第二階段的開放銀行涉及消費者帳戶資料,需要更為嚴謹的對待,如何協助TSP業者合規,政大金融研究中心扮演重要角色。
文/楊迺仁
開放銀行(OpenBanking)第一階段雖已順利進行,但進入第二階段後,由於涉及消費者帳戶的資訊交換,不管是法規面或技術面,都不同於第一階段的公開資訊揭露,部分金融機構與監理單位因此對銀行與第三方服務業者(TSP)進行第二階段的合作,存在極大的疑慮。
因此政治大學國際產學聯盟及金融科技研究中心,共同舉辦「開放銀行第三方服務業者合規輔導啟動暨說明會」,並邀請安侯建業會計師事務所(KPMG)與環奧國際驗證公司(TCIC)共同說明第二階段規範項目與合規注意事項等,並說明第二階段媒合方式與合作模式,希望能幫助銀行與TSP盡快展開第二階段的合作。
開放銀行第二階段發展展望
政治大學金融科技研究中心主任王儷玲指出,從國外到台灣都可以看到新創業者對開放銀行的發展是很重要的原動力,也是成功推動的重要關鍵。如英國於2016年提出開放銀行政策後,花了五年的時間,已經從開放銀行走到開放金融,2019年12月更已提出開放金融徵求意見書,範圍包括信評、信貸、保險、退休金、投資與非投資型儲蓄等不同面向的應用場景。
英國在開放銀行方面,2019年初就已有104家 TSP 註冊,至2024年初已有204家註冊 TSP,由此可以看出 TSP 在開放銀行市場的爆發力。在歐盟的部分,也已要求帳戶支付服務商(ASPSP)必須在2020年3月14日前,符合 PSD2與 SCA(Strong Customer Authentication)的規範。澳洲則是於2019年通過消費者資料法案(CDR),預計於2020年7月推動開放銀行 API。
王儷玲引述 KPMG 的觀察發現,開放銀行需要一些時間累積增加客戶與資料價值,尤其是英國在開放銀行實施五年後,可以看到英國的改變,再次證明開放銀行將成為金融科技行業變革的主要驅動力。
目前英國開放銀行的成效卓著,王儷玲指出,甚至是英國銀行200年以來,不曾出現的金融創新速度。除了前述通過監管進入市場提供創新金融服務的 TSP 業者,已達204家的規模外,截至2019年10月為止,英國九大銀行和數十家非主流銀行,也已加入了開放銀行的串接,涵蓋99%的英國金融市場。
值得注意的是,截至2019年12月 API 成功呼叫次數高達三億次,曾經體驗開放銀行創新服務消費者超過200萬人。更重要的是,2019年英國金融科技行業投資額達49億美元,相較2018年大幅成長38%,由此可看出開放銀行對金融科技發展的影響。
王儷玲指出,台灣在開放銀行的腳步雖然比較慢,但也正在急起直追。在金管會的政策影響下,銀行公會與財金公司已於2019年三月成立 Open API 委員會,規劃三階段推動開放銀行進程。第一階段開放資料查詢已於2019年十月啟動,第一批上架 API 的銀行多達23家,初期有6家 TSP 加入。但第二階段的帳戶資訊,因牽涉到個人資料的處理及更嚴謹的資訊安全要求,因此目前將先採「試辦」方式進行,第二階段已有二到三家銀行已提出試辦方案。
政大則是從2019年十月開始就積極與銀行公會和財金公司了解第二階段的安控規範,並與十多家銀行討論了解銀行端對於 TSP 的要求與顧慮,同時間也希望能媒合並輔導現行政大金融科技中心新創會員達到合規要求,達成 TSP 業者與金融業者之間的介接合作,也可以讓消費者與金融監理機關都能夠放心,讓開放銀行能進一步的往前走。
王儷玲強調,TSP業者的參與不僅是台灣成功推動開放銀行的重要關鍵,TSP 業者提供的創新服務,也將會是台灣金融市場推動數位轉型非常重要的關鍵。尤其是這一次的新冠病毒疫情,更已看到數位金融的需要性,也加速開放銀行線上與線下(O2O)和銀行金流支付的整合作業,如英國針對此次疫情,就是透過開放銀行來串聯多間金融機構的中小企業跨機構的借貸與債務整合服務,成功協助中小企業渡過難關。
