▲比特幣是金融科技的代表之一。(圖/路透社)
●翁禮祺/國立清華大學計量財務金融系兼任助理教授、台灣財務工程學會理事
風險與監理
金融科技蓬勃發展,帶動金融服務創新,但所衍生出的風險管理與監理要求仍應特別注意,因唯有建立好風險管理,符合法規遵循,以及持有負責任創新的思維,才能建立良好的新金融環境。
金融科技蓬勃發展,帶動金融服務的創新,但在創新的同時,仍然需要注意所衍生出的風險管理與監理要求,若是不知或是忽略,除有可能無法將新服務推行到市場,甚至會受到法規的懲處。與金融科技相關的風險與監理,包括三大面向,分別為個人資料保護、網路安全以及防制洗錢,本文以下將說明各面向的主要意涵,以及在應用上必須知道的考量。
個人資料保護 首要考量風險
金融業與金融科技業者,因為擁有客戶的個人資料,在使用資料進行應用時,應充分了解法規上賦予個人資料的意涵,並負起保護客戶資料的責任,提供更加安全的服務環境。
個人資料保護的具體呈現,在台灣以《個人資料保護法》為最低限度防護標準,讓個人資料的蒐集、處理及利用,都能受到規範,避免人格權受到侵害,並促進個人資料的合理利用。國際間最著名的是歐盟的《一般資料保護規則》(簡稱GDPR),堪稱是史上最嚴謹的個人資料保護法,不論在歐盟境內或是境外,凡是有蒐集或處理到歐盟居民個人資料者,都受到GDPR規範。這對台灣即使並未在歐盟境內設立的企業,也受到嚴格規範,包括金融、電商等業者都受到影響。GDPR也將個人資料的範疇,擴大到個人的網路定位資訊與數位足跡,同受保障。
金融科技與個人資料保護有著高度相關性,舉例現在盛行的生物識別,開發者利用人體獨一無二的生物及行為特徵,進行身分認證與比對,而這些特徵行為是受到個資法的保障;又如P2P借貸業者,藉由蒐集社群、電商等數位足跡,分析客戶的風險評分,亦是需要考量個資保護;保險業者利用汽車物聯網蒐集駕駛人行為資料,並利用這些動態數據,設計差異化保單,其實也牽涉個資法的保護範圍。綜合上述,金融科技業者在蒐集牽涉個人數據項目,必須特別注意個資保護相關法規。
▲金融科技業者在蒐集牽涉個人數據項目,必須特別注意個資保護相關法規。(圖/取自免費圖庫Pexels)
網路安全 個資保護的守門員
網路安全是指對網路系統的保護,包括硬體、軟體和數據,以及防止各種網路攻擊。金融業及金融科技公司因為擁有大量有價值的用戶數據,容易成為網路犯罪分子覬覦的目標,藉由發動網路攻擊以竊取客戶資料,因此,網路安全對於金融業,是保護客戶個資的第一道防線。
常見的網路攻擊手法有資料隱碼攻擊、分散式阻斷服務攻擊與網路釣魚等,資料隱碼攻擊是當輸入資料庫查詢語法時,夾帶惡意的語法與特殊字元,藉以侵入系統;分散式阻斷服務攻擊,又稱洪水攻擊,是利用分布在世界的大量電腦,同一時間送出未經授權的封包,衝爆網站的負荷;而常見的網路釣魚手法,是一種詐欺形式,攻擊者偽裝成電子郵件中信譽良好的組織或個人,發送惡意連結或附件將受害者引導至惡意網站,以便騙取個人財務信息。網路攻擊手法層出不窮,仍有許多手法持續在發展。
▲網路攻擊手法層出不窮,仍有許多手法持續在發展。(圖/取自免費圖庫Pixabay)
金融業或金融科技業如果缺乏網路安全防範,就有可能造成使用者資料外洩的問題,例如:2014年10月,美國摩根大通銀行電腦系統遭駭客入侵,導致8,000萬筆資料外洩,影響7,600萬戶家庭及700萬家中小企業,而根據其CEO傑米•戴蒙(Jamie Dimon)表示這件事之後,他們每年都花費近2.5億美元進行網路安全的補強。以此為借鏡,台灣金融科技發展,包括純網銀業者,都必須將網路安全視為重要的風險管理項目。
