身份识别服务正往多角化发展，技术与标准则聚焦两大趋势，将推动用户身份自主管理

随着网络的发展，近年来身份识别也不断跟着演进，例如，身份识别途径的转变，从临柜办理转向Web网页应用，前些年又逐渐朝向智能手机的应用场景，不过，在新兴技术推动之下，对于身份识别的应用趋势与技术趋势，现在有那些发展重点值得我们关注？在10月底，资策会产业情报研究所产业分析师黄仕杰公布相关趋势研究，从两大层面来剖析，让各界能了解国际间新的身份识别服务发展方向，以及需要重视身份识别责任的转变。

身份识别服务发展差异大增

以身份识别服务面向而言，除了强调账号保护，资策会认为可关注的新焦点是，现今已发展不同特色身份识别服务，这些特色包括：具有SaaS云端服务型态，伪造证件预防，诈欺预防，以及因应监管需求的一站式服务。

随着身份识别技术的不断转变，不论是密码输入、OTP、多因素验证等，但对于应用层面而言，目的都是识别用户。但是，黄仕杰表示，现在的身份识别与过去身份识别相比，有三大不同，首先是身份识别的途径不同，从临柜、电脑端作业到智能手机使用，第二是身份识别的方法不同，从双证件办理、账号与密码验证，到生物辨识，特别的是，第三是技术关注重点的不同，这是大家较少关注的部分。

黄仕杰解释，过去身份识别强调账户保护的技术应用，但现在为了因应身份识别途径改变，以及为满足洗钱防制与打击资助恐怖主义（AML/CFT），而有监管需求，进而发展出具有不同特色的身份识别服务，而且国际间已经有多家业者投入。

例如，爱尔兰一家云端服务业者id-pal，其特色是允许银行等企业，能够透过软件订阅方式，来委托该公司进行用户的身份识别，让客户透过id-pal提供的客制化软件，可以到登入银行账户。

来自加拿大的业者Trulioo，是专注于伪造证件预防，该公司将搜集多方来源资料，特别是来自社群媒体、报章杂志等非结构化资讯，供金融机构等查询企业资料，借此比对用户上传的资讯，预防有人透过伪造身份资讯开户。

另一家专注于诈欺预防的美国业者Jumio，则是要求用户登入时上传自拍照，以短影片录制搭配脸部辨识，避免仅利用照片或面具，而可能有冒用情形的开户行为。

还有另一家美国业者NICE Actimize，特色是提供因应监管需求的一站式服务，包括身份识别、交易分析与异常交易报告自动产出等，而且企业可以依据需求任意选用这些功能，相当具弹性。

综合来看，上述这些应用也还有些共通点，例如，有许多都会以AI，来简化身份识别与认证流程，以及可透过Web或API介接他们的数据库。

黄仕杰并提到，上述概念与当前推动开放银行类似，因为第三方服务公司（TSP）是依据银行所提供的资讯，进而提供服务，也就是信任基础架构在银行之上，而银行本身是受高度监管行业，所以资料具备高可信任度，让TSP业者愿意接收银行所提供的资讯。

近年国际间出现不少新兴的身份识别服务，资策会产业情报研究所产业分析师黄仕杰归纳出4个发展特色，包括，SaaS云端服务型态，伪造证件预防，诈欺预防，以及因应监管需求的一站式服务，他并认为一站式服务是业者可以考虑的拓展方向。

迎接开放银行潮流，做好身份识别将是重点

台湾企业该如何看待身份识别服务？黄仕杰表示，由身份识别扩展至一站式服务，是业者可以考虑的服务发展方向，这是未来新的商机，可因应不同场景需求，提供客制化的身份识别软件服务。同时，他也指出AML与CFT是一大焦点，银行等金融机构与Fintech新创公司都在关注。

另外，这方面的发展，他也以国内执行身份识别最彻底的行业──银行业来举例，现在不论网络银行、数位银行与纯网银，都提供用户透过网页或行动App方式，来进行用户的身份识别，但是，他们的身份识别都采内部部署方式进行，这与前述提到欧洲采云端服务的作法，并不相同。

