發展Open API的下一步

財金公司開放API平台首波「公開資料查詢」上線 ,待下一階段的金融資料開放後,消費者的資料再也不是各金融機構的專屬資產,而是回歸到消費者本身意志決定如何共享。圖/pixabay網站
財金公司開放API平台首波「公開資料查詢」上線 ,待下一階段的金融資料開放後,消費者的資料再也不是各金融機構的專屬資產,而是回歸到消費者本身意志決定如何共享。圖/pixabay網站

文/林彥良 勤業眾信聯合會計師事務所風險諮詢服務副總經理.

近年來FinTech創新快速翻轉台灣金融業生態。自2018年「監理沙盒」的申請案件已逾10餘件,其中包含許多金融科技與非金融產業結合的實例,可見金融服務不再限由金融機構提供,形成了全新的金融服務場域與生態圈。

此外,金管會亦規劃了開放銀行發展進程,分為「商品資訊」、「客戶資訊」和「交易資訊」三階段。目前第一階段的「公開資料查詢」開放後,TSP業者已可透過財金公司打造的API平台,與多家銀行的公開商品資訊介接使用後,透過第三方平台的創新應用,使用者即可於單一平台上進行不同金融機構的資料查詢與比較。未來第二、三階段可望創造出更多創新的金融應用場景。

資料開放共享後將衍生的潛在議題

待下一階段的金融資料開放後,消費者的資料再也不是各金融機構的專屬資產,而是回歸到消費者本身意志決定如何共享。客戶資料將透過API授予TSP業者使用,為TSP業者創造了更便利的資料蒐集管道,並可開發更貼近客戶需求的產品與服務。

然而,隨著資料運用的方式越多元化,帶來了各類潛在議題:法令遵循、資訊安全與隱私議題等。因此,如何確實把關與TSP業者合作所提供服務的安全管控,將是產業未來關注的重點。

建立框架要求,開放自由發展空間

目前我國針對金融業Open API共享資料並無專屬法規,係採取如香港、新加坡的作法,由主管機關與銀行公會共同訂定API規格與標準,透過既有法規作為遵循要求基準,並由同業公會訂定相關自律規範以及資安標準,給予金融機構自行與合作TSP廠商資料共享與制定標準之空間。

儘管目前金管會未訂有強制規定,但TSP業者仍需遵循二大自律規範:第一即是銀行公會所制定的業務合作自律規範;第二則是財金公司擬定之Open API技術標準規格書、業務安全控管作業規範。在自律規範中也特別訂定TSP業者的「應遵守事項」,包含洗錢防制法、資恐防制法、個人資料保護法、消費者保護法等法規。

下一階段 強化TSP安全控管要求

第一階段的技術與資安標準已制定完成,並陸續有應用場景上線。而第二階段「消費者資訊查詢」和第三階段「交易面資訊」,因涉及消費爭議處理、消費者權益保障以及大量消費者個人資料的處理和利用,自律規範框架規範密度應更高。就制度面而言,研議中的規範可能包含資安控管、身份認證、授權、雲端儲存等;就技術面而言,則由財金公司根據不同階段、開放業務種類來制定技術與資安標準,則Open API的標準化、規格化與模組化勢必成為關鍵。

跨產業合作的風險管理:加強對TSP的管理、投資資安保險、訂定權責劃分。通常新創或TSP業者對於法遵、風控及資安認知能力較為有限,且較缺乏完善的內控制度,亦較難建構與傳統銀行業者一致的資安與隱私防護水平。因此,銀行在挑選合作之TSP業者時,應更加重視資格審查,並對於第三方執行技術與法令遵循之盡職調查;其次,應選擇經過認證或符合規範要求的第三方服務供應商,並可藉由與供應商、消費者簽訂合約,明定資訊安全責任和義務;最後,也可透過資安保險因應網路安全事件造成之損失。在創新的同時同步提昇服務之安全,方能確保能應付層出不窮的網路安全威脅。

>>訂閱名家評論周報,關心全球財經大小事


延伸閱讀

要做到多安全 才算安全

理性人或正常人?

重新思考台灣STO募資的分級管理機制

公共決策當心求榮反辱

當純網銀結合開放銀行