探析数字身份面临的威胁

于现代数字移动和金融技术现实面临诸多内在挑战,远程客户开户(也称为电子化了解您的客户 (eKYC))过程成了监管机构、执法机构、金融机构和科技公司之间争辩不休的核心话题。 1技术创新意味着,数字银行交易和敏感个人信息保护工作会变得越来越复杂,因为新兴威胁、监管要求和防范金融犯罪所需网络安全控制措施之间存在重叠。犯罪分子运用新技术,利用信息技术 (IT) 架构和合规框架中的漏洞来规避控制措施,从而避免在实施犯罪的过程中被发现。 2本文旨在探讨金融犯罪背景下数字身份的定义。

什么是数字身份?

数字身份由网上存在的用户个人信息有序衍生而来,其基础是在用户与网络浏览器、移动应用程序和其他设备进行各种交互的过程中在线创建和存储起来的元数据。对各数据点进行三角测定即可确定数字身份,包括下列各种元数据:IP 地址、用户名和密码、浏览器历史记录、GPS 坐标、在线搜索活动、交易数据、出生日期和医疗信息。但是,对于 eKYC、数据保护法和个人自由权至关重要的“基础”身份系统和“功能”身份系统有什么区别? 3

基础身份系统与功能身份系统

基础系统

根据世界银行的说法,数字基础身份是“以自上而下的方式构建的,其目的是创建可以跨部门 / 领域使用的通用身份标识,促进国家或地区发展。”其提供者通常是国家或地区政府,他们希望为公民提供一种方式,使他们能通过户籍登记册、身份证、护照或出生证明来证明其身份。4

户籍登记册

户籍登记册是通常由国家或地方政府管理的记录,用于记录一个国家或地区公民的名字、姓氏、出生日期等重要信息。这些户籍登记和人口动态统计 (CRVS) 系统既有地方的基本纸质总账系统,也有复杂的计算机化全国 / 区系统。户籍登记意味着个人需要亲自(通过纸质表格)或在线向取得授权的政府办公室提供详细信息。 5基础身份证件通常由国家或地区政府或执法机构签发,被视为公民可以随身携带以证明其身份的“合法”身份形式。基础身份证件是否属于强制要求取决于政府是自动向适龄注册公民发放证件,还是需要公民提出申请。

护照

护照是向国民签发的合法政府文件,作为在国外或境外旅行时使用的身份证件。通常,只有出国旅行的公民才会申请护照,因为护照签发费用较高。

各类证件

诸如出生证明、结婚证明、死亡证明等合法证书属于 CRVS 的范畴,面向国家或地区公民签发,作为生活事件发生的证据。要获得这类证书,必须事先在户籍登记册登记详细信息。

功能系统

功能系统通常是设计用于支持单一用途的系统,如选举登记、出生登记等。与基础系统相反,Aadhaar 等其他系统的标识号可以支持多种用途。随着技术的进步,一些新的方式正在取代传统的纸质基础身份系统,特别是在发展中国家。这使所有公民(尤其是传统上服务不足的新兴国家的公民)都能更轻松、更简便地取得这些重要身份证件。以下是一些已经实施功能系统的地区,向广大公民签发数字身份。这些地区由于经济落后,未受到整个社会的正确对待,因此没有基本的基础身份文件。

