Categorias: Todos

por 育毅 陳 1 mês atrás

368

電子商務交易安全規範 & 開放銀行 & 金融監理沙盒

我國的金融監理沙盒制度四年來只成功落地三個案例,顯示政府在推動創新金融業務方面仍以保護傳統金融業者為主,缺乏公平競爭的環境。新創業者進入沙盒實驗的過程中,常因涉嫌違反現行法規而受阻,甚至在實驗開始前就被判定合法,導致無需進入沙盒。部分業務如跨行轉帳與支付應用,僅涉及技術調整,並未違反法律。沙盒制度的設計過於嚴格,只允許通過金管會許可的金融業務進行測試,限制了創新金融科技的發展空間。

電子商務交易安全規範 & 開放銀行 & 金融監理沙盒

金融監理沙盒上路四年僅落地三件,政府思維仍以保護傳統金融業者為主,而非建構公平環境

我國金融監理沙盒制度之再建構

進入沙盒的9 個案例中亦存在以下兩大問題:(一)若為新創業者申請實驗,皆須與傳統金融機構合作,始能獲得主管機關信任並核准;(二)在沙盒中真正測試的內容並非「違法與否」之調適,而是「技術層面」是否可行的檢測。
統振公司以外國移工跨境匯兌為實驗內容,並涉及銀行法第29 條、《電子支付機構管理條例》之違反風險。統振公司申請實驗的期間原先為十二個月,起訖日為2019年4月30日至2020年4月29日止。惟截至2020年4月29日上述法規仍未完成修法程序,即便統振公司當時已實驗成功,若直接正式營運仍會面臨違法之不利益。故向金管會申請延長實驗期間至2021年4月29日。雖然電子支付機構管理條例已於2020年12月25日經立法院三讀通過,其放寬電子支付機構業務範圍至經營外國人國外小額匯兌之業務,統振公司實驗日期結束後經金管會核准即可正式營運其業務。

「實驗結束後免責權之賦予」與「延長實驗期間」兩者之間存有極大差異:前者為主管機關承認該個案合法,給予附條件的營業執照;後者則代表該業者的業務仍未成功,故依然違背現行相關法規。且若業者仍在實驗中,其業務規模、接觸的消費者人數、曝險金額等條件仍會受到一定限制,對實質上早已「實驗成功」而應「合法」正式上路的業者而言情何以堪。故兩者概念無論意義或效益層面,依然有相當大差別。

目前我國監理沙盒中,各新創業者之實驗內容似乎都被限縮為「第三方服務業者」之角色,名義上為進行創新金融商品或服務之測試與發表,實際上仍係為了迎合、配合現行金融機構之現有業務內容而做出之商品或服務模式與設計,如此才可能獲得主管機關的信任。惟此一結果即與沙盒實驗欲創造「獨立業務型態」之最初宗旨完全不符。

國泰人壽之於易遊網的保險電子商務業務、遠東銀行之於好好投資公司的共同基金交易平台業務、第一銀行之於湊伙公司的債券團購平台業務、永豐金證券之於阿爾發證券投顧的機器人理財定期定額海外ETF 業務,皆係作為「消費者賠償」及「風險控管」之信託機構角色。

亦應參考英國、新加坡沙盒制度,於主管機關監督、輔助的基礎下,申請實驗時由新創業者自行與金融消費者簽訂消費者保護方面之條款、契約,而非開宗明義即規定強制準用金融消費者保護法 的紛爭解決程序規定,以免矯枉過正,法遵成本過高。如何促進新創產業?若將重點過度置於消費者保護之完善而侵害創新科技之發展,「保護消費者」反而變成「阻礙消費者」享有創新科技之福利。

