探析數位身份面臨的威脅

0
29

於現代數位行動和金融技術現實面臨諸多內在挑戰,遠端客戶開戶(也稱為電子了解您的客戶 (eKYC))程序成了監管機構、執法機關、金融機構和科技公司之間爭辯不休的核心話題。 1技術創新意味著,數位銀行交易和敏感個人資訊保護工作會變得越來越複雜,因為新興威脅、監管要求和防範金融犯罪所需網路安全控制措施之間存在重疊。犯罪分子透過新技術,利用資訊技術 (IT) 架構和法規遵循框架中的漏洞來規避控制措施,以免犯罪過程中被發現。 2本文旨在探討金融犯罪背景下的數位身份定義。

什麼是數位身份?

據估計,全球有 11 億人(包括數百萬兒童、婦女和難民)沒有任何官方認可的身份證明,他們通常被稱為「無銀行賬戶人士」

數位身份由網上存在的用戶個人資訊按部就班衍生而來,其基礎在於用戶與網路瀏覽器、行動應用程式和其他裝置各種互動過程中在線上建立和儲存的中繼資料。對各數據點進行三角測定即可確定數位身份,其中包括下列各種中繼資料:IP 地址、用戶名和密碼、瀏覽器歷史記錄、GPS 坐標、線上搜尋活動、交易資料、出生日期和醫療資訊。但是,對於 eKYC、資料保護法和個人自由權至關重要的「基礎」身份系統和「功能」身份系統有什麼區別? 3

基礎身份系統與功能身份系統

基礎系統

根據世界銀行的說法,數位基礎身份是「採取由上而下的方式所構建,其目的在於建立可以跨部門 / 領域使用的通用身份識別,促進國家或地區發展。」其提供者通常是國家或地區政府,他們希望為公民提供一種方式,以便透過戶籍登記冊、身份證、護照或出生證明來證明其身份。4

戶籍登記冊

戶籍登記冊是通常由國家或地方政府管理的紀錄,以記載一個國家公民的名字、姓氏、出生日期等重要資訊。這些戶籍登記和人口動態統計 (CRVS) 系統既有當地以紙本為基礎的分類系統,也有複雜的全國電腦化系統。戶籍登記意味著個人需要親自(利用紙本表格)或在線上向經過授權的政府機關提供詳細資訊。5

基礎身份證件通常由國家或地區政府或執法機關簽發,被視為公民可以隨身攜帶以證明其身份的「合法」身份證件。基礎身份證件是否屬於強制證件,則端賴政府是自動向適齡的註冊公民發放該證件,還是需要公民提出申請。

護照

護照是向國民簽發的合法政府文件,作為在國外旅行時使用的身份證件。通常,只有出國旅行的公民才會申請護照,因為護照簽發費用較高。

各類證件

諸如出生證明、結婚證明、死亡證明等合法證書屬 CRVS 的範疇,簽發給國家公民,作為生活事件發生的證據。要獲得這類證書,必須事先在戶籍登記冊登記詳細資訊。

功能系統

功能系統通常是旨在支援單一服務,如選舉登記、出生登記等。與基礎系統相反,Aadhaar 等其他系統的識別編號可用於多種用途。隨著技術的進步,一些新的方式正在取代傳統的紙本基礎身份系統,特別是在開發中國家。這使所有公民都能更輕鬆、更簡便地取得這些重要身份證件,尤其是一般上較不便利的新興國家。

