強化身份認證技術 堵塞數碼驗證漏洞

陳穎峯 大灣區金融科技聯盟創會主席 大中華金融業人員總會副主席

警方拘捕五名男子，指他們涉嫌詐騙，利用偽造身份證，通過積金易（eMPF）平台的電子身份驗證（eKYC）功能，冒認他人身份開設戶口，由強積金賬戶盜取約180萬元。事件曝光後，積金易平台隨即暫停了電子身份驗證功能。這宗案件揭示了香港數字經濟與金融基建出現一個深層且亟需解決的結構性「痛點」。

要了解問題的癥結，首先要明白什麼是eKYC（Electronic Know Your Customer，電子身份驗證）。在本港，要在銀行進行開戶手續，客戶一般需要親身到分行，由職員親身核對身份證與申請者本人相貌是否相符；而eKYC，則是通過網絡平台，以容貌辨析技術完成身份驗證，取代銀行一向使用的驗證手續。

筆者早於2016年便參與創建全香港首間銀行的eKYC功能，見證了它的演變。一個標準而嚴謹的eKYC流程，包含三個核心步驟：驗證「真證」，即是由官方發出且未經篡改的證件；「真人」，即開戶者是活生生的人，而不是照片或影片；以及「人證合一」，即是開戶者與證件相片是同一個人。這三個步驟環環相扣，構成了線上開戶的安全防線。

香港缺乏「權威來源」核證

然而，從2016年初創到今天，香港的eKYC始終面臨一個巨大的痛點，就是缺少即時核驗的權威數據庫。

在金融科技領域，政府的原始數據可以稱為「權威來源」（Golden Source）。以內地為例，金融機構可以對接直屬公安部的「全國公民身份證號碼查詢服務中心」（NCIIS）。銀行上傳客戶的身份證號碼、姓名及照片時，系統能即時比對公安部的數據庫，反饋證件的真偽及人臉匹配度。新加坡的Singpass系統亦有類似功能，在得到客戶授權後，商業機構可以進行高效準確的身份驗證。

至於香港入境事務處的身份證數據庫，長期以來不對商業機構開放。這導致香港包括銀行、積金易等金融平台在進行eKYC時，處於一種「盲測」狀態。機構無法比對客戶提交的資料與入境處的「權威來源」是否一致，只能依賴手機鏡頭拍攝的身份證，再透過光學字符識別（OCR），或者人工智能（AI）算法分析證件上的防偽特徵（如微縮印刷、字體凹凸等）判斷真偽。

在AI技術尚未普及的十年前，這種依賴機器視覺識別的方法尚算可行。然而，隨着生成式AI（Generative AI）技術逐漸成熟，深偽（Deepfake）技術已經發展到出神入化的境界。

以這次詐騙積金易平台案件為例，警方指出詐騙集團使用的是「高仿身份證」。在今天，不法分子利用生成式AI技術，不僅能合成出像真度極高的假身份證圖像，甚至能模擬防偽特徵，達到騙倒傳統eKYC系統「機器視覺分析」的程度。當銀行和金融平台無法驗證到「實體證件」，又無法連接官方數據庫核實時，單靠分析一張經手機拍攝的照片，用「傳統機器視覺」應付「生成式AI深偽」，便顯得脆弱無力。這正是積金易平台被攻破的根本原因。

防範有人用深偽技術進行詐騙

針對是次漏洞，有科技專家建議轉用「智方便」（iAM Smart）進行認證。筆者表示認同，這是現在最就緒的「止血」方案。「智方便」作為目前唯一能直接聯繫入境處系統的數碼身份認證工具，背後連接的正是非常重要的「權威來源」。透過「智方便」，金融機構可以確保開戶者經過政府核實的真實身份，抵擋深偽身份證的攻擊。

香港作為國際金融中心，不應只有一個應用程式支持整個金融系統的身份認證。有關政府部門應審視現時運作，在保障私隱及數據安全的前提下，參考內地NCIIS或新加坡的模式，開放身份證核實服務的應用程式界面（API），容許持牌銀行和受監管金融機構（包括積金易平台），在獲得用戶授權後，直接發送身份驗證請求到入境處系統，核實申請人資料。例如，機構上傳身份證號碼、姓名、照片等資料，入境處系統只需回覆「是/否」或「匹配度」，過程無需回傳敏感的個人訊息。

積金易平台詐騙案已經為香港敲響了警鐘。今天生成式AI技術快速迭代，僅依賴「機器視覺分析」，即使加上「人眼覆檢」驗證身份證件的方法已經不足。電子身份認證eKYC是數字經濟的基石，也是金融基建非常核心的一部分。唯有打通政府數據庫與金融體系之間的壁壘，實現真正的「源頭核證」，才能從根本上堵塞漏洞，保障金融安全，守護香港國際金融中心以至智慧城市的長遠發展。