【臺灣Open Banking銀行實例：中國信託】先行者的戰略思維不一樣，中信開放API三大原則首度公開

中國信託是早期力擁銀行API應用的先行者之一。早在2002年，中信就開始推行網路收單服務，將銀行服務用API串接的方式，與各業者展開合作。而隨著社群媒體的興起，中國信託開始將這概念延伸到客戶端，透過API與LINE BC（Business Connect）串接，提供中信客戶帳戶通知的服務，比如朋友之間的轉帳，轉帳成功後，收款方就能在LINE看到即時入帳通知。

近年，中信更大力推動Account Link（帳號連結扣款機制）整合，讓顧客將中信帳戶綁定到第三方支付或電子支付業者App後，直接在這些App進行支付或P2P轉帳。

「串接API這件事，不管從業務需求或客戶需求角度，中國信託早就發動了，大量運用到企業端與消費者端，來將中信的業務延伸出去。」中國信託金控數位金融處處長蘇美勳緩緩道出擁抱API背後的戰略思考。

她認為，關鍵考量是，服務必須真正帶來客戶體驗的具體改變，或是業務效益的創造。作為臺灣金融業Open API先行者的中國信託，早已累積多年經驗，清楚知道，推出什麼樣的API服務，客戶才會有感。「中信會從客戶角度篩選，並優先聚焦在這些服務的內容。」

在臺灣這波開放銀行政策，蘇美勳表示，中信在配合銀行公會的開放API策略上，會有自己的業務重點，不是全面性配合或全面性開放。中國信託會有一套自己的API策略。

所以，她坦言，在第一階段「公開資料查詢」，中信沒有開放很多API。中信評估後判斷，這類API如查詢API，可能對客戶體驗的差異不大，因此才將這類API的優先順序往後擺。「還是得從客戶角度來進行篩選。」蘇美勳強調。

中信Open API戰略關鍵，靠三原則慎選合作夥伴

而中信在API策略上，從其挑選合作夥伴的三大原則，不難看出決策的審慎態度。第一個原則是從市場趨勢為出發點，以中國信託投入研究的區塊鏈技術來說，中信長時間觀察市場趨勢之後發現，近兩三年，區塊鏈技術在金融的應用，已有幾個重要賽道成形，包括貿易融資、供應鏈融資、數位資產交易等主題，這將是金融產業未來重要的賽道，中信後續也會有相對應的API釋出。

中信第二個原則是「大大聯手」策略，蘇美勳強調這是關鍵策略。合作夥伴的規模、能力、受信賴的程度，都是考量點，更重要的是，合作夥伴的服務能否滿足中信大部分客戶的需求，以及對客戶帶來的影響得夠大。比如，中信與LINE的合作，是因為LINE是臺灣用戶最多的通訊軟體，中信將自家服務串連到LINE，能服務到最大規模的客群。

第三個原則是，合作後回頭檢視API的客戶滿意度和交易量。對於客戶端的服務，蘇美勳舉例，像與第三方支付或電子支付業者合作Account Link服務，至今推出超過1年，數據顯示這些有與業者綁定帳戶的中信客戶，其存款基數、轉帳筆數、消費金額相較過去都提高了，甚至還比沒有使用此服務的客戶更高。

開放API，先了解客戶端與企業端真正需求

「這些數據顛覆了我們原有的想像。」蘇美勳眼神發光笑著說。她回憶，當初推出Account Link服務之前，中信內部曾有兩大猶豫。一是不確定客戶是否願意把他的帳戶資訊，綁定在第三方支付或電子支付業者？第二個疑慮是，客戶綁定中信帳戶到業者端後，原本在中信的存款，會不會因此而外流？

好在，訪談多位年輕客戶後，再次確認年輕族群對這類服務的需求量很大，加上政府積極推動行動支付產業，於是，中信看好其未來的市場發展，決定積極迎戰。後續的成果證明了中信的眼光，蘇美勳表示，對中信與合作方來說，此項業務都是雙贏。

而在企業端的服務上，中信也有自己關注的業務重點。在金融總會設立的金融科技創新園區，中信是園區裡的API供應商之一，在數位沙盒環境中，釋出了一批金融API，讓FinTech新創可以進行創新應用的實證，甚至是商轉。

