打造数字普惠金融的基石KYDC

—KYDC即便众声喧哗、生机蓬勃，我们真正需要即关切的，恐怕仍是这些数字金融服务究竟有无解决人们最核心的金融服务需要，例如支付、储蓄、借贷乃至于理财。尤有甚者，是否因为这些数字化的发展，确实让金融服务走入每个人触手可及之处，抑或其实是变相地将对于科技运用不熟悉、欠缺数字身分的群体排拒在外。这类因为数字金融发展所衍生的普惠金融（FinancialInclusion）议题，便是本文探讨的核心。由于数字普惠金融面向广泛，本文聚焦于探讨KYC（KnowYourCustomer）作业对于所有族群便捷近用金融服务的影响，以及兼论与此议题攸关的数字身分制度，期能引发我省在此议题的反思，并推动相关进展。电子货币、行动金融服务、在线金融服务、无分行金融模式等无论是否经由银行机构之金融服务。数字金融服务包含各种金融交易（例如存款、提款、转帐或收款）及其他金融产品与此外，数字金融服务也可包含非交易性服务，例如透过数字装置浏览个人财务信息。」[1]这个由国际金融教育组织（InternationalNetworkonFinancialEducation,INFE）所提出之定义，基本上不将金融服务侷限为银行所提供，且不问服务界面的类型，以及服务本身是否具备交易性（Transactional只要系广义运用科技而满足各种人类的财务与金融需无论是透过行动装置而在荧幕内与金融服务提供者产生连结，甚或虚渺如在元宇宙场景中进行虚拟、扩充或混合实境下的支付或消费，都我们可以想象，所有数字金融服务的开端，都源自于服务提供者对于虚拟服务对象的「认识」。这个「认识」包含了几个主要的层面：「受服务者是否为自己所宣称之人？」、「受服务者的资力、收入等各类重要财务信息，以及风险偏好为何？」、「受服务者与他人间是否存有特定关系，而该关系有可能促发犯罪行为？」、「在实际执行不同交易或非交易性服务时，如何确定相关指令与授权确实由受服务者本人所为？」。这些层面，若用较为专业的术语呈现，即为「身分识别」、「客户尽职调查」、「身分验证」及「交易授权」[3]。上述环节个个都是数字金融发展下待解的课题，本文囿于篇幅，仅聚焦于上图环节中所称之认识客户（KYC／CDD）作业程序在数位情境下的作法，即一般所称之eKYC。惟本文论者将之称为KYDC（KnowYourDigitalCustomer）[4]，用以凸显从客户尽职调查的角度而言，关键不是单纯透过电子化或数字化的将自然人与非自然人客户视为一种数字个体，从而对其数字身分有整体性的掌握。值得说明者，为何上图将KYC与CDD（CustomerDueDiligence）并列，乃是因为按照当前防制洗钱金融行动工作组织（FinancialTaskActionForce,FATF）所颁布文件的脉络观之，目前国际潮流基本上将KYC视为CDD之一环，专指客户身分识别与验证的环节[5]，但若从洗钱防制进行目的性观察，其实KYC与CDD的用语区分实益有限，无非都是希望实践客户身分的识别与验证、实质受益人的识别与验证、了解客户的本质及开户之目的、建构客户的风险图像等功能，持续性地监控及申报可疑的交易，以及定期维护与开功能的数字化实践。在分析我省金融业推动KYDC应有的关键思考前，先来了解究竟何谓KYC。根据公认反洗钱师协会（ACAMS）的定义，KYC系指「用来确定客户真实身分以及所从事活动是否在正常及预期范围内，并持续针对特定客户进行异常活动侦测的一连串反洗钱的政策与程序[7]。」而eKYC，想当然尔，便是透过电子与数字的方式与界面，践履上开政策与程序。序的模式，多半建立于与受服务对象的实体互动之上，透过口头询问、问卷填答，以及身分证件的识别与核验、数据库的勾稽比对及查找等，确认受服务对象是否为其所宣称之人，以及该受服务对象是否与第三人具有银行法上的利害关系，甚或是否可能与特定犯罪集团或洗钱资恐及资武扩组织有所连结或具备相当程度的嫌疑。若将场景拉到数字环境，可知KYDC的作业将为金融机构带来一个主要的挑战，以及一个难得的机遇。挑战在于，因为欠缺人与人间实体的互动，金融机构有可能遭遇受服务对象伪冒身分的风险，甚而导致人头账户的开始，以及后续的犯罪活动。在数字环境下，金融机构多半仍以传统卡式凭证，如芯片金融卡、自用户端手持行动装置的摄像镜头，或是其他生物识别机制、密码设定等，以达到身分认证的效果。融机构办理电子银行业务安全控管作业基准[8]」第七至九条之界面安全设计。这些巨细靡遗的界面安全设计，基本上是为了保护金融消费者以及避免金融机构蒙受不必要的损失而设，立意良善；但随着科技日新月异，各种有助于数位身分识别的技术与机制推陈出新，这让订定上开自律规范的银行公会略显左支右绌，有时还会被业界指责其无法跟上时代的潮流。而该自律规范所采用的正面表列规范模式，也常为论者所诟病，认为无助于创新的推展，让业者徒增不必要的法令不确定性及遵循成本。然问题是，数字环境中无法与真人进行互动，确实可能产生身分及交易伪冒的风险，金融机构又该如何办理KYDC程序呢？笔者认为，或有以下两点关键思考可提供我省金融机构参考：1.长期以来，金融机构都将eKYC的关键的方式，让持有信物的客户得以反覆与金融机构往来、进行交易。