圖片來源: 

攝影/洪政偉

金管會開放銀行(Open Banking)採香港、新加坡模式,以自願自律作法,由銀行與第三方服務公司(TSP)合作方式推動。金管會主委顧立雄在今天(9/10)揭露了最新進展,在三階段的開放措施中,首先推動的第一階段是「公開資料查詢」,以非交易面的金融產品為主,會在9月上線。

不過,接下來的第二階段「消費者資訊查詢」與第三階段「交易面資訊」才是難題。顧立雄提到,這兩階段涉及個資的保護,會比第一階段公開資料來得更為複雜。他也坦言,開放銀行走得較快的國家是英國與澳洲,金管會還要再觀察這兩國的走向,再來制定臺灣的作法。

顧立雄指出,開放銀行會帶來的兩大關鍵問題,首先,銀行擁有比較完善資安與個資保護的意識與配備,當將銀行資料開放給TSP業者,金管會該用何種標準來審視TSP業者?另一個問題是,萬一銀行的資料開放給TSP業者後,發生個資洩漏或是資安事件,誰要來負責?

在這部分,英國負責推動開放銀行的英國競爭及市場管理局 (Competition and Markets Authority,CMA),為了確保顧客資料安全,建立開放銀行生態系的API使用者資格審查制度。想要存取銀行資料的金融服務提供者,必須先向英國金融行為監理總署(Financial Conduct Authority,FCA)提出註冊申請,並經過FCA的查核過後獲得認證,才得以取用資料。

而澳洲的作法,顧立雄表示,則是由個資保護委員會來查核TSP業者,要求TSP業者資安與資料保護水平,得與銀行一樣高,才算符合資格。

而關於個資洩漏或是資安事件的處理,他提到,英國與澳洲傾向讓消費者可以在第一時間直接找銀行負責,再由銀行向TSP業者釐清雙方之間的責任歸屬。

反觀臺灣,目前開放銀行作法,在TSP業者評估上,尚未有一套標準或是相關的專責單位。9月即將上線的第一階段只有公開資料查詢,可能影響還不大,但到了接下來要開放的第二階段、第三階段,消費者個資保護,勢必成為關鍵。

臺灣是否也會有類似英國FCA去查核要串接銀行資料的TSP業者?對此,顧立雄回應,第一階段是公開資訊查詢,並不涉及個資保護問題,但後續開放第二、第三階段的確會面臨到這問題,金管會得好好思考這件事的作法。

顧立雄也提到,由於臺灣開放銀行採取香港、新加坡模式,是以自願自律作法,由銀行與TSP合作方式推動。所以,其實是由銀行挑選合作的TSP業者,某種程度有點像委外的概念,就像是銀行委託外部資訊廠商一樣,銀行就得去負責審視外部資訊廠商所有的資安水平。

所以,目前,顧立雄透露,金管會要與銀行公會先架構出一套TSP業者應具備的資安水平要求,透過銀行公會制定自律規範,來規範銀行,該如何挑選合作的TSP業者。


Advertisement

更多 iThome相關內容