為什麼台灣現在推行動工商憑證？

二十年的硬體債

中華電信自 2003 年 8 月 7 日簽發第一張實體工商憑證，迄今累積核發超過 230 萬張。目前仍有效並實際在用的約有 81 萬家公司，若把商號也納入，潛在覆蓋範圍超過 170 萬家。

這套基礎建設每年承載約 9 億次的實際使用，平均每年還有 12 萬張的新申請或展延。背後撐起的是企業報稅、電子發票開立、勞健保加退保、政府採購投標等高頻互動。

但時代變了。實體 IC 卡需要專屬讀卡機、特定安控元件、相容的瀏覽器版本。早年桌機時代這套設計運作順暢，移動辦公與雲端服務興起後，環境配置經常出現相容性問題。對 IT 預算有限的中小企業來說，光是排除一台讀卡機驅動程式的問題，就足以耗掉半個工作日。

「出差簽不了字」的決策延宕

商業發展署點出的核心痛點，是「認卡不認人」的物理限制。當公司負責人或具簽核權限的主管身處海外、高鐵上、或非固定辦公場所，因為沒帶卡或缺乏讀卡機，重要合約簽證、緊急公文簽核、法定行政申報就會被迫延後。

在全球供應鏈快速重組的當下，一份延後 24 小時送出的合約，可能就讓對手切走訂單。

實體卡還有保管風險。若企業內部沒有完整的印鑑與憑證管理制度，一旦遺失或被內部人員不當使用，後續法律與財務責任不易釐清。

自然人憑證的社群罵聲，這次政府聽進去了

PTT 與其他社群論壇過去對個人版的實體自然人憑證有過密集的批評，集中在三大面向。第一是費用與效期：一張卡 250 元、用幾年還要重辦，被批評像「隱性稅收」。第二是硬體限制：除了買卡還要買讀卡機。第三是圖利疑慮：有網友質疑為何不直接整合身分證加健保卡做網路驗證。

內政部後來推出行動自然人憑證，臨櫃辦理降至 30 元、免讀卡機，部分修正了批評。這次商業發展署設計行動工商憑證時，幾乎是對這三點做了反向修正：規費直接歸零、徹底脫離讀卡機、用普及率最高的智慧型手機當載體。

這不是巧合。

行動工商憑證怎麼運作？五大重點拆解

「以證換證」與「一卡、一機、一證」

申辦流程設計上，新系統採取「以證換證」模式。企業不能憑空申請行動憑證，必須先持有處於有效狀態的實體工商憑證正卡，登入官方網站後，約 3 分鐘內完成行動憑證的註冊與綁定。

以證換證流程簡述：持有效實體工商憑證正卡 → 登入官網 → 線上註冊 → 約 3 分鐘綁定完成。

系統嚴格實施「一卡、一機、一證」原則：一張實體卡、一支特定行動裝置、換發一張專屬行動憑證。在現行框架下，所有行動憑證的身分都屬於「附卡」性質，實體正卡仍是企業數位身分的最高掌控點。

這套設計的邏輯是讓負責人在享受行動便利時，仍能透過實體正卡維持對組織數位身分的根本控制。商業發展署也表示，未來會視運作情形，逐步研議簡化「必須先有晶片卡附卡再註冊」的限制，讓申辦更有彈性。

資安骨架：MAS L2、生物辨識、金鑰不可匯出

直覺上，手機看似比實體卡不安全，畢竟手機隨身攜帶、容易遺失。但從架構面看，行動工商憑證的安全層級反而更高。

新系統由中華電信建置，全面支援 iOS 與 Android。App 已通過我國「行動應用資安聯盟」(Mobile Application Security Alliance，MAS)的 Level 2 檢測。

驗證機制摒棄了傳統單純依賴 PIN 碼的方式，深度整合手機原生的指紋與臉部辨識(如 Face ID)。這構成多因子認證(MFA)，須同時擁有授權設備與授權生物特徵，才能觸發簽章。

