金管會發布「金融服務業辦理數位身分驗證指引」，建立身分驗證共通原則，也加速業者辦理新型態應用的作業流程

金管會昨日（10/24）發布「金融服務業辦理數位身分驗證指引」，建立一套金融三業辦理數位身分驗證的共通性原則，讓金融業者向主管機關申請新驗證場景或技術時，雙方可以根據同一標準進行評估。此外，為了加速金融創新，金管會也開放金融業者欲導入規範外的新應用場景或驗證技術時，可依照指引進行評估作業，並在開辦前洽詢主管機關是否需要申請業務試辦，不須等待自律規範修正，改善了以往作業程序漫長的痛點。

過去在數位身分驗證上，金融三業未有一套共通標準來衡量數位身分驗證機制，而是以業務類別來訂定各自需要的數位身分驗證標準，例如，規範保險業辦理遠距投保時，得使用特定幾種身分驗證機制。業者若要在尚未規範的業務場景中導入驗證技術，或是在已規範的業務場景中使用新驗證技術，需等待主管機關與公會修正相關規範，才有望實際落地。而主管機關也得因應創新業務和新技術一次又一次修正規範。

金管會表示，這份數位身分驗證指引提供了一套方法論，讓金融業者和公會都能迅速分析哪些應用場景適用哪些身分機制。該指引參考 ISO/IEC 29115，依照風險基礎原則，將數位身分驗證機制的信賴等級由低至高分為不同級數，讓業者可依據應用場景的風險高低來適配信賴等級，來評估該應用場景適當的身分驗證機制。

指引中列出了金融業者評估應用場景風險高低的考量因素，包含當身分驗證機制失效時，是否會造成客戶及金融服務業的財務損失或代理責任、機敏資料未經授權公布、造成客戶不便、困擾等。業者要依據可能產生風險的程度，來評估適配的信賴等級，當某項應用場景風險為最高等級，就須相應使用最嚴謹的驗證機制，來確保適配最高信賴等級。反之，風險程度較低時，就可以對應較低的信賴等級，使用相對簡單的驗證機制。

有了這項方法論，金融業者若想導入規範以外的驗證場景或技術時，就可依照風險基礎原則，自行辦理評估作業，製作驗證應用場景的風險評估報告，和數位身分驗證機制的信賴等級評估報告，再提出應用場景適當的身分驗證機制，並在開辦前向主管機關洽詢是否需要試辦，不用再等待公會修改自律規範。此外，金融各產業公會也可以按照新指引來修正原有的身分驗證規範。金管會主任秘書蔡福隆表示，《金融機構辦理電子銀行業務安全控管作業基準》自去年起開始改版，目前已修改上半部，依照新指引來框架適當的驗證機制，給予業者更多彈性。

不過，新指引也明定金融業者辦理數位身分驗證時，應建立風險管理機制，並納入內部控制及稽核制度，且適時檢討，也應注意與客戶權益有關的事項，例如告知客戶可以撤回或修正同意蒐集、處理及應用其個人資料。