一文解析 Open Banking 發展概況:「資安」將是今年最大的挑戰

【我們為什麼挑選這篇文章】2020 年被稱作是網銀、開放銀行的元年。

金融業全面上雲轉型的趨勢,已經像是啟動的快速列車一般停不下來了,但在開放、創新及線上化與資安之間的比例分寸怎麼拿捏,首先要先了解一下目前開放銀行發展的現況和資源,這篇文章給了完整的架構概論。(責任編輯:戴慈慧)

在 2019.10.16 台灣「財金資訊股份有限公司」打造的金融開放 API 平臺正式宣布啟用,第一批上架 API 的銀行有 23 家,而參與的第三方服務業者(TSP)則有 6 家,而提供的服務分別是:

以 TSP 業者而言,麻布記帳所串聯銀行家數最多,也是第一階段中大家最關注業者。而這個階段開放的比較偏向是銀行資訊的直接串接,因此其實對於原本的 TSP 業者或是用戶而言,是無法感受到太大的差異性,當然這絕對不是 Open Banking 既有局限性,這是因為臺灣 Open Banking 採取三階段開放措施

第一階段: 公開資料查詢。譬如比價網之類的第三方平台, 可透過 API 串接各銀行的商品資訊,像是定存利率、貨幣匯率、房貸利率等 ,民眾可直接在網站中,比較各銀行的利率。

第二階段: 消費者資料查詢。包含帳戶開戶與附屬業務申請、信用卡及附屬業務申請、消費者個人資料查詢等。 用戶可以將個人資料打包帶走,例如在 A 銀行填寫過的個人金融資料,可以直接拿去申請 B 銀行的戶頭,不必重複填寫資料。

第三階段: 交易面資訊。包含貸款清償、扣帳授權等。 用戶可以透過第三方業者的 App,直接連結帳戶扣款、消費支付,以及整合不同帳戶的資金。

接下來的挑戰

在 2020 年 Open Banking 後續要推動的第二、第三階段,因為涉及消費者個資,需考量事項較為複雜,包括 TSP 業者管理方式、客戶權益保障、爭議處理、損害賠償機制、資訊安全標準等。

第一階段中 TSP 要遵循的規範有兩大項。一是銀行公會制定的銀行與 TSP 業者合作的自律規範,二是財金公司訂定的 Open API 技術標準規格書、業務安全控管作業規範。

因為第一階段不涉及個資,所以,第一階段的自律規範中,所以僅有簡要的爭議處理方式。不過,到了第二、第三階段,因涉及消費者個資,考慮到一旦發生了嚴重外洩事件,有一套對應處理機制就相當重要,所以,接下來的自律規範版本,需要提出更細緻的作法,包括爭議處理機制在內。

銀行公會研擬的資訊安全控管、自律規範與法令遵循相關建議事項的配套措施,以及財金公司擬定的開放 API 技術與資安標準,都已呈報給金管會。至於銀行與 TSP 業者之間的責任歸屬該如何劃分,以及如何管理介接 API 的 TSP 業者,都是尚待釐清的問題。

問題一:責任歸屬

銀行與 TSP 業者的權責分配,萬一發生消費糾紛, 金管會目前比較傾向,由於銀行主動與 TSP 結盟,因此發生糾紛時,第一時間找銀行先補償消費者,再由銀行與 TSP 討論責任歸屬。

譬如說萬一發生個資外洩、轉帳爭議時,由於 TSP 業者不碰錢,而是據消費者的授權來下一個指示,轉帳金流部份由銀行執行,所以若是爭議與錢有關,就由銀行處理,銀行再去事後追究責任,若已賠付出去的部份,再找 TSP 業者來釐清責任,但若是個資外洩,不涉及錢的補償,還是會由 TSP 業者負責。

問題二:TSP 業者的管理

由於對於資安的高度要求,TSP 業者要符合什麼管理門檻?目前還沒有一定定論。對 TSP 業者採取越高的要求,可能會變成了一種進入門檻,甚至只有大型業者才有能力和資本符合,無形拒絕了更多金融科技創新的可能性,因為資源不足的小型 TSP 連參與的機會都沒有。多家銀行主管則建議, 可考慮採取分級管理,而不是一套標準全部適用,例如針對不同的 TSP 角色或 Open API 的風險高低程度,訂定不同的管理規範,才能兼顧資安和創新。

未來發展

以台灣目前的相關規範來看,整體 Open Banking 發展,銀行業者的態度會是相當關鍵的一環,畢竟要不要與新創業者合作,決定權還是在銀行身上。所以接下來想參與的 TSP 業者還是需要有與銀行雙贏的模式,這個就很考驗各個業者的創新能力了。

(本文經 Mark Lin 林鼎閔 授權轉載,並同意 TechOrange 編寫導讀與修訂標題,原文連結 。首圖來源:Mark Lin 林鼎閔)

你可能感興趣


多雲平台管理不易,找出資安威脅難上加難

IBM 解惑如何善用「開源技術」自動因應網路攻擊

獲取 IBM 獨家白皮書

點關鍵字看更多相關文章: