台湾金管会主委黄天牧日前宣布台湾开放银行（Open Banking）第二阶段将在今年第3季上路，并先采取试办模式。而在5月26日一场线上活动中，负责TSP媒合的政大，以及负责制定Open API技术与信息安全标准的财金公司，共同揭露开放银行第二阶段最新进程与规划。

政大金融科技研究中心主任王俪玲在说明会表示，开放银行第二阶段的开放将是台湾开放银行建立健全体制的关键时刻。许多的技术、信息安全与法律规范都必须在这阶段建置完成，台湾的开放银行才能持续往前迈进。

王俪玲还提到，该阶段包括了建立技术合规标准、API共同验证测试标准、信息安全风控技术认证、提供合格云端信息安全合规环境、后续信息安全与法律合规稽核查验、争议处理与责任归属、信息安全保险等机制。

相较于开放银行第一阶段是开放公开的非交易面金融信息为主，第二阶段开放的消费者信息，是以个人金融信息以及低风险金融申请服务为主，可查询帐户与简易信用卡服务。王俪玲表示，该阶段共有18支API，应用项目分为存款、贷款、其他银行服务。应用情景像是帐户余额查询、帐户整合、信用卡比价、贷款比价、投资理财推荐、信用卡设定等。

甚至，到未来第三阶段要开放的交易面信息，目前规划是以消费者支付、交易功能为主，应用场景像是信用卡点数使用、代收代付等。

不过，她提到，银行对于把资料开放出去有所疑虑，加上营运标准难达成，以及连线标准门槛高，还有双方获利模式不明，都是开放银行推行阻碍。为此，政大在上个月的说明会，提到要为TSP合规提供辅导，让TSP先符合银行在信息安全与法律的各种要求，再来与银行谈业务上的合作。

第二阶段开放哪些消费者信息查询？API应用项目首度公开

财金公司企划部专案经理时薇茜则在说明会揭露开放API现行业务推动进程，与第二阶段消费者信息查询规划，以及API应用项目。

她提到，财金公司在去年底已完成第二阶段消费者信息查询技术与信息安全标准制定。今年，要进行第二阶段技术与信息安全标准的核备，并且，协助银行就核定版的技术与信息安全标准，进行业务申请试办。

此外，今年财金也会持续观察如英国、澳洲、香港、新加坡等的发展情势，收集金融机构、产业界与学界需求与意见，再配合主管机关的核定时程，来订定第三阶段交易面信息的标准，并滚动式增订技术规格与完备信息安全规范。

根据银行公会自律规范修订重点，第二阶段消费者信息查询，新增提供金融往来信息以及申请金融产品与服务。时薇茜解释，金融往来信息是指消费者基本资料与银行间往来的金融帐户与产品相关资料，比如帐余额查询、信用卡交易信息、金融往来历史交易记录信息。另一个则是消费者向银行申请金融产品与服务，像是存款帐户开户申请、信用卡申请、信用卡附加功能申请、电子帐单申请及取消等。

自律规范提到，金融机构与TSP业者双方的合作需签订合作契约。而TSP与金融机构通过财金开放API平台进行信息传输，则会由TSP业者签订平台使用规范声明书，算是合作契约的附件，在申请上线时，则由金融机构代为交付。

自律规范也规定，金融机构需取得消费者事前同意，就能提供消费者资料给TSP业者，并须留存相关记录。时薇茜进一步提到，在流程上，TSP要协助使用者去金融机构获取金融往来信息前，得先以业者身份获取使用者服务需求与同意，使用者在这架构下，再导页到金融机构进行OAuth身份认证与资料授权。

财金公司提到，去年底，银行公会制定的自律规范，以及财金订定的技术与信息安全标准都已函报给金管会。金管会上半年仍在进行资料整合与审查作业，她透露，金管会近期可能就会以现行自律规范与技术与信息安全标准有一个核定，或者是有修订建议会提供公会或财金。

时薇茜提到，今年下半，金融机构可与合作的TSP业者，针对现行核备的自律规范与技术与信息安全标准，来提报金融机构业务申请试办，试办内容可依据金融创新试办要点来进行。然而，因第二阶段涉及使用者个人金融往来信息，很直接影响到消费者权益，参考国际间趋势，且为了谨慎与稳健办理业务，所以会透过金融机构用业务试办方式，进行第二阶段自律规范、技术与信息安全标准的实证，后续再将实证结果报给主管机关参考。

