政治大學國際產學聯盟營運長王儷玲(圖片來源:王儷玲提供)

臺灣開放銀行(Open Banking)的推動,除了金管會、銀行公會、財金公司,政治大學國際產學聯盟也是不可或缺的推動者之一。作為學術機構,政大站在一個既獨立又專業的角度,負責審閱財金公司訂定的技術與資安標準文件,也作為測試Open API驗證與測試平臺的角色,並蒐集TSP業者意見給財金參考。

「Open Banking是臺灣金融數位轉型非常重要的里程碑。」這是政大國際產學聯盟營運長王儷玲,對臺灣這波開放銀行風潮的看法。在臺灣開放銀行推動的大大小小場合中,都能看到政大國際產學聯盟的身影,王儷玲更在一場又一場活動地親自跑,不斷來向各界說明開放銀行的重要性和發展建議,她尤其關注TSP將面臨的法遵與風險監管議題。

未來,開放銀行政策進入第二階段「消費者資料查詢」後,因涉及消費者個資,讓對於客戶個資極為重視的銀行業者,不得不繃緊神經看待與TSP業者的合作。如何釐清銀行與TSP業者之間的權利義務,以及TSP業者的資安能力得做到何種程度,乃至銀行如何去審核TSP的資訊安全,都是開放銀行要跨進第二階段前,最棘手的問題。

TSP業者三大挑戰:法遵、風控與資安

王儷玲指出,開放銀行的資安標準與風險問題,對TSP業者將會有很大挑戰。相較於銀行,多數TSP業者對法律遵循、風險控管與資訊安全管理的認知有限,較缺乏完善、嚴格的法規與管理機制。在有限的預算與人力下,TSP業者在資安控管與防護上,與金融業者有很大的落差。

目前開放銀行剛啟動第一階段開放商品資訊,當推展到第二階段開放客戶資訊及第三階段開放交易資訊後,TSP業者可透過API介接銀行,獲取消費者個資訊息,若TSP業者對個資之處理程序、資安控管與稽核措施不足,可能成了金融資安鏈上的脆弱點,這正是許多銀行資訊安全控管部門對Open Banking的疑慮,也是TSP業者在尋求合作時銀行的痛處,王儷玲提到。

特別是,臺灣開放銀行政策是以不修法,由銀行與TSP合作方式推動,並由銀行公會研議開放範圍以及自律規範,因此在制訂規範時,會以銀行委外的模式對TSP業者訂定相關技術與資安標準,因為有爭議時銀行須要負責任,此模式下對TSP業者資安標準幾乎等同銀行,TSP業者能夠參與的家數將會大量減少,王儷玲指出。

她認為,「以國外經驗,應該將TSP業者當成開放銀行的參與者,而不是銀行的委外單位,針對不同需求的API服務訂定對TSP資安標準,合格者即可進入,且資安責任也不應全由銀行承擔,除資安基本標準外,或可考慮要求TSP業者購買資安保險。」

王儷玲表示,「如何協助TSP業者盡快提升資安技術能力,做好個資及資安上的管理機制,是臺灣Open Banking是否成功的關鍵重點,這也是政大努力的方向」。目前政大正積極規畫相關的資安與個資維護教育訓練課程及座談會,分享國際上Open Banking實務作法,借鏡各國對TSP業者的規範與管理經驗。

她進一步指出,政大與財金公司成立「Open Banking創新平臺」的目標,就是要協助TSP業者改善資安體質,達到不同階段所需的技術標準,也要能符合資安認證需求,協助TSP業者與銀行合作時,可以降低在Open API營運上的風險。

「協助TSP業者以國際標準的Open API與銀行接軌是政大想做的事。」王儷玲舉例,政大已規劃與國際認證機構(如BSI.、TCIC等)合作,提供教育訓練課程,內容包括Open Banking入門、Open API 情境應用介紹、介紹ISO27001等有關個資與資安標準實務作法、與成功實務案例分享等,並會協助TSP業者取得資安標準認證。而以上課程參加對象不限TSP業者,金融業者也可以派人來上課。

王儷玲認為,在這波開放銀行浪潮下,不只銀行需要提升,想要與銀行合作的TSP業者,也要同時提升技術與資安能力。她強調,「要做到讓銀行以及新創TSP都能在開放銀行政策下受惠,能夠開創新業務與新客戶,也要讓消費者放心,這樣大家才能持續對開放銀行投入更多資源。」

建議可參考英、澳模式,由第三方獨立安全稽核單位查核TSP

王儷玲指出,擁抱Open API帶來的另一個痛點是,事後查核問題。在Open API的環境下,TSP業者不會只跟一家銀行合作,而銀行為了確保TSP業者的資訊安全,又必須稽核TSP,TSP業者要如何一次面對多家銀行的查核?不同銀行間的資料,是不能給其他銀行看的,要如何查核TSP?

她的建議是,需由第三方獨立安全稽核單位來查核認證,例如英國已有一套完善的作法,就是採用公正第三方單位IASME Consortium的資訊審計標準,來對TSP業者進行技術與資安查核,並定期公布查核的結果,同時每一次查核經認證後的資料必須儲存及透明公開,以供日後追溯之用。

王儷玲認為,「由第三方查核的機制,可以協助釐清銀行與TSP之間的資安責任歸屬,也可以進一步建立紛爭處理機制」,臺灣未來可參考英國或澳洲的模式,建立一套類似IASME的查核機制。

臺版開放銀行有條件走得更穩健

她觀察,Open Banking在臺灣先從銀行開始,未來應逐漸拓展到投資、資產管理以及保險,也就是要從Open Banking走到Open Finance。「臺灣在Open Banking這條路,應該可以走得比國外更為穩健。」關鍵原因是,臺灣有財金公司、聯合徵信中心、集保結算所、保發中心等金融周邊單位,這都是國外所沒有的機構。

她提到,若能建立一個數據資料管理交換中心,串連相關周邊單位與產業資料,將銀行、保險、證券的資料釋放出來,「只要大家願意一起往前走,臺灣推動Open Banking會更為有效率。」

王儷玲強調,「開放銀行透過數據安全共享,主要目的要創造更大的數據價值,做到消費者與社會利益最大化。」國際上Open Banking在消費者資料賦權上,也不是只做到金融資料的交換,可以更廣泛進行跨產業的資料共享,例如開放醫療數據、交通數據等。「不過,在臺灣資料開放與跨產業資料使用的發展願景,目前仍待相關法規開放或修法,挑戰很大。」但她堅定地認為,若能做到這些,臺灣Open Banking可以走出一條更有價值的路。文⊙李靜宜

 相關報導  臺灣開放銀行關鍵第一步


Advertisement

更多 iThome相關內容