台灣接軌國際 數位監理勢在必行
隨著金融服務邁向虛擬化與遠距化的發展浪潮,帶動各國政府制定數位監理法規,台灣也應該儘速制定相關規範,以便能與時俱進、符合實務需求,除有助於金融機構有遵循的標準,亦可加速推動創新業務。
採訪/施鑫澤‧文/林裕洋
因應金融科技發展蓬勃快速,金管會為協助業者排除發展金融科技所面臨之困境,並提供必要的各種協助,於是綜整台灣目前發展金融科技所需專注之領域及實際需要,在 2020 年發布「金融科技發展路徑圖」,包含四目標、三原則及八推動策略。此舉做為未來 3 年推動之依據外,亦期盼形塑友善之金融科技發展生態系,促進相關服務或商業模式之推出,以提升金融服務之效率、可及性、使用性及品質。
此外,依照金融科技發展路徑圖的規劃,金管會責由周邊單位協力設置「金融科技共創平台」,下轄四個執行小組,分別是能力建構組、數據治理組、監理科技組與廣宣交流組。
2021 年 8 月擔任監理科技組召集人的臺灣集中保管結算所,即委託政治大學金融科技研究中心所組成的研究團隊,針對是否訂定數位金融服務管理規範及其可行性加以研究。
身為政大研究團隊成員之一的政治大學法學院副教授臧正運說:「各界對金融監理的看法相對多元,有論者認為數位金融服務管理規範的頒布,有助於金融機構加速推動創新業務,因為如此方能避免法規不明的模糊空間。另外亦有人認為,台灣監理模式屬於機構型監理,與英、美海洋法系之功能型監理不同。而機構型監理之法規條文體例分散,因此主管機關應該審視散見於各金融服務業別的法令,統一訂定數位金融服務管理規範,以便能與時俱進、符合實務需求。我認為,這兩種結論相同,但立論基礎不同的看法皆有其道理,然數位金融服務管理之所以需要系統性及一致性的規範,其實亦植基於金融服務虛擬化與遠距化的發展浪潮。」
虛擬化、遠距化 金融產業新挑戰
隨著創新金融科技進步,發展遠距化、虛擬化服務,已經成為現今金融產業的重心,才能滿足時下消費者的需求,然而業者在獲取客戶及服務客戶此二重要環節面臨了新的挑戰。在獲取客戶方面,過去金融機構透過近距離與客戶進行實際接觸的方式查驗客戶的身分,並且會對客戶的背景及所提出的文件,進行實體的盡職調查,進而與客戶建立契約關係,以提供長期的服務。然而遠距化使得金融機構必須遠端為客戶開戶,並在虛擬化的脈絡下,以非實體方式查驗客戶遠端所提示的電子文件。 此一轉變,考驗金融機構進行身分識別以及辦理客戶盡職調查的能力,並帶來有心人士偽冒客戶身分的風險。
而在服務客戶方面,過去金融機構協助客戶執行特定交易,可近距離與客戶實體互動,以驗證是否為客戶本人,進而確認所為之意思表示真實無誤。但是遠距化與虛擬化,使得金融機構在客戶身分驗證(Authentication)及意思表示確認(亦稱「授權」或「簽章」,英文可以用 Authorization 加以統稱)的環節,承擔一定的風險。因為未能實體與客戶互動,很有可能在客戶身分遭他人冒的情況下,執行未經客戶授權,並造成客戶與金融機構損失的交易。
[ 2022年度CIO大調查報告下載 ]
臧正運表示,從前述狀況來看,在虛擬化與遠距化的浪潮中,勢必需要一套管理機制,協助金融機構有效控管在獲取客戶及服務客戶流程中的風險,並進一步保障客戶的權益以及相關的個資隱私資料,而這樣的管理機制,便需要一套管理規範加以實現,此即為訂定數位金融服務管理規範的主要目的。
數位金融服務管理規範必須在風險控管與金融普惠間取得平衡,除確保消費者有便於行使的數位身分(Digital Identity)外,還要能兼顧資訊安全與個資隱私保護的要求,才能降低市場上的詐欺風險以及消費者無謂的權益損失。
迎合金融發展趨勢 各國紛紛制定數位法規
因應數位化金融時代來臨,早在 2016 年的 G20 高峰會中,即提出數位普惠金融高級原則(High-Level Principles for Digital Financial Inclusion),其中「促進數位金融服務下的客戶識別」(Facilitate Customer Identification For Digital Financial Services),即呼籲各國政府應該發展並鼓勵客戶識別系統、產品及服務,使人們更便於接近使用數位金融服務,並強調實行以風險為基礎的客戶識別與核驗以促進普惠金融 。此外,也需要建立法律框架(Legal Framework),以保護客戶身分資料的隱私及安全。
2017 年世界銀行進一步提出數位時代下的永續發展身分識別原則(Principles on Identification for Sustainable Development toward the Digital Age),其中兩項與包容性有關、四項與設計有關、三項與治理有關。世界銀行強調所有身分識別系統在政策、實踐與設計上皆不應存有歧視性,使之作為歧視、侵犯或剝奪個人或集團權利之工具,包含法律框架上、 登記程序、蒐集資料與顯示上不致加強特定族群之歧視。
