證券公會半年刊 第 9 期 證券業數位轉型下的身分驗證框架與技術趨勢                                    51









               (Digital Transformation) 的浪潮席捲全球，國                 貨安控作業基準草案的擬定中。
               內證券市場也正加速步入全面數位化的新時                             ●  數位發展部 ( 以下簡稱數發部 ) 在去年完成

               代。線上開戶、行動下單、AI 理財、API 金融                           了電子簽章法的修訂，當中可視同本人親自
               服務平台等創新應用已廣泛佈建，但同時也對                               簽名或蓋章的數位簽章，要求參考國際標準
               「數位身分」的真實性與可信度提出前所未有                               對用戶身分登錄的要求進行嚴格的審核，這

               的挑戰。                                               些標準包括 eIDAS 2.0、NIST SP 800-63
                   在傳統紙本流程中，信任來自於人際互                              及 ISO 29115。
               動、櫃檯核驗與政府背書。但在虛擬通路下，

               投資人從網頁或 App 中進行申請與交易，身分                         參、 國際權威數位身分標準解析
               資訊與假冒風險的不對稱性大幅提升。一旦身

               分驗證機制不夠嚴謹，即可能導致詐騙集團利                                 國內監理框架所參考的國際標準，為建構
               用偽冒帳戶進行洗錢、操縱市場、非法融資等                            安全可信的數位身分體系提供了成熟的藍圖。
               不法行為，不僅侵害投資人權益，更威脅市場

               健全發展與整體金融穩定。                                    一、 歐盟 eIDAS 2.0



               二、 主管機關對身分驗證的重視                                      歐盟 eIDAS 2.0 對於電子簽章分為三個等
                                                               級，分別為合格型電子簽章 (QES)、進階型電
                   為應對數位化帶來的挑戰，國內主管機關                          子簽章 (AES) 及簡單型電子簽章 (SES)，當中

               已採取積極行動，強調身分驗證的重要性。                             對於完整性 (Integrity：可驗證簽署文件是否經
               ●  金管會在 112 年頒佈「金融服務業辦理數位                       竄改？ )、簽署身分確認 (Identity：可確認簽
                 身分驗證指引」，主要參考 ISO 29115 標                      署者的身分？ )、簽署真實性 (Authenticity：

                 準區分為身分登錄、信物管理及個體驗證三                           指簽名能否能否連結至唯一簽署者？ )、簽
                 個階段評估不同身分驗證工具的信賴等級                            署事實 (Authentication：是否只有簽署者控
                 (LoA)，希望解決跨業別如果要進行身分驗                         制下才能產生簽名？ )、簽署設備 (Signature

                 證時能有一套共同的標準。目前銀行業 ( 由                         Device：用於簽署的設備是否符合安全要求？ )
                 銀行公會主導，113 年 7 月送金管會審核                        及簽章使用的憑證 (Signature Certificate：簽

                 中 )、保險業 ( 由壽險公會主導，草案內容                        章證明及核發機構是否符合規範？ ) 對三種簽
                 規劃中 ) 也都依據這份標準進行安控作業基                         章都有不同程度的要求。
                 準的調整。

               ●  券商公會及期貨公會也於 113 年委外「證                        二、 NIST SP 800-63 數位身分驗證指引
                 券暨期貨業者線上服務身分驗證實務作業參

                 考」，先由業界調查常用的身分驗證工具及                                美國國家標準與技術研究院 (NIST) 所制
                 業務項目進行統整 ( 已結案 )，並於今年持                        定的 SP 800-63 系列，是目前全球公部門與
                 續參考銀行安控作業基準新的定義及架構，                           金融機構廣泛參考的數位身分標準之一。該標

                 由證交所／櫃買中心／期交所進行證券及期                           準架構共分為三個主要模組，分別針對不同階