主題:Open Banking暨TSP法規議題探析暨反饋

日期:2019年9月16日 (星期一)

時間:11:30-13:50

地點:國立政治大學商學院6樓 寶來國際廳

指導單位:科技部國際產學聯盟MOST GLORIA

主辦單位:政治大學國際產學聯盟NCCU GLORIA、政治大學產學營運暨創新育成總中心、政治大學金融科技研究中心

 

時間 主題/內容
11:30~12:20
50分鐘
報到暨午餐
12:20~12:35
15分鐘
引言 政大國際產學聯盟 王儷玲營運長政大金融科技研究中心 彭金隆執行長

 

政大金融科技研究中心 臧正運執行長

12:35~13:20
各分享15分鐘
共計45分鐘
 專家主題分享

 

1. 台灣開放銀行TSP業者監理議題

2. 台灣開放銀行TSP業者與銀行資料交換上資安與法律議題

3. 台灣開放銀行法令上問題與未來可能修法的內容

政大金融科技研究中心 謝焸憲顧問KPMG顧問服務部 陳奕甫經理

 

理律法律事務所 熊全迪律師

13:20~13:50
30分鐘
綜合討論

 

 

政大國際產學聯盟定期舉辦金融科技相關修法座談會,從涉及人工智慧項目的修法、大數據使用法規,到近期與國發會討論My data如何將資料賦權到產業應用中,希望透過法規將TSP業者使用共享數據進行納管(例如 : 參考IASME、ISO27701等資訊安全防護標準),也避免將共享資訊外漏風險完全加諸於金融業者,反而降低金控業者參與資訊共享的意願。資訊共享與Open API的推動,除了Open banking之外,對於純網銀甚至未來要推動的Open Finance都是重要基礎。

 

政大國際產學聯盟王儷玲營運長表示,自2018年起,政大國際產學聯盟配合金管會政策,與財金資訊中心合作推動開放銀行(Open Banking),而Open banking需要透過Open API進行資訊共享,在開放銀行推動過程中所面臨最大的難題是資訊安全與既有相關法律限制,包括銀行委外辦法、個人資料保護法與TSP業者內部風控與稽核規範(含自律辦法)的法令修改都尚待各界討論;在監理層面,如何設計公正第三者稽核機制並降低資安風險與釐清法規責任歸屬也是亟待各界研議的重點。

 

政大國際產學聯盟定期舉辦金融科技相關修法座談會,從涉及人工智慧項目的修法、大數據使用法規,到近期與國發會討論My data如何將資料賦權到產業應用中,希望透過法規將TSP業者使用共享數據進行納管(例如 : 參考IASME、ISO27701等資訊安全防護標準),也避免將共享資訊外漏風險完全加諸於金融業者,反而降低金控業者參與資訊共享的意願。資訊共享與Open API的推動,除了Open banking之外,對於純網銀甚至未來要推動的Open Finance都是重要基礎。

 

彭金隆執行長認為,近期與國發會討論Open Data的使用,目前共識是針對較敏感性資料暫時只開放給學術使用,對比Open banking開放的三個階段,第一階段的公開資訊共享較不會產生個資同意問題,但第二與第三階段就會面臨資訊共享限制。法規上可能出現的問題,諸如客戶同意的障礙、客戶如何行使同意權、客戶如何行使同意權、如何參考歐盟GPDR設計資料可攜權、被遺忘權與請求權等機制,以及資料共享流通的法律責任劃分等。現行個資法是早年採與客戶面對面簽署的出發點進行設計,近年來透過網路平台所以進行的金融服務比率逐年上升,金融資訊委外或純網銀的進行都會面臨到無法與客戶面簽的問題。此外,由於目前個資法的設計是兩方架構,消費者無權要求金融機構移轉資料給第三方業者,而金融機構不願意配合的原因乃是涉及資料轉移外漏風險以及商業模式利益分配,未來針對這部分法規,是否能夠將資料轉移對象,資料可使用者增加成為除了當事人以外,包括當事人同意授權或與有利當事人的第三方業者;金融機構與TSP業者的資料交換,不能將資訊安全風險完全加諸於金融機構,TSP業者法律風險要如何規範尚待各界討論。

 

