Open API讓Open Data更安全
「開放銀行(Open Banking)」正把台灣的金融服務帶入新紀元。
10月中旬,政大與財金公司合作的「開放API(應用程式介面) 平台」正式上路,金融業第一階段的公開資訊已能整合介接,方便民眾一次比較不同銀行間的貸款利率、信用卡及相關商品資訊。第二階段的消費者資訊、第三階段的交易資訊,則預計在明年底之前陸續登場。
未來,消費者只要授權資料與數據使用,金融機構與TSP(第三方服務業者)就能依個人需求來量身訂做更客製化的金融服務。
開放銀行策略:資料賦權、TSP責任歸屬
但要成功走向開放銀行、開放金融之前,台灣必須要有兩大策略思考:一是如何做好消費者資料賦權?第二是如何管理TSP、釐清責任歸屬?
先談資料賦權,透過Open API會讓Open Data(開放數據)更安全,因為透過API交換資料,可對資料使用進行一定的追蹤及控管,再搭配身分識別,更適合用於有個資隱私議題的金融資料。
Open API可以設計既方便又安全的授權介面,例如政大最近就透過區塊鏈研發資料授權平台,消費者可以隨時在線上授權個人資料與數據使用,也能記錄、監控與追溯數據的移轉與使用情況,做好風險軌跡的存證與稽核。
至於如何管理TSP。多數TSP對法遵、風控與資安認知有限,較缺乏完善管理機制。若要跟原本就被高度監管、資安規格很高的金融機構合作,TSP就必須盡快提升資安等級與法遵機制。
台灣法規的規管對象是金融機構,但合作的TSP出錯,例如洩露客戶隱私,那麼誰該受罰?
目前金管會是以銀行為規管對象,並請銀行公會訂立開放銀行的自律規範,原則上會以委外契約來管理TSP。因此,對TSP的合作資格就會從嚴審理,到頭來,可能沒幾家TSP 能拿到入場券,不利於金融創新。
參酌英國經驗,是將TSP視為開放銀行的參與者,訂定資安標準,合格即可進入平台,分級管理且必須承擔資安責任,並以「中小企業內部稽核聯盟」(IASME Consortium)對TSP制定查核標準。
而即將在明年2月推動消費者資料權(CDR)的澳洲,擬定一個認證指南草案,引進民間認證單位,獲得五階段驗證的機構才能取用消費者數據。但TSP認證不易,因此在台灣的「開放API 管理平台」,政大就扮演了輔導與驗證TSP的角色,協助分階段提升TSP的資安層級,並導入外部稽核機制。
目前國發會正積極推動My Data數位服務個人化的政策,相信資料賦權可以開放更多資料協助創新;而搭建好Open API管理平台,能夠讓台灣做好跨產業的數據移轉、授權與資料治理,加速落實普惠金融。
(林讓均採訪整理)
延伸閱讀: