1.手機SIM卡換發有SE的SIM卡:是電信商的最愛方式,尤其今日SIM卡大多尚未含SE。
2.Embedded SE(eSE):是手機商的最愛方式,手機裡嵌入硬體SE。
3.Thin SIM(薄膜卡):在日本稱為Sub-SIM,在中國叫做貼膜卡。這是在SIM卡上貼上一層薄膜,不用換SIM,也不用換手機,就提供了SE。
根據法規「金融機構辦理電子銀行業務安全控管作業基準」及上述作業範本,金融作業的中心思想是實名制,跟網際網路不同,而欲符合安控基準高風險場景,關乎資安之私鑰管理更是重中之重,不能放在App或網頁瀏覽器,必須有「第三方認證」確保金鑰儲存安全。以上3種形式俱有第三方認證,如具有NIST安全認證的Thin SIM。
日本金融廳(FSA)今年對Sub-SIM的實驗結果報告指出,FSA認證除對中間人攻擊、瀏覽器惡意程式攻擊防護度高外,在身分認證上也沒有問題。相對OTP(One-Time Password,一次性密碼)之低安全性,FSA認證之FPoS(FinTech Platform over Sub-SIM,薄膜卡金融科技平台)值得台灣借鏡。過去25年來,網際網路已然發生,食衣住行娛樂乃至廣告紛紛數位化,而如本文所言,下一階段的ID數位化勢在必行,但進度遲緩,監理與資安比網際網路複雜。網際網路是On-to-Offline,食衣住行是多多益善,但數位ID卻是Off-to-Online:關乎權益時,再小的投票都需實名制,金融的本質導致Off-to-On必然性。Off-to-On是一小群一小群先鏈起來,需要時間。這也是筆者與Don Tapscott寫的《區塊鏈革命》的觀點相左之處。
純網銀資安及生態中立性
監理思維之核心是中立性(neutrality):生態中立性以遍地開花。筆者在Google工作時,這些OTT(Over-the-Top,指服務提供者透過網路向使用者提供內容、服務或應用)公司,如Facebook、Google最關心網路中立(Net Neutrality):如果底層的電信商(Telco)沒有Net Neutrality,則OTT無法健康發展,而我們今天用的就不是Google、Facebook提供的服務,而是電信商的內容了,非用戶所樂見。當然,互聯網已經起來,OTT層穩固了,這時即使川普總統取消Net Neutrality,影響不大。但當純網銀及數位ID正在興起路上,筆者認為數位金融層必須依賴底層的中立性。筆者拙見電信中立(Telco-Neutrality)及手機中立(Handset-Neutrality)是必須提供的選項。這是日本金融廳驗證FPoS的主因(見下圖),不應獨厚某一家電信商及手機商,金融服務不要偏愛某一家電信商。台灣的支付業碎片化,孤島林立,支付普及率不足,互聯互通不夠,未來金融科技繼續發展,我們希望監理上,能夠強調電信及手機中立,打破孤島,讓最好的FinTech服務就拿到對應市占,孤島自然不敢故步自封,互聯互通成幾個太陽才是台灣用戶之福。
