電信事業提供電信服務風險管理機制指引

114.09版

-                                        壹、前言
-                                        為強化電信事業用戶號碼之使用管理及認識客戶風險管理機制 (Know Your Customer ，以下簡稱 KYC)，國家通訊傳播委員會 (以下簡稱通傳會) 於一百十三年四月二十六日公布施行電信事業用戶號碼使用管理辦法 (以下簡稱號碼管理辦法)，另為防制及打擊詐騙危害，總統於一百十三年七月三十一日公布施行詐欺犯罪危害防制條例 (以下簡稱詐防條例)，維護人民財產安全與社會安定。行政院再於一百十三年十一月二十八日通過新世代打擊詐欺策略行動綱領 2.0 ，精進政府打詐行動綱領，透過行政院跨部會打詐國家隊，攜手協力共同應處詐欺犯罪問題。
-                                        通傳會於跨部會打詐平臺分工負責「堵詐」層面，為遏止用戶號碼或電信服務淪為詐騙工具，爰依行政程序法第一百六十五條、詐防條例及號碼管理辦法訂定本指引，各電信事業對於申請電信服務時應持續強化落實 KYC 機制。
-                                        貳、適用範圍
-                                        本指引適用利用公眾電信網路提供電信服務，包含行動寬頻服務、市內 長途 國際網路服務、網際網路接取服務、電路出租
服務 、 衛星通信服務及其他電信服務等 (以下統稱電信服務)
-                                        參、名詞解釋
-  本指引所稱企業客戶，係指申請之用戶號碼或其他電信服務供法人、非法人團體、商號或政府機關(構)內部員工、業務或產品等用途使用之用戶。
  本指引所稱 KYC，係指認識及審查客戶身分、瞭解客戶申請目的、使用用途等措施。
-                                        肆、基本原則
-  依電信管理法 (以下簡稱本法) 第六十九條第二項授權訂定之號碼管理辦法第三條、第八條及詐防條例第十五條等規定意旨，電信事業與申請人簽訂電信服務契約前，應核對及登錄用戶資料，並依號碼管理辦法及電信服務契約規定原則應至少保存至服務契約終止後一年。
  參照前揭規定實施 KYC 之立法精神，本指引應落實於電信服務契約規範，申請電信服務時，應出示文件如下：
    
      自然人申請電信服務時，應出示雙證件正本供業者核對及留存影本或影像檔。雙證件身分證明文件本國人係指國民身分證或護照 (非本國籍人士係指護照或效期內之外僑居
        留證) 及其他足以辨識身分之證明文件。
      法人或非法人團體、商號申請電信服務時，應出示法人代表人、非法人團體代表人或商號負責人之身分證明文件正本、政府主管機關核發之法人證明文件正本、商業登記證
        明文件正本供業者核對及留存影本或影像檔。身分證明文件本國法人代表人係指國民身分證或護照 (非本國籍人士係指護照或效期內之外僑居留證)。
      委託代理人申請辦理時，除應檢附上揭申請人之證明文件外，該代理人並應出示身分證正本及已得合法授權之資料或文件供電信事業核對及留存影本或影像檔。
    
  
  電信事業應核對申請人或代理人身分，確認申請人或代理人與其所持證件相符；對於初次申請電信服務者應即時拍照留存用戶或代理人影像。存用戶或代理人影像。有下列情況之一者，有下列情況之一者，得不辦理辦理拍照留拍照留存：
    
      企業客戶申請未使用用戶號碼之電信服務。
      非本國籍人士申請三十天內短效期預付卡，且該預付卡僅提供上網數據傳輸服務。
      非本國籍人士 於我國機場或港口申請三十天內短效期 預付卡，得以足資辨識申請用戶身分之錄影影像替代拍照留存，其錄影影像保存期限至少三個月。
    