[ 加入 CIO Taiwan 官方 LINE 與 Facebook ,與全球CIO同步獲取精華見解 ]
換言之。世界銀行的原則指引各國政府,在避免歧視同時確保個人資料安全的基礎下,建立能妥適地、根據不同風險操作的可靠、獨立的數位身分系統。
臧正運指出,政府機關應了解台灣法規範體系下可行的數位身分系統,與指引中對於客戶識別、核驗及持續性盡職調查之建議相容。其次,主管機關可透過整合性的多元利害關係人互動模式,了解數位身分發展的相關機會及風險,並研議相關規定及準則以降低風險。此外,採用政策、監理、監督及審查程序,促使受監理主體開發有效、整合性的風險基礎方法,並在該等方法中利用橫跨所有相關數位身分、反洗錢、反資恐、反詐欺及一般風險管理活動的資料流、科技架構及程序以強化所有風險相關功能。
除了上述國際組織頒布的原則與指導外,自 2021 年中旬以來,包含英國、歐盟及澳洲等數位金融服務發展較為成熟的國家,都已經開始針對數位身分推展相關立法與修法的工作。如英國在 2021 年 2 月提出的政策文件一英國數位身分與屬性信任框架(The UK Digital Identity and Attributes Trust Framework)、歐盟在 2021 年 6 月提出的歐盟數位身分規則草案(European Digital Identity Proposal),以及澳洲在 2021 年 10 月提出的受信任數位身分法案(Trusted Digital Identity Bill)。
現行法規紊亂 不利數位身分發展
台灣訂定數位金融服務規範之必要的原因,在於現行法規範的紊亂複雜,將不利於數位身分制度的發展。數位金融服務管理規範需要處理的議題,在確保於身分識別、客戶盡職調查、身分驗證及交易授權等四大環節中,消費者遭偽冒以及個資外洩的風險能降到最低,並達到維持金融機構健全業務經營與金融穩定的效果。然台灣關於上述四大環節的規定,散見於不同業別的規範之中。
其中,客戶盡職調查的部分,通常與洗錢防制法、金融機構洗錢防制辦法相關。至於身分識別、身分驗證及交易授權的環節,所涉法規則多元複雜,有些與身分確認及身分驗證相關,但分屬於自律規範及法規命令等不同層次,如金融機構辦理電子銀行業務安全控管作業基準。有些則是與交易確認直接相關,其中有些規定以書面進行交易授權時,所謂書面是依電子簽章法之規定,得以電子文件為之,如銀行辦理高資產客戶適用之金融商品及服務管理辦法。但有些卻又經主管機關,於不同交易情境中加以排除適用,如金管會依據電子簽章法公告排除電子簽章法適用之項目,例如保險部分,前述種種狀況又讓確認意思表示真實性與不可否認性之機制存在模糊的空間。
「上述這些痛點,有些係因現行法規未有明確規定所致,有些則是因為不同業別規範密度寬嚴不一致。有些則是在不同規範實際適用時,所可能產生的疑義所致,形成台灣深化數位金融服務發展的重大挑戰。」臧正運解釋:「因此,若能透過一個較為上位,且得以規制所有金融業別的數位金融服務管理規範,前述盤根錯節的問題與痛點加以釐清,相信對台灣數位金融的發展前景將有莫大的助益,也有助於台灣監理法制接軌國際趨勢。」
參考國際趨勢與規範 制定台版數位金融管理法
在金融科技的高速發展以及 COVID-19 疫情的推波助瀾下,消費者對數位金融服務的需求大增,金融業者及金融科技業者都有機會在此機運下大展身手,為客戶帶來更為優化的體驗,且為自身帶來商機與獲利。然而數位金融服務受虛擬化及遠距化的影響,對金融服務提供的身分識別、客戶盡職調查、身分驗證及交易授權等四大重要環節帶來挑戰。金融機構必須在保護客戶個資隱私與資料安全的前提下,提供客戶足夠便利、普及且效率的服務,此時便需監理法制加以釐清與設計。
臧正運說,金管會在金融科技發展路徑圖中,提出訂定數位金融服務管理規範的想法,我認為訂定相關規範確實有其必要性,所以進一步透過國際趨勢及標準的梳理與借鏡,嘗試拋出訂定該規範應有的制度框架思考,供主管機關與業者參考。未來伴隨著主管機關舉辦的「數位身分認證及授權」主題式監理沙盒與業務試辦的成果與發展,主管機關較能透過監理實驗釐清新興技術與身分認證機制的可行性,並且在這些實驗過程中累積各界對法規的共識,有利於後續設計數位金融服務管理規範之深度與多元。
在全球積極投入數位身分制度、推展數位金融服務的關鍵時刻,台灣法治必須要能與國際接軌,滿足在地市場的實務需求,並有效提升消費者福祉。
(本文授權非營利轉載,請註明出處:CIO Taiwan)
