為使保險業辦理行動身分識別服務（Mobile ID） 業務（以下簡稱本業務 ）有一致性之規範，以保障金融消費者權益，特訂定本規範。

本自律規範所稱行動身分識別服務（Mobile ID） 驗證，係指保險業經取 得客戶同意後，由客戶透過載有 4G／5G 門號（或配合電信業者更新之最 新技術）SIM 卡之行動裝置，經過第三方認證機構向客戶所屬之電信業者 ，以客戶之行動電話號碼、身分證號碼及生日，與電信業者之行動門號租 用人申辦資料比對，確認為一致，所進行之身分驗證作業。

辦理本業務之作業範圍： 一、財產保險業得結合行動身分識別服務（Mobile ID） 驗證辦理下列作 業： （一）簽署要保書 1.要保人及被保險人為同一人之保單，且具行為能力之本國自然人 。 2.適用範圍詳如附表一。 （二）簽署理賠申請書 1.被保險人以具行為能力之本國自然人為限。 2.適用範圍詳如附表二。 二、保險業辦理取代保全電訪確認作業： （一）不限要保人及被保險人為同一人之保單，且以具行為能力及未滿 65 歲之本國自然人為限。 （二）排除法令明訂需以電訪確認項目，適用範圍詳如附表三。

保險業辦理本業務，除應遵循「保險業招攬及核保理賠辦法」、「保險業 內部控制及稽核制度實施辦法」、「個人資料保護法」、「電子簽章法」 、「保險業務員管理規則」、防制洗錢、打擊資恐及資武擴相關規範等規 定，並應訂定要保作業、理賠作業及保全作業等相關控制作業處理程序， 至少應包括受理申請至辦理完成之作業程序與流程圖、分層負責授權權限 及風險控管機制，其中風險控管機制應能有效確認客戶辦理保險業務項目 之真意，以有效防止業務員舞弊等，相關控制機制應留存相關檢核紀錄， 並納入內部控制及內部稽核項目，且適時檢討修訂。 保險業辦理本業務，應落實資訊安全防護、洗錢及資恐風險控管等法令遵 循、個人資料保護及客戶權益保障。

前條作業處理程序，至少應包括下列風險控管及控制措施： 一、簽署要保書： （一）客戶收到簽署要保書之電子訊息（包含但不限於 QR Code、Email 、簡訊）後，開啟電子要保書連結，應設有身分證字號、出生年月 日及圖形驗證碼等檢核，並於通過後方可開啟並閱覽電子要保書。 （二）客戶同意要保內容，於電子簽章程序前，須閱讀並同意相關服務條 款、個人資料蒐集、處理及利用聲明以及行動身分識別服務使用者 約定條款及隱私權告知條款。 （三）行動身分識別服務（Mobile ID） 驗證通過後，需藉由「保險業辦 理電子商務應注意事項」第十三點第二款之輔助驗證機制，達成強 化辨識簽署人身分之目的，其他輔助身分驗證程序經主管機關核准 者則不在此限。 （四）設置通知措施向客戶說明已收到完成電子簽章之電子要保書。 （五）結合行動身分識別服務（Mobile ID） 簽署要保書應設置電子訊息 連結之時效限制，惟以不超過保險生效日為限。 （六）行動身分識別服務（Mobile ID） 及其輔助驗證需設置驗證次數上 限，避免客戶透過多次驗證識別客戶完整個人資料。 （七）簽署完成之行動身分識別服務驗證資料應結合要保書存儲，可供後 續查驗之完整呈現。 二、簽署理賠申請書： （一）客戶至保險公司辦理理賠通報業務，依畫面或服務人員提示提供理 賠通報所需之資料。 （二）由網頁預覽客戶提供之理賠通報資料，經客戶或服務人員點擊送出 ，由系統判斷客戶填寫之通報資訊是否符合適用資格。 （三）客戶同意理賠申請書內容，於電子簽章程序前，須閱讀並同意相關 服務條款、個人資料蒐集、處理及利用聲明以及行動身分識別服務 使用者約定條款及隱私權告知條款。 （四）結合行動身分識別服務（Mobile ID） 簽署理賠申請書服務，應透 過保險公司建置之會員平台之會員身分認證輔助其身分認證程序或 第三方認證機構憑證簽署，達成強化辨識簽署人身分之目的。 （五）結合行動身分識別服務（Mobile ID） 簽署理賠申請書應設置電子 訊息之時效限制。 （六）行動身分識別服務（Mobile ID） 及其輔助驗證需設置驗證次數上 限，避免客戶透過多次驗證識別客戶完整個人資料。 （七）簽署完成之行動身分識別服務驗證紀錄應結合理賠申請書存儲，可 供後續查驗之完整呈現。 三、取代保全電訪確認作業： （一）以客戶之保單原留存行動電話發送交易確認簡訊通知。 （二）客戶點選簡訊連結需通過個人基本資料（包含但不限於身分證號碼 、生日及驗證碼）、保單基本資料、行動身分識別服務（Mobile ID）驗證程序及身分證驗證程序，始可進行交易內容確認，確認前 需閱讀並同意行動身分識別服務使用者約定條款及隱私權告知條款 。 （三）以行動身分識別服務（Mobile ID） 取代保全電訪確認應設置簡訊 之時效限制，惟以不超過 24 小時為限，逾時則依保險業作業規定 ，執行保全電訪確認作業。 （四）行動身分識別服務（Mobile ID） 及其輔助驗證需設置驗證次數上 限，避免客戶透過多次驗證識別客戶完整個人資料。 四、資料傳輸與資訊安全： （一）保險業辦理本業務應取得資訊安全管理系統國際標準認證（ ISO27001）及個人資料管理系統（PIMS），並應針對使用行動身分 識別（Mobile ID） 身分認證系統之人員、資料傳輸之過程、資料 儲存作業、交易紀錄保存、資訊交換作業等各方面安全控管機制， 制定資訊安全政策，並納入保險業內部控制及內部稽核項目。 （二）保險業應留存相關申請紀錄、資料傳輸與接收軌跡紀錄。 （三）資料及檔案之傳輸與儲存，應依主管機關要求之資訊安全防護相關 規範辦理。 （四）針對所傳輸之個人資料，保險業應建置適當之保護設備或技術，採 取適當之存取管制。 （五）保險業應監控並建立資通安全事件通報程序，遇事件發生時相關單 位及人員依循通報程序辦理。

保險業辦理本業務，應於公司網站公告服務內容。本業務相關宣導文件應 由公司統一製作，並應充分向業務人員說明作業流程與應注意事項。

保險業辦理本業務，至少應每半年定期檢討辦理結果是否符合下列條件， 如未符合者，應擬具改善計畫並召開相關會議檢視是否須強化內部控制及 內部稽核程序，並提報董事會： 一、確認簽署要保書、理賠申請書成功案件應為客戶本人申辦：透過行動 身分識別服務（Mobile ID） 簽署要保書或理賠申請書，結案後無接 獲客戶表示非本人真意之申辦案件。 二、進行取代保全電訪作業案件，確認應為客戶本人申辦：運用行動身分 識別（Mobile ID） 服務取代保全電訪確認完成之案件，結案後無接 獲客戶表示非本人真意之申辦案件。

保險業違反本自律規範，經查核屬實者，得經所屬公會理（監）事會決議 後，視情節輕重予以書面糾正，或處以新臺幣五萬元以上，二十萬元以下 之罰款，並呈報主管機關。

本自律規範由中華民國人壽保險商業同業公會與中華民國產物保險商業同 業公會共同訂定，經各該公會理（監）事會決議通過，報主管機關備查後 施行；修正時亦同。