银行如何保障数字身份安全数字信任中文版翻译本报告来自互联网公开渠道,版权归属原作者所有。更多报告,请扫描二维码如有疑问,请联系data@01caijing.com进入找报告小程序添加微信lycj002邀请您进入更多行业分类群群内每日分享更多深度报告!数字信任|目录©OliverWyman2国际银行业联合会前言现在,许多日常活动都依赖数字服务,包括实时新闻和网上购物等实用服务,以及医疗保健和银行业务等关键服务。随着人们愈加依赖数字渠道来维系最重要的关系,数字经济中对身份的识别变得比以往任何时候都更为重要。虽然人们对数字业务的依赖性不断加大,但全球各地的数字身份框架很大程度上仍然需要依托于模拟和纸质证明。例如,我们能够与身处地球另一端的医生交谈或通过点击一个按钮立即汇款,但当需要证明我们的身份时,却通常需要上传一张往往是多年前签发的纸质文件照片。在全球各国和各地区政府和公共部门共同、积极地推动下,不久的将来我们可能不必再运用上述传统、纸质的数字化身份来证明自己的身份,而是广泛采用数字化身份凭证,以更便利的方式来证明自己的身份。在身份数字化进程中,银行得益于客户身份验证能力这一核心竞争力,天然地处于发展数字身份计划的核心。例如,强监管使得银行能够可靠地保存客户最敏感的数据;又如,银行在获得每个新客户时,必须通过一个被称为“了解你的客户”(KYC)的程序识别和验证客户身份。数字身份计划实施有望,但也必须谨慎管理。数字身份计划能够切实减少诈骗活动并催生各种新产品和服务。与此同时,数字身份也可能会对全球市场产生深远影响,并引发隐私保护、普惠金融和政府角色等方面的重要问题。希望本报告能开启有关这一关键领域未来发展的热烈讨论。RobNichols国际银行业联合会主席、美国银行家协会主席兼首席执行官©OliverWyman3数字信任|目录中国银行业协会前言近年来,随着各类数字网络基础设施和应用的不断发展,数字网络空间对人民生产生活、经济运营、国家治理和国际政治形势产生了重要影响。在不同的数字网络空间中,可信网络空间已经成为国计民生的重要保障,也是国家信息化战略的重要组成部分。数字身份(在我国又称“网络可信身份”)是可信网络空间的必要构成,是居民、企业和机构远程交流、交易和事务办理的关键基础,在疫情期间和未来万物互联的时代更是如此。“实施网络可信身份战略”已成为国家网络安全的重要战略,此外个人身份信息的合理收集、保存和共享也是近年来网络安全与消费者权益保护的重要议题。在国家实施网络可信身份战略和强调个人信息保护的浪潮下,银行作为接受严格监管的金融机构,在过去运营中积累了丰富的客户身份收集、识别与验证及可靠的信息存储与交换的经验,具备生成和交换可信身份的技术,能够提供消费者身份及金融数据的充分保护,有基础、有能力成为数字身份生态体系的重要成员,甚至可成为提供相关数字身份的服务机构。以何种身份参与数字身份生态体系是银行重要的战略命题。这不仅将给银行带来潜在的新收入,更给银行带来了重塑客户旅程,以“客户为中心”开展业务的战略机遇,但同时也意味着长期的资源投入和潜在的各类技术应用风险。整体看来,银行业需保持行业协作,积极参与政策及标准制定,支持国家网络可信身份战略的实施,保护消费者数据隐私权益,促进金融普惠和数字普惠。本报告从全球视角,全面总结了当前全球各国数字身份体系发展情况和数字生态体系的必要构成,同时对银行以何种角色参与数字身份生态体系这一命题进行了探讨。希望能抛砖引玉,开启中国银行业未来如何参与数字身份生态体系建设的讨论。邢炜中国银行业协会党委书记数字信任|目录©OliverWyman4奥纬咨询前言随着数字互动在人们生活的各方面开始发挥着越来越关键的作用,消费者亟需可靠、可信赖的数字身份证明,上述需求迫切到需要在未来几年内得到满足。很多国家和地区都已经陆续通过公共部门或私有部门采取了行动来满足上述需求。印度、新加坡和爱沙尼亚已通过公共部门开展数字身份计划,北欧国家和加拿大也已经推出了相应的私营部门计划。