台湾金管会官员揭露开放银行最新进度 将制定一套TSP安全要求
iThome李靜宜2019/9/12 9:28:04

台湾开放银行推动三阶段中,第二阶段「消费者信息查询」与第三阶段「交易面信息」涉及消费者个人信息保护,将以何种标准审视TSP业者,以及发生个人信息洩漏或是安全事件,谁要来负责?都是金管会接下来要思考的关键问题,目前,金管会将观察英国与澳洲走向,再来制定台湾的作法。

台湾金管会开放银行(Open Banking)采香港、新加坡模式,以自愿自律作法,由银行与第三方服务公司(TSP)合作方式推动。金管会主委顾立雄在9月10日揭露了最新进展,在三阶段的开放措施中,首先推动的第一阶段是「公开资料查询」,以非交易面的金融产品为主,会在9月上线。

不过,接下来的第二阶段「消费者信息查询」与第三阶段「交易面信息」才是难题。顾立雄提到,这两阶段涉及个人信息的保护,会比第一阶段公开资料来得更为复杂。他也坦言,开放银行走得较快的国家是英国与澳洲,金管会还要再观察这两国的走向,再来制定台湾的作法。

顾立雄指出,开放银行会带来的两大关键问题,首先,银行拥有比较完善安全与个人信息保护的意识与配备,当将银行资料开放给TSP业者,金管会该用何种标准来审视TSP业者?另一个问题是,万一银行的资料开放给TSP业者后,发生个人信息洩漏或是安全事件,谁要来负责?

在这部分,英国负责推动开放银行的英国竞争及市场管理局(Competition and Markets Authority,CMA),为了确保顾客资料安全,建立开放银行生态系的API使用者资格审查制度。想要存取银行资料的金融服务提供者,必须先向英国金融行为监理总署(Financial Conduct Authority,FCA)提出注册申请,并经过FCA的查核过后获得认证,才得以取用资料。

而澳洲的作法,顾立雄表示,则是由个人信息保护委员会来查核TSP业者,要求TSP业者安全与资料保护水平,得与银行一样高,才算符合资格。

而关于个人信息洩漏或是安全事件的处理,他提到,英国与澳洲倾向让消费者可以在第一时间直接找银行负责,再由银行向TSP业者厘清双方之间的责任归属。

反观台湾,目前开放银行作法,在TSP业者评估上,尚未有一套标准或是相关的专责单位。9月即将上线的第一阶段只有公开资料查询,可能影响还不大,但到了接下来要开放的第二阶段、第三阶段,消费者个人信息保护,势必成为关键。

台湾是否也会有类似英国FCA去查核要串接银行资料的TSP业者?对此,顾立雄回应,第一阶段是公开信息查询,并不涉及个人信息保护问题,但后续开放第二、第三阶段的确会面临到这问题,金管会得好好思考这件事的作法。

顾立雄也提到,由于台湾开放银行采取香港、新加坡模式,是以自愿自律作法,由银行与TSP合作方式推动。所以,其实是由银行挑选合作的TSP业者,某种程度有点像委外的概念,就像是银行委託外部信息厂商一样,银行就得去负责审视外部信息厂商所有的安全水平。

所以,目前,顾立雄透露,金管会要与银行公会先架构出一套TSP业者应具备的安全水平要求,透过银行公会制定自律规范,来规范银行,该如何挑选合作的TSP业者。


展开全文
相关阅读
资讯查询取消