國泰人壽與易遊網的保險電子商務業務、好好投資公司的共同基金交易平台業務、湊伙公司的債券團購平台業務、阿爾發證券投顧的機器人理財定期定額海外ETF 業務等,案件之新創業者皆須與傳統金融機構合作,始可獲得主管機關核准進入沙盒。實驗案件內容皆仰賴傳統金融機構占重要協作或主導地位,無疑代表主管機關仍僅相信傳統大型金融機構之評價,也代表我國中小企業或新創企業對沙盒制度之申請法令遵循成本負荷過巨的現象仍存在,才需要與傳統大型金融機構合作。
惟觀諸我國主管機關實務上之操作,對於新創業務只要有涉嫌違反現行法規範之疑慮,全部作為可申請進入監理沙盒實驗之客體。
阿爾發投顧海外ETF 定期定額業務,更於實驗正式開始進行前被主管機關認定其實驗內容合法。
富邦銀行及帳聯網的跨行轉帳與支付應用業務,實驗亦無涉法規層面,僅為技術上之調整。
以凱基銀行的銀行類授信及信用卡業務,實驗內容根本未涉及法律層級之法規違反事由,否則其如何轉為申請業務試辦模式?
創新條例第3條則針對適用我國監理沙盒制度之金融科技創新範疇做出更嚴格 定義,僅限於通過金管會許可、核准或特許之金融業務,如銀行、證券、保險三大業別下的業務範圍,始為金融監理沙盒制度之受測試產業對象。
首先,假設某一創新內容原先處於法規範不明之灰色地帶,而透過法規範解釋加以消除,落入得以既有規範管制而合法從事活動之白色地帶,即無進入監理沙盒、進行漫長實驗之必要。否則主管機關未先透過法規範解釋該創新金融科技,即核准該申請業者進入實驗,將導致原本於現行法規範下已可順利經營之新創事業還須經過最長達三年時間的實驗期間,而錯失搶占市場先機之可能性,完全與「創新」二字背道而馳。

其次,假設運用解釋論得以將金融科技商品落入既有法規範下,作為金融監理 最前端的主管機關,本即應於職權範圍內幫助對自己欲進行的金融活動是否合法有疑義之業者解惑,或是得以合乎規範要件而合法作為。筆者認為,我國監理沙盒制度的建置可能導致我國主管機關透過此制度來豁免其在業者實驗完成後,主管機關本應具備的相關法規解釋、修正責任。

