數位身分是什麼?
數位身分是在數位世界中識別個人的資訊和資料,可以定義為個人的數位存在。更準確地說:數位身分是一組由數字捕獲的屬性,例如:姓名、出生日期和性別,以及連結到唯一識別碼的憑證。而換句話來說:數位身分即是個人的電子表示形式,通常用於存取線上服務、進行購買以及在數位平台上與他人互動。與紙本身分證相反,數位身分證(例如:E-ID)可以透過數位管道遠端驗證個人身分。它可以追蹤個別活動並收集資訊,像是:個人資料、行為和互動等。
從個人的角度來看:數位 ID 類似於一個人的身體身分和個性。因此,個人需要能夠決定他們的數位身分是什麼,並控制他們想要分享的內容。從更技術的角度來看,數位身分是與個人、組織甚至用於執行線上身份驗證的設備相關的完整資訊。一般來說,數位身分可以包括個人資訊以及個人的線上行為。而數位身分具備下述特質:
一個人在一個系統內只有一個身份
個人知道他們的資訊被捕獲
身份經過驗證和認證,以滿足政府和私營部門的標準並遵守法規
可確保個人的資料安全且可供存取
對於個人的資料存取,以 Google 為例:如果用戶想在 Galaxus 上購物,他們可以從頭開始或透過現有的 Google 帳戶開設 Galaxus 帳戶。這是可能的,因為 Google 充當身分識別提供者 (IdP),而 Galaxus 充當信任 Google 的服務提供者,這樣做的優點是顯而易見的:透過 Google 登錄,使用者可以節省時間並且只需管理一個帳戶。一種在數位世界中被廣泛接受的方法。
(圖:數位身分在 Google 上的應用,資料來源:adnovum)
為促進數位身分的廣泛使用,一個有效的生態系統是必要的:一個共享的基礎設施、具有共同定義的規則、並為系統中最多樣化的參與者提供多種可能性。理想情況下,生態系統具有開放和標準化的接口,具有協調的治理,不維護官僚主義、抑制性規則,並允許數位身分資料的實用、自動更新。同時數位身分也必須具備以下特性來吸引使用者加入生態系,例如:在生態系統中提供方便、透明和易於理解的操作、確保對系統、參與者和數據價值的信任、允許免費使用,無需任何額外設備、保持較低的進入門檻等。
數位身分有哪些類型?
根據使用者想要執行的活動,他們需要不同類型的 ID,雖然用途、資料元素和要求可能有所不同,但這些 ID 有一個共同點:數字或字母代碼,作為唯一辨識符號,以提高安全性。要使用任何類型的數位服務,使用者必須使用其憑證在提供者的網站上進行身份驗證,註冊然後登入的程式幾乎和網站一樣多。
用戶最終會擁有無數的登入名稱和帳戶,視為一大麻煩之一。為提升用戶體驗,大量數位服務提供者允許透過社交帳戶進行身份驗證,例如:Google、Facebook 和 Apple。此外,有些國家如:瑞士,發起一項電子身分證計劃,目的為透過為公民提供可在全國範圍內使用的官方數位身分證,使人民日常生活更方便。以下說明數位身分的類型:
員工 ID:由雇主分配,允許員工存取內部網路、進入大樓或使用其他公司資源。雇主則用它來管理員工資料、授予應用程式權限、監控績效等。
網上商店/客戶 ID:沒有客戶 ID 就無法進行安全的線上購買。雖然用戶在使用客戶 ID 時可以從更高的安全性中受益,但它對於提供者來說具有多種優勢(如:它可以幫助他們管理數據,追蹤客戶的交易、偏好或人口統計資訊。但它也使他們能夠改善客戶服務、個人化行銷活動,甚至透過偵測異常模式來防止詐欺)。
數位銀行 ID:安全是其中關鍵之一,使用者存取網路銀行服務所需的數位銀行 ID 通常由使用者名稱/密碼、合約號碼、簡訊碼或二維碼組成。登入後,客戶可以查看其銀行帳戶資訊並進行交易,像是支付帳單或交易證券。
公民身分證:政府能為人民提供 24/7 安全存取其線上服務,增強公共服務以及與客戶的互動。例如:公民可以訂購官方文件,從而避免耗時的訪問辦公室。且每個納稅人都可以在他們需要填寫的納稅申報表上找到一個個人識別號碼,這使他們能夠以電子方式提交文件。
此外,為了使數位身分以可靠的方式運作並利用其提供的優勢,需要一個平衡的生態系統。這個生態系統的特徵應該是信任、安全和透明。它包括以下關鍵人物:
社會:「社會」是指身分所有者,透過建立和管理其線上帳戶和個人資料來擁有和控制其數位身分的個人。數位身分的概念是否被個人廣泛接受並成為現實,可能還需要 10~20 年的時間。
政府:政府機構和行業組織制定數位身分的標準和法規,從而確保它們具有互通性、可信賴性、安全性和道德正確性。
科技:科技公司提供數位身分管理解決方案,例如:生物辨識系統、基於區塊鏈的身分平台以及身分和存取管理軟體。
企業:提供線上服務的企業是個人的對應方,他們依靠數位身分來驗證潛在買家的身份並提供對其服務的安全訪問,例如:電子商務或社交媒體平台以及金融機構。
身份驗證者:負責驗證個人識別資訊的真實性和準確性,例如:信用報告機構和政府機構。
使用數位身分有哪些風險?