全球身份系统

  • 印度:Aadhar 数字身份证系统面向公民和“无银行账户人士”签发。 6
  • 巴基斯坦:目前已经开展试点,使用移动应用程序向地方政府报告新生儿,使出生登记率,特别是女童出生登记率大幅提高。7
  • 撒哈拉以南非洲: 加纳、象牙海岸、坦桑尼亚和乌干达正在使用移动技术登记新生儿出生情况,提高了出生登记率。
  • 哥斯达黎加和印度: 这些地区目前正朝着数字证书的方向发展,涉及出生证明、结婚证明、死亡证明等。
  • 印度尼西亚: 目前在测试一款移动应用程序,其用途是登记新生儿出生情况,自动创建国民身份证号码和出生证明,以提高出生登记率。
  • 布基纳法索: 为新生儿发放带有二维码的医院手环,通过移动应用程序扫描二维码完成登记,同时在应用程序中登记婴儿的详细信息。技术提高了“幽灵儿童”的出生登记率,这些儿童通常并未登记在册。
  • 新加坡: 新加坡正在考虑将其国民身份证升级为“移动数字身份证”,以提高安全性,提高获得政府服务的便利性。
  • De La Rue :De La Rue 目前正在研究采用无纸护照,通过智能手机安全存储护照信息,从而消除对实物护照的需求。
  • 菲律宾:杜特尔特系统旨在为菲律宾人提供数字身份证,方便他们享受银行和政府服务。8

ID2020 系统

据估计,全球有 11 亿人(包括数百万儿童、妇女和难民)没有任何形式、官方认可的身份证明,他们通常被称为“无银行账户人士”

据估计,全球有 11 亿人(包括数百万儿童、妇女和难民)没有任何形式、官方认可的身份证明,他们通常被称为“无银行账户人士”。没有身份,人们很容易受到人口贩运和强迫劳动行为的伤害。无银行账户人士往往无法投票,无法获得医疗保健服务,无法开立银行账户或接受教育。如果没有准确的人口数据,公共和私人组织就很难广泛、准确地提供最基本的人类服务。9

通过技术创新使无银行账户人士享有民主和权力

在现代世界中,身份和身份证明是实现社会和经济融合的先决条件。身份必须得到个人可能与之互动的公共部门组织和私营部门组织的广泛认可。

风险:被盗数字身份信息的滥用

随着 Web 2.0 和现代技术现实的出现,尽管在线和移动安全协议也有所发展,但数字银行环境面临的最大威胁是网络罪犯和黑客带来的威胁,这些人想方设法利用毫无防备的个人和企业。窃取高度敏感的数字身份信息的部分目的包括:

  1. 网络罪犯: 网络罪犯试图窃取敏感身份数据,洗白通过在线黑市买卖毒品所得的非法资金。
  2. 逃避制裁: 若企业接纳了使用伪造身份文件的犯罪分子,或者在登记来自受制裁国家 / 地区的客户时接纳了钱骡,则可能面临严重后果。
  3. 恐怖融资: 若无充分的身份识别程序, 参与恐怖融资活动的人(无论是恐怖组织的成员,还是孤身犯罪分子或融资人员)有可能利用稻草人为意识形态性的非人道行为提供方便,从而绕开“了解您的客户”(KYC) 程序。
  4. 有组织的跨国犯罪: 被盗身份证件(如护照)通常会在全球有组织犯罪集团中出售;而这些犯罪集团经常参与其他非法活动,如人口贩运、毒品贩运、武器和弹药交易、有偿暗杀、欺诈等。
  5. 扩散融资: 犯罪分子可能试图窃取资金并逃避侦查,获取、采购和分发大规模杀伤性武器 (WMD)开发资金或材料。
  6. 贿赂和贪污: 企业或公共职能部门人士可能利用职务之便,设法采用新的方式,隐藏通过串通投标或接受回扣、非法酬金、其他便利支付等受贿手段取得的资金。
  7. 加密货币: 随着隐私货币和其他代币的出现,加密货币进一步提升了匿名性,为在网上市场上买卖商品提供了便利。加密货币公司和交易面临的一个主要挑战是,作为 IT 架构较弱的中小型企业,规模大得足以引起黑客的关注,因而面临资金失窃风险。分散型交易所通常成为伊朗和朝鲜黑客及以国家为后盾的虚拟货币的目标,因为这些国家把加密货币作为对付其他政府经济政策的一种对策。

