2020年12月

資安有保障 開放銀行才能邁大步

撰文:陳鴻達

開放銀行的流程中,須有完善的治理機制,每個接觸到消費者資料的單位都要有內部控管作業。須合於權限者才可接觸這些資料,並建立一套監控流程來監測、追蹤與紀錄。保護與教育消費者是信任的第一步,也是建立成功的開放銀行生態系的必要條件。



前世界各地陸續展開的「開放銀行」運動,可說是當前最重要的金融改革,台灣也正緊鑼密鼓地進行各種籌備工作。藉由消費者授權開放自己銀行的帳戶資料,讓第三方服務提供者進行加值服務,以利為消費者提供客製化的服務。同時加強銀行間的競爭,更確保消費者的利益。雖然有此美好願景,但筆者多次跟不同族群的人徵詢參與的意願,得到的答案卻以因資安疑慮而不敢嘗試的居多。因此資安的確保與救濟機制的建立,才能讓開放銀行往前邁進。


開放銀行可能帶來三大風險


雖然開放銀行帶來的創新與競爭,對消費者的個人理財帶來許多好處,但也伴隨著一些風險。因為這些資料不再是被鎖在銀行的資料庫,而是被轉移至做各種加值服務。合法接觸到這些資料的,可能是傳統金融業,或是非傳統銀行的第三方服務公司。因此在開放銀行生態系中,消費者可能的風險有以下三種:


一、資料洩漏:合法接觸資料的人,無意中洩漏了這些資料,或是被外力攻擊而被取得消費者的交易明細或帳戶號碼等敏感資料。另外,違反資安與個資保護規定,也可能造成資料被竊,導致消費者的損失。


二、未取得授權的支付:可能因為資料洩漏,或是辦理支付相關業務的第三方服務公司,因為疏失或被攻擊,造成盜刷事件。


三、有瑕疵的支付:雖然消費者有下達支付指令,但可能在處理過程中金額或是受款者弄錯,交易因此延誤,造成消費者的損失。


消費者因參與開放銀行所蒙受損失的大小,取決於第三方服務公司所提供的服務,以及銀行與第三方公司之間的溝通機制。一般來說,只做資料彙整的第三方服務公司的風險會比做跟支付有關的第三方服務公司小;只能讀取銀行資料的第三方服務公司,其風險會比能寫入資料的第三方服務公司小。


如何降低操作風險?一般來說,銀行會比第三方服務公司有更充裕的人力與資源,來建立完善的資安體系與個資保護。在市場驅動開放銀行的國家,例如美國或新加坡,是由銀行與第三方服務公司之間簽署雙邊協定,包括藉由API的資料取得,以及資安與個資保護的規定。而香港與日本的主管機關有針對開放銀行制定相關指引,但具體的細節則由各銀行自行規定。日本在2017年5月修訂的銀行法中規定,各銀行需要如何透過雙邊協定,讓第三方服務公司可以取得消費者資料。而香港金融局也已經制定一些原則性規範來管理第三方服務公司。


在一些強制性公開的國家,若消費者同意,銀行依法必須讓第三方服務公司取得消費者資料,自然也伴隨著一套監理架構來規範第三方服務機構。例如歐盟的PSD2就規定相關指引標準來要求第三方服務機構。


建立爭議調解與救濟機制


萬一有消費者權益受損或爭端發生,應有一套爭端評議機制與損害賠償機制,以確保消費者的權益,才能提高消費者對開放銀行的信心。因此,除了對違反規定有明確的處置外,也有必要針對可能因為制度設計的漏洞,或是執行上的疏失,有足夠的準備來補償消費者損失。


在美國由於開放銀行是銀行與第三方服務公司基於雙邊協定的作為,因此美國政府不會介入,而是由雙方業者制定的履約責任,與爭端調處程序來處理。除此之外,就是提起民事訴訟。但一般來說,消費者是不容易舉證其因開放銀行相關環節的疏失,而造成具體的損失。


日本與香港政府則要求在銀行與第三方服務機構的雙邊協定中,必須闡明爭議調解與補償機制。例如香港金融局要求,必須明確規定雙方業者的責任,以及爭端的調處機制,以保護消費者。萬一消費者遭受損失,在責任未釐清時,日本則要求第三方服務公司要先補償消費者的損失,究明原因後責任若屬銀行,銀行再歸墊給第三方服務公司。這剛好與英國相反,英國要求銀行要先補償消費者的損失,究明原因後,責任若屬第三方服務公司,該公司再歸墊給銀行。


英國的開放銀行有一套「爭端管理系統」(Dispute Management System, DSM)。在OBIE網頁上有個消費者客訴平台,消費者填好相關資訊後,業者必須在8周內提出說明與解決方式。消費者若不滿意就可向「金融消費評議中心」(Financial Ombudsman Service)申請評議。6個月內會有評議結果,消費者若不滿意就可向法院提起訴訟。此外也強制要求第三方公司對於賠償責任要有保險或是擔保,以保障消費者。


建立風險意識文化


當然爭議調解與補償機制的鬆緊,都會變成業者或消費者行為的誘因,甚至引發道德危機。因此為確保開放銀行的成功,需要所有參與者盡全力的保護消費者資料安全,並建立風險意識的文化。好的制度設計,應該要讓業者為其資安失誤而付出代價,這才有助於其建立風險意識的文化。但若只是強調問題發生後的盡速賠償,這對建立風險意識的文化沒有幫助。


因此,整個開放銀行的流程,需要有一套完善的治理機制,每個接觸到消費者資料的單位都要有內部控管作業。須合於權限者才可接觸這些資料,並建立一套監控流程來監測、追蹤與紀錄。同時也必須建立消費者申訴管道,負責處理客訴的人要有充分的專業訓練,不能一問三不知。


推動開放銀行時一定要詳細檢視會有哪些潛在的風險,並且提出相應對策,盡可能地降低風險發生的機率。因為保護與教育消費者是獲取消費者信任的第一步,也是建立成功的開放銀行生態系的必要條件。假如消費者面臨新型態的資安挑戰,而開放銀行所提供的商品服務卻無法確保消費者資料安全的話,這就是開放銀行最大的挑戰了。(本文作者為台灣金融研訓院金融研究所副研究員)