王儷玲強調,從英國開放銀行的經驗可以看出,基礎工程的建立非常重要,銀行只要建立好相關的 API 基礎建設,就能快速連接多家 TSP,加速數位轉型與建立新商業模式。從國外的經驗來看,開放銀行要與 TSP 順利介接,有兩個重要的基礎,一個是針對資安及個資法的相關法遵規範,另一個則是介接合規一致性(conformance)的要求,需要透過驗證來考核,才能贏得銀行信任及更快速的介接合作。
王儷玲指出,政大已經花了許多時間研究國外的相關法規,相信會是台灣開放銀行進入第二階段時,非常重要的基礎工程,政大未來將會持續扮演輔導 TSP 的角色,協助制訂合規驗測標準,建立台灣開放銀行生態圈,走出一條更成功的道路。
TSP應先求合規再進行合作
政大金融科技研究中心顧問謝焸憲表示,由於 Open API 的法源目前仍是以銀行與 TSP 自律規範為主,同時間也已提出技術與資安標準,目前已經進入第二階段,由於牽涉到消費者資料查詢如帳戶開戶及附屬業務申請、信用卡及附屬業務申請、消費者個人資料查詢、消費者帳戶資訊等,因為涉及個資及身份認證問題,也是目前第二階段最大的挑戰。
因為在輔導 TSP 跟銀行合作的過程中,雙方彼此對於現在的規範認知並不一致。謝焸憲認為,現階段希望能將銀行公會與財金公司的相關規範,先行建立統一的標準與看法,然後成為完整的輔導作業流程及稽核項目後,可以讓銀行更放心也更容易與 TSP 合作。
謝焸憲指出,銀行端與 TSP 現在會碰到問題,主因在於雙方一開始都是先討論業務面,其次是資訊面的溝通,最後雙方真正要合作時,銀行才會告訴 TSP 法遵面需要注意的地方,往往會導致作業延遲,甚至發生過簽約時間比導入時間還久的狀況。
謝焸憲指出,從英國開放銀行的經驗來看,銀行與 TSP 的合作速度前幾年會比較慢,但後面會愈來愈快,是因為只要銀行跟 TSP 的介接一旦標準化,測試、作業都有所依據時,速度才能加快,值得台灣相關業者參考,台灣也應該盡快建立介接一制化之標準。
政大因此建議想要跟銀行合作的 TSP 業者,應該要先成為合格 TSP(QTSP),也就是一開始應該是先做好法遵面,然後再去了解業務面及資訊面,要怎麼做才能符合銀行的要求,雙方合作自然就會水到渠成,也就是先求合規再求合作。
謝焸憲指出,Open API 的法令架構,首先要注意銀行與 TSP 的合作主要是基於銀行公會的自律規範,包括 TSP 必須和銀行簽訂合約,同時還要符合銀行業者要求的技術與資安標準,以及符合 ISO-27001 或相當認證。銀行公會及財金公司已提出兩份文件,分別是代表技術標準的 Open API 技術規格文件及代表資安標準的業務安全控管作業規範,財金 Open API 委員會在2019年底已經通過第二階段的技術與資安規範,TSP 必須要先行了解這兩份文件,才會知道要如何跟銀行合作。
謝焸憲指出,合規重點在資安標準文件,尤其是第二~四章的部分。如第二章是提到 TSP 要與銀行連接時,相關的技術架構、資料交換、連線與身份認證標準為何;第三章是要求 TSP 要具備符合 ISO-27001 標準的營運能力,最後是第四章有關後續稽核的配套監理措施。
謝焸憲表示,TSP 與銀行要合作前,必須要針對資格準備聲明書及相關文件,技術面包括連線安全及 API 檢驗,都要符合銀行及財金公司的要求,同時間要證明 ISO-27001 的相當能力或取得認證,合作之後還要進行 TSP 年度自評及銀行抽查的稽核作業,才算合規。
要成為合規的 QTSP 會分成兩個部分,第一個是法遵合規(Compliance),第二個是技術合規(Conformance)。由於每一家銀行的技術可能都不一樣,參照國外的做法,會提出一個驗證標準,只要資料交換等技術符合標準,就能通過。
資格層面包括合法登記、穩健經營、聲明文件、資安營運及介接標準,如 ISO-27001 驗證範圍,包括 TSP 的作業環境包括軟硬體環境及人員,都要符合標準。針對介接標準,謝焸憲表示,政大會設法跟銀行先行討論出一個初步版本,後續再慢慢修改。
