專家傳真－發展Open API的下一步

工商時報【林彥良勤業眾信聯合會計師事務所風險諮詢服務副總經理】 近年來FinTech創新快速翻轉台灣金融業生態。自2018年「監理沙盒」的申請案件已逾10餘件，其中包含許多金融科技與非金融產業結合的實例，可見金融服務不再限由金融機構提供，形成了全新的金融服務場域與生態圈。 此外，金管會亦規劃了開放銀行發展進程，分為「商品資訊」、「客戶資訊」和「交易資訊」三階段。目前第一階段的「公開資料查詢」開放後，TSP業者已可透過財金公司打造的API平台，與多家銀行的公開商品資訊介接使用後，透過第三方平台的創新應用，使用者即可於單一平台上進行不同金融機構的資料查詢與比較。未來第二、三階段可望創造出更多創新的金融應用場景。 資料開放共享後將衍生的潛在議題 待下一階段的金融資料開放後，消費者的資料再也不是各金融機構的專屬資產，而是回歸到消費者本身意志決定如何共享。客戶資料將透過API授予TSP業者使用，為TSP業者創造了更便利的資料蒐集管道，並可開發更貼近客戶需求的產品與服務。 然而，隨著資料運用的方式越多元化，帶來了各類潛在議題：法令遵循、資訊安全與隱私議題等。因此，如何確實把關與TSP業者合作所提供服務的安全管控，將是產業未來關注的重點。 建立框架要求開放自由發展空間 目前我國針對金融業Open API共享資料並無專屬法規，係採取如香港、新加坡的作法，由主管機關與銀行公會共同訂定API規格與標準，透過既有法規作為遵循要求基準，並由同業公會訂定相關自律規範以及資安標準，給予金融機構自行與合作TSP廠商資料共享與制定標準之空間。 儘管目前金管會未訂有強制規定，但TSP業者仍需遵循二大自律規範：第一即是銀行公會所制定的業務合作自律規範；第二則是財金公司擬定之Open API技術標準規格書、業務安全控管作業規範。在自律規範中也特別訂定TSP業者的「應遵守事項」，包含洗錢防制法、資恐防制法、個人資料保護法、消費者保護法等法規。 下一階段 強化TSP安全控管要求 第一階段的技術與資安標準已制定完成，並陸續有應用場景上線。而第二階段「消費者資訊查詢」和第三階段「交易面資訊」，因涉及消費爭議處理、消費者權益保障以及大量消費者個人資料的處理和利用，自律規範框架規範密度應更高。就制度面而言，研議中的規範可能包含資安控管、身份認證、授權、雲端儲存等；就技術面而言，則由財金公司根據不同階段、開放業務種類來制定技術與資安標準，則Open API的標準化、規格化與模組化勢必成為關鍵。 跨產業合作的風險管理：加強對TSP的管理、投資資安保險、訂定權責劃分。通常新創或TSP業者對於法遵、風控及資安認知能力較為有限，且較缺乏完善的內控制度，亦較難建構與傳統銀行業者一致的資安與隱私防護水平。因此，銀行在挑選合作之TSP業者時，應更加重視資格審查，並對於第三方執行技術與法令遵循之盡職調查；其次，應選擇經過認證或符合規範要求的第三方服務供應商，並可藉由與供應商、消費者簽訂合約，明定資訊安全責任和義務；最後，也可透過資安保險因應網路安全事件造成之損失。在創新的同時同步提昇服務之安全，方能確保能應付層出不窮的網路安全威脅。