「開放銀行」、Open API是全球大趨勢,金管會已核定台灣採香港模式分三階段進行。政大國際產學聯盟營運長王儷玲表示,台灣處於Over Banking的狀況與香港環境不同,一是目前並無「有限銀行執照」,各銀行服務非常的類似;二是台灣有非常特殊的金融中介機構(財金、聯徵等)是香港沒有。因此,在目前採取政府鼓勵、市場先行而不修法強制的模式推動開放銀行的進程,宜採取兩大配套措施。

王儷玲指出,以香港模式來看,第一階段先有自律規範,但需要有更多配套來走第二、第三階段,現在的機制下,所有的創新加值服務銀行都要負最大責任,若沒解決TSP業者查核、個資、資安問題,銀行不見得願意再往前走。

在「政府支持、市場先行」的第一階段中,第三方公正機構(財金公司)可扮演Open Banking API管理中心的角色,協同銀行公會並邀集第三方服務業者,共同針對Open API的資料交換格式、資訊安全標準、身分驗證及授權方式等面向研議制定共通標準及參與規範。而管理中心所提供的Open API平台則可供銀行業、電子支付機構、電子票證機構及其他第三方業者自由參與。

第二階段則可採「法制調適、跨業開放」。針對第一階段運行的經驗,由政府針對實現消費者賦權所需要的法制環境進行通盤檢討,研議是否有必要修改調適如個人資料保護法及相關金融法規,並參酌澳洲模式,將開放銀行作為跨業資料開放的示範場域,以互惠義務模式取代法規強制模式,在消費者授權的前提下,以及資料交換雙方業者自願互惠的基礎下,進行跨越產業疆界的資料共享與開放,進而提升消費者的選擇、便利與福祉。

王儷玲表示,政大目前已訪談超過30多家TSP業者,未來TSP業者可能提供的API有五大類:product產品、account帳戶、payment帳戶、KYC、credit信用分析。在與多間TSP業者進行深度訪談後發現,在「資安控管與防護」這塊,TSP業者與金融業者有很大落差。許多業者非金融產業出身,多數TSP業者屬中小企業,這些業者對法律遵循、風險控管與資訊安全管理的認知,自是與金融產業有別。其中更有不少是新創公司,不太可能有能力投入所需的人力與預算。

當Open Banking推展到第二階段(帳戶資訊),TSP透過Open API介接多家銀行獲取個資訊息時,TSP業者本身資安控管與稽核強度就會形成資安鏈結的脆弱點,這是許多銀行資訊安控部門對於Open banking的疑慮處,也是TSP業者在尋求合作銀行時的痛處。

為了幫TSP公司降低其營運上的風險,王儷玲表示,可引進國外(例如英國的OBIE)已有針對TSP發生資安風險的強制保險機制,並且規範TSP建立符合國際標準的內部稽核機制,並由公正的第三方進行實際查核等降低風險的措施。這些做法,都可以透過政大過去豐富的國際產學合作經驗來達成。

王儷玲指出,第三方安全稽核單位是很重要的單位。舉例來說,現在很多家銀行都有與麻布介接,當A銀行查核時就會看到B銀行的資料,這時應有第三方公正業者去稽核敏感資料才不會造成其他銀行顧慮,這個單位可定期查核、公布結果,解決銀行的疑慮、TSP業者的痛點,目前政大已積極推動,預估年底可成立。

#銀行