  
  電信事業應要求加盟店或授權通路受理申請電信服務時，其查核作業應與公司直營門市相同 (如包含檢視證件正本，以及照相或錄影等)。得對於違反者訂定內控違約金 (懲罰性違約金) 機制，並規劃定期及不定期至各授權通路辦理員工教育訓練及查核其申請情形。
  申請電信服務者，須臨櫃辦理、依電子簽章法規定之數位簽章方式簽署或由電信事業派員親訪辦理。但申請使用用戶號碼之電信服務者應依號碼管理辦法第五條第二項規定辦理。
  如申請人或其委託代理人拒絕提供相關資料、或不配合本指引者，電信事業應拒絕其辦理。
  電信事業於受理電信服務申請時，需檢核之證件包含申請人 (法人及自然人) 及其委託代理人均應納入 KYC。
-                                        伍、自主建立查核抽測機制並送主管機關備查
-  為落實 KYC，電信事業應設置獨立於業務部及通路部門外之查核部門，並自行訂定定期及不定期查核抽測計畫，至少每月辦理抽測，尤其針對高風險用戶應加強查核，以確保各通路於受理申請電信服務之過程，務必落實申請人、代理人及企業客戶之 KYC。
  前款查核抽測計畫實施前應送主管機關備查，變更時亦同。
  第一款抽測應作成紀錄，並定期將查核結果及改正情形，送主管機關備查，知悉有不法使用情事，應立即向有關機關通報。
  提供衛星通信服務且未獲核配用戶號碼之電信事業，不適用本點規定。
-                                        陸、客戶申請電信服務之審查及管理機制
-  電信事業依本法第八條第二項據以提供電信服務時須符合詐防條例第十四條、第十九條、第二十條、第二十二條，以及號碼管理辦法第七條規定，依主管機關指定之資料庫輔助驗證 (包括但不限於：配合檢警調建立防詐聯合風險管理連線之查詢功能、行動通信電信事業應用移民資訊) 用戶或使用電信人身分、出境、逾期停留或居留狀態，並應依個人資料保護法規定辦理，不得逾越核對目的之必要範圍，且應確保其從業人員保密義務。
  電信事業受理本國籍人士申請行動通信之用戶號碼之數量分配原則：
    
      預付型門號：本國籍人士申請預付型門號總數逾二門者，應請申請人說明使用目的並提出相關證明資料，電信事業得依 KYC 審核結果予以酌核。申請之預付卡門號屬三十天內短效期者，自第一門申請日起九個月內申請逾二門者，亦同。
      月租型門號：本國籍人士申請月租型門號總數逾二門者，應請申請人說明使用目的並提出相關證明資料，電信事業得依 KYC 審核結果予以酌核。
      本國籍人士申請用戶號碼總數逾二門者，應加強用戶風險控管措施。
    
  
  電信事業受理非本國籍人士申請行動通信之用戶號碼之數量及類型分配原則：
    
      非本國籍人士申請門號總數逾一門者，應請申請人說明使用目的並提出相關證明資料，經電信事業依 KYC 實質審核其用途及目的後酌予放寬。
      電信事業應請申請人提出簽證期日資料，簽證期日少於一個月者，僅能提供其申請三十天內之短效期預付卡。
    
  
  電信事業受理自然人申請市內電話用戶號碼月租型及臨時電話之總數量逾二門時，電信事業應請申請人說明申請原因及目的，並提出證明資料或切結書，電信事業得依 KYC 審核結果予以酌核。
  電信事業受理企業客戶申請使用電信服務時，應依下列規定辦理：
    
      依號碼管理辦法第四條及相關規定辦理企業客戶應檢附使用用途說明、營業處所及使用人清冊。
      企業客戶申請時，應審酌員工人數、實收資本額、營運性質、申請目的與使用用途及申請數量等因素，且電信服務分配數量以不逾該企業客戶員工人數為原則。逾企業客戶員工人數之申請，企業客戶須提供實際使用者資料供查證。於必要時，電信事業應實地查看經營業務與所欲申請用戶號碼或其他電信服務用途是否相符，經電信事業之風險控管部門評估相符後再予以酌核，相關實地查訪紀錄應以書面留存。
      企業客戶應提出切結書，保證其使用用戶號碼或其他電信服務不得有違反法規或未經電信事業同意轉讓他人情事，如經有關機關通知有違反切結書之情事，電信事業得採取必要風有關機關通知有違反切結書之情事，電信事業得採取必要風險管控險管控措施 (例如：電信事業得對用戶之用戶號碼或其他電信服務全部或一部停止使用或終止租用)。
    
  
  曾受電信事業限制或停止電信服務之用戶，向同一電信事業再度申請電信服務時，依詐防條例第二十三條第一項規定辦理：電信事業於該用戶受限制或停止通知之日起三年內，限制其至多申請一門用戶號碼或一項電信服務。但該用戶申請時，電信事業仍有提供之其他用戶號碼或電信服務予該用戶者，電信事業於用戶受限制或停止通知之日起三年內，不得受理其申請。
  曾因使用或提供電信服務進行詐欺，受司法警察機關通知限制或停止電信服務之法人、非法人團體、商號，其代表人再以不同法人、非法人團體、商號之名義向同一電信事業申請電信服務時，依詐防條例第二十三條第二項規定辦理：電信事業應於受限制或停止通知之日起三年內限制其至多申請一門用戶號碼或一項電信服務。但法人、非法人團體、商號仍有該電信事業提供之其他用戶號碼或電信服務時，電信事業於受限制或停止通知之日起三年內不得受理其申請。
  曾因使用或提供電信服務進行詐欺，受司法警察機關通知限制或停止電信服務之用戶申請電信服務時，電信事業應依下列規定辦理：
    