表一 我國沙盒實驗業者之總整理
統振公司 (2019) 提供外籍移工跨境匯款實驗業務模式,於臺灣與越南、印尼、菲律賓及泰國等四國金融機構串接統振API,繞過SWIFT中介,透過合作銀行提供其用戶服務。實驗期間排除適用法規為《電子支付機構管理條例》。
湊伙公司 (2021) 提供債券團購平台業務。湊伙公司於 其平台服務中以類似證券經紀商、自 營商身分,幫投資人選定投資標的。 實驗參與者須負擔申購金額0.5% 的 保管費及每年0.2% 的信託費。投資 過程結合區塊鏈技術,買入的債券交 由公正第三方保管,且所有的交易紀 錄都會記錄於鏈上,公開透明。本案 並與第一銀行合作,由第一銀行提供 信託機制。實驗期間排除適用《信託 業營運範圍受益權轉讓限制風險揭露 及行銷訂約管理辦法》第23-1條。
好好投資公司 (2019) 與遠東銀行合作,開發出一共同基金交易平台,又稱「新型態網路基金交換平台」(FundSwap),運用區塊鏈記帳技術,提供基金申購、贖回與基金交換等服務。好好公司以P2P方式,讓投資人在不經過基金公司情況下,彼此直接交換受益憑證,若兩支欲交換的基金,交易金額無法畫上等號,可用「基金受益憑證加上現金」作為互易標的,相互交換後,該受益憑證與現金便會即時入帳。實驗期間排除適用法規為《證券投資信託事業募集證券投資信託基金處理準則》及《境外基金管理辦法》。
國泰人壽 (2019) 與旅遊網站易遊網合作,提供保險電子商務業務。其以API技術與易遊網會員資料串接,將投保流程融入易遊網網站中。易遊網會員於購買行程時,可於同一頁面加購旅平險,系統會依照消費者購買的行程天數、目的地,算出數種保費方案供消費者選擇。消費者於購買行程時系統已將顧客資料加密後傳送至國泰人壽端進行驗證程序,當消費者繼續進行投保動作時,系統會自動秀出會員基本資料,相同欄位即無須填寫兩次,加速投保手續。實驗期間排除適用法規為《旅行業管理規則》第4條。
阿爾發證券投資顧問公司 提供機器人理財定期定額海外ETF業務。阿爾發與永豐金證券合作,由前者提供投資人投資組合建議,再利用API 串接永豐金證券。投資人依該建議向永豐金證券以「定期定額」方式買進國外ETF。實驗期間排除適用之法規及行政命令為《證券投資顧問事業管理規則》第10條第2項、《證券商管理規則》第37條第21款、《證券商受託買賣外國有價證券管理規則》第13條第2項第5款、第6款、金管會109年12月1日金管證發字第1090365761 號公告、《證券投資顧問事業經營證券投資顧問業務內部管理制度標準規範》委任契約之簽訂及保存、《內部稽核查核報告範本》委任契約簽訂作業、《證券商受託買賣外國有價證券管理辦法》第15-1條第1項。
北富銀及帳聯網科技 (2019) 透過區塊鏈錢包App提供客戶跨行轉帳與支付業務,並與台新銀行合作,運用區塊鏈底層技術作為跨金融機構間資金移轉訊息傳遞依據,進行跨行交易。實驗期間排除適用法規為《銀行間資金移轉帳務清算之金融資訊服務事業許可及管理辦法》及《金融機構作業委託他人處理內部作業制度及程序辦法》部分資料委託境外雲端作業等相關作業辦法。
凱基銀行與中華電信 (2018) 提供「手機門號辦貸款」及「手機門號辦信用卡」等服務,透過電信帳單與手機號碼驗證身分,建立信用模型。實驗期間排除適用法規為《金融機構辦理電子銀行業務安全控管作業基準》舉例之授信業務與信用卡業務服務項目,及相關安全設計要求等規範。

電子商務交易安全規範 (B2C、B2B2C網路平台)

6.建立資安通報管理機制

6.2 資安事故管理
6.2.3 應收集、保存及呈現資安事故之完整證據,並針對事故之原因進行檢討分析。
6.2.2 應界定人員緊急應變的責任,以確保對資訊安全事故做迅速、有效及依序的回應。
6.2.1 應建立資安事故通報管理程序,並對內外部員工宣導相關通報流程。
6.1 電子商務資安通報機制
6.1.1 電子商務網路平台應參照電子商務資安通報機制規範,進行資安事故外部通報。

5.強化對外網站交易平台安全管理

5.4 交易網站技術弱點管理
5.4.2 對外交易網站應定期實施各式技術性弱點測試,以強化電子商務交易服安全。
5.4.1 對外交易網站應修改預設參數,並建立網站攻擊手法之預防機制。
5.3 線上交易安全管理
5.3.7 應留存對外交易網站之交易與信用卡資料存取交易紀錄,並定期審查交易網站相關設備(含主機、網路設備、資料庫等)之日誌資訊。
5.3.6 交易資料庫應禁止留存客戶信用卡號、驗證碼,並不將個人資料等敏感訊息存於公開之網頁伺服器。
5.3.5 應透過密碼、檔案加工具或金鑰針對儲存之交易資料進行加密。
5.3.4 敏感性資料(如身份證字號、信用卡等資訊 )於交易畫面顯示時, 交易畫面顯示時,應遮蔽並透過加密機制傳輸,避免資料遭竊取。
5.3.3 應透過適當之控管措施與安全連線機制(如SSL加密等方法)進行交易資料之傳送與傳輸(含資料往返、互換及二次以上傳遞 ),以防止未經授權的存取。
5.3.2 電子商務交易系統應加入查核機制,以預防因作業處理疏失或故意行為所導致之線上交易資訊異常。
5.3.1 應有網站交易使用者之帳號管理安全機制,如進行使用者身分認證、強制要求帳號密碼度等,並記錄帳號申請之核准和撤銷。
5.2 交易網站伺服器與網路環境安全管理
5.2.5 應對交易網站所涉及的各項機敏性資料,制定必要的管控政策與措施。
5.2.4 應設定交易頁面之瀏覽、讀取等限制,禁止目錄瀏覽及切換目錄,避免網站內檔案遭竄改或變更。
5.2.3 電子商務線上交易程式或涉及金流與相關的應用程式開發,應遵循「 2.1 核心營運系統取得、 開發及維護安全管理」各項規範要求。
5.2.2 對外交易網站之網路安全維護上應考量建立連線限制與網路區隔,並架設防火牆或入侵偵測系統。
5.2.1 應監視、調諧網路流量、硬碟空間等系統容量的使用與網路連線之狀態,並對未來容量要求預作規劃,以確保所要求之效能。
5.1 客戶隱私保護政策宣告作業
5.1.1 應至少每年審查一次對外公告之隱私權政策,並向所有消費者發布。

