英國競爭及市場管理局(CMA)開放銀行業務領導人Bill Roberts來臺揭露英國開放銀行的關鍵作法,以及英國在落實開放銀行的強烈決心。(攝影/洪政偉)

早在2014年,英國政府展開了一項英國零售銀行市場的大調查,花了足足2年才完成,調查發現,光是英國前四大銀行,就包辦了80%的英國經常帳戶。而且,這群銀行用戶更換經常帳戶的轉換率只有3%,比英國的離婚率還低。英國競爭及市場管理局 (Competition and Markets Authority,CMA)開放銀行業務領導人Bill Roberts日前來臺時透露,這個結果讓英國政府大吃一驚。

Bill Roberts指出,這些老牌大型銀行,吃定了客戶不想換銀行的心態,就算不努力提供更好的服務,他們還是能留住客戶,長期下來,金融業創新的腳步停滯,競爭力不足的問題也浮上檯面。從這次調查也發現,新進銀行與小型銀行也難有發展空間。

所以,英國政府決定展開行動,「這個補救措施,就是開放銀行,試圖讓銀行更努力,來服務與保住他們的客戶。」Bill Roberts說道。而開放銀行的宗旨,就是要降低提供金融服務的新創業者進入市場的門檻,也要活絡市場競爭,讓金融服務更加創新,同時強化消費者資料可攜權。

專責團隊訂定開放銀行API標準,要求銀行必須採用

為了要徹底落實開放銀行的核心價值,CMA的第一步,就是要求英國前9大銀行(簡稱CMA9),包括巴克萊銀行、勞埃德銀行、桑坦德銀行、丹麥銀行、匯豐銀行、蘇格蘭皇家銀行、愛爾蘭銀行、愛爾蘭聯合銀行集團、英國全國銀行,建立與採用統一的開放銀行API共同標準,並強制銀行將顧客資料透過這套開放API,提供給授權的第三方業者使用。

不只強制銀行開放出顧客資料,Bill Roberts指出,CMA在2016年9月,要求這9家銀行共同出資,成立了開放銀行實施組織(Open Banking Implementation Entity,OBIE),要來執行開放銀行相關措施。他透露,OBIE目前約有150名全職職員,主要任務是設計出一套開放銀行API的標準,還要建立資訊安全與資料傳遞的標準。

而這9家銀行,還得各自在自家銀行內部組成一個100人到250人之間的團隊規模,將OBIE設計的開放API標準,應用於他們自己的系統。而這都顯示了英國政府開放銀行的決心。

不過,Bill Roberts指出,訂定這套開放銀行API標準時,最大的挑戰是,得說服各家銀行,在共同API的標準、資料形式與資安標準上達成共識。所以,他們設立了執行受託人(Implementation Trustee)這樣的角色機制,當各家銀行在無法達成共識的前提之下,得同意接受執行受託人最後所做的決定,並同意遵守此決定後續帶來的約束。

除了這9家大型銀行,OBIE更找來挑戰者銀行、金融科技公司、第三方提供商、支付服務業者、PSD2(支付服務指令第二版)實施相關人員與消費者團體等各方代表,組成開放銀行諮詢小組。目的在於支持已向英國FCA(金融行為監理總署)提出註冊申請、並通過審核的第三方服務業者,使用開放銀行標準,從銀行取得客戶資料進行創新應用。並為加入開放銀行生態系的成員訂定了指導方針,且制定了管理爭議與消費者投訴流程,以及負責PSD2的相關議題。

建立三大安全防線,確保銀行顧客資料安全

Bill Roberts更進一步解釋,為了確保顧客資料安全,還設計了三到安全防線,層層把關。第一道防線,建立開放銀行生態系的API使用者資格審查制度。想要存取銀行資料的金融服務提供者,必須先向英國FCA提出註冊申請,並經過FCA的查核過後獲得認證,才得以免費取用資料。