關鍵在最底層的金鑰保護。系統規格要求加密金鑰「不可匯出、不可複製、不可竄改」。實體卡可能遭側錄、私鑰可能被惡意複製轉移，這些系統性風險在新架構下被結構性消除。

規費與效期：對照表看設計權衡

兩代憑證在六個核心維度上的差異如下：

兩個設計選擇值得多看一眼。

第一是規費結構的重塑，但要看清楚這個「免費」的真正範圍。行動工商憑證目前以「附卡」性質依附於實體正卡，展延時須驗證正卡仍在效期內。也就是說，實體正卡每 5 年仍需繳 420 元更新，免費的是行動憑證本身、員工的多張行動附卡、以及未來補發等週邊規費。對單卡企業來說，5 年總成本沒省；對多卡企業來說，省的主要是員工附卡費與多台讀卡機。真正的全面省錢時刻要等到取消實體卡前置要求那一天。參考行動自然人憑證 2022 年上線、2024 年底才開放單獨申辦的演進路徑，行動工商憑證走到這一步可能還要 2 至 3 年。

第二是效期從 5 年縮短到 1 年。表面看是退步，實際上是資安最佳實踐：縮短金鑰生命週期，能降低裝置更迭、員工離職、密鑰外洩等情境下的累積風險。App 內建效期提醒，理論上不會增加企業負擔。

五大介接模式

中華電信為應用系統開發商設計了五種介接模式，對應不同的企業 IT 環境。

推播模式(Push)：應用系統發起簽核請求，直接推播到使用者手機，點選通知後在 App 完成簽章。適合跨部門非同步審批，主管在差旅途中可即時處理緊急合約。

主動掃描模式：使用者在電腦上看到網頁的 QR Code，用手機 App 掃描完成驗證。適合會計人員在電腦端登入報稅系統。

網頁轉導模式(Web Redirect)：手機瀏覽器存取網頁時，點擊驗證按鈕後自動喚醒 App 完成簽章，再跳轉回原網頁。適合純行動端的輕量 B2G 服務。

App to App 模式：企業自有 App 透過深層連結(Deep Link)直接呼叫行動憑證 App 執行驗證。適合大型企業已建構內部行動辦公 App，或銀行業者的企業行動網銀。

Mobile Web to App 模式：手機瀏覽器情境下穩定呼叫憑證 App 完成簽章。適合中小企業未開發專屬原生 App 的情況。

這五種模式的設計覆蓋了從個體戶到大型企業的完整光譜，也降低了系統開發商的適配成本。

行動附卡的「顆粒化授權」

這是整套新系統中，最有數位治理意義的設計。

過去企業若要把業務下放，往往得申請多張實體附卡交給不同部門。實體卡的權限難以精細切割，也無法設定動態使用期限。一旦離職交接不慎，未授權簽署的風險就會浮現。

新系統允許企業負責人根據部門需求，將多張「行動附卡」免費授權給特定員工。更精細的是，系統允許設定「特定網站的專屬授權」與「授權期限」。

舉例來說，公司可以授權人事主管的行動附卡只能用在「勞保局加退保系統」，授權期限只限於其任職期間。或是授權業務人員的行動附卡只能用於特定政府採購案的「電子投標系統」。

這種顆粒化的權限控管，把企業數位管理從被動的「防弊」，升級為主動的「韌性管理」。對組織架構複雜的中大型企業，這是真正的治理工具升級。

行動工商憑證對企業的實質影響

首年 18 萬家轉換的政策力道

商業發展署設下的短期 KPI 是：上線一年內，推動全台現有 56 萬家已使用實體工商憑證的業者中，至少三分之一(約 18 萬家)完成轉換。

三分之一的轉換率聽起來不算激進，但放在企業 IT 慣性下看就不一樣了。要讓 18 萬家公司在一年內改變既有的簽核流程，需要 B2G 系統全面完成介接、企業內部 SOP 重寫、財會與人資部門完成教育訓練。

商業發展署敢設這個數字，靠的是免費規費的拉力，以及 B2G 系統的強制性合規場景。

B2G 場景立刻有感

首波應用全面聚焦在企業對政府(B2G)的核心行政服務。這些場域涵蓋企業稅務線上申報、電子發票開立、勞工保險與全民健康保險的員工加退保、政府採購合約電子用印、公司車輛專屬牌照申請等。