洗钱风险

远程客户开户过程需要考虑的一些关键因素包括洗钱风险水平,因为该过程缺乏面对面的接触,客户有可能借助稻草人来掩盖账户所有人的真实身份。一旦将数据隐私、网络安全、欺诈、洗钱、个人权利和自由权侵犯纳入考虑,还会出现更复杂的情况。犯罪分子通常用来洗钱、隐瞒其作为真实账户所有人的身份的一些技术包括:

  • 身份隐瞒
  • 利用网络钱骡
  • 数字拆分洗钱人员
  • 数字弹转(在多个账户之间转移资金)
  • 化整为零(将资金化整为零,分散到不同地点)
  • 续费(类似于微型拆分交易)
  • 数字堆叠(使用电子钱包存储价值)
  • 使用隐私货币(虚拟货币)和搅拌机

结语

我们需要制定新的 KYC 和客户尽职调查监管指引,才能跟上数字交易现实的发展,优化过时的客户开户流程,并充分考虑新兴技术带来的固有金融犯罪风险水平。 10发展中国家正在研究修订法律和政策,使发展经济体中仍处边缘的数百万贫困男性、女性和儿童更好地融入社会。发展中国家有许多人没有出生证明或其他基础身份证明,这种情况限制了他们享有医疗保健等资源的机会。随着政府政策的改善,随着相应威胁应对策略的实施,随着技术的发展,防范金融犯罪专业人士可以发挥带头作用,帮助那些弱势群体更好地融入世界。11

Robert Miller,CAMS,OCRA Worldwide 合规专员兼部门总监,中国香港, robert@ocra.com.hk

  1. “Digital Identity Management: Enabling Innovation and Trust in the Internet Economy”(数字身份管理:在互联网经济中实现创新和信任),经济合作与发展组织,2011 年,http://www.oecd.org/sti/ieconomy/49338380.pdf,(访问日期:2019 年 10 月 6 日)。
  2. “Anti-Money Laundering and Counter-Terrorism Financing Act 2006”(反洗钱和反恐融资法案(2006 版)),澳大利亚政府联邦立法登记网https://www.legislation.gov.au/Details/C2013C00371
  3. “2017/2018 Annual Report”(2017/2018 年度报告),ID4Africahttp://www.id4africa.com/2018/files/2018_Annual_Report_Final_EN.pdf
  4. “The World Bank Identification for Development”(验明身份发展计划),世界银行https://id4d.worldbank.org/,(访问日期:2019 年 10 月 9 日)。
  5. “Civil Registry”(户籍登记册),美洲国家组织http://www.oas.org/en/topics/civil_registry.asp(访问日期:2019 年 10 月 6 日)。
  6. “A cost-benefit analysis of Aadhaar”(Aadhaar 成本效益分析),国家公共财政与政策研究所,2012 年 11 月 9 日,http://planningcommission.nic.in/reports/genrep/rep_uid_cba_paper.pdf
  7. “Government of Pakistan”(巴基斯坦政府),巴基斯坦政府https://id.nadra.gov.pk/,(访问日期:2019 年 10 月 6 日)。
  8. Filippo Grandi,“Opening statement at the 68th session of the Executive Committee of the High Commissioner's Programme”(高级专员计划执行委员会第 68 届会议开幕词),联合国难民事务高级专员,2017 年 10 月 2 日,https://www.unhcr.org/en-us/admin/hcspeeches/59d1f3b77/opening-statement-68th-session-executive-committeehigh-commissioners-programme.html,(访问日期:2019 年 10 月 6 日)。
  9. “Manifesto”(宣言),ID2020https://id2020.org/manifesto
  10. “eKYC – Electronic Know Your Customer for Today’s Mobile-First World”(eKYC——当今移动优先世界的电子化了解您的客户流程),Trulioohttps://www.trulioo.com/blog/ekyc/,(访问日期:2019 年 10 月 6 日)。
  11. “Reserve Bank of India”(印度储备银行),印度储备银行https://www.rbi.org.in,(访问日期:2019 年 10 月 6 日)。

Leave a Reply