【資訊安全】金融機構運用新興科技作業規範（Part 5）

本文接續上一篇文章，繼續介紹《金融機構運用新興科技作業規範》（以下簡稱「作業規範」）。

第五條 生物特徵資料安全控管

一、用詞定義如下：

…

第五條是關於生物特徵資料的安全控管原則，第一項針對九個名詞的定義進行說明，由於作業規範說明地相當清楚，建議讀者直接閱讀作業規範。

最常見的生物特徵資料是指紋，主要因為多數的行動裝置都支援指紋識別功能，加上使用指紋進行身分識別的技術較為成熟。實務上，多數銀行提供的行動裝置應用程式（以下簡稱「APP」）都有應用指紋識別技術，例如快速登入功能。不過此種識別方式建立在行動裝置上，換言之，銀行並未接受、驗證使用者的生物特徵資料，而是在行動裝置上完成身分驗證後，銀行僅收到驗證成功/失敗的訊息，此種方式又稱作「間接驗證生物特徵技術」。

二、運用生物特徵資料做為識別客戶身分時，其蒐集、處理及利用之行為，應納入個資管理機制。

第二項提醒銀行應將生物特徵資料視為個人資料，並將生物特徵資料納入個人資料保護機制。舉例來說，在取得及利用客戶生物特徵資料前，應先取得客戶同意並留存客戶同意之紀錄，以符合《個人資料保護法》之規定。實務上，多數銀行並未蒐集或儲存客戶的生物特徵資料，因此不適用本項規定。

三、應針對直接驗證生物特徵技術，建立其錯誤接受率及錯誤拒絕率之標準，並於上線前與每年定期檢視。若不符合銀行要求時，應建立補償措施；針對間接驗證生物特徵技術，應每年定期檢視並蒐集資安威脅情資，建立補償措施。

如同在第一項提到的，多數銀行使用「間接驗證生物特徵技術」。對於使用這種技術的銀行，應每年依據資安威脅情資（例如F-ISAC公告）建立補償措施。建議評估人員向銀行索取情資處理紀錄，瞭解受評機構確實建立情資蒐集、處理機制。

四、應於蒐集生物特徵資料時，取得客戶同意，並讓客戶充份了解所蒐集之目的及運用方式。

第四項呼應第二項有關個人資料保護的規定，在蒐集生物特徵資料時，應取得客戶同意。建議評估人員先釐清銀行是否蒐集生物特徵資料，如果有的話，建議向銀行索取客戶同意紀錄，例如約定書、同意書等。

五、生物特徵資料儲存於銀行內部系統時，應將原始生物特徵資料及假名標識符進行加密儲存、並將生物特徵資料分別儲存於不同之儲存媒體；加密金鑰應儲存於符合FIPS 140–2 Level 3以上或其他相同安全強度認證之設備，以防止該私鑰被匯出或複製。

第五項前段提到生物特徵資料的儲存方式，後段則是加密金鑰的儲存方式。考量多數銀行並未儲存生物特徵資料，所以在此不贅述；後段關於金鑰儲存的規定，其實與《金融機構辦理電子銀行業務安全控管作業》的規定相同。無論銀行是否儲存生物特徵資料，為了符合《金融機構辦理電子銀行業務安全控管作業》的規定，建議評估人員瞭解銀行的硬體安全模組（HSM）的型號，並上網搜尋產品資訊。

六、應考量現行業務情況，得更新客戶之生物特徵資料，以確保生物特徵資料不會隨時間而失效（如人臉辨識、聲紋辨識等）。

由於生物特徵資料（例如人臉、聲紋）並非姓名、密碼和生日等靜態資料，而是可能隨著年齡漸長而改變的動態資料（註：靜態資料、動態資料是筆者為了方便形容而創立的名詞，並非正式的學術名詞），因此銀行可以視情況請客戶更新生物特徵資料。老話一句，多數銀行未蒐集生物特徵資料，所以不適用本項規定。

七、當銀行無法以生物特徵資料識別客戶時，應提供重新蒐集生物特徵資料之管道。

因為生物特徵技術有發生錯誤的可能，假如無法識別客戶時，應提供重新蒐集生物特徵資料的管道。舉例來說，如果使用者無法使用人臉識別進入工作空間，經確認為本人無誤後，應重新蒐集（更新）生物特徵資料。

八、應確保生物特徵資料於傳輸過程中之訊息隱密性、完整性、不可重複性及來源辨識性，相關控管應符合「金融機構辦理電子銀行業務安全控管作業基準」。

為了確保傳輸過程中的訊息隱密性、完整性、不可重複性及來源辨識性，銀行應建立傳輸加密機制，而《金融機構辦理電子銀行業務安全控管作業基準》針對加密演算法及金鑰長度另有相關規定。鑒於多數銀行並未傳輸生物特徵資料，在此不贅述。

未來將以專文介紹《金融機構辦理電子銀行業務安全控管作業基準》。

九、應於首次使用生物辨識技術、每年定期或技術有重大變更時（如輔助資料、技術提供商），由資訊單位檢視該技術應足以有效識別客戶身分，其評估範圍包含但不限於模擬偽冒生物特徵資料，並彙整相關資料交由資安、法遵及風控等單位建立各部門間之連繫機制、確認相關作業符合本作業規範及相關定型化契約等相關法令規定，留存驗證軌跡及各部門建議事項追蹤控管機制即可辦理。

簡單來說，生物特徵資料因涉及技術與法規，銀行應彙集資安、法遵和風控單位針對提供給客戶的服務或表單進行討論，以確保符合作業規範或相關法規（例如《個人資料保護法》）的規定。建議評估人員向銀行索取討論軌跡，例如會議紀錄。

第六條 本規範經本會理事會通過並函報金融監督管理委員會核備後實施，修正時亦同。

略。

以上就是《金融機構運用新興科技作業規範》的介紹，歡迎讀者留下寶貴的意見。如果文章中有什麼錯誤，或者解釋不清之處，也請留言讓我知道，謝謝！