4.提升企業內資訊環境安全管理

4.4 網際網路內容瀏覽管理
4.4.2 應限制高風險業務或敏感性資訊避免使用即時通訊軟體或外部電子郵件信箱進行資料傳輸作業。
4.4.1 應建立網路路由控制,以確保電腦連線與資訊流未違反應用系統之存取控制政策。
4.3 個人資訊設備安全管理
4.3.2 應制定使用者電腦使用管理規範,要求使用者通行碼、電腦使用、資訊設備操作及工作行為需注意事項。
4.3.1 應定期進行系統更新,以避免遭受弱點攻擊。
4.2 電子郵件安全管理
4.2.3 應設置防止垃圾郵件或設定郵件規則,將常往來、 熟悉的客戶與廠商設定分類,以防範來路不明或詐騙郵件。
4.2.2 應訂定執行電子商務作業之郵件帳號申請、密碼設定要求等管理規則。
4.2.1 應制定電子郵件使用規則,以維護的系統與應用程式的安全。
4.1 網路通訊與資訊作業安全管理
4.1.8 所有交易相關資訊處理系統的鐘訊,應與議定準確時間來源同步。
4.1.7 記錄使用者活動、異常及資訊安全事件,宜產生與保留一段議定的期間,以協助未來調查與存取控制監視。
4.1.6 應安裝防火牆或入侵偵測系統,定期檢查和防火牆和路由器的規則設定,以保護系統之安全。
4.1.5 應定期檢測網路安全及連線品質,以確保的系統與應用程式的安全。
4.1.4 重要資料及訊系統應定期進行與軟體的備份與還原測試。
4.1.3 應安裝防毒軟體,並定期更新病碼及執行系統掃描作業。
4.1.2 含有客戶個資之重要作業職權應加以區隔,以降低資產遭未經授權或非意圖的修改誤用之機會。
4.1.1 重要資訊設備與通訊設施管理人員應熟悉操作程序,於設定變更異動設備時應留存相關核准與測試紀錄。

