政大監理科技創新實驗室執行長臧正運。(攝影/李靜宜)

臺灣開放銀行第二階段預計在今年底前正式上路,今天(9/29)在一場臺灣金融科技政策發展研討會中,政大監理科技創新實驗室執行長臧正運,探討了開放銀行中除了技術、業務規範以外,消費者賦權這層面需做的基礎工程。

臧正運表示,一般大家所談的Open API或Open Banking,目的是希望增添消費者更多的選擇權,讓消費者可以透過跟第三方服務提供者(TSP)往來,選擇對自己更有利的商品與服務。作法上,是透過消費者授權,讓TSP業者向銀行介接消費者自己所需要的資料,在這過程中需進行資料的移轉跟分享。

不過,臧正運認為,應該要把Open Banking帶到更大的層面,那就是消費者對於自身資料的主控權,以及資料的可攜權。應由消費者決定,如何在各個往來的金融機構、TSP業者、未來生態系發展中的業者等資料管理方之間,進行資料分享與移轉,而目的都是讓消費者獲得更多元的服務。所以,他提到,消費者賦權指的是讓消費者取得對自身資料的主控權,使得與其來往的金融服務提供者,為他帶來更多便利、多元的選擇。

從Open API走到消費者賦權,臧正運強調,這之間有龐大的法治工程需要被建構。而「法治」包含了法律與制度,在法律層面,個資法就是個議題,以及TSP業者能否被主管機關納管;制度層面包含,是否有好的身份驗證機制,以及消費者同意權管理機制。

在消費者賦權法治工程的建置,臧正運認為,又分為3大面向。第一項是,必須拉高銀行與TSP業者兩者之間合作的誘因。他解釋,現行模式是折衷、穩健的選擇,但是,在這過程中可能會讓銀行失去與TSP業者合作的誘因。因為,TSP業者透過自律規範被間接納管,銀行就必須承擔TSP業者發生事故的最終責任,這時,TSP業者就會處在與銀行不對等的關係。

他建議,如果能把TSP放在開放銀行的參與者角色,與銀行一樣被主管機關納入正規的管理,讓銀行不再承擔最後的管理或監理責任,銀行就會比較願意跟TSP往來。

第二項是,建立數位信任。臧正運提到,在消費者賦權過程中,如何妥適管理發生在不同資料移轉處理之間的風險規則問題,也是一大重點。第三個面向是,消費者在這過程中到底有沒有拿到資料主控的權利,以及,是否能賦予消費者做同意權管理的機制?他更以澳洲現行制度舉例,澳洲的作法是,不管是銀行還是TSP業者,都必須有一個同意權管理儀表板(Consent Management Dashboard ),在此介面,可讓消費者知道自己基於何特定目的,授權銀行把資料給某一方,授權的時間又有多長,授權時間何時失效,以及何時曾經撤回授權。

有了儀表板做完整管理,臧正運認為,倘若臺灣在制度配套上有同意權管理機制,消費者才有可能在過程中取得真正主控權利。

臧正運建議,從中長期來看,臺灣推動開放銀行,勢必走到法律修改或法律調適。在開放銀行第二階段,需思考如何正式把TSP業者納入法治管理的一環,可以是修改銀行法,或是透過金融消費者保護法的解釋,將TSP業者納為主管機關公告的金融服務事業,或是其他立法的選擇等。

下一階段,臧正運認為,可以朝向發展跨業的消費者資料權。他解釋,資料賦權的目的終歸是提升消費者的選擇,以及擁有資料的主導權,而這場景不只能在金融場域發生而已。目前,像是英國、澳洲都開始在思考跨業的資料賦權可以如何進行,澳洲的作法是在消費者競爭與保護的法律中,明文賦予消費者資料權,包括個人與中小企業都擁有資料權,可以要求資料管控者,在透過消費者的授權同意下,把資料移轉給第三方或消費者自己。

另外是,未來的監理分工。臧正運提到,個資隱私保護會是未來所有跟金融科技有關的發展中,重要的環節,在這環節可以做的事,他建議,等到臺灣有個資法的專責機關出現後,可以由金管會跟該個資法主管機關共同進行監理分工,由金管會負責TSP業者的納管註冊,個資法的主管機關則受理跟TSP有關的個資隱私相關爭議,以及執法面的調查。文⊙李靜宜

 

報名台灣唯一超規格資安盛會

 

熱門新聞


Advertisement