金管會銀行局副局長黃光熙,揭露臺灣開放銀行下一步的政策方向。 (攝影/洪政偉)

臺灣開放銀行(Open Banking)今年邁向第一個里程碑,金管會三階段開放銀行策略中,首先推動的第一階段「公開資料查詢」正式上路了,也為臺灣金融業揭開了新的序幕。

作為開放銀行政策的主管機關,金管會銀行局副局長黃光熙首度揭露金管會對臺灣開放銀行的願景,以及開放銀行的下一步政策方向。

站在金管會的立場,推動開放銀行政策是一種新型態的「異業結合」,黃光熙表示,過去,銀行雖有異業結合,但主要還是在金融相關的業務結合,比如保險、證券、理財、財富管理、信託等。他認為,銀行得跟金融科技業者有更緊密的合作,透過研發的投入,帶動整體金融業的創新,利用大數據發展更多顧客潛在需求,提供更廣泛的金融加值服務,而這,也是普惠金融的思維。

不只金融機構,TSP業者過去得一一與每家銀行各自串接API,因為缺乏了一套共通的串接規格,TSP每次與一家銀行合作,就得重新再來一次串接作業。黃光熙表示,現在,有了財金公司訂定的共通技術與資安標準可遵循,TSP業者就不必跟各家銀行重複類似的串接作業,可以減少與銀行溝通的成本,這是開放銀行對TSP業者帶來的第一個好處。未來,在顧客同意的基礎下,TSP業者還能以更安全的方式,來存取顧客相關數據,打造更多創新的金融服務。

透過銀行與TSP業者異業結合,提供更多創新的金融服務給消費者,滿足消費者的金融需求。「達到消費者、金融機構、TSP業者三贏的局面。」是金管會推動開放銀行的願景,黃光熙堅定地說。不過,他強調,所有的金融創新都得對消費者負責任。

第一階段建立金融Open Data觀念,觀察市場與使用者接受度

藉由開放API模式,在公開資料查詢的第一階段,黃光熙坦言,金管會想先在金融圈建立Open Data觀念,先讓消費者了解到開放銀行這機制的存在,以及能夠帶來的效益,也觀察整體市場運作與使用者的接受程度。他認為,如果市場需求旺盛,消費者對創新的金融服務給予正面肯定,業者會急起直追,更積極地擁抱開放API,與TSP業者共創新形態的金融服務。

接下來,要推動的第二階段「消費者資訊查詢」與第三階段「交易面資訊」,其實才是開放銀行的重頭戲。因為,第一階段「公開資料查詢」,是以非交易面金融資訊為主,不涉及消費者個人資料,像是外幣匯率、信用卡產品、分行據點等資訊。但是,第二階段的開放深度,更是跳了一級。

在第二階段「消費者資訊查詢」中,將進一步開放產品申辦資訊與帳戶資訊,例如,帳戶開戶與附屬業務申請、信用卡及附屬業務申請、消費者個人資料查詢、消費者帳戶資訊等。而第三階段的「交易面資訊」,將提供消費者支付、交易功能,比如轉帳申請、信用卡點數兌換、貸款清償、帳單支付、扣帳授權等申請。

黃光熙坦言,後續兩階段,有更多細節需要處理,包括消費者個資保護、顧客權益保障、發生爭議的處理,以及如何訂定TSP業者的管理方式等,這都是金管會所重視的議題。他強調:「自律規範架構一定要非常完整,得讓消費者安心。」

開放銀行三階段制度與技術面最新進程

黃光熙表示,開放銀行三階段開放措施中,又可分為制度面與技術面,兩者得互相配合,金管會希望能在創新與顧客權益之間,得到一個平衡。

銀行公會規畫制度面,包括研議開放範圍,以及銀行與第三方服務業者(TSP)合作的自律規範內容,而自律規範也會隨著不同階段有所延伸。黃光熙透露,銀行公會已開始研議下個階段的自律規範,將包括資安控管、身分認證、授權等面向的細節。

