【開放銀行特別報導】財金資訊公司帶頭打造Open API平臺，下階段關鍵挑戰是身分認證

「財金長期以來都是扮演中立的角色，在金融業界擔任後臺的共通平臺。」這是財金資訊公司董事長給財金的最佳註解。這也是為何臺灣推動開放銀行（Open Banking）技術面的關鍵要角，會是由財金公司作為制定三階段Open API技術與資安共通標準的單位。

由財政部與公營、民營金融機構，共同出資籌設的財金公司，主要的業務是金融機構跨行資訊系統的規畫、建置與營運，並提供跨行交易轉接與清算服務。林國良提到，財金存在的目的，是讓整個資源共享、資訊溝通，透過資訊系統的建置，讓金融機構進入門檻較低，避免重複投資的問題。

「財金做得是鋪橋蓋路的工作，而不是要出來跟市場競爭。」林國良強調，在這次的Open API共通標準制定，財金的理念也是一樣。

他進一步指出，本國銀行有37家（含中華郵政），金融機構有300多家，若科技業者或新創業者要與這麼多金融機構個別串接API，會非常沒有效率。所以，財金的角色就浮上檯面了，讓不同機構可以互相串連在金融領域之中，他說。而金管會賦予財金公司的首要任務就是，訂定出Open API技術與資安共通標準。第二個任務是建立起「開放API開發者平臺」，讓大家透過這平臺串接互通。

「總得有人走出第一步，將整個環境帶動起來，而財金就是扮演拋磚引玉、活絡市場的角色。」林國良表示，財金建立的Open API平臺，重點還是要將業者的創意在此落地實現應用。他也相信，一旦激盪出許多新的金融服務，應用科技的金融服務就會多元且蓬勃發展，從銀行、科技業、消費者的角度而言，就可以回歸市場良性競爭。

身分認證將是第二階段關鍵挑戰，將配套消費者授權機制

對於開放銀行政策三階段的推動，財金早在今年9月中，就揭露下階段Open API技術與資安標準完成的時程。第二階段的「消費者資訊查詢」的技術與資安標準制定，財金預計今年12月完成。

而第三階段「交易面資訊」的自律規範、技術與資安標準訂定等配套措施，財金則估計於第二階段實施後的6個月完成。不過，這是財金在技術面的時程表，林國良表示，要依循業務面的時程，也就是銀行公會訂定的自律規範，所以下階段正式上路的時間，仍要依自律規範及技術與資安標準報請主管機關核准的時間點而定。

由於第二階段是「消費者資訊查詢」，林國良認為，銀行如何確認是客戶本人授權TSP業者，來銀行取得資料，這樣身分驗證環節的設計，將會是第二階段的關鍵。客戶授權是一段，此外，當銀行把客戶的資料，交到客戶授權的單位後，資料能否被好好保管，以及萬一掉資料，責任歸屬又該如何認定，也都是這階段待需解決的問題。

他也指出，在第二階段，隨著身分驗證環節的設計，消費者授權機制也會有所配套措施。只是說，目前各家銀行的授權機制不一，最後會採取統一授權或個別授權？林國良認為，初步傾向個別授權，因為，臺灣並沒有所謂的數位身分認證或識別中心，可以證明是客戶本人，只能依據客戶與銀行先談好的授權機制如金融卡、憑證、密碼等來確認是客戶本人。

此外，對於銀行普遍認為，在與TSP業者合作，希望有第三方公正單位代銀行稽核TSP業者，同時也免去TSP面對多家銀行各自稽核的成本。林國良表示，隨著市場的變化，可能會需要有第三方公正單位出現，但不適合由財金來作為TSP認證者，他認為，財金的專業不在稽核，但會扮演好標準制定者的角色。

財金轉變IT體質迎Open API，已開始研究新資訊架構與資安布局

在財金建置與營運的「開放API開發者平臺」，林國良坦言，因為第一階段是開放公開資訊查詢，主要目的是讓新創或新商業模式，能夠在此平臺驗證、發展，所以不會以API使用量為目標。但，到了第二、第三階段，財金認為得考慮平臺如何滿足API使用量的問題。

林國良也透露，為了因應Open API與金融區塊鏈函證未來的發展，財金內部目前已經開始研究兩大面向。一是，重新檢討財金的資訊架構，包括基礎設施與應用系統。比如說，Open API它有較開放的框架，財金的資訊架構就要調整。他也表示，財金不排除採用微服務、容器架構來設計新的資訊架構。二則是，財金要重新思考資安布局，林國良提到，包括如何檢視布建新的資安防護及資安聯防架構，都是財金的下一步。

他坦言，光開放銀行是不夠的，得從更大的範疇像是Open Finance，甚至是Open Data的概念發展。他認為，如果要讓臺灣Open API發展得好，不只銀行單面的資訊要拿出來，如何跟產業的資訊結合起來，得有銀行的資料，加上市場的資料，才能夠創造一加一大於二的產值。

轉貼自： IThome

若喜歡本文，請關注我們的臉書 Please Like our Facebook Page： Big Data In Finance