有别于第一阶段参与的TSP业者多为FinTech新创，财金公司指出，未来与银行跨域合作的TSP业者，不管是科技新创、电商业者、电信业者，甚至是其他金融机构，只要符合共通的业务与技术规范及信息安全标准框架这个前提，都能与金融机构合作拓展开放银行场域，实践金融服务多样性。

财金公司更首度揭露第二阶段API应用项目，共分为存款、贷款、其他银行服务3大类，共有18支API，比如贷款类就开放了10支API，像是申请信用卡道路救援、申请信用卡本期帐单分期、查询信用卡当期帐单信息、查询信用卡帐单交易明细等。不过，财金强调，这些未来都会滚动式调整修订。

第二阶段三大技术要求重点：信息处理、凭证作业和认证机制

在这场线上会议中，财金公司研发部组长洪国峻也针对开放API第二阶段测试验证进行说明，从中可以进一步看到未来第二阶段在金融机构与TSP之间的技术运作方式，主要有三大重点，信息处理、凭证作业和认证机制的要求。

在信息处理部分，因应各金融机构OAuth处理机制不同，同时为简化连线方式，OAuth信息由TSP业者直连金融机构。而API信息则由TSP业者介接财金后，再由财金转接金融机构。

在凭证作业部份，银行、TSP、财金端皆采用TLS双向认证，而双向认证会用通讯凭证办理。所以，当TSP与金融机构签署合作并完成注册时，金融机构将先取得TSP通讯凭证。而金融机构API信息如果是经由财金介接，则须提供银行通讯凭证与先前取得的TSP通讯凭证给财金，做双向凭证设定。接下来，财金将提供财金的通讯凭证给金融机构，金融机构再将财金通讯凭证交付给TSP业者。

而根据安控作业规范，在认证机制上，TSP业者的代理存取端与金融机构的资源伺服器或授权伺服器间，应建立认证机制。要遵循TLS双向认证或是以签章的JSON Web Token（JWT）作认证，采用凭证者，则要验证凭证与凭证的正确性与有效性。另一个是，要用事先设定的来源网络位置（IP）正面表列管制。

洪国峻提到，为了因应这两点措施，财金公司在技术标准规划，如果TSP直接介接金融机构，金融机构则依现行作法因应即可。但如果TSP由财金公司转接金融机构，将采TLS双向认证方式，财金在API信息结构Http Header中，将提供TSP业者信息提供给金融机构办理认证作业，包括凭证序号、发证单位、来源IP，这三个栏位则分别放在X-CSN、X-ISR、X-CIP，金融机构收到这三个栏位，就可以遵循安控作业规范去做事前认证。

为了确保提供API的银行，以及介接的TSP双方技术设计都能符合规范，财金也设计了两阶段测试验证。包括金融机构测试，以及TSP与金融机构测试，前项测试包含信息收送、加解密处理；而TSP与金融机构间的测试，除了信息收送、加解密处理，还多了一个认证授权（OAuth）。

洪国峻进一步解释，在金融机构测试部分，主要是要验证金融机构第二阶段技术标准的API信息实作完成度，由财金公司依据测试范围验证金融机构API信息。他表示，测试范围包括查询台外币活存存款帐户余额、查询台外币活存存款帐户交易明细信息这2项存款类的API，金融机构要在测试前提供Access Token供财金公司后续办理测试。

而财金公司与银行端都需实作TLS双向认证。所以，金融机构在测试前须交付API yaml档与银行通讯凭证给财金，财金则要交付自家的通讯凭证，提供银行设定双向认证。接下来，财金就会办理API上架。

在TSP与金融机构测试这阶段，则是要验证TSP与金融机构在第二阶段技术标准的实作整合性，由TSP业者与金融机构依据业务规划进行相关测试，财金公司则会在测试过程中协助排除双方遭遇的问题。

洪国峻表示，该阶段目前规划两大类测试范围，一类是认证授权，共有4支API需实作，包括认证授权、取得存取代码、取消存取代码、检核存取代码。另一类测试，则依照金融机构在第二阶段要提供的业务范围进行测试，这部分则由金融机构自选。