「开放银行（Open Banking）」正把台湾的金融服务带入新纪元。

10月中旬，政大与财金公司合作的「开放API平台」正式上路，金融业第一阶段的公开信息已能整合介接，方便民众一次比较不同银行间的贷款利率、信用卡及相关商品信息。第二阶段的消费者信息、第三阶段的交易信息，则预计在明年底之前陆续登场。

未来，消费者只要授权资料与数据使用，金融机构与TSP（第三方服务业者）就能依个人需求来量身订做定制化的金融服务。

开放银行策略：资料赋权、TSP责任归属 

但要成功走向开放银行、开放金融之前，台湾必须要有两大策略思考：一是如何做好消费者资料赋权？第二是如何管理TSP、厘清责任归属？

先谈资料赋权，透过Open API会让Open Data（开放数据）更安全，因为透过API交换资料，可对资料使用进行一定的追踪及控管，再搭配身份识别，更适合用于有个人信息隐私议题的金融资料。

Open API可以设计既方便又安全的授权界面，例如政大最近就透过区块链研发资料授权平台，消费者可以随时在线上授权个人资料与数据使用，也能记录、监控与追溯数据的移转与使用情况，做好风险轨迹的存证与稽核。

至于如何管理TSP。多数TSP对法遵、风控与信息安全认知有限，较缺乏完善管理机制。若要跟原本就被高度监管、信息安全规格很高的金融机构合作，TSP就必须尽快提升信息安全等级与法遵机制。

台湾法规的规管对象是金融机构，但合作的TSP出错，例如洩露客户隐私，那么谁该受罚？

目前金管会是以银行为规管对象，并请银行公会订立开放银行的自律规范，原则上会以委外契约来管理TSP。因此，对TSP的合作资格就会从严审理，到头来，可能没几家TSP 能拿到入场券，不利于金融创新。

参酌英国经验，是将TSP视为开放银行的参与者，订定信息安全标准，合格即可进入平台，分级管理且必须承担信息安全责任，并以「中小企业内部稽核联盟」（IASME Consortium）对TSP制定查核标准。

而即将在明年2月推动消费者资料权（CDR）的澳洲，拟定一个认证指南草案，引进民间认证单位，获得五阶段验证的机构才能取用消费者数据。但TSP认证不易，因此在台湾的「开放API 管理平台」，政大就扮演了辅导与验证TSP的角色，协助分阶段提升TSP的信息安全层级，并导入外部稽核机制。

目前“国发会”正积极推动My Data数字服务个人化的政策，相信资料赋权可以开放更多资料协助创新；而搭建好Open API管理平台，能够让台湾做好跨产业的数据移转、授权与资料治理，加速落实普惠金融。