他认为，这与国内推动开放银行（Open Banking）历程比较晚，有相当大的关系，因为像是英国等，他们在2015年开始推动开放银行，相关产业发展也非常快速，在此趋势下，他们就已经把客户资讯分享出去，换句话说，客户身份识别的责任，就已经从银行慢慢转移到TSP业者。

而以国内环境而言，由于台湾才刚开始推动开放银行，他认为，对于国内TSP业者而言，身份识别将是优先着重的面向，而FinTech新创业者同样须负起身份识别责任，尤其是涉及资金流的业者，不论是线上汇款，线上投保，或是提供线上融资、线上贷款服务的业者，提供消费者行动服务的同时，如何做好身份识别相当重要，应采预先、预备方式管理用户身份识别。因此，他认为，身份识别在国内事实上有相当大的市场。

而从国内发展现况来看，台湾已有相关业者，他以设备供应业者与软件服务业者来举出，例如，提供实体安全金钥的欧生全，以及提供OTP简讯验证服务的三竹资讯等。

较特别的是，他还提到国内两家值得关注的新创业者，像是2019年成立的数位身份（Authme），该公司的技术特点在于，以护照作为建立数位身份的基础，结合OCR、脸部辨识与动作侦测，预防诈欺事件；另一是2016年成立的游戏思维（PeekurFinance），也是搜集多方来源资料，提供个人企业征信，同时也会针对非结构化资讯搜集负面新闻资讯，并提供交易分析。

展望身份识别的未来发展，黄仕杰指出，在开放银行推动的态势下，身份识别责任也将有所转变，由银行延伸至TSP业者。­

从身份识别趋势来看，黄仕杰从两个面向来谈，分别是技术趋势与数位身份标准趋势，技术上FIDO就是重点，标准趋势上则有去中心识别码（DID）的演进，他并强调，两者目的都是要推动用户对自己身份的自主管理。

身份管理权回到用户手上，数位身份将朝跨平台互通

对于身份识别的未来发展，首先是技术趋势，黄仕杰提到近年备受关注的FIDO身份应用，这项技术的最大特色就是，拆分了身份识别与身份验证功能，强调身份识别中的身份验证功能将回归用户，由用户执行，同时，在身份验证的技术上，会朝向采取生物特征辨识这类无密码方式来执行。而且，这样的技术现在已经开始被逐渐采行，包括线上金流PayPal、美国银行BOM，以及云端服务脸书、Google等，而且，多家主流浏览器也都已经支援。

另一个趋势是关于身份表示标准，他提到去中心识别码（DID）的演进，将让原本不同平台间，各自独立的数位身份，朝向跨平台互通。这是由国际标准组织W3C提出，是一种新形态的去中心化数位身份表现方式，在这个标准之下，往后将采取分散式账本或区块链技术建构，平台之间的数位身份可允许互通。

从上述两大趋势来看，他强调，其实主要目的都只有一个：“都是为了要推动用户对自己身份的自主管理。”

对此，他也以GDPR推动来举例，用户具有个资的被遗忘权，以及用户个资的转移权，从个资保护到数位身份，其实都在强调要将管理权与所有权回归到用户，因此，未来趋势就是用户自主管理。

同时，他也以用户的密码以及用户的账号，分别举例说明。简单来说，用户密码将由用户自行保管，身份验证从用户端执行，用户账号则强调自主管理权，而且，用户可以依据各行业特性，来揭露不同程度的身份资讯，例如，若要进入赌场，就只需要揭露自己年龄的资讯即可。

在这样的环境底下，对国内业者会有哪些影响？他提到，设备供应业者所提供的软件安全金钥与实体安全金钥，都必须符合一定的安全性；而对软件服务业者来说，将依据不同的行业需求，提供客制化的身份识别软件服务。

对于身份识别的发展，台湾的设备供应业者与软件服务业者日后可以如何看待？黄仕杰认为，可分别从FIDO验证标准，以及W3C去中心化识别码标准去思考，前者可聚焦在用户生活需求，后者则可发展不同行业客制化软件服务。