這與國內推動開放銀行（Open Banking）歷程比較晚，有相當大的關係，因為像是英國等，他們在2015年開始推動開放銀行，相關產業發展也非常快速，在此趨勢下，他們就已經把客戶資訊分享出去，換句話說，客戶身分識別的責任，就已經從銀行慢慢轉移到TSP業者。

而以國內環境而言，由於臺灣才剛開始推動開放銀行，他認為，對於國內TSP業者而言，身分識別將是優先著重的面向，而FinTech新創業者同樣須負起身分識別責任，尤其是涉及資金流的業者，不論是線上匯款，線上投保，或是提供線上融資、線上貸款服務的業者，提供消費者行動服務的同時，如何做好身分識別相當重要，應採預先、預備方式管理用戶身分識別。因此，他認為，身分識別在國內事實上有相當大的市場。

而從國內發展現況來看，臺灣已有相關業者，他以設備供應業者與軟體服務業者來舉出，例如，提供實體安全金鑰的歐生全，以及提供OTP簡訊驗證服務的三竹資訊等。

較特別的是，他還提到國內兩家值得關注的新創業者，像是2019年成立的數位身分（Authme），該公司的技術特點在於，以護照作為建立數位身分的基礎，結合OCR、臉部辨識與動作偵測，預防詐欺事件；另一是2016年成立的遊戲思維（PeekurFinance），也是蒐集多方來源資料，提供個人企業徵信，同時也會針對非結構化資訊蒐集負面新聞資訊，並提供交易分析。

展望身分識別的未來發展，黃仕杰指出，在開放銀行推動的態勢下，身分識別責任也將有所轉變，由銀行延伸至TSP業者。­

從身分識別趨勢來看，黃仕杰從兩個面向來談，分別是技術趨勢與數位身分標準趨勢，技術上FIDO就是重點，標準趨勢上則有去中心識別碼（DID）的演進，他並強調，兩者目的都是要推動用戶對自己身分的自主管理。

身分管理權回到用戶手上，數位身分將朝跨平臺互通

對於身分識別的未來發展，首先是技術趨勢，黃仕杰提到近年備受關注的FIDO身分應用，這項技術的最大特色就是，拆分了身分識別與身分驗證功能，強調身分識別中的身分驗證功能將回歸用戶，由用戶執行，同時，在身分驗證的技術上，會朝向採取生物特徵辨識這類無密碼方式來執行。而且，這樣的技術現在已經開始被逐漸採行，包括線上金流PayPal、美國銀行BOM，以及雲端服務臉書、Google等，而且，多家主流瀏覽器也都已經支援。

另一個趨勢是關於身分表示標準，他提到去中心識別碼（DID）的演進，將讓原本不同平臺間，各自獨立的數位身分，朝向跨平臺互通。這是由國際標準組織W3C提出，是一種新形態的去中心化數位身分表現方式，在這個標準之下，往後將採取分散式帳本或區塊鏈技術建構，平臺之間的數位身分可允許互通。

從上述兩大趨勢來看，他強調，其實主要目的都只有一個：「都是為了要推動用戶對自己身分的自主管理。」

對此，他也以GDPR推動來舉例，用戶具有個資的被遺忘權，以及用戶個資的轉移權，從個資保護到數位身分，其實都在強調要將管理權與所有權回歸到用戶，因此，他們觀察到未來趨勢就是用戶自主管理。

同時，他也以用戶的密碼以及用戶的帳號，分別舉例說明。簡單來說，用戶密碼將由用戶自行保管，身分驗證從用戶端執行，用戶帳號則強調自主管理權，而且，用戶可以依據各行業特性，來揭露不同程度的身分資訊，例如，若要進入賭場，就只需要揭露自己年齡的資訊即可。

在這樣的環境底下，對國內業者會有哪些影響？他提到，設備供應業者所提供的軟體安全金鑰與實體安全金鑰，都必須符合一定的安全性；而對軟體服務業者來說，將依據不同的行業需求，提供客制化的身分識別軟體服務。

對於身分識別的發展，臺灣的設備供應業者與軟體服務業者日後可以如何看待？黃仕杰認為，可分別從FIDO驗證標準，以及W3C去中心化識別碼標準去思考，前者可聚焦在用戶生活需求，後者則可發展不同行業客製化軟體服務。