電信事業提供電信服務風險管理機制指引
113.10.18版

  1. 前言
    行政院透過「新世代打擊詐欺策略行動綱領」,結合內政部(警政署為幕僚單位)、金融監督管理委員會、數位發展部、法務部及國家通訊傳播委員會(以下簡稱通傳會)共同組成聯合防線,針對詐欺案件從「識詐(教育宣導面)」、「堵詐(電信網路面)」、「阻詐(贓款流向面)」、「懲詐(偵查打擊面)」等四個面向研擬各項策略與措施,並針對各種詐騙手法及樣態,持續滾動檢討及精進各項措施,積極防制。通傳會為協助警政機關防制電信詐騙,避免國人遭受財產損失,基於行政一體參與政府防制電信詐騙跨部會平臺,強化機關橫向聯繫,提升防制詐騙功效。行政院於一百十二年五月三十一日成立打擊詐欺辦公室(一百十三年八月二十七日升格成為行政院打擊詐欺指揮中心),匯集五個部會的人力,統籌、督導和整合民間各界資源,發揮政府施政機動性。鑒於通傳會於跨部會打詐平臺分工負責「堵詐」層面,為遏止用戶號碼或電信服務淪為詐騙工具,爰依行政程序法第一百六十五條、詐欺犯罪危害防制條例及電信事業用戶號碼使用管理辦法(以下簡稱號碼管理辦法)訂定本指引,各電信事業對於申辦電信服務時應持續強化落實認識客戶風險管理機制(Know Your Customer,以下簡稱KYC)。
  2. 適用範圍本指引適用利用公眾電信網路提供電信服務契約,包含行動寬頻服務契約、市內/長途/國際網路服務契約、網際網路接取服務契約、電路出租服務契約及衛星通信服務契約等(以下統稱電信服務契約)。
  3. 名詞解釋
    1. 本指引所稱企業客戶,係指申請之用戶號碼或其他電信服務供法人、非法人團體、商號或政府機關(構)內部員工、業務或產品等用途使用之用戶。
    2. 本指引所稱KYC,係指認識及審查客戶身分、瞭解客戶申辦目的、使用用途等措施。
  4. 基本原則
    1. 依電信管理法(以下簡稱本法)第六十九條第二項授權訂定之號碼管理辦法第三條、第八條及詐欺犯罪危害防制條例第十五條規定意旨,電信事業與申請人簽訂電信服務契約前,應核對及登錄用戶資料,並依號碼管理辦法及電信服務契約規定原則應至少保存至服務契約終止後一年。
    2. 參照前揭規定實施KYC 之立法精神,本指引應落實於電信服務契約規範,申請電信服務時,應出示文件如下:
      1. 自然人申請電信服務時,應出示雙證件正本供業者核對及留存影本或影像檔。雙證件身分證明文件本國人係指國民身分證或護照(外國人係指護照或效期內之外僑居留證)及其他足以辨識身分之證明文件。
      2. 法人或非法人團體、商號申請電信服務時,應出示法人代表人、非法人團體代表人或商號負責人之身分證明文件正本、政府主管機關核發之法人證明文件正本、商業登記證明文件正本供業者核對及留存影本或影像檔。身分證明文件本國法人代表人係指國民身分證或護照(外國人係指護照或效期內之外僑居留證)。
      3. 委託代理人申請辦理時,除應檢附上揭申請人之證明文件外,該代理人並應出示身分證正本及已得合法授權之資料或文件供電信事業核對及留存影本或影像檔。
    3. 電信事業應核對申請人或代理人身分,確認申請人或代理人與其所持證件相符;對於初次申辦用戶號碼者應即時拍照留存用戶或代理人影像。但非本國籍人士申辦三十天內短效期預付卡,於採取相當風險管控措施下,得不須現場拍照留存。
    4. 電信事業應要求加盟店或授權通路受理申辦電信服務時,其查核作業應與公司直營門市相同(如包含檢視證件正本,以及照相或錄影等)。對於違反者訂定內控違約金(懲罰性違約金)機制,並規劃定期及不定期至各授權通路辦理員工教育訓練及查核其申辦情形。
    5. 申辦用戶號碼者,須臨櫃辦理,或依號碼管理辦法第五條第二項經主管機關核准之方式、以符合電子簽章法之數位簽章方式簽署,或由電信事業派員親訪申辦。
    6. 如申請人或其委託代理人拒絕提供相關資料、或不配合本指引者,電信事業應拒絕其辦理。
    7. 電信事業於受理電信服務申請時,需檢核之證件包含申請人(法人及自然人)及其委託代理人,均應納入KYC。
  5. 自主建立查核抽測機制並送主管機關備查
    1. 為落實KYC,電信事業應設置獨立於業務部及通路部門外之查核部門,並自行訂定定期及不定期查核抽測計畫,至少每月辦理抽測,尤其針對高風險用戶應加強查核,以確保各通路於受理申辦電信服務之過程,務必落實申請人、代理人及企業客戶之KYC。
    2. 前款查核抽測計畫實施前應送主管機關備查,變更時亦同。
    3. 第一款抽測應作成紀錄,並定期將查核結果及改正情形,送主管機關備查,知悉有不法使用情事,應立即向有關機關通報。
    4. 提供衛星通信服務且未獲核配用戶號碼之電信事業,不適用本點規定。
  6. 客戶申辦電信服務之審查及管理機制
    1. 電信事業依本法第八條第二項據以提供電信服務時須符合詐欺犯罪危害防制條例第十九條、第二十條、第二十二條,以及號碼管理辦法第七條規定,依主管機關指定之資料庫輔助驗證(包括但不限於:配合檢警調建立防詐聯合風險管理連線之查詢功能、行動通信電信事業應用移民資訊)用戶或使用電信人身分、出境、逾期停留或居留狀態,並應依個人資料保護法規定辦理,不得逾越核對目的之必要範圍,且應確保其從業人員保密義務。