虛擬通貨 納入防制洗錢範疇
金融科技的日益創新,除了帶來便利之外,也變成有心人士新興且快速的洗錢工具。其中仰賴區塊鏈技術的虛擬通貨,因為具備去中心化、匿名性等特質,更增加洗錢樣態的多元性及複雜性。
根據2020年的亞太防制洗錢組織評鑑結果指出,巴基斯坦和新加坡地區透過虛擬通貨來洗錢的案例日漸升高,像是透過未經認證的電商來販售虛擬貨幣或是利用虛擬貨幣來進行未認證的交易等,因此建議將虛擬通貨納入風險監理。
虛擬通貨的風險考量,首先是網路安全,由於目前虛擬通貨的交易方式並非使用區塊鏈技術,安全性較低,一旦網路遭駭,客戶的虛擬貨幣就會被盜走。隨手上網搜尋,虛擬通貨遭到駭客盜走的案例舉目可見,著名案例為2018年1月發生在日本的虛擬通貨交易平台Coincheck的比特幣被盜事件,客戶資金都會被存放在網路上的「熱錢包」,其內儲存密碼的私鑰,時刻暴露在網際網路中,面臨駭客攻擊風險,最終,平台內所有貨幣皆不翼而飛,將近580億元日圓市值的虛擬貨幣憑空消失。
▲Coincheck平台比特幣被盜事件,平台內所有貨幣皆不翼而飛,將近580億元日圓市值的虛擬貨幣憑空消失。(圖/取自免費圖庫Pakutaso)
再者,由於虛擬通貨標榜著匿名性特點,容易為不法人士利用成為洗錢的溫床,常見的虛擬通貨洗錢,包括透過比特幣提款機、透過ICO募集資金、虛擬通貨P2P借貸平台以及暗網(Dark Web)的交易等。
行政院在今年上半年正式發布的行政院令中,明確指出今年7月後,凡劃定為虛擬通貨平台及交易業務事業的業者,皆須依照洗錢防制法第5條,落實認識客戶以及防制洗錢等。金管會針對此次虛擬通貨納入洗錢防制法的範疇,更表示未來虛擬通貨投資須採實名制來加以防範。
監理科技興起 以科技監理科技
科技的創新對於上述風險管理帶來挑戰,但也帶來新的機會,以科技協助管理風險與因應監理要求的監理科技,其重要性與日俱增,包括的技術,例如人工智能、自然語言處理、生物識別、區塊鏈等。
國際間已有不少出色的監理科技公司,像是IBM Watson利用人工智能來解決銀行日漸增多且變化繁複的監理要求,搭配自然語言處理技術,將200個不同來源的法規納入系統,並利用自動化與視覺化的報表技術,提供更具整合性的共享平台。加拿大的Trulioo作為客戶身分識別服務商,核心的服務產品為電子身份驗證識別平台,幾乎可以收集、驗證與分析來自每個國家的不同類型身分證件,目前為超過500家企業客戶服務,協助遵守認識客戶和防制洗錢規則。
國際上也有區塊鏈技術作為金流追蹤的公司,像是美國矽谷的Cipher Trace,能夠自動分析金流風險,分析各加密貨幣平台的資金流向及分類,提供給全球執法機構和著名的加密貨幣交易所,協助在防制洗錢上更有效檢測和預防犯罪風險。
本文探討個資保護、網路安全與防制洗錢,乃為風險與監理的必要議題,將來全球持續出台的法規,在種類與數量上,仍會持續增加,因此藉由科技來協助法令遵循的監理科技,將是業者值得思考的方向。在金融科技發展道路上,唯有建立好風險管理,符合法規遵循,以及持有負責任創新的思維,才能為社會帶來正面影響與永續的服務。
熱門點閱》
●本文獲授權,轉載自《台灣銀行家》。以上言論不代表本網立場,歡迎投書《雲論》讓優質好文被更多人看見,請寄editor88@ettoday.net或點此投稿,本網保有文字刪修權。
我們想讓你知道…在金融科技發展道路上,唯有建立好風險管理,符合法規遵循,以及持有負責任創新的思維,才能為社會帶來正面影響與永續的服務