一、監管重點
Ofcom 在 2026 年 4 月更新的行動訊息詐騙諮询中,持續推進適用於 mobile operators 與 business messaging aggregators 的統一規則;重點不是單點攔阻,而是把「準入審查+發送監測+事後處置」串成完整鏈路。A2P 部分的核心要求包括:開戶階段執行 KYC、對字母型 Sender ID 建立高可信驗證、持續執行 Know Your Traffic、發現詐騙後即時封鎖並保留紀錄,同時要求這些流程落實時須符合 UK GDPR、DPA 2018 與 PECR 的資料保護邊界;Ofcom 並表示預計於 2026 年夏季發布最終決定。
二、對企業的影響
這代表英國 A2P 已不只是採購通路與模板治理問題,而會進一步變成可稽核的客戶準入工程。若聚合商與品牌方仍採用「先開通、後補資料」模式,或共用過於泛化的 Sender ID、跨業務線重複使用品牌名稱、缺少流量異常基線,後續在開戶、擴容、切換路由與異常排查時,都可能被要求補件,甚至遭到攔阻。對 OTP、支付驗證、催繳提醒與高敏感產業通知而言,真正風險不只是單則被拒,而是當帳戶輪廓、Sender ID 權屬與流量用途對不起來時,整段鏈路的可信度與送達率會一起下滑。
三、操作建議
針對英國流量的發送方,現在就應把品牌主體、業務場景、Sender ID 權屬、URL 網域、客服回撥號碼與範本內容整理成同一套開戶資料,並要求上游 aggregators 明確界定誰負責 KYC、誰負責 KYT、誰保存證據。若架構涉及多品牌、多國家或多代理商,建議把 OTP、行銷、催繳、客服通知拆成獨立流量輪廓,不要再混發或共用同一字母簽名;同時補齊攔阻申訴流程、日誌保存週期與跨境資料處理說明,避免在反詐攔截與資料最小化之間兩邊失守。
常見問題
如果我們只是向英國用戶發送 OTP,也需要準備完整 KYC 與 Sender ID 資料嗎?
需要。OTP 雖然通常投訴率較低,但仍屬高頻且容易被冒用的關鍵訊息類型。若開戶資料無法證明品牌主體、發送用途、簽名歸屬與回退聯絡方式,上游 aggregators 很可能把這類流量視為高風險,後續擴容、切換路由或異常解封都會更慢。
同一個品牌名稱能否同時用於行銷簡訊、帳單提醒與催繳通知?
技術上不一定絕對禁止,但合規風險會明顯上升。不同業務場景的點擊、申訴、回覆與封鎖模式差異很大,混用同一 Sender ID 會使 KYT 難以判斷正常基線,也會在用戶感知層面放大「品牌遭冒用」的誤報與誤攔阻機率。
反詐監測會不會與資料最小化、跨境傳輸要求衝突?
兩者確實存在張力,但並非不能並行。關鍵在於先界定監測欄位是否真為識別惡意 Sender ID、URL、號碼與異常流量所必需,再把保存期限、存取權限、自動化判定邏輯與跨境傳輸保障寫清楚。英國方案已明確把 UK GDPR、DPA 與 PECR 一併納入實施邊界。
參考來源
本文僅供資訊參考,不構成法律意見。