3.強化客戶個人資料安全管理

3.7 客戶資料刪除及停止利用作業
3.7.4 應控管電子客戶個人資料留存的時間,定期由專人或負責人員刪除,並由主管不定期抽檢。
3.7.3 欲廢棄或不再持有之客戶紙本資料,應使用碎紙機或其他實體破壞方式予以確實銷毀,或委由專業處理廠商於專人監督下銷毀。
3.7.2 應每日檢查環境周遭是否有未妥善保管之客戶資料。
3.7.1 含有客戶資料之儲存媒體之汰除,應使用格式化或其他實體破壞方式予以銷毀。
3.6 客戶資料正確性維護作業
3.6.4 客戶欲維護個人資料之正確性或發生爭議時,尊重消費者權益與意願,立即停止處理或利用,並於30日內予以回應處理狀況。
3.6.3 利用電腦處理客戶個人資料時,應有內部作業查驗程序,以確保輸入資料與原資料相符合。
3.6.2 應對客戶提出其個人資料諮詢、更新與申訴等服務時,有完整的執行步驟與客戶回應說明。
3.6.1 應訂定有明確作業步驟與作業周期性以更新、維護客戶個人資料,於必要時應及時更新,並留下相關作業查核紀錄。
3.5 客戶資料使用及傳輸安全作業
3.5.3 客戶個人資料之使用、傳遞與交換作業(包含國際傳輸),應有安全的作業機制,明確規定執行作業之期間、地區、對象、申請及處理方式,並留存定期查檢紀錄。
3.5.2 需以企業網路與外部廠商或客戶交換之資料,應有適當加密或其他保全機制,不得明碼傳送。
3.5.1 客戶個人資料之使用、傳遞與交換作業等相關資訊,應於蒐集當時、變更時告知並取得當事人同意。
3.4 客戶資料蒐集、處理及儲存管理作業
3.4.5 存放客戶個人資料檔案(含數位與紙本檔案)之主機、週邊設備及相關設施等,應置於內部至少第二層門禁管制之安全作業區域(或上鎖檔案櫃),建立完整管理監督程序並留存相關紀錄。
3.4.4 客戶個人資料之處理行為應經權責單位核准,並訂定個人資料管理之稽核程序及設置稽核人員以定期審查作業情形並留存相關稽核紀錄。
3.4.3 應於向三方揭露或由委外廠商處理客戶個人資料前,確保其合法性並取得對客戶個人資料安全保護之能力與承諾。
3.4.2 應對保有客戶個人資料之部門員工宣導與規範禁止向任何未經授權的第三人交付、揭露、出售或轉讓所蒐集之個人資料,並認知其保護個資之職責。
3.4.1 蒐集、處理或利用客戶個人資料時,應依照法令規定,透過文字描述其合理關連之特定目的、使用方式及消費者個人資料相關權利之行使方式,並取得當事人同意。
3.3 客戶資料依法對外公開、資訊揭露作業
3.3.2 所訂定之「客戶個人資料保護政策與程序」應包含所有線上及離線作業,明確規定客戶資料對外公開、資訊揭露作業之期間、地區、對象、處理方式與保護範圍(界定交易網頁由平台業者或委外第三方單位控管)。
3.3.1 應依據法律規定、契約及正式對外宣告之隱私權政策,並於蒐集時即告知客戶相關訊息,始得執行客戶個人資料對外公開、資訊揭露等作業。
3.2 客戶資料盤點作業
3.2.1 應定期盤點電子商務營運服務流程(包含輸入與輸出)所涉及的客戶個人資料之敏感等級、儲存使用方式、傳輸媒介、接觸人員等,並評估其相對應的安全維護措施之強度。
3.1 客戶資料隱私管理
3.1.4 應辨識電子商務營運流程中,「客戶個人資料保護」可能遭遇的重大風險(如駭客入侵竊取個資等),建立並執行具體因應對策。
3.1.3 應設置並對外公告「客戶個人資料保護聯絡窗口」,協調聯繫客戶資料事宜,及擔任消費者提出申訴與救濟時之單一窗口。
3.1.2 應成立管理組織並依作業需求指定作業人員之權責,以依相關法令辦理安全維護及客戶個人資料保管事項。
3.1.1 應於網站或公司營運據點所屬範圍之適當地點公告隱私權保護宣告或政策,相關資訊至少包含客戶資料蒐集與利用範圍、第三方協同作業範圍、資料保護安全措施等。