然而便利的背後,數位身分也帶來了許多問題和挑戰,以下是一些討論的方向:
我的資料是集中儲存還是分散儲存:在中央儲存的情況下,數位身分可能是攻擊者有吸引力的目標。作為私人,我需要擔心支付贖金嗎?
我會終生保留相同的唯一識別碼嗎:歐盟最近投票反對終身唯一標識符,因為它被認為會失去匿名性。
每個公司都會使用我的數位身分進行登入服務嗎:無論是買一瓶洗髮精的電商平台要我的憑證,或是管理敏感資料、安全要求較高的金融、醫療機構,都是完全不同的情況。
誰負責執行法規:我有責任只分享對方真正需要的資訊嗎?還是服務提供者的?還是政府的?
另外在駭客的威脅下,數位身分也受到相當威脅。如果受到資安漏洞的影響,個人可能會遭受人身攻擊:
身份盜竊:攻擊者可能會獲取個人信息,甚至接管個人的數位身份,從而導致金融詐欺等。
隱私保護:數位身分要求用戶分享個人資訊,這引發了隱私問題。個人可能並不總是知道他們的資訊是如何使用的、誰可以存取這些資訊以及這些資訊是如何受到保護的。
假資訊:有時數位身分可能基於不準確或不完整的訊息,從而導致身份驗證或服務存取方面的問題。
網路霸凌:數位身分可用於網路霸凌和騷擾。這可能對年輕人尤其有害,因為他們更容易受到網路虐待。
多重驗證的機制相當重要,數位身份驗證可以幫助資料庫辨識其他人何時嘗試存取使該用者的資訊。舉例而言,如果駭客無需使用該使用者常用的裝置或位置即可存取使用者名稱和密碼,系統可能會將其活動標記為可疑。另外,如果使用者正在不符合一般購物習慣的新地點進行信用卡購買,網路銀行服務可能會凍結交易並與您聯繫以驗證其真實性。
事實上,數字識別有一天將成為常態。一些國家已經推出儲存在雲端的數位身份證,可以提供身份驗證資訊,而不會洩露不必要的私人詳細信息:例如使用數位駕照向調酒師展示自己已年滿 21 歲,而無需向調酒師展示其地址。由於數位身分對每個人而言是獨一無二的,因此使用者可以使用它來存取某些線上服務,例如:當您登入企業的網路系統時將透過使用者名稱、密碼和其他資訊(例如您的姓名和生日)來代表該身分,這個數位身分告訴資料庫使用者是誰,資料庫可以自動讓您存取相關資料。
亦或者公司的執行長將比較低階的員工存取更多的數據,這種存取控制無需特殊密碼和驗證碼,由於密碼可能被盜或被駭客攻擊,因此數位身分驗證是一種更安全的解決方案。其他做法也包含:使用防毒軟體,防毒軟體將保護裝置免受惡意軟體、網路釣魚詐騙和其他攻擊(儘管這些程式並非 100% 萬無一失),但它們可以在保護數位身分方面發揮很大作用,尤其是與其他預防措施(例如雙重認證)一起使用時。
一些最佳的身分盜竊保護服務,包括:對多個裝置的保護、VPN 存取以及覆蓋範圍等項目,以防您成為身分盜竊的受害者。一些組織也投資數位身分區塊鏈,以幫助保護其資料庫中的身分。區塊鏈技術使用共享記錄系統,使資訊更難以被破解。
數位身分對金融業的機會在哪?
