政大產學聯盟扮開放銀行橋梁助 TSP業者快速合規與銀行對接
開放銀行(Open Banking)近年已成為全球金融業的顯學。未來,只要在消費者同意下,授權個人資料與數據的使用,金融機構與第三方服務提供者(TSP)就能依個人需求設計更客製化的金融服務。
台灣已於 10月中旬成立「財金開放API 平台」,開放銀行第一階段正式鳴槍起跑。但接下來的第二和第三階段因涉及個資保護,挑戰更大。過去TSP 業者不像金融機構受到高度監管,在資安與法遵機制上不如銀行完善,未來跨足金融業務時,該用什麼標準來規範?
資料賦權 分級管理 輔導 TSP 合規
國立政治大學金融科技研究中心主任王儷玲分析,開放銀行透過資料賦權與安全共享,可使金融服務生態系更強大。但現階段TSP業者如果要符合 ISO27001 營運規範,達到資安與法遵的高標準,可能需要至少六個月和數百萬元,耗時又昂貴,僅有極少數業者有能力做到。因此,在第二、三階段,政府必須做好法規調適與開放。為解決此痛點,政大建議引進國際經驗實施分級管理制度,並已開始規劃一系列輔導課程與服務,協助 TSP業者有效率達到合規。
在教育訓練方面,政大將與國際認證公司、會計師事務所等專業機構合作開課,讓TSP業者能迅速掌控資安與個資保護相關規範,清楚了解並遵循銀行公會和財金公司所擬的技術、資安檢視標準。
第二步,同時也是最關鍵的一環,是採用API 分級管理制度。政大已參考國際實務做法,設計一套可評分之檢核認證機制,可根據TSP業者資安控管與個資保護程度不同提供缺口分析與改善解決方案,而此制度也有利於保險公司在資安保險之核保與保費定價,金融機構若想合作,也可據此選擇適合之合作對象。
第三步,TSP業者可先行在政大的API 沙盒環境中進行情境測試實驗,了解模擬情境中可能衍生的風險及如何預防,服務是否能真正滿足銀行與消費者需求等,如此可提升 TSP業者與銀行合作效率,並降低上路後之營運風險。
完善查核與保險機制 釐清責任歸屬
儘管通過認證及審核機制,仍難保上路後可能會發生資安問題。因此,後續執行作業的追蹤更為重要,且資安責任也不應全由銀行承擔,可由第三方查核單位協助釐清資安責任歸屬,並建立紛爭處理機制,亦可要求業者購買資安責任保險。政大認為將來應建立定期透明的稽核機制,並將查核結果公佈,可設計放上區塊鏈,未來若真的出現金融消費爭議時,可依據定期查核紀錄細分責任歸屬,如此對銀行與TSP業者而言更公平且也更有保障。
不只 TSP業者,王儷玲認為,銀行也需要這些方面的協助,政大也同時積極協助希望投入開放銀行運作的銀行,共同創新研發具潛力的Open API 與金融服務。
展望未來,政大將會持續協助媒合銀行與TSP 業者,透過產學合作的方式打造新的開放銀行商業模式,創造多贏。