式是身分認證，如何成功獲客是其馬上面對的                             本文所言，下一階段的ID數位化勢在必行，但
              痛點。深入起手式前，要先幫讀者打底一個重                             進度遲緩，監理與資安比網際網路複雜。網際
              要概念：安全元件（Secure Element, SE）或硬體                  網路是On-to-Offline，食衣住行是多多益善，但
              安全元件。SE的應用之一可為eID，如上述的中                          數位ID卻是Off-to-Online：關乎權益時，再小的
              華民國晶片身分證，在硬體保護下，安全存放                             投票都需實名制，金融的本質導致Off-to-On必

              用戶自己的憑證，以供數位簽章。mID（mobile                        然性。Off-to-On是一小群一小群先鏈起來，需
              ID）即為上述之手機版。當今悠遊卡或健保卡                            要時間。這也是筆者與Don  Tapscott寫的《區塊
              上的晶片皆沒有憑證，若要等明年開始導入的                             鏈革命》的觀點相左之處。
              晶片身分證又太久，可多方嘗試如下方式：
                  1.  手機  SIM卡換發有SE的SIM卡：是電                    純網銀資安及生態中立性
              信商的最愛方式，尤其今日  SIM  卡大多尚未含
              SE。                                                   監理思維之核心是中立性（neutrality）：
                  2.  Embedded  SE（eSE）：是手機商的最愛                生態中立性以遍地開花。筆者在Google工作
              方式，手機裡嵌入硬體SE。                                    時，這些OTT（Over-the-Top，指服務提供者

                  3.  Thin  SIM（薄膜卡）：在日本稱為 Sub-                透過網路向使用者提供內容、服務或應用）公
              SIM，在中國叫做貼膜卡。這是在  SIM卡上貼上                        司，如Facebook、Google最關心網路中立（Net
              一層薄膜，不用換SIM，也不用換手機，就提供                           Neutrality）：如果底層的電信商（Telco）沒有
              了SE。                                             Net Neutrality，則OTT 無法健康發展，而我們今
                  根據法規「金融機構辦理電子銀行業務                            天用的就不是Google、Facebook提供的服務，而
              安全控管作業基準」及上述作業範本，金融作                             是電信商的內容了，非用戶所樂見。當然，互聯
              業的中心思想是實名制，跟網際網路不同，而                             網已經起來，OTT層穩固了，這時即使川普總統

              欲符合安控基準高風險場景，關乎資安之私鑰                             取消Net  Neutrality，影響不大。但當純網銀及數
              管理更是重中之重，不能放在App或網頁瀏覽                            位  ID  正在興起路上，筆者認為數位金融層必須
              器，必須有「第三方認證」確保金鑰儲存安                              依賴底層的中立性。筆者拙見電信中立（Telco-
              全。以上3種形式俱有第三方認證，如具有 NIST                         Neutrality）及手機中立（Handset-Neutrality）是
              安全認證的Thin SIM。                                   必須提供的選項。這是日本金融廳驗證  FPoS  的
                  日本金融廳（FSA）今年對Sub-SIM的實驗                      主因〔見圖1〕，不應獨厚某一家電信商及手機
              結果報告指出，FSA認證除對中間人攻擊、瀏覽                           商，金融服務不要偏愛某一家電信商。台灣的支
              器惡意程式攻擊防護度高外，在身分認證上也                             付業碎片化，孤島林立，支付普及率不足，互
              沒有問題。相對OTP（One-Time Password，一次                  聯互通不夠，未來金融科技繼續發展，我們希

              性密碼）之低安全性，FSA認證之FPoS（FinTech                     望監理上，能夠強調電信及手機中立，打破孤
              Platform  over  Sub-SIM，薄膜卡金融科技平台）               島，讓最好的FinTech服務就拿到對應市占，孤
              值得台灣借鏡。過去25年來，網際網路已然發                            島自然不敢故步自封，互聯互通成幾個太陽才
              生，食衣住行娛樂乃至廣告紛紛數位化，而如                             是台灣用戶之福。





                                                                                          台灣銀行家2019.9月號 43







   1          5%     JOEE