「在網際網路上,沒人知道你是一隻狗(On the Internet, nobody knows you're a dog)」,這是《紐約客》在1993年所刊登的漫畫,背後要探討的,是在網路的世界中,所有人都能在不透露個人資訊的情況下發送、接收資訊,「你是誰?」變得模糊且缺乏信任。
我們正身處在一個數位身分(Digital Identity) 正當性受到質疑的時代,幾乎所有的服務都能在網路上提供,各家公司都在蒐集用戶資料,只要在手機上壓下指紋,就能完成金融交易,同時網路隱私、數位信任也成為這個時代下的共同課題。
eKYC在日本登場,拍張照就能認證身分
數位身分是LINE資安團隊,目前面對最重要的課題之一,越來越多服務,需要透過虛擬的方式,去驗證螢幕另一頭的用戶是不是本人。
許多公司在提供服務之前,會先要求顧客提供證件等個人資料,這個步驟稱為「認識你的客戶(Know your customer),簡稱:KYC」,目的是為了預防身份盜竊、金融詐騙、洗錢及恐怖主義融資。傳統上會要求用戶透過影印的方式提供,通常需要耗費許多時間。
支付、金融服務因為法規要求,必須要對顧客做KYC,日本在2018年底修法「犯罪收益移轉防止法」後,LINE也開始推動eKYC(electronic Konw Your Customer),讓整個流程走向數位化。
今年四月,LINE Pay在日本推出eKYC技術,根據LINE資安部門經理市原尚久說法,用戶只需要拿著證件面對手機鏡頭,拍一張照片,文件及臉部辨識完成後,就等同完成數位化認證作業,就能使用LINE Pay轉帳。
LINE資安長中山剛(Takeshi Nakayama)在今年的「LINE與Intertrust資安高峰會」上分享,無論是指紋、臉部辨識,在全世界都越來越普遍,他說:「中國在2020年,要在全國架設2億台監視器,目的就是要讓每個人在網路上可以被辨識出來。」如此一來,就可以在最短時間內抓到罪犯。
但同時,舊金山在今年五月,成為全美第一個反對引入臉部辨識系統的城市,禁令的論點就是認為,這類高科技監控技術會侵害人民隱私。從金融服務盜把擊犯罪,數位身分的應用越來越廣泛,背後的問題也逐漸浮上檯面。
密碼早已不可靠,LINE加入FIDO布局生物辨識
根據統計,有91%的攻擊都是釣魚式攻擊(Phishing),過去許多人的LINE帳號會突然被奪走(sudden death),就是因為電話號碼被有心人士拿去註冊,光靠密碼早已不足以保護資料安全。
除了eKYC,LINE在身分識別技術上,早已投注許多資源,LINE在2017年就宣布加入全球最大身分驗證技術聯盟FIDO,目前是聯盟的董事會成員之一,市原尚久表示,FIDO能讓各類連網服務,以生物驗證的方式,更快速、安全的辨識使用者身份,FIDO通用伺服器認證的好處,是不需取得使用者的個資,對隱私更加有保障,目前FIDO董事會還包括Microsoft、Intel、Google等科技巨頭。
LINE台灣資深資安工程師劉威成,過去受訪時曾表示,LINE確實是有規劃用生物辨識技術取代傳統密碼,而FIDO可分為兩種協定,「一種就是取代現有的密碼,另一種就是二階段認證,用密碼加上生物辨識。」採用這兩種協定的差異,就取決於搭配的服務需求。舉例來說,當牽涉到金融轉帳時,可能就需要二階段認證增強安全性,一般通訊服務解鎖,就能直接採用生物辨識取代密碼,市原尚久也預告,今年會陸續推出生物辨識相關服務。
將推出信用評分機制,精準掌握用戶輪廓
LINE另一個跟數位身分有關的應用,信用評等機制「LINE Score」,資安長中山剛解釋:「我們從他的行為、聽什麼音樂、用什麼服務,來取得這些資料做信用評分。」以此作為未來提供服務的依據,預計會在下半年先於日本市場推行,未來也計畫導入台灣市場。
日本LINE Financial主管Kazunori Sekimizu解釋,過去都是依據國籍、性別、教育背景這些資訊來得出用戶輪廓,「但是這些標準曖昧(指精準度不高),也不怎麼有趣。」因此才會想透過蒐集用戶在日常生活中使用LINE服務、與朋友互動、參與LINE生態圈活動的資料為基礎,給出一個非常個人化、直接反應用戶行為喜好的分數,目的是希望增加用戶使用其他服務的誘因。
更準確來說,LINE Score會根據用戶行為與機器學習,得出一套模型。假如用戶想購買汽車保險,LINE除了會從第三方取得使用車輛紀錄,還會結合LINE Score分數,去審視用戶的年齡、理解能力等資訊,依過往行為建立模型,來判斷哪些用戶開車是比較安全可信任,作為提供保險服務的依據;在行銷上,也能從用戶對於某些行為分數的高低,更精準的提供服務。
如何避免偏見,成LINE Score大挑戰
資安長中山剛就分享,評分制度也有可能帶來新的風險,關鍵在於分數的用途以及結合的服務。多數人熟悉的例子,就是中國政府自2014年起,透過蒐集公民的銀行和社交資訊,建立一套「社會信用系統」,這套分數會影響個人旅行自由、升職、置產,以及子女就學機會等生活各層面,就有人權團體擔心,專斷的評量體系可能會有失公平性。
LINE Score的初衷是要建立起提供服務的依據,以及讓過去與金融機構沒有互動的用戶,因為有了LINE Score信用依據,更容易得到想要的金融服務。LINE Financial主管Kazunori Sekimizu也提醒:「評分制度不能創造出新的偏見,以及差別待遇。」所有的評分依據必須公開透明,也會利用機器學習技術,盡可能把主觀偏見降到最低。
使用者資料會直接影響到評分的分數以及品質,「要給用戶自由選擇要用哪些服務的權利,也不能因為用戶沒使用某個服務,就給他比較差的評分。」Kazunori Sekimizu 表示,在蒐集這些資料前,都會先取得用戶同意,為了確認每位用戶身分的正確性,會透過eKYC、FIDO等方式認證數位身分,確保資料準確性。