中国和比利时的数字身份生态系统已涌现出了两种或两种以上的不同的数字身份计划。身份数字化转型预计将给社会、金融、经济等诸多领域带来深远的影响。我们正在开始理解其影响,包括如何向消费者提供数字身份相关服务、如何确定数据所有权、如何确定营销关联获得最终消费者,以及数字身份服务行业的结构等,上述转变甚至可能重塑居民、政府和私营部门之间的关系。开发数字身份必然是一项复杂的工作。无论采用何种交付模式,都需要政府、银行业和其他多个部门之间的紧密合作,包括创建信任框架、建立生态系统、开发应用场景和解决方案,以及扩大数字身份的应用等。银行想要在数字世界中保持相关性,就必须在转型中发挥关键作用。我们很荣幸与国际银行业联合会合作、中国银行业协会共同推进本项重大议题。我们相信,数字身份不仅会改变我们的生活方式,更会开创银行业的新时代。TedMoynihan奥纬咨询执行董事合伙人©OliverWyman5目录执行摘要61.数字身份的前景展望72.银行在数字身份中的角色123.成功推行数字身份17结语22附件:各国和市场的数字身份概况24术语表37数字信任|目录©OliverWyman6执行摘要驾驶证、护照、出生证明……这些政府颁发的实物凭证历来都是银行业及其他领域个人识别流程的核心。而现在,数字身份计划为我们提供了非常有效的替代方案,能够帮助我们验证个人信息并与政府部门、银行、用人单位和其他组织分享个人数据。有了数字身份认证,机构可以授权支付、完成客户身份识别与验证(KYC)、开立账户、管理应用程序的访问权限、提供证书、维护供应链安全,甚至完成背景调查。如今社会充斥着大量数字互动,导致个人信息碎片化、诈骗手段升级,而数字身份可以帮助我们应对这些重大挑战。国家数字身份计划(NationalDigitalIdentityScheme)是对数字身份最有效的利用。经验证明,国家数字身份计划能够将相关技术系统和协议整合为一个简化的身份认证服务,从而消除消费者和企业之间的摩擦,同时还能提高双方互动的安全性。虽然目前建立了国家数字身份生态体系的国家还不多,但对于这个问题,我们已经有了几种不同的参考做法:政府主导、私营部门主导和二者混合主导的数字身份计划。除了那些已经开始着手建立数字身份的国家以外,美国、英国、巴西、日本、澳大利亚、南非和欧洲各国等许多国家也有可能在未来十年里加入此行列。从当前实践看来,一些国家数字身份计划甚至并非由政府主导,而是由银行主导。对于那些有意在国家数字身份生态中发挥更大影响力的银行来说,它们也可以借鉴相关经验。国家数字身份计划的引入为银行的客户带来好处。银行在日常工作中已积累管理大量个人数据和验证庞大客户群体身份的经验,并且银行之间大多构建了保障网络和信息安全联盟。因此,如果银行能参与制定国家数字身份计划,可以使得消费者更加信任该计划的稳定性和安全性。此外,参与制定国家数字身份计划也会为银行提供诸多好处,例如能够降低运营费用、减少欺诈风险、改善客户对银行的观感和忠诚度,还可能带来新的收入。随着数字身份信息更加丰富,用途更加广泛,如果银行能提供这种服务,就相当于抓住了一个为客户规划服务,同时还能改善端到端客户旅程的战略机遇。尽管这项服务会产生一定研发成本,但据估计,数字身份服务机构仅从“身份验证”这一项业务中就可从每位客户获得每年40美元的收入。对于那些目前还没有建立好全国性的数字身份生态体系的国家来说,重要的问题还包括如何确定实施路径,例如银行应该成为该体系的领导者还是参与者。道德层面的考量和如何促进金融普惠与数字普惠将是国家关注的核心。引入数字身份系统既可能促进金融和数字普惠,也可能适得其反。国家应确保有更多的人在开始使用数字身份时能得到相关引导,这样便可以缩小数字鸿沟。如果使用得当,数字身份能让所有互动变得更简便、更安全,同时还会提高居民进行数字活动时的安全感,让他们在日常生活中更愿意信赖银行。©OliverWyman7数字信任|目录1.