不過也不是想要什麼資料都可以,FCA依照資料的敏感性,將這些可開放的銀行資料,還分成兩種存取權,一種是唯讀類資料,第三方服務業者可讀取銀行提供的資料,但不進行任何更動,是屬於低風險;另一種則是可讀可寫類,業者除了能讀取資料,還能更新原本銀行提供的資料,或是會提供支付行為需要寫入行為的第三方業者,則屬於高風險。Bill Roberts說,FCA會根據金融服務提供者所需讀取的銀行資料敏感性,採取不同的認證過程。且FCA有大批人力在處理這件事,但也由於驗證過程詳細,所以通常會花上好幾個月的時間。

在第二道防線,Bill Roberts指出是技術性防線,他們會針對欲取得銀行資料的金融服務提供商,以電子化代碼的方式,建立起企業清單。當業者向銀行提出開放銀行資料的要求時,銀行能夠確認是由FCA認證通過的公司,而不會因為公司名稱一樣,而有魚目混珠的嫌疑。

而最後一道防線,則是要保障消費者。Bill Roberts解釋,如果消費者授權第三方服務業者使用他們在銀行的帳戶資料後,若發生銀行帳戶裡的錢遭竊,第一時間消費者是可以直接找銀行負責,再由銀行去與相關業者釐清雙方之間的責任歸屬。

英國後續將專注改善身分驗證過程

CMA在2016年9月啟動開放銀行計畫時,就為英國這9家銀行訂立了兩個階段性任務。第一階段任務,是銀行得在2017年3月,開放出銀行產品、分行以及ATM等標準化數據。當時,這9家銀行也都如期完成。

而為了配合歐盟在2018年1月正式生效的PSD2,CMA設立了第二階段任務,那就是銀行得在15個月內,發布開放銀行讀寫API的標準,並能透過開放API,在銀行顧客授權的情況下,將顧客的帳戶資料,提供給第三方業者使用。不過,Bill Roberts也提到,每家銀行在開放API的進展不一,為了要讓銀行在技術上能持續改進,他們從去年12月開始,每月在開放銀行的網站上,都會公布各家銀行在技術績效上的表現,藉此給予進步的動力。

根據英國開放銀行網站,於今年1月11日公布的最新消息顯示,目前已有100家通過FCA認證核可的金融服務提供商,參與了開放銀行,提供了新的金融服務,其中67家是第三方服務業者,33家是提供帳戶服務的業者。另外,則還有100家的業者已向FCA提出申請,還等著加入行列。

Bill Roberts說:「這是英國銀行業200年以來,不曾出現的金融創新速度。」此分文件還指出,2018年11月時,在開放銀行生態系中,已有1,750萬次的API調用(API calls)。

他也分享了幾個開放銀行資料後,產生的新金融服務,如融資平臺。過去,90%的中小型企業在融資時,除了平常合作的銀行之外,不會再去考慮其他銀行,但現在英國有3個融資平臺,可以讓中小型企業,透過平常的交易資料,去看他們何時需要融資,以及融資的金額,進一步去預估他們的現金流。或也有提供帳戶服務的業者,可協助在銀行經常帳中沒有利息的消費者,把經常帳中多餘的錢,移轉到其他有支付利息的銀行裡去。

不過,Bill Roberts提到,這些新的金融服務實際上被消費者使用的狀況,仍有些問題待需解決。舉例來說,這些新的金融服務從行動App串接到銀行授權資料的身份驗證上,銀行目前還是以寄送OTP的方式到消費者的手機進行驗證。或是消費者即便已經知道,且同意要把銀行帳戶資料分享出去了,卻還會一直收到您是否準備要把您的資料分享出去的警告訊息,而這些都是銀行顧客在身分驗證的過程中,不必要的摩擦。

為了優化顧客體驗,Bill Roberts也透露,從今年3月開始,他們會推出行動平臺認證,消費者只要透過行動電話號碼,就可輕易存取他們在銀行的相關資料。而透過生物辨識進行身分驗證,也會是他們要發展的方向,要讓授權程序更為方便。

而在顧客資料可攜權(customer data right)的部分,Bill Roberts則表示,未來將不再局限於金融業,英國目前有智慧資料審查(smart data review)的相關政策,在銀行業做的資料開放技術,也可實施到其他產業,他們已經開始研擬如何開放能源業與電信業的資料,預計在今年上半年將公布審查結論與後續採取的步驟。

熱門新聞

Advertisement