謝焸憲提醒 TSP,通過認證開始跟銀行合作後,還要面對稽核層面。稽核還分為內部及外部,在內部稽核方面,有規定 TSP 每年四月之前要自行檢查,可以由原 ISO-27001 驗證單位進行檢視,並提供報告。在外部稽核部分,銀行有權力視必要性委任其他公正單位如會計師事務所等,目前政大已將英國 IASME 項目導入台灣 TSP 的稽核流程,未來政大也會與和合規稽核單位合作,協助銀行做好 TSP 稽核工作。
政大分三階段輔導 TSP
政大在輔導 TSP 的時程有三個階段,首先要先審核資格成為會員,目前有40多個新創會員加入,進入第二階段後,會進行課程訓練,包括商業模式、法令、技術及驗證四類課程。其中商業課程有開放銀行的應用與發展、OpenAPI 平台與應用;法令課程方面有 OpenAPI 法令與監理、個資法另與監理;技術課程有 API 資安原理與應用、OAuth 原理與應用;檢驗課程有連線測試標準及 OAuth 測試標準。
讓 TSP 了解要如何符合銀行要求的規範,同時也會輔導 ISO 及熟悉介接標準,輔導完成後就會取得 ISO 認證,介接標準會由政大提供自檢工具,由 TSP 完成自檢,預計導入時間4到6個月。
ISO-27001 輔導作業會先採取集體輔導,以 OpenAPI 技術資安規範為認證範圍,包括資安訓練及資安平評鑑教學課程、文件製作及自評,通過內部稽核,運行一到三個月後,就可以進入第三階段 ISO-27001認證階段。
打造安全環境創造金融生態圈
KPMG 協理郭宇帆指出,由於銀行必須通過高度的監理要求,因此對於資訊安全控管及個人資料保護的要求程度都相當高,TSP既然要跟銀行介接,取得銀行提供的資料,自然也必須要符合銀行的監理要求,建構資安與個資控管,由於台灣的本土銀行幾乎都已取得 ISO-27001 認證,為 TSP 系統與資訊環境取得 ISO-27001 認證,也就成為 TSP 的首要任務。
如在資訊安全制度方面,需要建立資訊資產清冊,將資訊安全管理系統的資訊資產,依據分類列示清單,包含進行資訊資產分類與群組、評定資訊資產價值與識別資產管理者、擁有者與使用者。在進行風險評鑑作業方面,要找出資訊作業所面臨在機密性、完整性、可用性潛在的資訊安全風險,進而加強各項管控措施,以降低、轉移各項重大風險之影響。
郭宇帆提醒 TSP,控管深度一定要符合法規要求,如在脆弱性管理方面,就需要做到、網頁程式異動偵測、惡意網站偵測等,每季要執行弱點掃描,每半年進行原始碼檢視,每年還要進行電子郵件社交工程演練及滲透測試。
郭宇帆強調,取得 ISO-27001 只是開始,而不是結束,唯有將 ISO-27001 融入公司資訊運作,落實於日常維運中,TSP 才能與銀行順利合作,共同打造數位金融生態圈。
TCIC 的梁日誠總經理表示,根據「OpenAPI業務安全控管作業規範」草案,於開放銀行的運作架構下,TSP業者與銀行之間的互信基礎建立在一、「通過公正第三方ISO-27001驗證(驗證範圍須包含TSP作業環境)」;二、「由公正第三方於發佈前,檢視行動裝置應用程式所需權限是否與提供服務相當,並提出資訊系統及安全控管作業評估報告」;三、「須在規定申請許可時及爾後每年四月底前,由公正第三方驗證單位進行檢視,並提出資訊系統及安全控管作業評估報告」。
以上三項當中的 ISO-27001 驗證及資安評估之整合服務可由具備該領域專長的公正第三方 ISO-27001 驗證機構(如:TCIC 即是) 提供,期望能以最有效且順遂的方法,達到合規展現的目標,及時邁入開放銀行的第二階段。
開放銀行持續發展
開放銀行是金融業數位轉型與服務創新的關注焦點,目前接受政大國際產學聯盟輔導的會員當中有許多 TSP 業者已在積極開發具有潛力的開放銀行創新服務情境。王儷玲表示,等台灣開放銀行在第二階段與第三階段都開放後,這些目前已投入開放銀行的銀行與 TSP 業者會成為台灣 OpenBanking 的領航者,將為台灣提供非常許多有價值的金融創新服務。