中信更逐一訪談入駐金融科技創新園區的每一家新創，詢問他們需要什麼樣的金融API。最後發現，新創業者的需求大多與金流有關，於是，中信決定在數位沙盒開放出三大類API，一是紅利點數API，二是帳戶扣款API，三是區塊鏈金流API。蘇美勳提到，中信內部會研發區塊鏈金流相關產品，源自以區塊鏈FinTech業者的需求訪談，他們的服務拼圖普遍缺少金流那一片，需要有銀行願意在區塊鏈上扮演金流監督的角色。

已導入API管理平臺，正準備走向微服務與容器化

考慮到長期需求，中國信託IT更早在2017年，就率先導入了Axway的API管理平臺 （API Management，APIM），一來將API開發標準化，也透過集中化平臺來管理API。蘇美勳指出，在API管理平臺上，目前有超過60支在線上提供服務的API。光是社群上通知類API的用量，全年已破億次。

在API管理上，中信訂定了一套API開發的規範，不同團隊都得遵循同一套標準模式來開發API，就像工廠產線一樣，讓產出的API品質都能夠一致。中信IT與數金處的協作也採用敏捷開發，可快速迭代開發新功能回應市場需求，同時也確保品質，兼顧銀行系統的穩定。中信指出，現在開發一支API只需10天就能完成。

從去年，中信IT也歸納出不同業務之間的API共同需求，目前正在執行一個工程，試著將共用性質高的API獨立出來，變成一套可跨業務共用的基礎API，只有遇到業務特性不同之處，再來開發各自需要的API。

而為了因應API爆量需求，中信IT還有一個中信雲計畫，目標是讓自家基礎環境建設可像公有雲業者一樣，可以按需求彈性擴充。中信更透露，目前他們正準備走向微服務與容器化，希望可更進一步，做到快速彈性伸縮的程度。「即便，API用量無法預測，銀行能做得就是先準備好，才有能力去應付。」

第二階段應採取分級式管理制度

2年前，中信建置API管理平臺目的，就是統一管理原本分散各處的API，蘇美勳透露，中信原本要進一步開始API分類控管，細分不同的風險控管。不過，臺灣金融市場突然吹起的這一股開放API風潮，讓中信不得不放慢原本的腳步，來配合銀行公會的相關規範。

蘇美勳認為，目前最關鍵的議題是，第二階段「消費者資料查詢」，因涉及消費者個資，銀行與TSP業者之間的權利義務該如何釐清？以及TSP業者必須做到類銀行的資安控管，會到何種程度？銀行之間又要如何配合？她提到，如何拿捏中間的分寸，是此階段規範細節訂定的攻防之處。

舉例來說，中信指出，銀行與TSP業者合作的責任歸屬釐清，在第二階段的重要性。假設第三方業者外洩資料，過去作法中，中信透過合約由第三方賠付，但在銀行公會訂定的自律規範中，現在則要求銀行代償（先賠付），再來釐清責任，這對銀行來說，兩者的風險考量截然不同。此外，中信過去從來都沒有將客戶資訊交出去的經驗，為了因應第二階段消費者資料查詢開放帶來的新風險，目前中信也正在設計新的機制，因應風險等級的增加。

「得對TSP業者所提供的服務內容，就服務內容產生的風險等級，分層次訂定要求，不管是分級管理、分級風險控管，不同的資安相關標準，都得要有配套。」蘇美勳建議，應採取分級式管理制度。她認為，如果一體適用，用同樣嚴格的高規標準來要求TSP業者，反而會造成大家的困擾。原因是API串接在銀行現有業務合作已行之有年，「這些合作業者並非電支電票業者，難道也要納入同樣高規格的要求？」不過，她也認同，部分需要提供客戶帳戶資訊，比如代登代爬的TSP業者，甚至可能要適用比電支電票業者更高規格的要求。

在銀行開放API這條路上，先行的中國信託，走得很遠了，甚至設計出無涉個資的金融交易API，儘管慢下腳步來與產業同調，中信還是堅持自己一貫的策略，以顧客需求優先的API發展戰略。文⊙李靜宜

 相關報導  臺灣開放銀行關鍵第一步