以下一些地區已實施功能系統,向廣大人口簽發數位身份。這些地區由於經濟落後,大部分公民是社會弱勢族群,因此沒有基本的基礎身份文件。

全球身份系統

  • 印度: Aadhar 數位身份證系統是供公民和「無銀行賬戶者」使用。6
  • 巴基斯坦: 目前試用行動應用程式向地方政府申報新生兒,使出生登記率,特別是女童出生登記率大幅提高。7
  • 撒哈拉以南非洲: 加納、象牙海岸、坦桑尼亞和烏干達正在使用行動技術登記新生兒出生情況,提高了出生登記率。
  • 哥斯達黎加和印度: 這些地區目前正朝著數位證書的方向發展,如出生證明、結婚證明、死亡證明等。
  • 印度尼西亞: 目前在測試一款行動應用程式,其用途是登記新生兒的出生情況, 自動建立國民身份證號碼和出生證明,以提高出生登記率。
  • 布吉納法索: 為新生兒發放帶有二維碼的醫院手環, 透過行動應用程式掃描二維碼完成登記,同時在應用程式中登記嬰兒的詳細資訊。技術改善了「幽靈兒童」(一般指不做出生登記的兒童)的出生登記率。
  • 新加坡: 新加坡正在考慮將其國民身份證升級為「行動數位身份證」,以提高安全性及使用政府服務的便利性。
  • De La Rue: De La Rue 目前正在研究採用無紙護照,透過智慧手機安全儲存護照資訊,消除對實體護照的需求。
  • 菲律賓: 杜特蒂系統旨在為菲律賓人提供數位身份證,方便他們享受銀行和政府服務。8

ID2020 系統

據估計,全球有 11 億人(包括數百萬兒童、婦女和難民)沒有任何官方認可的身份證明,他們通常被稱為「無銀行賬戶人士」。沒有身份,人們很容易受到人口販賣和強迫勞動行為的傷害。無銀行賬戶人士往往無法投票,無法獲得醫療保健服務,更無法開立銀行賬戶或接受教育。如果沒有準確的人口數據,公共和私人組織就很難廣泛、準確地提供最基本的人類服務。9

由於技術創新使無銀行賬戶人士享有民主和權力

如今,身份和身份證明是實現社會和經濟融合的先決條件。個人身份必須得到其可能與之互動的公營機構與私營機構廣泛認可。

風險:濫用竊取的數位身份信息

隨著 Web 2.0 和現代技術的實現,儘管網路和行動安全協議也有所進展,但數位銀行環境面臨的最大威脅是網路罪犯和駭客帶來的威脅,這些人想方設法利用毫無防備的個人和企業。竊取高度敏感的數位身份資訊的目的包括:

  1. 網路罪犯: 網路罪犯試圖竊取敏感身份數據,然後漂白線上黑市買賣毒品所得的非法資金。
  2. 逃避制裁: 若企業與使用偽造身份文件的犯罪分子往來,或與來自受制裁國家 / 地區的客戶往來時使用了錢騾,則可能面臨嚴重後果。
  3. 資助恐怖活動: 若無充分的身份識別程序,參與資助恐怖活動者(無論是恐怖組織的成員,還是孤身犯罪分子或金融人員)有可能利用魁儡從事以意識形態為動機的非人道行為,規避「了解您的客戶」(KYC) 程序。
  4. 有組織的跨國犯罪: 被盜身份證件(如護照)通常會在全球有組織犯罪集團中出售;而這些犯罪集團經常參與其他非法活動,如人口販賣、毒品販運、武器和彈藥交易、有償暗殺、詐騙等。
  5. 資助武器擴散: 犯罪分子可能試圖竊取資金並逃避偵查,以獲取、採購和散布作為大規模殺傷性武器(WMD) 的開發資金或材料。
  6. 賄賂和貪污: 企業或公共部門人士可能利用職務之便,設法採用新的方式,隱藏透過圍標或接受回扣、非法酬金、其他疏通費等受賄手段取得的資金。
  7. 加密貨幣: 隨著匿名幣和其他代幣的出現,加密貨幣進一步提高匿名性,為網路市場上買賣商品提供了便利性。加密貨幣公司和交易所面臨的一個主要挑戰是,IT 架構較弱但交易規模大得足以引起駭客關注的中小型企業,將面臨資金失竊風險。分散型交易所通常成為駭客及國家級(例如伊朗和北韓)虛擬貨幣的目標,因為這些國家把加密貨幣作為對付其他政府經濟政策的一種對策。

