開放銀行(Open banking)的概念是在消費者的同意之下,將個人資料開放給市場上特定的第三方業者(TSPs),由他們提供整合服務給消費者。而TSPs 的監管方式及資安保護責任歸屬,是金融業者、消費者、TSPs 業者等開放金融生態圈裡每個角色共同關心的議題。
TSPs業者資安規格很重要 銀行需把關
金管會在推動開放銀行政策方面,係採循序漸進逐步推動,參考香港及新加坡的作法,採行自律規範不設立專法,未來將會有越來越多TSPs
業者參與其中,惟因其不受金融法規管轄的情況,可能衍生資安、法遵與洗錢風險管理之議題。
而TSPs 業者該如何監管,各國都還在摸索階段,不過金管會主委顧立雄認為,若一開始便讓TSPs
業者給政府機關管理,會抑制新創業者創造出有別於以往的商業模式,對整體商業社會發展並非一件好事。參考國外做法,目前鼓勵銀行與TSPs
業者合作的方式進行,即由金管會監理金融業者,再由金融業者規約TSPs 業者的模式以保護消費者。
因此當金融業者在選擇TSPs 合作對象時,除了考量是否有助於開拓另一個市場外,也須兼顧資訊安全與客戶權益保障,例如:確保TSPs
業者在存取消費者的金融帳戶資料前,有取得消費者同意,並明確告知利用的範圍、保存期限,且消費者可以隨時撤銷同意;另外也要確認TSPs
業者的背景、資安規格及潛在風險等,以防資訊被濫用。
TSPs 業者收集與儲存眾多銀行客戶的機密資料,自然成為駭客眼中的犯罪目標,而如何確保TSPs
業者的安全防護成為大家關注的重點。目前財金公司規劃的防護重點包括:①加入前審核安全性;②加入後定期稽核作業程序;③輔以其他資安管理系統(ISO
27000系列)建立整體資安管理機制。
認識個資價值成為全民必修課
在面對開放銀行的世代,不僅金融機構要做好資安控管,消費者也須正確認識資料的價值。據統計,在臺灣與金融相關的APP下載量已超過1900萬次,未來API的發展也會持續增長,消費者選擇將越來越多元,這也代表自身肩負著更多的責任。顧立雄也提到,雖說開放銀行的概念是將「資料還給消費者」,但實際上是消費者將所有資料提供給TSPs
業者,以協助整合並規劃理財,因此資料要交予何人,消費者更應審慎思考。
資料集中整理管理的程度與大數據發展有莫大的關係。舉例來說,部分國家個資保障的概念較弱,民眾的健保資訊、車牌、繳費情況、不動產、帳戶等,政府都可以廣泛收集調閱,甚至私人的消費行為、行為模式、人臉辨識都被監控,但也因政府掌握了所有人的資訊,在大數據分析的領域上能夠明顯快速的發展,至於對於資料隱私相當重視的國家,民眾還可以要求刪除資訊,爭取被遺忘權,但可能因資料管制太過嚴格,導致樣本數不足,會對大數據、人工智慧的發展形成一大妨礙。
有關開放銀行個人資料授權範圍進度,顧立雄表示,眼前的任務是盡快將第一階段的「公開資料查詢」API標準制定完成,若消費者有需求,商機就會隨之而來,也能帶動研擬實施後續「消費者資訊查詢」與「交易面資訊」階段。