除了在數位發展部制定的「電子簽章法」以及近期剛啟動討論的「電子簽章法施行細則」修正草案之外,各產業的專責主管機關,也會再依此法制定該產業需要遵循的相關行政規定,尤以高度監理的金融業及醫療業為重。
近期,在幾場研討會上,普遍聽到一個聲音:「電子簽章法已經公佈實施,怎麼還沒有人用?可以怎麼去推廣?」不但是主管機關關心,電子簽章平台、憑證業者及學界專家也有疑惑?
以下分享金融業的情形。除了在數位發展部制定的「電子簽章法」以及近期剛啟動討論的「電子簽章法施行細則」修正草案之外,各產業的專責主管機關也會再依此法制定該產業需要遵循的相關行政規定,尤以高度監理的金融業及醫療業為重。以銀行業為例,金管會即責成銀行公會制定「金融機構使用電子簽名機制安全控管作業規範」(以下稱「作業規範」),並於113年1月29日函報金管會核備後實施,早於「電子簽章法」於立法院4月30日三讀通過,觀察此「作業規範」所突顯的監理精神大於發展精神。
符合作業規範各項要求方能導入電子簽章
銀行需要符合「作業規範」的各項要求,方能提供客戶使用電子簽章在線上簽署電子文件,個人觀察主要在以下五項,仍需要進一步突破: 一、「作業規範」第一條,「……;本規範未規定者,依「金融機構辦理電子銀行業務安全控管作業基準」(以下稱「安控基準」)之規定。」 當初也許是希望採取同一套安全控管要求,便於銀行業者遵循的美意,然而此舉卻將電子簽章侷限在以電子銀行業務為主,實際上,電子簽章可以應用在非電子銀行業務,銀行業務非常多元化,並非都能透過電子銀行業務完成,例如國際金融授信及保證。
二、「作業規範」第二條,「……八、申請指示類業務:(一)安控基準電子轉帳及交易指示類之申請指示所列示之服務項目。……」 「安控基準」主要偏重於「身分確認」以及業務辦理的技術與風險適配性,而「作業規範」主要在表彰用戶透過電子簽章進行「意思表示」的安全控管作業,故這兩項辦法連結在一起的必要性,值得商榷。
三、「作業規範」第二條,「……十、評估單位:指同時符合下列條件之外部專業機構或銀行內部之個人或團隊。(一)資訊安全管理知識(如CISM、ISO 27001LA等)。(二)資訊安全技術能力(如CISSP)。(三)模擬駭客攻擊能力(如CEH、CIH等)。(四)熟悉金融領域載具應用、系統開發或稽核經驗。(如CISA)。」
這應是參照「金融機構辦理電腦系統資訊安全評估辦法」(以下稱「安全評估辦法」)第七條評估單位資格與責任(註1),但「作業規範」卻更為嚴格。建議可以直接指向應遵循上述「安全評估辦法」即可,以利金融業者在既有的資訊安全評估架構中,再增加電子簽章即可,減少法規的疊床架屋,也降低業者期初建置的重複投入成本。
四、「作業規範」第八條,「銀行應盤點與資訊安全相關規定,並將相關要求與內控制度結合,定期進行法令遵循自評,以確保資訊安全之法令遵循性。……」
這應是參照「金融機構辦理電腦系統資訊安全評估辦法」第五條一、資訊安全評估作業項目(七)合規檢視以及第八條評估報告(註2),但「作業規範」規範更多作業要求,報告保存年限也與「安全評估辦法」不同。
其實,可以直接指向應遵循上述「安全評估辦法」即可,現行金融業者在既有的安全評估架構中,原本就會依照新發佈的法令法規,進行增補評估,然,為依循「作業規範」又需要為電子簽章另立一套內部遵循機制。當新的法令頒布實施後,為理解外部法規,進而內化到組織管理及增∕刪∕修定內部規範,都需要花費時間心力溝通,以利內部利害關係人具備共識後,方能順利取得進展,所以新建立一套法令規章不可不慎,需要思量再三。
五、「作業規範」第三條,「……銀行應針對業務及客戶進行風險評估,訂定申請資格與管控機制,並提報董(理)事會或經其授權之經理部門核定,……」
這應是參照「金融機構資通安全防護基準」、「金融機構辦理電腦系統資訊安全評估辦法」分別將資訊安全政策、資訊安全評估計畫提報董事會核定,但觀察「金融機構運用新興科技作業規範」、「電子銀行業務安控基準規範」皆無此規定,依照分層負責的管理精神,電子簽章的管控機制是否須提交到董事會層級,這值得重新思考。
如要符合此條規範,建議銀行制定一個上位的政策框架,載明風險評估至少需涵蓋的構面及(業務性質∕客戶類型)大類項目,比照新產品新業務申請方式,逐案評估。因為導入電子簽章,往往帶來的是流程重組,需要整段新流程及配套措施一起綜合評估,以確保具備相關風險緩釋措施。
銀行業導入電子簽章,也須考量到目前需要遵循的數位金融法規,包含但不限於「金融機構運用新興科技作業規範」、「金融機構作業委託他人處理內部作業制度與程序辦法」、「金融機構資訊作業韌性規範」、「金融機構辦理電腦系統資訊安全評估辦法」、「金融機構資訊系統安全基準」、「金融機構資通系統與服務供應鏈風險管理規範」、「金融機構資通安全防護基準」、「銀行公會會員銀行與第三方服務提供者合作之自律規範」、「金融機構辦理快速身分識別機制安全控管作業指引」、「金融服務業辦理數位身分驗證指引」等。其實,在目前銀行資訊安全架構之下,再增加對於電子簽章的安全控管,使用範圍不限於在電子銀行業務,會是對於銀行業者較為容易進入及採行方式。
結語
從7月金管會主委的媒體聯訪新聞,主委提出一項變革是「行動創新方案」,將設常態性「法規調適平台」,打破目前由各公會提建言做法規調整的舊例,改由學者專家當召集人,從外部人主動發現問題,金管會仔細評估,產業快速回應。個人高度期盼,能將上述待突破之處適度調整,給予個別業者訂定內部規範之彈性,以滿足多元客戶需求及國際化金融服務趨勢,使各業者能依據其自身業務發展情形妥適因應相關風險,電子簽章的應用蓬勃發展,將指日可待。