針對Open Banking模式,臧正運執行長表示,近期金管會顧主委提到Open banking的下兩個階段可參考澳洲模式,也認為開放銀行可能面臨兩大問題:其一為商業誘因不足 : 金融機構是追求利潤的營利單位,如果沒有足夠的商業誘因,鮮少金融機構會願意進行資訊共享;再者則為可控法律風險機制 : 資訊共享過程中,資安風險的責任分攤機制如何設計。澳洲所推動的Open Banking與API資訊交換,其實並不侷限於金融領域,乃是希望資料可做跨產業的流通,不僅是從銀行業者流向第三方,建立雙向跨業資料流動機制與提升產業願景,例如 : 電商業者所取得的消費者數據傳輸給金融業者,並賦予消費者個人資料使用權(包含中小企業與個人),讓資料可轉移給本人與本人同意下的第三方,金融機構獲得消費者使用電子商務交易的資料,對消費者個人財務狀況可產生更為精確的判斷。要進行跨業資訊交就勢必要修法,台灣監理機關與業界若想要推動跨業資料流動就不能迴避修法問題(包括後續資訊安全測試與認證制度),可參考澳洲經驗設立競爭與消費者委員會(ACCC;Australia Competition & Consumer Commission),由委員會公布資訊運作方式並負責認證(但不決定測試標準),並設立配套認證相關法律風險控管機構,這也是政大目前正在努力進行的方向。Open banking整個計畫是金融領域的重大創新,但同時也需要非常多的配套措施才能推動,就連更早投入開放銀行的澳洲,在推動時都較其預定時間延後半年才開始進行測試,台灣可能會需要更多資源與時間才能讓開放銀行進行得更為順暢。

 

本次座談會邀請了三位專家,分別為政大金融科技研究中心謝焸憲顧問、KPMG顧問服務部 陳奕甫經理與理律法律事務所熊全迪律師。謝顧問表示,Open banking是全球正在進行中的趨勢,目的從最初的打造無縫電子支付到近期的塑造金融轉型策略風向與進行跨業合作,透過數據共享進行商業模式創新,打造API經濟生態系。開放銀行是指銀行透過與第三方服務業者(TSP)合作,以開放應用程式介面(Application Programming Interface;API)共享金融數據資料,也將金融數據的主導權還給消費者,使消費者可以獲得更多元的金融服務,而資料主導權與轉移則面臨許多監理和資安法規問題,目前遵循規範是由銀行公會設計的自律規範,但未來仍需要更多的配套法規才能使其更為完善。KPMG陳奕甫經理觀察到,根據KPMG目前與各金融機構溝通後,發現金融機構多數願意且已經在發展API並參與Open banking第一階段的公開資訊交換測試,但是對於後續的兩階段則態度多為保守,原因在於銀行業者認為現行資料委外辦法使的銀行業者必須要負擔資訊安全的風險卻又缺乏明顯的商業誘因,所以金融機構往往更傾向發展封閉系統的API。若未來能夠比照澳洲推行雙向資料交換,讓兩方都能使用更豐富的資料進行服務加值,則應該能提升兩造參與開放銀行後續階段的意願。要確實克服金融機構與TSP業者資訊交換的挑戰,首先需要針對API做出明確的安全管理,對於使用API存取的人、事、地、物都必須要有清楚的規定,透過可通用的多層次公版檢核表,依照TSP業者所需要的資料類別與規模進行分層,並要求TSP業者自行查核、聲明與公開揭露。其次是要求各單位確實落實前述管理內容,例如 : 透過身分驗證、資訊加密傳輸、防竄改與資訊溯源機制等解決方案,建立並持續確保資安標準。熊律師則以法理角度詮釋,其表示,前兩年加密貨幣的興起帶來的資料權概念的重構,例如將加密貨幣交易視為資料權移轉而非財產,未來針對資料權的主張勢必更加繁複。推動開放銀行在法律上的障礙,像是個資法第八條與第九條中使用個資的權利義務內容,以及第19與20條中與資料委外辦法相關之處,由於TSP業者許多資料都存放與境外的雲端服務提供商伺服器,故委外辦法針對境外的權利義務勢必需要進行規範與修正;其次,既然資訊由銀行分享給TSP業者,要如何以合約合理的分配資訊安全風險,或是由監理機關或公正第三方平台直接對TSP業者訂定新法規進行監管(包括技術與資安標準),是一項待各界共同討論的重大議題。

圖1
王儷玲營運長、彭金隆執行長與彭金隆營運長分別引言

圖2
活動響應熱烈

圖3
謝焸憲顧問進行專家分享

圖4
KPMG陳奕甫經理進行分享

圖5
理律法律事務所熊全迪律師分享

2019修法座談會