世界銀行估計,全世界有 10 億人沒有基本的身份憑證,其中多達四分之一的兒童和青少年從未進行過出生登記。世界銀行 2019 年的同一份報告指出,「無數人擁有無法信任的身份憑證,因為它們品質差或無法可靠驗證」。
在快速數位化的世界中,解決身分挑戰變得更加嚴峻。麥肯錫全球研究所估計:有 34 億人擁有某種形式的身份識別,但在數位世界中使用它的能力有限。如今縮小這一差距並擴大數位身分使用的努力面臨著挑戰,在金融科技沙盒 2023 年波士頓金融科技週期間,來自以身分為中心的公司 Prove、Rank One Computer 和 IDPartner Systems 的管理階層認為,企業與政府需要更強大的資料集來訓練支撐數位身分系統的人工智慧模型並避免偏見。
數位身分可能是推動 2024 年金融科技採用的決定性因素,它對於減少詐欺和改善國家安全的努力也扮演重要角色。不可否認,太多使用數位身分是普惠金融工作舉步維艱且詐欺行為盛行的原因之一:
→ 以美國為例:光是 2021 年就有 4,200 萬美國人成為數位身分詐欺的受害者,損失達 520 億美元。
→ 麥肯錫全球研究所的研究相較,這一可觀的節省預測相形見絀:該研究預測「截至 2030 年,數位身分功能可以釋放相當於 GDP 3% 至 13% 的價值」,因此白宮在今年三月發布的國家網路安全戰略中將數位身分作為首要任務。該策略發布後作者指出,如今缺乏安全、保護隱私、基於同意的數位身分解決方案,導致詐欺猖獗、使排斥和不平等長期存在,並使我們的金融服務和日常生活效率低下。
同時美國勞工部正在使用《美國救援計畫法案》中的 16 億美元來解決州一級的數位身分驗證問題,其中 6 億美元用於對脆弱的州IT 系統進行現代化改造,3.8 億美元用於預防詐欺。另外《抗通膨法案》還包括撥款 5 億美元建立區域技術創新中心。在該計劃中,西維吉尼亞州與財富 500 強公司、學術機構、傑出企業家和風險投資者等組成的企業合作獲得一筆規劃補助金,用於發展身份和認證工作的現有和新功能。其他國家如:歐盟、印度和其他國家推出了國家數位身分計畫,同時兼顧安全與創新。
在解決資安問題後,就能享受、數位身分在金融業的益處。整體而言,在金融服務中的數位身分系統擁有多種應用。最重要的應用如下:
了解您的客戶 (KYC):了解你的客戶 (KYC) 驗證是數位身分解決方案在金融服務中的關鍵應用。KYC 是一項監管義務,迫使金融服務公司驗證其客戶的身份。KYC 驗證所需的許多程序可以使用數位識別技術實現自動化,從而使流程更快、更有效率。
反洗錢活動 (AML):反洗錢 (AML) 合規性也可以從數位識別系統中受益。反洗錢標準迫使金融機構發現並防止洗錢活動。數位識別系統可用於驗證客戶的身份並偵測任何可疑活動,有助於防止洗錢。
付款處理:支付處理也可以受益於數位身分解決方案。它們可用於驗證消費者的身份並加快支付處理速度。這有助於降低交易成本,同時提高支付處理速度和準確性。
增強安全性:數位識別解決方案旨在比傳統的身份驗證方法更安全,透過使用一系列難以偽造或操縱的技術(包括生物識別技術和區塊鏈)來驗證身份。因此,數位識別解決方案提供了一種更安全的身份驗證方法,降低了詐欺和身分盜竊的風險。
提高效率:透過改善身份驗證流程,數位識別解決方案有助於提高效率,身份驗證涉及的許多程序都可以自動化,從而減少驗證身份所需的時間和資源,這可以幫助金融機構更迅速、更有效率地處理交易。
改善客戶體驗:透過數位身分解決方案讓客戶更輕鬆、更舒適地驗證自己的身份,可以改善客戶的體驗,客戶可以使用手機或其他設備驗證自己的身份,從而無需面對面接觸或提供實體文件,客戶將受益於更快、更方便的身份驗證流程。
未來展望
數位身分是未來的關鍵驅動力之一,可望繼續發展和完善金融業。例如:生物辨識技術的日益普及,臉部辨識和指紋掃描等生物辨識認證方法提供了高度的安全性和便利性,減少了對密碼和 PIN 等傳統認證方法的依賴。例如:採用生物辨識身分驗證使金融機構能夠增強數位交易的安全性,降低詐欺風險並改善客戶體驗。甚至為沒有正式身分證明文件的個人提供一種經濟高效且安全的方式來獲取金融服務,從而實現金融普惠。
塑造數位身分未來的另一個趨勢是:去中心化身分解決方案的興起。去中心化身分解決方案使個人能夠控制自己的個人數據,降低資料外洩的風險並增強隱私。區塊鏈技術是去中心化身分解決方案的關鍵推動者,可實現安全且不可變的資料儲存和管理。展望未來,數位身分解決方案將繼續在金融領域發揮至關重要的作用。
這些解決方案將有助於增強安全性、減少詐欺並改善客戶體驗。此外它們還將實現金融包容性,為以前無法參與正式金融體系的個人提供金融服務,生物辨識身分驗證和去中心化身分解決方案的採用有望增強安全性、減少詐欺並改善客戶體驗,同時實現普惠金融。
首圖來源:https://www.cio.com.tw/wp-content/uploads/1200-AdobeStock_209939075.jpg