然而，并非所有信物的信赖等级（LevelofAssurance）皆相同，这中间涉及了不同信物初始注册时与核发时的程序是否严谨，以及该等信物之安全性是否在技术上不易被破解等。这种以信物为基础的身分识别与认识客户作业，其实存有一个容有争议的假设，亦即持有信物者即为办理交易的客户本人。吾人有无可能在科技高速发展的现今，将KYC的重点放在同时「认信物」及「认人」（如透过生物识别机制或视讯技术等），而取代单纯「认物」的KYDC模式？如此是否能为消费者跟金融机构带来更全面的保障？申言之，藉由数字解决方案认识透过数字方式与情境及金融机构互动的客户，跳脱传统身分识别与验证的信物思维；另外，究竟在何种程序或安全设计下可以直接承认客户的数字分身以及该分身所连结的关系人与资产归属状态，或许是金融机构可以省思的第一个方向。2.为了提升数字普惠金融、降低客户透过数字方式接近使用金融服务的门槛，金融机构可考虑共同协作，甚或由政府机关进行跨业整合，推出属于每个自然人及法人客户的数字身分（DigitalIdentity），并让客户得以便利行使自己的数字身分以办理不同风险等级之交易。家，皆已针对数字身分推展相关立法与修法的工作[9]。其中，笔者认为以澳洲所推行的受信任数字身分框架制度最具参考价值。该制度建立在该国于2021年10月1日提出的受信任数位身分法案（TrustedDigitalIdentityBill）[10]所勾勒的基础之上，厘清数字身分系统中不同（Obligations以及应该满足的功能性要求（FunctionalRequirements）[11]。除了前述挑战之外，KYDC也为金融机构带来难逢的机遇。该等机遇至少有二方面值得吾人思考：1.在所有程序数字化后，金融机构得以累积大量关于客户的数字资料，这些资料有机会透过标准化的方式处理，亦有可能在法律明确授权的前提下与其他金融机构共同分享，省去金融机构的查验成本，也降低整体金融产业的洗钱风险暴险，甚而有可能减少监理机关的检查成本，以及提升司法机关进行诉追的效能。有论者因此提议，或可由民间主导、官方主导，甚至官民协作的方式，建置所谓的KYCUtilities[12]（认识客户作业的基础设施这类基础设施可以作为银行间共享KYC资料的平台，也可作为共同申报可疑交易，甚而在设计上赋予监理机关编写权限的监理科技机制。例如，南非的3间主要银行于2016年起与汤森路透合作，共同建置了一个汇集客户KYC信息的数据库，让参与的金融机构可以在客户有权利决定分享何种类型资料的前提下，取得2.法人客户是否有可能透过优化的KYDC方案，让金融机构得以有效率地厘清不同法人法人客户的KYDC作业往往牵涉到法人的数字身分建立（如法人识别系统或商业登记系统），以及法人如何在数字环境下指派代表人为其缔结金融交易，而该自然人代表人是否同时具有属于自身的自然人数字身分，得以促使金融机构进行更有效率且确实地识别与核验等重要环节。目前各国对于法人客户的KYDC作业可谓都处于摸索擘划的阶段，有些国家如澳洲已经开始有较为前瞻的规划，未来若成形上路，相信对于诸如法人实质受益人的查验程序等应该都有长足的帮助。认为，我省金融产业可以考虑下列三大策略建议，用以推行与深化KYDC的发展：1.针对新兴科技所带来的不同技术可行性，产业界及相关公会可以采取更为海纳百川的态度，并且召集各方利害关系人，针对不同的身分认证与识别机制订定不同的信赖等级，透过信赖等级的共商来决定哪些安全设计具有必要性、哪些则是非必要性但具有强化效果。我省现行的电子银行业务安全控管作业基准采取的规范模式系正面表列，因而造成未经表列均无法成为金融机构合法且有效利用的状态，这样的规范模式对于普惠金融有相当程度的负面效果，建议可以有所改变，未来朝向由主管机关推行数字金融服务管理规范的方式取而代之。2.在KYDC的发展上，由金融机构与政府单位进行公私协作，导入「生态系」的全局观点，从数字身分制度的视角思索不同业者所可能扮演的不同角色，进而让认识客户作业政策与程序可以有弥平产业别落差、技术别落差的调和空间，也让业者有机会将KYDC视为发展商机，找寻可行的商业模式，进而带动更多可行的使用方案，达到让更多客户可在数字市场中被识别与验证的机会。3.在许可的范围内，由金融机构自行或与政府监理机关共同推展KYCUtilities。其中，有些国家的银行已着手建置用以打击洗钱资恐资武扩之信息平台，且着重于强化银行的可疑交易申报（SuspiciousTransactionsReports,STR），如新加坡的CollaborativeSharingofML／TFInformation&Cases（COSMIC以及荷兰的TransactionMonitoringNetherlands（TMNL）[14]等。模式，乃是由荷兰5家最大的银行—ABNAmro、Rabobank、TriodosBank和deVolksbank共同成立TMNL公司，再由该公司为此5间银行进行交易监控，并密切与荷2012年9月上线的「防制洗钱打击资恐及资武扩信息交流平台」，便是透过在线交流平台的在平台上对私部门分享交流信息（如负有申报义务之金融机构）。所公告分享的信息包含重裁罚案例及法规倡导事项等。未来此平台是否可能进一步拓展成为私部门对公部门分享信息、甚至是私部门相互间进行适法信息共享的场域，有待持续的观察。要