    2. 電信事業受理非本國籍人士申辦行動通信之用戶號碼時:
      1. 非本國籍人士申辦門號以一門為原則,申請逾一門者應說明使用目的並提出相關證明文件或切結書,電信事業應依KYC 實質審核其用途及目的並予以酌核。
      2. 應請該非本國籍人士提出簽證期日資料,倘申請人簽證期日少於一個月,僅能申辦提供三十天內之短效期預付卡。
    3. 電信事業受理企業客戶申辦使用電信服務時,應依下列規定辦理:
      1. 依號碼管理辦法第四條及相關規定辦理;企業客戶應檢附使用用途說明、營業處所及使用人清冊。
      2. 企業客戶初次申請者,以不逾該企業客戶員工人數為原則。逾企業客戶員工人數之申請,企業客戶須提供實際使用者資料供查證。於必要時,電信事業應實地查看經營業務與所欲申請用戶號碼或其他電信服務用途是否相符,經電信事業之風險控管部門評估相符後再予以酌核,相關實地查訪紀錄應以書面留存。
      3. 企業客戶應提出切結書,保證其使用用戶號碼或其他電信服務不得有違反法規或未經電信事業同意轉讓他人情事,如經有關機關通知有違反切結書之情事,電信事業得採取必要風險管控措施(例如:電信事業得對用戶之用戶號碼或其他電信服務全部或一部停止使用或終止租用)。
    4. 曾受電信事業限制或停止電信服務之用戶,向同一電信事業再度申請電信服務時,依詐欺犯罪危害防制條例第二十三條第一項規定辦理:電信事業於該用戶受限制或停止通知之日起三年內,限制其至多申請一門用戶號碼或一項電信服務。但該用戶申請時,電信事業仍有提供之其他用戶號碼或電信服務予該用戶者,電信事業於用戶受限制或停止通知之日起三年內,不得受理其申請。
    5. 曾因使用或提供電信服務進行詐欺,受司法警察機關通知限制或停止電信服務之法人、非法人團體、商號,其代表人再以不同法人、非法人團體、商號之名義向同一電信事業申請電信服務時,依詐欺犯罪危害防制條例第二十三條第二項規定辦理:電信事業應於受限制或停止通知之日起三年內限制其至多申請一門用戶號碼或一項電信服務。但法人、非法人團體、商號仍有該電信事業提供之其他用戶號碼或電信服務時,電信事業於受限制或停止通知之日起三年內不得受理其申請。
    6. 曾因使用或提供電信服務進行詐欺,受司法警察機關通知限制或停止電信服務之法人、非法人團體、商號申請電信服務時,電信事業應依下列規定辦理:
      1. 申辦時電信事業應落實請申請人確實說明使用用途,以配合後續查證。
      2. 電信事業應請申請人提供員工雙證件,製作使用清冊資料,並將證件影像檔留存電信事業系統,並得請申請人提出切結書,倘用戶有違反切結書情事,電信事業得採取必要風險管控措施(例如:用戶保證不再使用或提供電信服務進行詐欺,再有受各有關機關限制或停止用戶號碼或其他電信服務時,電信事業得限制用戶再申請電信服務之數量不得逾一項為原則等)。
    7. 固定通信之直接撥入(Direct Inward Dialing,以下簡稱DID)服務經有關機關通知依法限制或停止提供者,每次將依被通報之門號所屬號段十門為單位執行限制或停止提供服務。若同一企業客戶被通報限制或停止提供服務達五次以上且無正當理由者,電信事業應終止該外線直接撥入分機(DID)代表號之電信服務。
    8. 本指引之內容,電信事業應納入客戶契約條款,以避免日後爭議;本指引生效前已訂立之契約,電信事業應於本指引生效後二年內優先針對高風險用戶,依本指引內容檢視並調整契約內容及管理,加強查核抽測並採取相應風險管控處置。
  7. 保證金及罰則制度 各電信事業針對企業客戶及自然人之風險管控,得考慮企業客戶或自然人實際業務服務需要及申辦數量為基準,於契約約定要求依風險提出保證金及違約金條款,倘該等用戶經有關機關通 報限制或停止電信服務時,得予以扣繳保證金及收取違反規定之違約金。
  8. 簡訊風險管理措施為防制電信詐騙,提供行動通信服務之電信事業,對於發送商業簡訊(Application to Person,A2P)以外之簡訊服務,應施行符合一般用戶合理發送之數量及使用態樣之管理機制,如有異常使用情形,應執行相關風險控管措施,並應建立即時關閉簡訊發送功能之機制。鑒於目前電信事業評估簡訊單日使用需求為五十則內,建議每門號之簡訊發送量設定以單日五十則為原則,倘未曾受各有關機關通知限制或停止電信服務之用戶有大量發送簡訊需求,得由該用戶申請並經電信事業審酌風險後酌予放寬。 提供行動通信服務之電信事業應將前揭管理機制納入定型化契約條款,並配合注意是否有異常或違法使用行為。
  9. 其他
    1. 網路資料中心(Internet Data Center,IDC)服務雖非屬電信服務,惟考量電信機房安全管理及資訊安全,電信事業兼營IDC服務時,應參照本指引第肆點之第二款、第六款及第七款,對其承租客戶落實KYC。
    2. 本指引辦理後得視執行成效、因應社會環境變化及配合政府防詐政策作滾動式調整。電信事業亦得依本法相關法規要求、企業內部風險評估結果、配合有關機關通知查核之事件及案例經驗等參考因素,定期或適時檢討風險防範機制,必要時予以修正。