林让均开放银行策略资料赋权、TSP责任归属
「开放银行(Open Banking)」正把台湾的金融服务带入新纪元。
10月中旬,政大与财金公司合作的「开放API平台」正式上路,金融业第一阶段的公开信息已能整合介接,方便民众一次比较不同银行间的贷款利率、信用卡及相关商品信息。第二阶段的消费者信息、第三阶段的交易信息,则预计在明年底之前陆续登场。
未来,消费者只要授权资料与数据使用,金融机构与TSP(第三方服务业者)就能依个人需求来量身订做定制化的金融服务。
开放银行策略:资料赋权、TSP责任归属
但要成功走向开放银行、开放金融之前,台湾必须要有两大策略思考:一是如何做好消费者资料赋权?第二是如何管理TSP、厘清责任归属?
先谈资料赋权,透过Open API会让Open Data(开放数据)更安全,因为透过API交换资料,可对资料使用进行一定的追踪及控管,再搭配身份识别,更适合用于有个人信息隐私议题的金融资料。
Open API可以设计既方便又安全的授权界面,例如政大最近就透过区块链研发资料授权平台,消费者可以随时在线上授权个人资料与数据使用,也能记录、监控与追溯数据的移转与使用情况,做好风险轨迹的存证与稽核。
至于如何管理TSP。多数TSP对法遵、风控与信息安全认知有限,较缺乏完善管理机制。若要跟原本就被高度监管、信息安全规格很高的金融机构合作,TSP就必须尽快提升信息安全等级与法遵机制。
台湾法规的规管对象是金融机构,但合作的TSP出错,例如洩露客户隐私,那么谁该受罚?
目前金管会是以银行为规管对象,并请银行公会订立开放银行的自律规范,原则上会以委外契约来管理TSP。因此,对TSP的合作资格就会从严审理,到头来,可能没几家TSP 能拿到入场券,不利于金融创新。
参酌英国经验,是将TSP视为开放银行的参与者,订定信息安全标准,合格即可进入平台,分级管理且必须承担信息安全责任,并以「中小企业内部稽核联盟」(IASME Consortium)对TSP制定查核标准。
而即将在明年2月推动消费者资料权(CDR)的澳洲,拟定一个认证指南草案,引进民间认证单位,获得五阶段验证的机构才能取用消费者数据。但TSP认证不易,因此在台湾的「开放API 管理平台」,政大就扮演了辅导与验证TSP的角色,协助分阶段提升TSP的信息安全层级,并导入外部稽核机制。
目前“国发会”正积极推动My Data数字服务个人化的政策,相信资料赋权可以开放更多资料协助创新;而搭建好Open API管理平台,能够让台湾做好跨产业的数据移转、授权与资料治理,加速落实普惠金融。