這些都是企業每天或每月必做的合規動作。一旦企業在處理這些事情時體驗到「免讀卡機、手機一鍵掃臉即完成」的流暢度，回去用實體卡就會覺得是退步。這種口碑效應，比政府文宣有效得多。

企業端的真實 ROI

對中小企業來說，省下的不只是 420 元規費，更不只是讀卡機的硬體成本。真正的 ROI 在於決策節奏。

過去負責人出差三天，公司可能就有三天的簽核空窗。現在這個空窗能被壓縮到趨近於零。對需要快速回應客戶、快速調度供應鏈的企業，這是難以用金額直接量化的競爭力。

對台灣經濟主力的中小企業群體而言，這一點補的是過去無法用人力或制度補上的最後一哩數位基礎建設。

行動工商憑證的未來：國家數位信任基礎建設下一塊拼圖

實體卡時代的句點

230 萬張實體卡背後，有一整條硬體與軟體生態鏈：讀卡機製造商、安控元件供應商、卡片印製業者。行動工商憑證的推行，意味著這條生態鏈將進入緩慢退場。

這不會是一場戲劇性的崩塌。實體卡仍會在很長一段時間內共存，畢竟「以證換證」的設計保留了實體正卡的核心地位。但長期趨勢是清楚的：當主管機關公開表示未來會研議簡化實體卡前置要求時，方向已經定了。

這是台灣數位治理一次無形但深刻的世代交替。

3 至 5 年的金融延伸

商業發展署資訊室主任丁珕已明確指出，未來 3 至 5 年內，行動工商憑證的應用版圖將擴展到民間對民間(B2B、B2C)的商業互動，特別是金融服務領域。未來潛在場景包含企業網路銀行交易、行動銀行大額轉帳、證券下單確認、上市櫃公司股東會電子投票等。

為承載這些高敏感場景，系統規劃將從 MAS L2 升級至 MAS L3。金管會與國內各大銀行業者對此抱持樂見其成的態度。

這條時間表值得後續追蹤。對金融科技讀者而言，未來 3 年內，企業金融的身分驗證機制可能會出現結構性的調整。

跨境互通的想像

台灣行動工商憑證目前的應用價值，主要侷限於國內的 B2G 與 B2B 場景。但隨著台商海外布局與跨境貿易日益深化，下一個值得探討的議題是：能否與國際數位信任框架對接？

歐盟的 eIDAS(電子身分識別、認證與信賴服務)規範，是國際間最具參考價值的跨境數位身分標準。若台灣的行動工商憑證能在技術標準上對接 eIDAS，或是與主要貿易夥伴國簽署雙邊數位信任協定，台商在國際貿易談判、跨境電商合約簽署上的法遵成本與時間成本，都可能顯著下降。

這是讓行動工商憑證從「國內便民工具」升級為「國際競爭力資產」的關鍵。當數位簽章不再需要實體載體，國家的信任基礎建設才真正完成蛻變。

行動工商憑證的意義不只在於少了一張卡，而在於它把企業的數位身分，從綁在實體硬體上的束縛中解放出來。這套基礎建設未來能承載什麼樣的商業創新，取決於主管機關接下來的開放程度與生態系的響應速度。

行動工商憑證 vs 行動自然人憑證：一次看懂兩套政府憑證

兩套憑證體系經常被混為一談，但實際上分別服務不同的場景。

設計脈絡的雙軌

自然人憑證由內政部發行，2003 年起核發給個人，主要服務報稅、健保、戶政等 G2C 互動。工商憑證由經濟部商業發展署發行，同樣 2003 年起核發給企業與商號，主要服務報稅、勞健保、政府採購等 B2G 互動。

兩條軌道並行二十多年，構成台灣公開金鑰基礎建設(PKI)的雙主幹。

行動化的時程則有先後落差。內政部 2022 年 2 月推出行動自然人憑證 App，商業發展署則在 2026 年 5 月跟進推出行動工商憑證，個人版比企業版早了 4 年上路。

