前情提要:
接著要談談「台灣開放銀行業者應注意的面向」與「台灣開放銀行的未來展望」。
台灣開放銀行業者應注意的面向
台灣開放銀行是現在進行式,許多《開放銀行 — 把資料分享出去吧!迎接全新金融場景(上)》提到的問題尚未有定論。不過,我們還是可以聊聊一些值得探討的面向。
監管法規-金融機構系統更新,TSP業者應重視法遵
由於資料共享(Data-Sharing)攸關消費者的個人資料,金融機構是否為因應技術、系統,甚至是整體服務模式的變更而有相對應的措施了?金融機構不只要隨時留意法規及監管措施的最新動態,也得考慮既有的系統是否有維護、更新的需求,甚至是導入新系統以因應資料共享應用。
立法院《開放銀行相關問題之研析》提到:
未來在實施開放銀行後,接觸消費者金融數據資料的業者將不限於傳統金融業者,更多的是規模較小的金融科技業者,衍生爭議或損害的風險也將大於傳統金融業者⋯⋯爰此,金融主管機關允宜提前研議是否於金融消費者保護法中增訂相關之資安保護及消費者權益保障規範、爭議處理及損害賠償機制等以為因應。
簡單來說,隨著越來越多業者能接觸金融資料,相關主管機關應要開始思考消費爭議處理、消費者權益保障及消費者個資的處理和利用等議題。同時, TSP 業者也要遵守銀行公會自律規範裡的事項,包含洗錢防制法、資恐防制法、個人資料保護法、消費者保護法等等,更一定要合乎財金資訊公司所訂定的 Open API 的技術標準。
管控技術 — 採用合適應用技術,強化個資保護管理機制
最近企業資料遭駭或消費者個資外洩事件頻傳,所以企業越來越重視資安與隱私問題。也就是說,在法規開放的同時,相關業者應更加強資訊風險管理。
我參考這兩份報告(報告 1 與報告 2),歸納出一些金融業者可以參考的資安跟隱私因應措施:
- API 敏感資訊應加密保護:資料遮蔽、去識別化、傳輸層加密(TLS)
- 建置 ISMS:ISO 27001
- 建置 PIMS:ISO 27701
- 遵循 GDPR:隱私預設設計(PbD)與資料保護影響評估(DPIA)
- 建立合規雲端平台:與金融業者分享數據及共同進行 API 沙盒開發測試
- 遵循其他國際標準:APEC 九項隱私保護原則及 OECD 八項隱私保護原則
- 強顧客認證(SCA):重新導向、分離、嵌入式
這裡有點 tricky——資安不等於隱私。根據 iThome一則文章:
企業即使做好資安,也不代表完善地落實隱私。資安在乎的是,對於未授權的存取,有嚴格的控管。但隱私保護更在意的地方是,除了授權存取之外,同時還需要檢視是否妨害當事人的權利與自由,「這些個資你可以使用,但有沒有逾越當初蒐集個資時的特定目的?有沒有將個資轉售營利?這些都是隱私議題。」
我自己的解讀—資安是外在的實際措施,隱私是內在的道德標準。
責任歸屬 — 將 TSP 業者納入金融體系,釐清責任歸屬
事實上,金融機構把資料分享出去時將會面臨巨大挑戰 — — 責任劃分。金融機構可能要負責 TSP 業者提供服務與資訊安全的問題。
針對責任歸屬,每個國家有不同的應對措施:
- 英國:問題還沒釐清前,銀行先負賠償責任
- 日本:問題還沒釐清前,TSP 業者先負賠償責任
- 台灣:尚未有定論
萬一 TSP 業者規模太小不夠賠怎麼辦?因此,英國要求 TSP 業者要事先購買相關保險。透過履約保險或提供相當的擔保以因應無法賠償的情形。
為解決責任歸屬,《開放銀行現行挑戰與未來新藍海》一文提供幾個很不錯的解決方案。統整如下:
- 建立 TSP 分級管理機制:將 TSP 業者納入開放銀行生態系,且針對不同服務情境與資安標準分級管理,篩選出最合適的 TSP 業者
- 建立 TSP 查核機制:由認證機構與第三方獨立單位對 TSP 業者進行後續資料管理追蹤與查核,協助釐清銀行與 TSP 之間的責任歸屬
- 建立消費者賦權法制環境:明確規範開放銀行資料的授權與交換
上面第三點很有趣—消費者賦權…所以,資料是消費者的嗎?
要記住,不管是強制開放模式或自願自律模式,所有相關業者都一定要得到消費者的同意才可以使用資料。根據 GDPR 的規定,若當事者未同意授權使用資料,罰金可高達營收的 4%。所以,消費者資料授權越來越被重視,也呼應上述的消費者賦權。
若想多了解消費者賦權相關資訊的讀者,這裡提供幾個資源:
補充一點,金融消費評議中心(如 Figure 10)是一個專門處理金融服務業與消費者間商品或服務爭議的單位,也是一個訴訟外的紛爭解決途徑。這裡要特別留意的是 ——金融服務業者必須依照金融監督管理組織法規定,如果沒被納入就不是金融服務業。
現行制度下,TSP 業者的主管機關是經濟部,所以 TSP 業者不是金融服務業。既然不是金融服務業,金融評議中心自然管不到,消費者與 TSP 業者發生消費糾紛時就會是問題(直接訴訟至法院曠日費時)。
如果以後 TSP 業者被納入金融體系,當業者跟消費者有爭議時,或許透過金融消費評議中心這類跨部會機制來制定法規,不只可以從旁協助消費者與相關業者,更可以促使金融環境健全。
台灣開放銀行的未來展望
消費者對開放銀行第一階段無感,似乎沒有解決使用金融服務上的痛點。當跨入到第二階段,真正有趣的體驗就要來了。
我認為開放銀行的用意很好。第一,資料共享模式使資料不只是待在金融機構裡,也開始往外流了。第二,當資料往外流到各種服務場景,勢必會衍生出許多新興商業模式,對金融業者、TSP業者與新創業者而言,這些都是市場。
場景金融-數位金融服務將無所不在
網路三大特性:
- 免費(Free)
- 完整(Perfect)
- 即時性(Instant)
網路的邊際成本(Marginal Cost)趨近零,我們總能將免費又完整的檔案即時傳給任何人、任何地方。網路開業也是一樣,線上營運成本比實體開店便宜許多 ——經營一間網拍商店跟一百間網拍商店的成本幾乎一樣;經營一間網路銀行跟一百間網路銀行的成本也相差不大。因此,業者勝出的關鍵將會是提供創造全新的服務或產品,也就是要客製化。傳統銀行為此開始進行數位轉型策略,首要目標便是將原本的金融服務延伸到消費者的日常生活,尋找異業合作的機會。
我認為這將具有飛輪效應(Flywheel)。隨著越來越多資料開放到各個應用場域,也就會有越來越多消費者因而接觸到更多元、豐富的金融產品,進而提升消費頻次,最終轉換成獲利。如此週而復始,成為一個勢不可擋的飛輪(Figure 11)。
以上是我對開放銀行目前進程的一些想法,謝謝閱讀到這邊的讀者。
本文同步刊登於 INSIDE。
