在立法院4月30日三讀通過電子簽章法修正案後,台灣法定的電子簽章即區分為電子簽章及數位簽章,而企業在導入使用電子簽章時,建議宜先選定要適用的業務及目標客戶,而後進行企業現有流程解構分析並規劃重組,再將電子簽章應用方式融入整體流程,較能發揮最大效益。
在立法院4月30日三讀通過電子簽章法修正案後,台灣法定的電子簽章即區分為電子簽章及數位簽章,而企業在導入使用電子簽章時,建議宜先選定要適用的業務及目標客戶,而後進行企業現有流程解構分析並規劃重組,再將電子簽章應用方式融入整體流程,較能發揮最大效益。 以電子簽章的基本精神為「依附於電子文件並與其相關連,用以辨識及確認電子文件簽署人身分、資格及電子文件真偽者」。然而,由於電子簽章強度不一,應回歸到企業擬採用電子簽章的業務本質及應用情境,據此選擇運用適合強度的電子簽章,並搭配流程及風險管控等相關措施,進行整體設計,建議企業應將「導入電子簽章」比照「採用新業務新產品」之風險架構進行辨識及評估,考量構面應包含但不限於以下:
法令遵循風險
企業宜建立法令遵循架構,並持續監控法規及官方行政要求的變化及趨勢、評估風險影響以及採行必要的措施,以遵守國際監理機關及當地主管機關要求。以銀行業者為例,須考量的範疇,主要包含公司治理、防制洗錢、誠信與公平待客、內部控制、消費者保護、委託他人作業(亦包含委外雲端服務)等。若銀行兼營其他核准金融業務,亦應參考該業務別的相關規範,例如證券商、保險代理人、證券信託暨顧問業務。
資訊安全風險
建立資訊安全政策和控制程序,進行資訊安全評估、風險辨識及監控,首要強調資料處理、共享及資料保護、系統架構安全,防堵外部駭客威脅,針對服務脆弱性也應加強DDOS防護設計及應用系統的安全防護措施,並且進一步延伸到系統服務提供廠商的資安議題。
作業風險
訂定內部作業風險管理流程,評估日常業務運作及未來潛在可能產生的風險,進行風險辨識、風險評估、風險抵減、風險監控,並擬定風險減緩措施,應特別關注聲譽風險和企業持續營運(Business Continuity Planning)等議題,以達風險管理的有效性及可及性。
內部控制
新科技導入,勢必對於現有流程有所影響及,帶來嶄新流程並造成控制環節變化,可能增加潛在風險,建議參考COSO委員會(Committee of Sponsoring Organizations of the Treadway Commission)提出之「內部控制監督指引」(Guidance on Monitoring Internal Control Systems),以及2023年發布的「實現對永續報導之有效內部控制」(ICSR)指南,該指南將其「內部控制—整合框架」(ICIF)應用到環境、社會和公司治理(ESG)報告,突顯內部控制原則應用於日益重要的永續和ESG報告領域的重要性,但仍維繫著內控的五大要素,包含控制環境(Control Environment)、風險評估(Risk Assessment)、控制作業(Control Activities)、資訊與溝通(Information and Communication)、監控作業(Monitoring Activities),與內控原有的十七項原則,將可提供企業評估角度及強化內部控制的切入點。
納入數位金融服務相關法規考量
可參考金融監督管理委員會發布之「金融科技白皮書」、「金融科技發展與創新實驗條例」、「金融科技創新實驗管理辦法」、「金融科技創新實驗防制洗錢及打擊資恐辦法」、「金融服務業辦理數位身分驗證指引」、「銀行申請業務試辦作業要點」、「金融業運用人工智慧(AI)之核心原則」;以及銀行公會發布之相關自律規範,例如「金融機構運用新興科技作業規範」、「金融機構提供行動裝置應用程式作業規範」、「金融機構辦理電子銀行業務安全控管作業基準」、「金融機構與第三方服務提供者辦理開放應用程式介面(OPEN API)業務安全控管作業規範」、「金融機構資通安全防護基準」等。
基於上述的風險辨識程序之後,應提出相關風險抵減及緩釋的措施,進行適當因應。進一步,電子簽章服務應設計身分核驗機制,為自然人、企業戶提供真實性的檢核功能;提供客戶意思表示的電子化流程,使用的載體從廣義的電子簽章(如手寫版簽名)到數位簽章,有多元型式,加蓋可信時間戳等技術方法,防止資訊被輕易竄改。考量安全性及用戶接受便利性進行搭配選用,以兼顧業務效率與資訊安全性,並確保不可否認性。
由於金融業關注「證據保全之可靠性」,在電子簽章使用過程中的全流程,都將被系統平台記錄,提供證據鏈佐證報告,以利提升法律訴訟、司法舉證的有效性。上述的思考點,都應納入整體範疇進行考量及規劃,讓金融業推動及採行電子簽章能更完善,並且有利於內部向董事會以及高階管理層溝通,以及對外部客戶權益的有效保障。