本網站使用相關技術提供更好的閱讀體驗,同時尊重使用者隱私,點這裡瞭解中央社隱私聲明當您關閉此視窗,代表您同意上述規範。
Your browser does not appear to support Traditional Chinese. Would you like to go to CNA’s English website, “Focus Taiwan" ?
こちらのページは繁体字版です。日本語版「フォーカス台湾」に移動しますか。
Se detecta que el idioma que usted usa no es el carácter chino tradicional.Por favor, intente entrar en la Página web de“Español”
新聞專題
你不知道的個資風暴來襲
2018是人類歷史上資料外洩最嚴重的一年,截至2018年9月,全球遭外洩個資已高達17億筆,大型資料外洩造成損失金額約新台幣1.2億,而全球每秒都至少有900筆資料正在外洩;有學者表示,個資外洩已成為國安問題。
你不知道的個資風暴來襲

金融科技淘金 考驗資安風險管控

最新更新:2019/09/19 17:38
面對新興科技的資安風險及網路犯罪的威脅,純網銀及開放銀行等創新營運模式,都必須做好應戰準備,才能為民眾的個資把關。(中央社製圖)
面對新興科技的資安風險及網路犯罪的威脅,純網銀及開放銀行等創新營運模式,都必須做好應戰準備,才能為民眾的個資把關。(中央社製圖)

你不知道的個資風暴來襲專題5(中央社記者吳佳蓉、劉姵呈台北14日電)今年7月底金管會公布3家純網銀獲准申設名單,正式啟動純網銀元年,面對新興科技的資安風險及網路犯罪的威脅,純網銀及開放銀行等創新營運模式,都必須做好應戰準備,才能為民眾的個資把關。

比起其他產業,主管機關高度監管的金融業,具有更完備、嚴謹的個資保護控管機制,主管機關也都嚴格要求金融機構必須遵照個資法規定,妥善處理客戶資訊的蒐集、處理及運用。但前幾年,還是曾有公、民營銀行發生個資外洩事件,遭金融監督管理委員會開罰。

趨勢科技首席資安顧問紀孟宏在2018台灣資安大會上也說,至2017年9月為止,在Google Play商店出現將近30個Bankbot惡意程式,偽裝成正常的應用程式到處散布。

他說,駭客利用假網頁覆蓋在正常的行動銀行APP,當用戶輸入行動銀行的帳號密碼後,惡意程式會要求再輸入一次帳號密碼,確保兩次的輸入無誤,再使用竊取的帳號密碼,從網路銀行登入進行盜刷。更可怕的是,Bankbot惡意程式還會攔截銀行寄給用戶的簡訊雙重認證,讓受害者無法及時發現。

「客戶的個人資料就好比銀行的資產。」台新銀行資訊長孫一仕表示,個資分為兩部分,除了姓名、電話、email等基本資料外,就是消費者與銀行間的交易往來等敏感資訊。他認為,金融機構本來就不會隨意的去使用或是提供給他人,不過未來為了消除客戶在使用數位金融上對個資洩漏的疑慮,銀行必須更加謹慎地去規範及把關。

數位時代來了 銀行保護個資有更大挑戰

值得注意的是,數位轉型迅速,傳統的資安防護已不能解決新興金融科技衍伸的資安問題,尤其像AI、區塊鏈、雲端與大數據,雖然能用來加值金融服務,但也存在了更高的資安風險。

為了保護民眾的身家財產,金管會要求,拿到執照的3家純網銀業者自行規畫的資安規範,要符合現有銀行所要遵循的資安防護與資安管理規定外,業者在開業後1年之內,必須通過並取得資安標準如ISO27001、個資保護標準如英國BS10012、台灣TPIPAS等認證。

傳統金融機構的個資保護機制如今也面臨不少挑戰。金管會日前已拍板,將分三階段在台灣推動「開放銀行(Open Banking)」。

舉例來說,第一階段開放商品公開資訊,如房貸利率、信用卡商品等,讓第三方公司能透過共通的應用程式介面(API),介接到各銀行資訊,讓使用第三方公司APP的客戶,藉由APP就可輕鬆比較各銀行房貸利率。

開放銀行異業結盟 個資授權規範仍未明

孫一仕表示,目前技術層面是由財金公司來作擬定與認證,但第三方業者將來要使用客戶在銀行這邊的資料,並不是全部的資料都可以開放,而是要視第三方業者提供的服務所需要的資料作開放。舉例來說,銀行與這家公司合作5個服務項目,銀行透過財金公司取得認證後,第三方公司就可以跟財金公司取得這5個服務項目對應的個資。

更關鍵的是,第二階段開放客戶資訊,在已取得客戶同意前提下,第三方公司可直接提供用戶帳戶整合服務,將在多家銀行的存款、投資、房貸等資訊直接整合呈現;第三階段進展到交易資訊的開放,讓第三方公司APP可直接連結帳戶進行扣款、支付。

對此,華銀主管表示,根據金管會規劃,開放銀行走到第二階段,涉及要將客戶於金融機構所存放的個資提供的第三方公司,雖然規定要經客戶授權才能提供,但單就授權這件事,金融機構要進到怎樣的義務才合理,就需要主管機關更進一步定位清楚。

這位主管舉例,實務上不少消費者很少去閱讀各式各樣的同意書,大多是直接勾選同意就去使用服務,但客戶放在銀行端的個人資料、財務資訊更為敏感,等於是交出身家資訊,如何讓用戶清楚知道自己授權了哪些、範圍是否合理、授權期間多久等,金融機構要做到怎樣程度才算善盡義務,必須要有更清楚地規範。

他說,目前金融機構與民間業者進行異業結盟時,也會讓第三方公司透過API介接握有的相關資訊,但大多會謹慎選擇較值得信賴、較知名或較可妥善運用客戶個資的業者,未來走向全面開放,當所有新創公司都可來使用,問題就會凸顯出來。

華銀主管指出,未來看金管會怎麼訂定相關規範,在能符合法規前提下,傾向由客戶主動來向金融機構表達願意授權,例如上金融機構網站取得授權碼,金融機構才會把個資提供給第三方公司,而不是由第三方公司直接與金融機構索取,確保是客戶本人授權。

另一名民營公股行庫主管則認為,現在金管會對開放銀行的法規仍不明確,金融機構在客戶同意前提下,把資料提供給第三方公司,這種個資提供行為性質到底怎麼定義,如果是視為金融機構將客戶個資委外進行利用,那後續個資保護該由哪一方來確保,出了事責任會不會回到金融機構身上,需要更清楚的界定。(編輯:黃國倫)1080914

地機族
請繼續往下閱讀

訂閱中央社
感謝您的訂閱!瀏覽更多中央社精選電子報
點擊訂閱電子報 點擊訂閱