金融業因涉足大眾資金而成為高度管制的行業,在法規如麻中,KYC是很重要的業務處理守則,雖然狹義上是指了解客戶對投資風險的承受能力,但廣義上也包括客戶身份認證、背景與信用記錄的查核、消費習慣、投資需求以及償債來源的瞭解,可有效管控及降低風險。
當所有產業都變成科技產業,作為產業之母的金融業也得跟上時代浪潮,「FinTech」這個新創的詞彙就是表徵金融(Finance)與科技(Technology)的結合。數位化銀行業務、各種理財投資的App、第三方支付及行動支付機制、P2P借貸與群眾募資平台等如雨後春筍般蓬勃發展,均有賴於FinTech的推波助瀾。
我國政府與金融業正積極推動「數位金融3.0」,期能將金融業務與行銷透過數位科技結合行動通訊、雲端設施、社群媒體及大數據分析進行創新加值,除可降低交易成本亦有助於財源廣進,野心更大者甚至希望效仿零售業的發展將多元的金融渠道匯流統整為「全通路」(Omni-channel),虛實整合,使得金融服務無所不在(Ubiquitous)。
然而,不管再怎樣透過金融科技追求經濟效率,交易安全仍是金融業的核心價值,無論是傳統上用鋼筋水泥打造的有形建物,還是用科技密碼捍衛的數位堡壘,都必須維護客戶個資及財產的安全,最基本的還是得從「認識你的客戶」(Know Your Customer,KYC)
做起。
數位金融3.0
金管會自今年(2015)全面啟動「打造數位化金融環境3.0」計畫,除已針對既有存款戶在現行網路銀行與行動銀行得辦理之金融業務外,另新增12項業務可以線上申辦及修正3項自律規範與相關消費者保護措施予以配合。金管會因應未來金融數位化趨勢將採取:1.法令鬆綁(如開放銀行投資金融科技產業的持股比例)、2.組織整合(如強化IT投資與部門整合)、3.員工轉型及4.開放資料等四大措施。
金融業者也如百花齊放推出多種新創的網路及App服務並進行跨業合作,例如中國信託銀行與網路家庭及統一超商於今年7月間宣佈共同合作,由網家旗下拍付國際的「Pi行動錢包」綁定中國信託信用卡推出「掃碼付款」的商業模式,可以讓消費者在全省5千家7-ELEVEN便利商店,透過一維條碼掃碼快速結帳。
「數位金融3.0」一詞緣起於「銀行3.0」。傳統上認為各地分行是銀行業務辦理的重鎮,分行越多越好,併購市值越高,因為衡量銀行規模與價值的重要指標就是分行的數目。然而隨著金融科技進步與民眾對數位服務的接受度提高,銀行的分行變得不像過去那樣重要,反而應該縮減,並將有形建物轉移成無形資產,發展成如Chris Skinner所著:「Digital Bank」一書所倡議的「數位銀行」,使得銀行的主要業務與行銷都可採取數位化經營。
然而轉型就會有陣痛,銀行業者必須即早對應輔導員工培養新的專業技能並進行組織變革。銀行如果不轉型,仍然認為「大到不能倒」,將來擊敗大而慢的恐龍的可能是其他快狠準的物種:新興網路銀行或是積極跨足銀行業務的經營電子商務業者,例如馬雲創辦的阿里巴巴集團分割出的螞蟻金服就在今年6月間成立浙江網商銀行,此係純網路銀行,沒有分行,提供創新的融資管道。
從KYC的身份認證做起
在數位金融3.0的環境下,「客戶是誰?」是個大哉問,從分行的櫃台面對面可查核身份證件的有形臉龐,變成數字與位元組合而成的虛擬圖像。不問清楚,就會變成大災難。金融業因涉足大眾資金而成為高度管制的行業,在法規如麻中,KYC是很重要的業務處理守則,雖然狹義上是指了解客戶對投資風險的承受能力,但廣義上也包括客戶身份認證、背景與信用記錄的查核、消費習慣、投資需求以及償債來源的瞭解,可有效管控及降低風險。
KYC最基本且最重要的步驟就是身份核對,金融業者線上作業多採用密碼機制取代分行面辦使用的印鑑。密碼是一串字元或數字的集合,透過與帳號名稱的搭配,得以間接識別個人的相關資料,應屬於個資,未經個人同意而破解蒐集,則違反個資法。若進而輸入他人帳號密碼而轉帳取款,則涉嫌觸犯刑法之妨礙電腦使用罪與詐欺取財罪。
然而對客戶而言,要求駭客負責無異緣木求魚,惟如向口袋深的金融業者求償,卻會遭遇合約的限制責任條款,例如:1.客戶設立帳戶密碼時,應注意密碼之設置、使用及保管,不得將密碼洩漏或提供給第三人使用;2.第三人冒用或盜用密碼時,除可證明係業者對資訊系統之控管未盡善良管理人之注意義務,所發生之損害由客戶自行負責。司法實務上有認為持有真正之密碼者得被金融業者善意信賴為存款債權的準占有人,即使其無權提款轉帳亦發生清償免責的效力。
由上可知,密碼這把身份識別的金鑰對於客戶來說雖然很方便,但也很危險,可能求償無門。然而金融業者若抱持主宰合約有恃無恐的態度,亦非正道,且可能違反政府為保護消費者所頒布的定型化契約範本。
雙因素認證
為強化身份認證,實務上發展出「雙因素認證」的模式,亦即採用下列三項技術中任兩項以識別客戶身份:
1.客戶與銀行所約定的資訊,且無第三人知悉 (如設備密碼、登入密碼等);
2.客戶所持有的設備,金融業者應確認該設備為客戶與銀行所約定持有的實體設備(如密碼產生器、密碼卡、晶片卡、電腦、手機、憑證載具等);
3.客戶所擁有的生物特徵(如指紋、臉部、虹膜、聲音、掌紋、靜脈、簽名等)。
如前述的Pi行動錢包依「支付卡產業資料安全標準」的資安架構,除搭配支付密碼,也綁定手機硬體裝置,同一帳號同一時間僅可在單一裝置使用。
此外,實務上也常見兩階段驗證程序機制,第1階段輸入用戶密碼,第2階段則由業者傳送驗證碼至用戶的手機中,再由用戶輸入該驗證碼回傳以完成身分驗證,該驗證碼係動態密碼(OTP),僅使用一次,以防範他人破解。
增加身份認證程序通常會增加實際操作的步驟與時間,此雖為安全與效率兼顧的難題,亦為FinTech創新的商機。能開發出類似one-click單一步驟即可操作完畢的安全技術者,有機會成為產業標準而贏家通吃。
<本文作者:陳佑寰,目前為執業律師。國立台灣大學法學碩士,美國賓夕法尼亞大學法學碩士。專攻領域為智慧財產權法、高科技產業議題及資訊法等。>