2.加強核心營運系統與資料庫之安全管理

2.5 核心營運系統營運持續安全管理
2.5.1 電子商務核心流程應訂定能確保及時復原必要運作之營運持續計畫。
2.4 核心營運系統資料庫安全管理
2.4.4 留存重要存取紀錄。
2.4.3 定期備份。
2.4.2 定期查檢,以保護消費者資料與交易資訊之正確與完整。
2.4.1 建立連線管制與存取控制機制,以保護消費者資料與交易資訊。
2.3 核心營運系統機房與作業環境實體安全
2.3.4 設備外送或淘汰前應進行安全措施,防止資訊外洩。
2.3.3 核心營運系統機房與辦公區域外之設備應設計安全措施,保護場所管控外設備之安全。
2.3.2 應確保核心營運系統機房之實體安全,避免竊盜或損害。
2.3.1 應確保重要資料處理及辦公區域之實體安全,避免竊盜或損害。
2.2 核心營運系統存取控制管理
2.2.6 系統之連線時間應進行管制。
2.2.5 系統之公用程式應用(如遠端連線程式、外部連線存取等)應進行管制。
2.2.4 系統所在之網路應進行網路區隔,並針對連線進行限制。
2.2.3 含有客戶個人資料之紙本與可移除式媒體不可置放於桌面,電腦並應設定螢幕保護程式予以鎖定。
2.2.2 應有足夠強度的通行碼管理規定,包含通行碼複雜度強制要求、首次登入時變更通行碼、變更時應有身份驗證措施。
2.2.1 系統及其相關網路服務皆應有足夠強度的帳號申請及管理規定,使用者、系統管理者帳號及權限皆應有申請核准紀錄,及離調職時取消帳號紀錄。
2.1 核心營運系統取得、開發及維護安全
2.1.6 新功能上線或變更時執行測試,測試內容應同時考慮系統功能、可用性及安全性。
2.1.5 程式碼應僅可由授權管理人員才可存取,並將相關行為予以記錄。
2.1.4 測試環境應予以獨立,並避免以真實客戶資料進行。
2.1.3 作業系統之升級或更新應有適當的管制。
2.1.2 輸入資料應透過程式邏輯設計予以檢查,確保資料正確。
2.1.1 新資訊系統或現有資訊系統中,為了保障安全應考量以文件詳述資訊安全之要求。

1.促進組織資訊安全管理

1.6 委外管理
1.6.4 商品供應商或契約店家之出貨作業,應確保其作業之資訊安全。
1.6.3 貨物交遞時,應確保物流配送作業之資訊安全。
1.6.2 委外服務作業中,應確保作業之資訊安全。
1.6.1 委外合約管理及商業夥伴選擇(包含供應商、賣方廠商、運輸業者、倉儲服務、定點取件服務、金流服務或資訊服務廠商),應充分考量其資安能力與配合度。
1.5 遵循性管理
1.5.3 管理階層應定期審查,確認電子商務網路平台保存應有的重要系統日誌,確實控管技術相關弱點,以提供法令規定之良善管理佐證資料。
1.5.2 管理階層應提供預算支援並定期審查,以使電子商務網路平台維運所需之軟體皆符合智慧財產權相關法令法規。
1.5.1 應遵守民法、刑法、消保法、公平交易法、智慧財產權與個資法等相關法令法規,並滿足所提供之服務契約要求。
1.4 人力安全管理
1.4.2 針對相關作業人員進行資安教育訓練與宣導。
1.4.1 針對相關作業人員之可能偏差行為(如資料盜取或操作錯誤),預先約束與具體控管。
1.3 資訊資產管理
1.3.2 針對營運範圍內之重要資訊資產,建立適當之資產管理機制。
1.3.1 清查營運範圍內之資訊資產,至少包含營運相關軟硬體、資料、服務與人員等。
1.2 風險管理
1.2.2 針對重大風險,建立並執行具體因應對策。
1.2.1 分析營運交易之資安風險,分析結果並經管理階層同意。
1.1 資訊安全框架
1.1.2 管理階層,應具體說明其對資安之承諾與責任。
1.1.1 擬定資安政策,並依據政策落實資安管理、定期稽核與進行有效性量測並公告周知(含員工、委外廠商、上下游合作廠商)。