洗錢風險

遠端客戶開戶程序需要考慮的一些關鍵因素包括洗錢風險程度,因為該程序缺乏面對面的接觸,客戶有可能借助魁儡來掩蓋賬戶所有人的真實身份。如果將數據隱私、網路安全、詐騙、洗錢、侵害個人權利和自由權納入考慮,還會出現更複雜的情況。犯罪分子通常用來洗錢、隱瞞其真實賬戶所有人身份的一些技術包括:

  • 偽造身份
  • 利用網路錢騾
  • 數位藍色小精靈(跑腿人)
  • 數位彈轉(在多個賬戶之間轉移資金)
  • 化整為零(將資金化整為零,分散到不同地點)
  • 加值(類似於微型分散交易)
  • 數位堆疊(使用電子錢包儲存價值)
  • 使用匿名幣(虛擬貨幣)和貨幣攪拌商

結語

我們需要制定新的了解您的客戶和客戶盡職調查監管準則,才能跟上數位交易的現況發展,簡化過時的客戶開戶流程,並充分考慮新興技術帶來的固有金融犯罪風險程度。 10開發中國家正在研究修訂法律和政策,使位於開發經濟體中邊緣位置的數百萬貧困男性和兒童能更融入社會。開發中國家有許多人沒有出生證明或其他基礎身份證明,這種情況限制了他們享有醫療保健等資源的機會。隨著政府政策的改善,實施適當的回應威脅策略及技術發展,防範金融犯罪專業人士可以發揮帶頭作用,幫助那些弱勢群體更好融入世界。 11

Robert Miller,CAMS,OCRA Worldwide 法規遵循專員兼部門總監,中國香港,robert@ocra.com.hk

  1. “Digital Identity Management: Enabling Innovation and Trust in the Internet Economy”(數位身份管理:在網際網路經濟中實現創新和信任),經濟合作暨發展組織,2011 年,http://www.oecd.org/sti/ieconomy/49338380.pdf,(查閱日期:2019 年 10 月 6 日)。
  2. “Anti-Money Laundering and Counter-Terrorism Financing Act 2006”(防制洗錢和打擊資恐法案(2006 版)),澳大利亞政府聯邦立法登記網https://www.legislation.gov.au/Details/C2013C00371
  3. “2017/2018 Annual Report”(2017/2018 年度報告),ID4Africahttp://www.id4africa.com/2018/files/2018_Annual_Report_Final_EN.pdf
  4. “The World Bank Identification for Development”(世界銀行驗明身份發展計劃),世界銀行https://id4d.worldbank.org/,(查閱日期:2019 年 10 月 9 日)。
  5. “Civil Registry”(戶籍登記冊),美洲國家組織http://www.oas.org/en/topics/civil_registry.asp(查閱日期:2019 年 10 月 6 日)。
  6. “A cost-benefit analysis of Aadhaar”(Aadhaar 成本效益分析),國家公共財政與政策研究所 ,2012 年 11 月 9 日,http://planningcommission.nic.in/reports/genrep/rep_uid_cba_paper.pdf
  7. “Government of Pakistan”(巴基斯坦政府),巴基斯坦政府https://id.nadra.gov.pk/,(查閱日期:2019 年 10 月 6 日)。
  8. Filippo Grandi,“Opening statement at the 68th session of the Executive Committee of the High Commissioner’s Programme”(高級專員計劃執行委員會第 68 屆會議開幕詞),聯合國難民事務高級專員,2017 年 10 月 2 日,https://www.unhcr.org/en-us/admin/hcspeeches/59d1f3b77/opening-statement-68th-session-executive-committee-highcommissioners-programme.html,(查閱日期:2019 年 10 月 6 日)。
  9. “Manifesto”(宣言),ID2020https://id2020.org/manifesto
  10. eKYC – Electronic Know Your Customer for Today’s Mobile-First World”(eKYC——當今移動優先世界的電子化了解您的客戶流程),Trulioohttps://www.trulioo.com/blog/ekyc/,(查閱日期:2019 年 10 月 6 日)。
  11. Reserve Bank of India”(印度儲備銀行),印度儲備銀行https://www.rbi.org.in,(查閱日期:2019年 10 月 6 日)。

The post 探析數位身份面臨的威脅 appeared first on ACAMS Today.