「開放銀行(Open Banking)」正把臺灣的金融服務帶入新紀元。
10月中旬,政大與財金公司合作的「開放API平臺」正式上路,金融業第一階段的公開信息已能整合介接,方便民眾一次比較不同銀行間的貸款利率、信用卡及相關商品信息。第二階段的消費者信息、第三階段的交易信息,則預計在明年底之前陸續登場。
未來,消費者只要授權資料與數據使用,金融機構與TSP(第三方服務業者)就能依個人需求來量身訂做定製化的金融服務。
開放銀行策略:資料賦權、TSP責任歸屬
但要成功走向開放銀行、開放金融之前,臺灣必須要有兩大策略思考:一是如何做好消費者資料賦權?第二是如何管理TSP、釐清責任歸屬?
先談資料賦權,透過Open API會讓Open Data(開放數據)更安全,因為透過API交換資料,可對資料使用進行一定的追蹤及控管,再搭配身份識別,更適合用於有個人信息隱私議題的金融資料。
Open API可以設計既方便又安全的授權界面,例如政大最近就透過區塊鏈研發資料授權平臺,消費者可以隨時在線上授權個人資料與數據使用,也能記錄、監控與追溯數據的移轉與使用情況,做好風險軌跡的存證與稽核。
至於如何管理TSP。多數TSP對法遵、風控與信息安全認知有限,較缺乏完善管理機制。若要跟原本就被高度監管、信息安全規格很高的金融機構合作,TSP就必須儘快提升信息安全等級與法遵機制。
臺灣法規的規管對象是金融機構,但合作的TSP出錯,例如洩露客戶隱私,那麼誰該受罰?
目前金管會是以銀行為規管對象,並請銀行公會訂立開放銀行的自律規範,原則上會以委外契約來管理TSP。因此,對TSP的合作資格就會從嚴審理,到頭來,可能沒幾家TSP 能拿到入場券,不利於金融創新。
參酌英國經驗,是將TSP視為開放銀行的參與者,訂定信息安全標準,合格即可進入平臺,分級管理且必須承擔信息安全責任,並以「中小企業內部稽核聯盟」(IASME Consortium)對TSP制定查核標準。
而即將在明年2月推動消費者資料權(CDR)的澳洲,擬定一個認證指南草案,引進民間認證單位,獲得五階段驗證的機構才能取用消費者數據。但TSP認證不易,因此在臺灣的「開放API 管理平臺」,政大就扮演了輔導與驗證TSP的角色,協助分階段提升TSP的信息安全層級,並導入外部稽核機制。
目前「國發會」正積極推動My Data數字服務個人化的政策,相信資料賦權可以開放更多資料協助創新;而搭建好Open API管理平臺,能夠讓臺灣做好跨產業的數據移轉、授權與資料治理,加速落實普惠金融。