純網銀即將開張,未來消費者不需要走進分行填表單,利用手機螢幕即可完成所有手續,真正全年無休的讓人隨時隨地可以進行金融活動,讓金融科技監理與資安技術比起以往更顯其重要性,如何找出事半功倍的方法,值得業者與相關單位多加謹慎規劃。
面對《台灣銀行家》雜誌邀稿寫純網銀之金融科技及生態,筆者完稿後發現,在當下純網銀新聞過熱時,必須重寫新題以避免讀者無限上綱(編按:作者為純網銀審查委員),所以本文將講科技而不談當今生態,從監理與資安出發,在不談當下商業生態及各方利害時,科技的結晶將沒有被穿鑿附會之可能。
本期先談監理科技,來日再說自動科技監理。沒有監理科技,合規金融科技也無法健全發展。首先,不同於傳統銀行的用戶有實體分行可去,純網銀用戶主要是從手機來認識這個新銀行。不需走進分行填表單,使用介面是手機螢幕,而非表單。24小時都可從手機或桌機操作,用戶體驗依賴好用、感動人心、激勵人心的App。一套銀行系統可從分行表單思維去設計,也可從手機用戶體驗去展開,兩種將差異很大,不易兼顧,可說一種是鯰魚,一種像沙丁魚,若一套系統兩種個性(personality)往往會造成精神分裂,弄巧成拙。
純網銀後台系統必須符合現有資安規範,如ISO27001(資訊安全管理系統認證),但強度是24小時線上等級。而前台變化尤大,不只是量變,而是質變:用戶不再是到分行在表單上簽名蓋章,而是數位簽章,體驗與資安態樣完全不同。法規「銀行受理客戶以網路方式開立數位存款帳戶作業範本」的第三條定義了銀行如何受理開立數位帳戶。但我國自然人憑證普及率不高,手機開戶者往往隨身沒有自然人憑證,內政部規劃的晶片身分證將於2020年10月開始導入,到時用戶可以手機NFC(近距離無線通訊)讀取身分證晶片裡的憑證,並可數位簽章,但這對純網銀緩不濟急。難道要各家網銀去開模,打造一個手機USB dongle(轉接器)以在過渡期間時,用戶可插入自然人憑證接上手機?我們只能說,克難式讀卡機之手機版,並不是最好解法。
起手式:身分認證的監理與資安
上述實為痛點中的痛點:在應用五花八門的AI及區塊鏈金融科技前,純網銀第一要「獲客」。在短時間內,人數要達到各家宣示的百萬級,又不想用戶碰到如日本7pay近日之用戶盜用問題,純網銀的挑戰不小。純網銀的起手式是身分認證,如何成功獲客是其馬上面對的痛點。深入起手式前,要先幫讀者打底一個重要概念:安全元件(Secure Element, SE)或硬體安全元件。SE的應用之一可為eID,如上述的中華民國晶片身分證,在硬體保護下,安全存放用戶自己的憑證,以供數位簽章。mID(mobile ID)即為上述之手機版。當今悠遊卡或健保卡上的晶片皆沒有憑證,若要等明年開始導入的晶片身分證又太久,可多方嘗試如下方式:
