近期銀行業者與學研單位進行閉門研討交流。會議中,銀行業者分享一項實務上的共同困難:當前若要在客戶業務中導入電子簽名,往往必須同時參考兩項法規,分別是《金融機構使用電子簽名機制安全控管作業規範》(以下簡稱「電子簽名作業規範」),以及《金融機構辦理電子銀行業務安全控管作業基準》(以下簡稱「安控基準」)。
《電子簽名作業規範》與《安控基準》都是銀行業辦理數位業務的重要依據,但兩者在業務分類與身分核驗邏輯上仍存在差異,因而導致實務適用上出現不一致的情形,尤其反映在身分核驗強度,以及電子簽名作業適用業務範圍的認定上。也因此,銀行業在設計電子簽名流程時,必須同時符合兩套規範邏輯,無形中提高了制度解釋與實務落地的難度。
進一步來看,現行《電子簽名作業規範》第五條係以「金鑰儲存及持有方式」區分適用業務範圍,這與《安控基準》採取「依風險程度對應身分驗證強度」的架構並不相同。另一方面,《電子簽名作業規範》對於「身分核驗」與「文件簽章」在功能角色上的區分也不夠明確,因此,電子簽名機制在不同風險等級業務中的適用條件,仍缺乏與《安控基準》一致的說明。
基於此,建議可在《電子簽名作業規範》的業務分類與《安控基準》的風險分類之間,建立更清楚的對應關係,使金融機構得以依循一致邏輯進行制度與系統設計。這樣的調整,不僅有助於降低解釋歧異,也有助於提升規範的可操作性。
若就條文內容進一步分析,《電子簽名作業規範》第四條涉及簽名作業,建議應明確區分「身分核驗機制」與「電子文件簽章機制」。前者應依風險評估決定,並符合《安控基準》的信賴等級要求;後者則在於確保文件完整性與不可否認性的相關要求。唯有先將兩者功能切分清楚,後續制度設計與實務適用的邏輯才會更加明確。
至於《電子簽名作業規範》第五條所涉及的業務適用範圍,則可由目前以「金鑰儲存方式」作為單一判斷標準,調整為「多元安全因素綜合判斷」的架構。其判斷因素可包括身分核驗信賴等級(LoA)、金鑰儲存與保護機制、交易風險等級,以及是否具備額外控管措施,例如多重授權與交易監控等。換言之,規範若能從單一技術條件的判斷,轉向整體風險與控制機制的綜合評估,將更貼近金融實務需求。
在此架構下,也應明確區分三個控制面向。其一,身分核驗,功能在於確認簽署人身分,並對應信賴等級要求;其二,電子簽章,重點在於確保文件完整性與不可否認性;其三,交易控管,則是為確保交易安全,例如授權、多方確認與監控。如此一來,便可避免將不同功能混同以單一技術處理,例如一概以憑證作為唯一判準。
若能朝此方向調整,除了有助於提升《電子簽名作業規範》與《安控基準》之間的制度一致性,也可降低金融機構在制度設計與法遵判斷上的歧異。在不影響既有風險控管前提下,規範的可讀性與可操作性也將同步提升。
綜合而言,現行《電子簽名作業規範》以憑證作為業務適用判斷標準,未來可考慮調整為「身分核驗、電子簽章及交易控管」三構面的整體評估架構。這並非否定金鑰儲存機制的安全意義,而是建議將其納入整體評估因素之一。透過這樣的調整,不僅可釐清電子簽名機制在整體數位金融安全架構中的定位,也能強化其與《安控基準》之間的對應關係、制度一致性與實務操作性。
進一步而言,若能與《安控基準》的風險導向架構建立明確對應,反而可減少金融機構在制度設計、系統開發與法遵判斷上的複雜性,進而降低長期營運成本與監理溝通成本,也有助於推動台灣銀行業者更早落地應用電子簽名。
(註1)第五條:銀行進行簽名作業,對於不同金鑰持有及儲存機制,適用下列應用範圍:一、簽名私鑰儲存於客戶端或銀行端(含第三方平臺)者得辦理申請指示類業務。二、簽名私鑰於客戶端產生並儲存於客戶端者得辦理申請指示類及交易指示類業務。