技術面的部分,則由財金公司負責制定「開放API」技術與資安標準,並依循銀行公會訂定的開放業務種類和期程,來訂定不同階段的技術與資安標準。目前,財金公司預計,第二階段技術與資安標準將在今年12月完成,但正式上路時間還要依金管會而定。而第三階段,「交易面資訊」技術與資安標準的訂定時程,財金計畫在第二階段實施後的6個月完成。

黃光熙強調,銀行公會在自律規範規畫期間,遇到相關問題,一定會詢問銀行業者意見,從他們經營的角度來討論這些問題。

對於後續兩階段的共通標準,黃光熙表示,原則上,先參考現行金融API先行者的經驗 ,參考這些已與TSP業者個別合作的銀行,雙方目前的商業合作模式。因為,這些商業合作模式已有一套可行架構,財金公司可針對目前市場的需求,並蒐集TSP業者的建議,列為優先開放項目,訂定相關的技術與資安標準。

第一階段TSP業者須遵循兩大規範

銀行資料開放給TSP,該用何種標準來審視這些業者?這是金管會思考開放銀行政策時,相當重要的議題。財金公司先前曾揭露,第一階段,TSP要遵循的規範有兩大項。一是銀行公會制定的銀行與TSP業者合作的自律規範,二是財金公司訂定的Open API技術標準規格書、業務安全控管作業規範。

在銀行公會目前已制定的第一版自律規範中,列出了銀行對合作的TSP業者的「遴選原則」,以及TSP業者的「應遵守事項」。遴選原則包括了TSP業者應為合法登記的法人組織、經營團隊須具備穩健經營的能力、具備網路安全與資訊控管的風險管理能力,還有應符合雙方合作採用的技術與資安標準相關規範等。

而TSP業者「應遵守事項」,則有遵循洗錢防制法、資恐防治法、個人資料保護法、消費者保護法等相關法遵要求。黃光熙指出,在這基礎之下,TSP業者要訂一套SOP(標準作業程序),來遵循這些法制要求。

此外,黃光熙強調,萬一TSP業者的系統安全遭受威脅、破壞時,要即時通知銀行與消費者,並且採取適當的處理措施。另外,合作的TSP應配合銀行與主管機關的定期或不定期的要求,提供相關資料或進行安全業務檢查。

二、三階段自律規範,將提出更細緻的爭議處理機制

他同時表示,第一階段不涉及個資,所以,第一階段的自律規範中,僅有簡要的爭議處理方式。不過,到了第二、第三階段,因涉及消費者個資,考慮到一旦發生了嚴重外洩事件,有一套對應處理機制就相當重要,所以,接下來的自律規範版本,將會提出更細緻的作法,包括爭議處理機制在內。

黃光熙更強調,到了第二、第三階段,因涉及消費者個資,銀行與TSP的合作,必須展現在業務合作相關的契約事項中。而後續的自律規範,也會針對這部分的合作事項,訂定更細的規範,比如權利義務的產生、智慧財產權的歸屬,以及爭議解決程序與補救措施,甚至是如何終止服務等,「這些都是金管會認為,重要的指導方針,金管會也會持續督促銀行公會與財金公司進行。」他強調。

此外,對於TSP業者將資料儲存雲端的議題,黃光熙指出,銀行與TSP合作之初就要考慮,資料提供給特定TSP業者後,資料將如何被處理。如果,TSP業者未來打算將這些資料放上雲端,則銀行需要哪些管理機制,或是彼此的權利義務約定,在第二、第三階段會再研議是否於自律規範中納入相關安全要求。

在開放銀行政策中,「銀行公會所訂定的自律規範,是最基本的要求。」黃光熙強調,對會員銀行來講,一定要做到這項基本要求,甚至,銀行業者必須要更嚴謹地執行這樣的業務,才符合金管會的期待。

他認為,這份自律規範引進基本的風險觀念供業者參考,而銀行最清楚自己的風險,應該要以自律規範為基礎,建立一個以風險為基礎(Risk-based)的內控機制,銀行推動Open Banking也要從風險考量角度來導入。這也是金管會對金融機構的期許。文⊙李靜宜

 相關報導  臺灣開放銀行關鍵第一步


Advertisement

更多 iThome相關內容