題目： 銀行面對網路交易之理論安全與實務安全應如何折衷？  作者： 楊士賢      楊士賢2002.1.27    影響消費者利用網路交易之因素 一、對網路交易缺乏認識 二、擔心業者能否依約履行 三、無法掌握交易風險 四、無法確認業者身份與信用 五、擔心資訊被盜用 六、不知如何申訴、救濟     網路交易供消費者新的消費選擇，另一方面也產生新的挑戰，例如隱私權的保護、交易安全、網路詐欺及跨國界消費爭議的處理等。網路交易在虛擬空間進行，消費者無法像傳統交易方式與賣方面對面溝通及當面檢視商品或服務之機會，使得網路交易所生的消費者問題遠較其他交易方式來的複雜。    銀行提供網路交易服務→對方便性與風險性，採金額限制的折衷方法     根據中華民國銀行公會報請財政部核定之「金融機構辦理電子銀行業務安全控管作業基準」2000年8月[請參考附件]，將銀行與客戶間之電子交易(電子銀行業務Electronic Banking)，依連線傳輸路徑分成「金融機構專屬網路」、「加值網路」與「網際網路」三種。 其中規定網際網路電子銀行業務對於‘高風險性交易’必須提供電子簽章服務，其用戶RSA金鑰長度不得小於1024 bits，而且必須由可信任的第三者擔任CA認證單位，以簽發憑證給其用戶使用。    所謂風險之高低在作業基準中規定： →高風險性之交易 係指該訊息執行結果，對客戶權益有重大影響之各類電子轉帳及交易指示，如非同戶且非約定轉入帳戶之各類電子轉帳及交易指示。 →低風險性之交易 係指該訊息執行結果之風險性低，如同戶名或約定轉入帳戶，或非約定轉入帳戶小金額之轉帳(以每戶每筆不超過五萬元、每天累計不超過十萬元、每月累計不超過二十萬元為限)之各類電子轉帳及交易指示，本安全需求僅規範最低安全需求，亦可採用更嚴謹之高風險性交易的安全需求。     目前有很多銀行已經或即將提供網際網路電子銀行(簡稱網路銀行或NB)業務給其客戶使用，這些系統多是使用SSL機制，未具備交易訊息之電子簽章功能；另有使用FEDI憑證交易，其用戶金鑰長度只為512 bits；也有銀行以自行產制簽發之專屬憑證(金鑰管理為專屬方式)，未使用CA認證單位所簽發的憑證。上述機制都無法符合「金融機構辦理電子銀行業務安全控管作業基準」的規定。    重要的問題在：使用者(客戶)能接受比較麻煩的使用方式嗎？ 答案是肯定接受度不高的，1-使用者僅考慮使用方便，而安全考量是不予重視的；雖然在各式的調查裡，「交易安全」的排名往往名列前茅，但遇到了「使用方便性」就忘記交易安全的重要；還有另一個問題是，2-消費者(包括負責仲裁角色的法官、消保官等等)往往認為交易安全的責任在於提供服務的銀行，消費者僅需負重大過失之責，銀行一方則另需負舉證之責，完全沒有考慮到交易安全是依存於交易各成員共同維護的因素。    銀行提供網路交易服務→對於成員的安全認知，採漸進推廣的折衷方法     電腦安全很難做到十全十美，系統必須以某種形式、在某個時段、及為了某些原因，與使用者互動，這份互動是最大的安全風險，在安全防衛的環節中，人類通常是最弱的一環，長期以來承擔安全系統失敗的責任；但是單靠科技來確保交易安全也是有問題的，還需加上人(使用者)的因素才能運作。因此，除了技術面持續在安全方面發展外，要建立消費者對網路交易之信賴，必需從加強國際合作、政府管理、業者自律、消費者教育及資訊科技應用等五方面，落實推動，才能有效保障消費者權益。 對大部份的人來說，最難理解的一部份是：幾年過去之後隨著所有工業技術上的迅速進步，為何沒有人發明所謂的Perfect Security(完美的安全)？為何陰謀或間諜永遠都存在呢？這個答案要從許多方面思考，從現代軟體發展先天上的錯誤，到網路鏈結本身的遍佈，但追根究底，大部份能被了解的是：世界上並沒有什麼社計是能達到十全十美的，亡羊補牢精益求精便是能夠更加進步並達滴水不漏的方法之一。 使用者的教育(或說是漸進地改變使用習慣)、對安全觀念的認識、法令的規定等等，皆需輔助配合取得平衡，目前的銀行除提供ＳＳＬ方式的網路銀行交易外，還有使用憑證的交易方式，憑證費用多數銀行皆自行吸收，用以推廣網路銀行使用者選擇較安全的憑證交易方式。    銀行提供網路交易服務→對於消費者保護，採公告「服務契約範本」的折衷方法     我國除了在民國83年1月11日由總統公佈施行的「消費者保護法」外，根據88年5月26日，財政部(台財融字第八八七二五二六三號)函，轉知各本國銀行及外商銀行，凡申請財部核准經營該項業務者，應依「個人電腦銀行業務及網路銀行業務服務契約範本」之精神訂定契約，並隨函指示： 一、契約中涉及當事人重要權益之條款或文句，應以深色或粗黑、紅字體印刷，並由承辦人員於簽約時提醒客戶特別注意。 二、金融機構於不違反相關法令規定及本契約範本精神之情形下，得斟酌修改文字或增訂適當條款，並應配合辦理本範本之推廣及教育宣導工作。    折衷方法？或是相互配合？     安全系統要發揮其作用，並不能只有軟硬體設計上的安全，仍需使用者配合，而非單方面的折衷措施，建議網路交易之所有成員需注意下列問題： 一、網路交易有其特殊性，政府、業者及消費者應共同合作，以面對網路交易之消費者保護問題。 二、業者應建立自律機制並制定消費者保護之營業規章(Code of Practice)，以創造雙贏。 三、採取與國際同步的消費者保護措施 四、重視技術之創新與應用，以加強交易安全與便利使用。 五、透過消費者教育及相關資訊之提供和妥適處理交易糾紛，以建立消費者對此類交易的信心。    【參考資料】 ◎「祕密與謊言：如何建構網路安全防衛系統」，Bruce Schneier著，吳蔓玲譯，2001.9商周出版 (原著書名：Secrets & Lies: digital security in a networked world)。 ◎銀行公會，金融機構辦理電子銀行業務安全控管作業基準，2000年8月。 ◎「2001金融電子商務研討會」授課簡報，90.7.3～90.7.6銀行公會 主辦。  ◎「網路銀行認證作業手冊(NonSET篇)V1.0」 – 民國89年4月1日，http://www.taica.com.tw台灣網路認證公司TAIWAN-CA.COM Inc.。 ◎SET Secure Electronic Transaction Specification，Book 1: Business Description, Version 1.0 – May 31,1997 Book 2 : Programmer’s Guide, Version1.0 - May 31,1997       ---------------- 局局棋盤步步新， 變化無常平常待。 人生相處平常心， 無憂無慮心事成。 ----------------