      申請時電信事業應查核申請人使用用途，並採取適當風險管控措施，適時限制提供電信服務之數量或限制電信服務之功能。
      法人、非法人團體、商號申請電信服務時，電信事業應請該申請人提供員工雙證件，製作使用清冊資料，並將證件影像檔留存電信事業系統。
    
  
  固定通信之直接撥入 (Direct Inward Dialing ，以下簡稱 DID 服務經有關機關通知依法限制或停止提供者，每次將依被通報之門號所屬號段十門為單位執行限制或停止提供服務。若同一企業客戶被通報限制或停止提供服務達五次以上且無正當理由者，電信事業應終止該外線直接撥入分機 (DID) 代表號之電信服務。
  本指引之內容，電信事業應納入客戶契約條款，以避免日後爭議；本指引生效前已訂立之契約，電信事業應於本指引生效後二年內優先針對高風險用戶，依本指引內容檢視並調整契約內容及管理，加強查核抽測並採取相應風險管控處置。
-                                        柒、其他精進措施
-  電信事業依詐防條例第十七條第一項及第十八條第二項規定重新辦理 KYC 時，應依下列規定辦理：
    
      電信事業應限期本國籍用戶於七日內、非本國籍用戶及企業客戶於十四日內辦理 KYC。
      用戶使用之電信服務為行動通信之用戶號碼者，應攜帶 SIM 卡依限臨櫃辦理 KYC。
      用戶為企業客戶者，得由電信事業依第一目期限派員親訪辦理 KYC。
      電信事業重新辦理 KYC 時，應即時拍照留存用戶影像。 但重新辦理 KYC 之用戶為政府機關、公 私立學校及公營事業機構者，不在此限。
    
  
  用戶申請更換 SIM 卡或補發 SIM 卡時，電信事業應請用戶說明申請原因及目的，並提供證明資料，電信事業得依 KYC 審核結果予以酌核。
  用戶申請更換行動通信之用戶號碼時，電信事業應請用戶說明申請原因及目的，並提供證明資料，電信事業得依 KYC 審核結果予以酌核。用戶申請門號換號之次數，自第一次換號起六個月內至多以二次為原則。但企業客戶申請更換行動通信之用戶號碼，電信事業應依第肆點第二款、第陸點第五款第一目及第三目受理申請電信服務之規定辦理。
  電信事業針對異常話務行為，於技術可行下，應採取適當風險管控措施，避免用戶接觸詐欺資訊。
  設置行動通信網路之電信事業應每日提供警政機關受異常干擾之基地臺資料，並配合警政機關需求即時提供特定基地臺資料。
-                                        捌、簡訊風險管理措施
-  為防制簡訊詐騙，提供行動通信服務之電信事業，對於發送商業簡訊 (Application to Person A2P) 及個人簡訊 (Person to Person P2P) 之簡訊服務，應採取合理對應之管理措施。
  商業簡訊服務風險管理措施：
    
      電信事業應施行簡訊內容包含連結之管理機制，連結內容有異常情形時，應執行相關風險控管措施，並應建立拒絶發送之機制。
      簡訊內容包含網址 (Uniform Resource Locator URL)、短網址 (Short 或用戶號碼等連結者，電信事業應先審核及登錄該連結係屬發送內容之企業專屬專用，電信事業始得發送包含該等資訊之商業簡訊。
      前目情形，用戶得向電信事業申請放寬審核及登錄機制，經電信事業審酌風險後得酌予放寬。
      前目審酌事項應包含用戶提出申請用於發送商業簡訊之用戶號碼是否屬單一企業專用。
      企業客戶發送簡訊時，電信事業得要求其於簡訊內容揭露該企業客戶名稱。
    
  
  個人簡訊服務風險管理措施：
    
      電信事業應施行符合一般用戶合理發送之數量及使用態樣之管理機制，如有異常使用情形，應執行相關風險控管措施，並應建立即時關閉簡訊發送功能之機制。
      鑒於目前電信事業評估此類簡訊單日使用需求為五十則內，建議每門號發送量設定以單日五十則為原則，倘未曾受各有關機關通知限制或停止電信服務之用戶有大量發送簡訊需求，得由該用戶申請並經電信事業審酌風險後酌予放寬。
    
  
  提供行動通信服務之電信事業應將前揭管理機制納入定型化契約條款，並配合注意是否有異常或違法使用行為。
-                                        玖、其他
-  網路資料中心 (Internet Data Center IDC) 服務雖非屬電信服務，惟考量電信機房安全管理及資訊安全，電信事業兼營 IDC 服務時，應參照本指引第肆點之第二款、第六款及第七款，對其承租客戶落實 KYC。
  本指引辦理後得視執行成效、因應社會環境變化及配合政府防詐政策作滾動式調整。電信事業亦得依本法相關法規要求、企業內部風險評估結果、配合有關機關通知查核之事件及案例經驗等參考因素，定期或適時檢討風險防範機制，必要時予以修正。