行動化的定價策略差異

值得對照的是兩者的定價策略。

行動自然人憑證臨櫃辦理 30 元，雖然比實體版 250 元便宜許多，仍維持收費。行動工商憑證則直接歸零。

工商憑證為何敢直接歸零？合理推測有三個原因。第一，企業端的 B2G 互動頻率遠高於個人端的 G2C，每年 9 億次的使用量基數讓政府對單張成本的攤提空間更大。第二，企業對成本的敏感度高，免費策略對 IT 預算有限的中小企業是直接拉力。第三，政府需要快速衝高轉換率以實現 18 萬家的首年 KPI，免規費是最直接的推力。

兩套憑證的關鍵差異一覽

值得玩味的是兩條軌道目前的資安等級分歧：個人版的行動自然人憑證已達 MAS L3，企業版的行動工商憑證才剛上線、目前是 L2。這個落差反映兩者的應用節奏不同。自然人憑證(含實體與行動版)在金融場景已有實際應用，例如部分銀行的數位帳戶開戶與升等驗證，資安標準必須先到位；行動工商憑證目前先打 B2G，3 至 5 年後切入企業網銀時才會配套升至 L3。L2 與 L3 之間的差距，本質上是上線時程的落差，而非品質的落差。

裝置綁定的設計理念也值得一提。行動自然人憑證採「人本位」設計：同一個自然人帳號可在最多 2 台行動裝置上同步使用，適合個人在手機與平板間切換。行動工商憑證則採「卡本位」設計：每張行動附卡只能綁 1 台裝置，企業有多人使用需求就發行多張附卡。這個差異反映企業簽章權限的分散治理需求，把每個員工的權限獨立鎖在各自的裝置上，降低集中外洩風險。

兩條軌道的未來交界

值得後續觀察的議題是：兩條 PKI 軌道未來會不會在「企業負責人身分」這個交界點整合？

一位中小企業的負責人，可能同時持有行動自然人憑證(用於個人報稅、戶政申辦)與行動工商憑證(用於公司勞健保、政府採購)。這兩套憑證能否在同一支手機上順暢協作，能否互相驗證，能否在某些場景下相互替代，將是台灣數位身分體系下一階段的核心議題。

對企業負責人來說，這也是觀察未來 3 年數位治理進度的關鍵指標。

行動工商憑證常見問題 FAQ

行動工商憑證怎麼申請?要錢嗎?

申請採「以證換證」模式:企業需先持有效實體工商憑證正卡,登入官方網站約 3 分鐘可完成綁定。行動憑證本身完全免費,但實體正卡每 5 年仍需繳 420 元更新,讀卡機在以證換證階段仍需具備。

實體工商憑證過期後,行動工商憑證還能繼續用嗎?

行動工商憑證目前是實體正卡的「附卡」,展延時須驗證正卡仍在效期內。實體卡過期後,行動憑證很可能也無法展延,需先重新申請實體正卡才能繼續使用。完全脫離實體卡的單獨申辦機制,目前商業發展署尚未開放。

一張行動工商憑證能綁幾支手機?企業多人怎麼用?

行動工商憑證採「一卡一機一證」原則,每張行動附卡只能綁 1 台手機。企業多人使用時,可分別申請多張行動附卡免費授權給不同員工,還能針對每張附卡設定「特定網站專屬授權」與「授權期限」,達到顆粒化權限控管。

行動工商憑證和行動自然人憑證有什麼不同?

兩者主管機關不同(經濟部 vs 內政部)、服務對象不同(企業 vs 個人)。資安標準上,行動自然人憑證已達 MAS L3、採 FIDO 2.0,行動工商憑證目前為 MAS L2,規劃 3 至 5 年內升至 L3 以切入金融場景。

行動工商憑證安全嗎?手機遺失會不會被盜用?

App 已通過我國行動應用資安聯盟 MAS Level 2 認證,搭配指紋或臉部生物辨識的多因子驗證,且加密金鑰不可匯出、不可複製、不可竄改。即使手機遺失,沒有授權的生物特徵也無法觸發簽章,結構上比實體卡更安全。