證券公會半年刊 第 9 期 證券商客戶身分驗證實務與制度精進芻議                                 45









               手持身分證拍照」、「身分證號末４碼＋出生                            送「月對帳單」後應取得已讀回條；未取得已
               月日４碼」等多元方式，經進一步比較分析後                            讀回條者，須掛號寄送紙本對帳單。目前證券

               可歸納出以下顯著特點：                                     商實務採行的身分驗證機制，主要是「帳號密
                                                               碼登入搭配電子交易憑證」及「身分證號末４
               特點一： 相同的線上服務，不同證券商得自行                           碼＋出生月日４碼」等兩種方式，惟這在邏輯

                        選擇強弱程度不同的身分驗證機制                        上是否預表這兩種身分驗證機制的信任強弱程
                   首先，以開戶之既有戶線上加開其他商品                          度是相同的？設想若某人取得投資人身分證件
               交易帳戶為例，目前證券商實務採行的身分驗                            ( 包括影印本文件 )，就能直接取得投資人「身

               證機制，主要是除了帳號密碼登入之外，在現                            分證號末４碼＋出生月日４碼」的個人資訊，
               有證券商作業管理規則的框架下，證券商得自                            也就能以投資人名義訂閱對帳單，而這與「帳

               行選擇搭配電子交易憑證或 OTP 或是銀行帳                          號密碼登入搭配電子交易憑證」進行身分驗證
               戶，當作另一個複合式身分驗證機制的組合元                            在信任強弱程度上有非常大的區別，故二者之
               素選項，惟這在邏輯上是否預表電子交易憑                             間是否具備互相替代的關係，亦存在相當程度

               證、OTP 與銀行帳戶這三種身分驗證機制的                           的疑義。
               信任強弱程度是相同的？若比較 OTP 與銀行

               帳戶這兩項身分驗證機制，OTP 係證券商透                           特點二： 證券商某些業務採行的線上身分驗證
               過目前投資人在客戶檔案中留存的行動電話號                                     機制或與其業務風險程度並不適配
               碼或是電子郵件信箱，所傳送的一次性動態密                                 一般來說，證券商基於對風險識別與衡量

               碼，基本上並不能確認該行動電話號碼或是電                            的長期實務經驗，基本上對相關線上服務風險
               子郵件信箱，在法律層面上屬於投資人本人所                            評級的順序分別為：開戶、交易、帳務服務、
               有，最多只能理解為投資人意思表示其當下正                            集保作業、變更個人資料與線上簽署業務文

               在使用該行動電話號碼或是電子郵件信箱，而                            件，而開戶與交易列為最高等級，惟證券商某
               這與經過嚴謹銀行開戶程序且在法律層面上屬                            些業務採行的線上身分驗證機制或與其業務風
               於投資人本人所有的銀行帳戶，在信任強弱程                            險程度並不適配。

               度上有非常大的區別，故二者是否具備互相替                                 首先，以交易之補發電子交易密碼為例，
               代的關係，亦值得進一步探討與評估。                               目前證券商實務採行的身分驗證機制，包括

                   其次，以帳務服務之電子對帳單為例，考                          「帳號密碼登入搭配電子交易憑證」、「生
               量當客戶交易金額比較大的時候，證券商作業                            日 + 電子交易憑證 +OTP」、「OTP+ 電子郵
               發生錯誤或是證券商與投資人之間發生客訴糾                            件信箱 E-mail」與「生日 +OTP+ 手持身分證

               紛的風險將顯著增加，所以證券主管機關為強                            拍照」等四種方式。考量帳號密碼登入已經涵
               化證券商落實重大交易通知、防範非本人操                             蓋包括但不限於既有戶加開其他商品交易帳

               作、保障投資人權益並符合稽核檢查資料保存                            戶、電子交易、API 申請及開通、申請或更新
               的要求，規定投資人申請電子對帳單證券商需                            電子交易憑證、股票抽籤與競價拍賣、申請調
               進行身分驗證，尤其是當訂閱電子對帳單之投                            整交易額度、訂閱電子對帳單、集保作業相關

               資人月交易金額超過新台幣 5,000 萬元者，寄                        交易、個人資料變更與線上簽署業務文件等幾