数字身份的前景展望数字身份计划致力于为人民提供一种更为简单、安全的方式来获取和使用线上和线下服务。目前已推行数字身份计划的国家不多,当前所有计划均由政府和/或私营部门主导。其他很多国家也正在制定相关计划,并确保在未来十年内制定完善。数字身份的形式在全球范围内,互联网用户拥有多种登录方式,以获取从社交媒体到银行等各类线上服务。关于数据安全漏洞和个人数据滥用的案例比比皆是,很多人都头疼该如何保障网络和身份信息的安全。国家数字身份计划能够取代实物形式的身份识别及零散的数字身份,为消费者提供更安全的管理和控制个人数据共享的手段。数字身份存在多种方案。最简单的是实物身份凭证在数字化流程中的应用,例如在开设网上银行账户时,使用经政府服务机构等方式认证的文件扫描件。高级一些的是,多国政府发布了数字化的“电子身份证”身份凭证(e-ID),居民可以凭借它们来验证自己的身份。如果再高级一些,则是单一的、集成的身份关系(业内称为“联合”身份模式),可以帮助居民在访问各种第三方服务或产品时验证身份,从而在流程上为消费者提供更为流畅无缝的服务体验。数字信任|目录©OliverWyman8图1:数字身份凭证的形式采集的数据内容数字用途数据最小化示例否无核心个人数据(姓名、出生日期等)一种实体证件,扫描后进行数字登陆政府签发的实体身份证数字化便携式/联合式?聚合/个性化服务否•中国(政府签发的身份证)•爱沙尼亚(电子身份证)•比利时(电子身份证)•日本(个人编号卡)•中国(钱包)•爱沙尼亚(智能身份证)•比利时(itsme)•北欧(BankID)•欧盟(拟议钱包早期拓展功能:•中国、比利时(身份证显示新冠相关信息)•加拿大(Verified.Me财务数据)使用……登录核心个人数据一种用于执行(经许可的)数字访问的数字凭证政府签发的电子身份证是核心个人数据一种帮助用户以数字方式验证或分享个人数据的服务基本数字身份数字身份(由政府或私营部门运营)是核心数据以及交易、健康、教育背景等数据(子集)与基本数字身份一样的用途,并允许选择性验证和分享更多核心数据之外的数据,能实现数据聚合和个性化服务集成数字身份是发行人持有的数据(子集)一种帮助用户开通数字身份并提供(未经验证的)信息的服务单点登录来源:奥纬咨询分析©OliverWyman9数字信任|目录数字身份计划并非总由政府或公共部门提供服务,私营部门也可以运营。例如在挪威,很多人所使用的“BankID”就是由当地银行旗下的一家商业实体公司运营的。它能够帮助客户在抵押贷款申请过程中摆脱纸质文件,将抵押贷款申请过程缩短到一天1。消费者服务和用户旅程正经历重新设计并受益于数字身份计划。数字身份能确保所有用户都能访问相关界面,并保证客户需做出重要决定时不会面临不必要的麻烦且能享有充足的考虑时间。数字身份不仅能够提升消费者抵御恶性网络活动的能力,也给对网络安全持怀疑态度的消费者带来了信心。数字身份生态系统可利用评分系统(或“保证等级”)划分身份验证的可信度。评分基于一系列技术规范、标准和程序,包括开通数字身份所需的凭证类型和验证方法等(例如现场检查护照的可信度就会很高)。另外,增加可存储在客户设备上的生物特征数据也可加强可信度。这些都可以更有力地保证发出请求的人已经获得行动授权。部分国家已经制定了验证标准,如美国国家标准技术研究所(NIST)制定的标准。不同场景下的最低获准分不同:例如,你可能需要更高的评分才能授权批准高价值金融交易。当前私营部门参与较多的是另一种数字身份:大型科技公司提供的“单点登录服务”(Singlesignonservice),即“使用……登录”,为消费者提供了方便简化的服务登录方式,使他们能够访问多种在线服务,如电子商务和社交媒体等。然而如果不与现实世界的身份证件相关联(如经政府核实签发的身份凭证),这类数字身份就不能用于对消费者身份可信度要求较高的服务和产品。随着近期美国部分州将驾照纳入移动设备的数字钱包,大型科技公司也开始涉足数字身份验证领域。1 Vipps Internati