行動支付的新紀元,從金管會開放Apple Pay談起
作者:徐睿謙律師
金管會於 105 年 9 月 29 日正式公告,我國信用卡發卡銀行得自公告日起得向金管會申請辦理國際行動支付服務,而其他非信用卡之支付工具(包含 Smart Pay 金融卡、電子票證及電子支付帳戶等),在其規格符合國際行動支付錢包標準後,亦可以上架。金管會此一公告,宣誓了臺灣指紋刷卡時代的來臨,代表著手機使用者往後只須透過 Apple Pay、Samsung Pay 及 Android Pay 等國際行動支付服務,就可輕鬆地以指紋辨識刷卡、付款。這也無怪乎媒體報導,在金管會公告之後,立即有國泰世華、中信、玉山、台新及凱基等發卡銀行躍躍欲試,想要搭上行動支付革新的第一班列車。
Photo Courtesy Sam Churchill CC BY 2.0
何謂國際行動支付服務呢?以 Apple Pay 為例,該服務是將原本作為信用卡認證之三大安全資訊:「卡號」、「信用卡有效期限」及「三位數安全碼」輸入 iPhone 中,當消費者使用 Apple Pay 進行購物時,藉由指紋辨識驗證後,將前述信用卡認證之三大安全資訊以代碼化技術(Tokenization)作成Token,並以 Token 形式傳送至刷卡中心進行認證付款,避免了消費者信用卡中之三大安全資訊洩漏之風險。以實體商店刷卡為例,過去消費者必須取出實體信用卡供店員刷卡,過程中,不僅卡號等三大安全資訊完全暴露於外,更必須承受信用卡盜刷、遺失等風險,而若透過國際行動支付服務進行付款,透過手機內建的 NFC(Near Field Communication)近場通訊系統與感應式刷卡機感應後,再以指紋驗證即可付款,過程中使用者完全不須取出信用卡;又以網路購物而言,國際行動支付服務也將取代冗長的輸入卡號等程序,使「線上購物,一指搞定」成為現實。
然而,行動支付技術的革新,固然帶給使用者更高的便利性,而指紋辨識支付之構想搭配代碼化技術,理論上似可提升信用卡等支付工具之安全性;暫不論代碼化技術不無被破解之可能性,實際上,國際行動支付僅僅係將刷卡所依憑的工具從實體信用卡轉換為手機及指紋,是否因此就能杜絕刷卡所產生之一切風險,令人懷疑。舉例言之,若使用者手機遭竊,竊取者僅需破解手機之簡單密碼鎖(有些人甚且未使用密碼鎖),使用者輸入於手機內之信用卡安全資訊,竊取者即一覽無遺,此時,竊取者只需輸入信用卡安全訊息,搭配其他認證方式(例如手機簡訊認證),亦能夠盜刷使用者之信用卡。又使用指紋辨識此一生物辨識(Biometric)方法,雖然簡便且有極高的辨識度,惟同時也代表著信用卡犯罪,將可能從實體信用卡,轉變為對於人身之犯罪行為,可想見者,輕則午睡時被身邊的伴侶偷按指紋上網購物;極端者甚至可能如電影情節般,以割指紋等侵害身體權之方式達成盜刷目的,如此非但未能完全確保信用卡支付之安全性,反而製造了其他過去傳統信用卡支付所無之風險。除此之外,過往在信用卡遭盜刷之案件中,當銀行向被盜刷者請求返還信用卡墊款時,被盜刷者尚可以舉證證明特約商店未盡簽名核對責任等方式作為拒絕返還之抗辯;但使用國際行動支付服務的消費者遭盜用時,被盜刷者面對銀行可能的追償,將更難對銀行抗辯,如無法追究盜刷者之責任,更可能導致被盜刷者求助無門。
另值得一提的是,生物辨識技術雖具有辨識度高、難以仿冒等優勢,但也正因為此一特殊性,指紋資料之外洩將造成更嚴重之個人資料安全問題。司法院大法官會議釋字第 603 號解釋理由書中對於指紋即有這樣一段說明:「指紋係個人身體之生物特徵,因其具有人各不同、終身不變之特質,故一旦與個人身分連結,即屬具備高度人別辨識功能之一種個人資訊。由於指紋觸碰留痕之特質,故經由建檔指紋之比對,將使指紋居於開啟完整個人檔案鎖鑰之地位。」,因指紋的高度辨識特性,容易使其與個人敏感性資料(例如犯罪史、病歷等)作為連結,而當指紋與個人之各種隱密資料高度連結時,取得指紋,就如同敞開個人資料之大門,故當我們廣泛使用指紋辨識科技之同時,無形中也增加了使隱密之個人資料遭監控或暴露於眾之風險,不可不慎!
因此,在金管會宣布開放國際行動支付服務之後,固然開啟了我國行動支付的新紀元,但在開放後所可能衍生的相關問題,毋寧是一片歡呼喝采之後,緊接著應正視的課題。
延伸閱讀:
發表評論
Want to join the discussion?Feel free to contribute!