開放銀行:讓資料重獲新生、金融服務無所不在

以前銀行就像是資料黑洞,用戶的資料進得去,卻出不來。如今銀行願意透過 API 資料接口,讓資料得以重獲新生;但第一個大挑戰是標準制定問題!
評論
Photo Credit: Shutterstock/達志影像
評論

本文來自《區塊勢》,INSIDE 獲得作者同意轉載。

若要票選近期金融圈最熱議的話題,開放銀行(open banking)肯定名列前茅。我之所以會注意到開放銀行,除了因為曾經專訪將來銀行策略長吳建頤,也是因為近期多篇報導都不約而同指出 —— 開放銀行就是銀行將金融資料的所有權歸還給用戶。

身為研究區塊鏈的作家,我馬上就被「銀行想歸還資料所有權」抓住目光,可惜最後發現是空歡喜一場。今天這篇文章我會先說明什麼是開放銀行,再討論開放銀行帶來哪些影響。看完這篇文章後,不僅會知道銀行是如何將資料所有權「歸還」給用戶,還能進一步認識開放銀行和區塊鏈之間的關係。

你的存款有多少?

你知道目前自己在銀行裡的總資產有多少嗎?多數人的存款會分散在好幾家不同的銀行帳戶。長輩可能會先找出每家銀行存摺,出門刷摺後再手動加總所有餘額。熟悉數位操作的你我也沒有多高明的方法,出門刷摺變成是在銀行 app 輸入帳號密碼。不變的是,我們仍然得分別記下帳戶餘額,再自行手動加總。如果你和我一樣,常常忘記網銀的帳號密碼,可能還會跑回去刷摺。

為什麼到了 2019 年,要計算自己的總資產仍然這麼麻煩?背後有商業和技術兩大障礙。

每家銀行提供的服務大同小異,換句話說就是競爭激烈。各家銀行都將客戶資料視為創造差異化服務的武器。武器當然不能分享,因此所有銀行都採取封閉的方式管理客戶資料。銀行願意服務用戶,但可不願意服務其他銀行或競爭者。而銀行之間的商業競爭,最終卻導致用戶的不便。

回想開戶過程,我們得在不同銀行重複填寫相同的資料。這就和在網路上不管是要買東西、申請電子郵件,都會要重新設定一組帳號密碼一樣。直到 Google 和臉書的社交登入功能出現,才幫我們省去一些麻煩。幾乎人人都有 Google 和臉書帳號,兩大巨頭可以一呼百應。但金融領域欠缺這樣有號召力的角色,誰也不願意配合誰,用戶就淪為藩鎮割據下的犧牲品。

英國政府開第一槍

2016 年,英國政府以強制手段打破商業利益的拉扯,並主導技術規格,建立統一的開放銀行 API 標準。明令只要在用戶同意的前提之下,銀行就必須透過統一的 API 資料接口,將資料授權給其它業者使用,改善用戶的金融服務體驗。

舉例來說,許多用戶早就有使用記帳 app 的習慣。這些 app 與銀行串接之後猶如大升級,不僅能夠記帳,還能與特定銀行的帳戶資料同步更新。許多用戶會為了方便查詢與管理資產,捨棄既有的銀行帳戶,跳槽到有和記帳 app 串接的銀行開戶。這時銀行才恍然大悟,原來開放資料不僅不會讓自己喪失競爭力,反而可以帶來更多新客戶。

圖:ZANDERS

有了英國的成功經驗,全球吹起一股開放銀行(open banking)風潮,台灣最近也搭上了,根據數位時代 報導:

財金公司的開放 API 平台,在 10 月 16 日正式上線,首波「公開資料查詢」的應用場景民眾也都能開始使用,台灣的金融產業,將邁入「跨界、跨域」的新階段。

以前銀行就像是個資料的黑洞,用戶的資料進得去卻出不來。如今銀行願意透過 API 資料接口,讓資料得以重獲新生。不過第一個挑戰是標準制定問題。

在 USB 尚未成為全球統一的充電插孔標準時,各家手機品牌的充電插孔形狀千奇百怪,互不相通。銀行的 API 資料接口也面臨相同的技術瓶頸。與其等待銀行協議統一規格,台灣政府決定效法英國經驗,站出來制定標準的 API 資料接口。根據 iThome 報導:

透過財金的開放 API 平臺,麻布記帳在 3 個月內,就完成與 20 家銀行的簽約和 API 串連。過去,光是一家就得花上 8 個月時間才能談妥。

有了標準的 API 接口,其它業者才能更容易取得塵封在銀行內部已久的資料來打造新服務。就像現在 3C 產品公司可以依據 USB 的標準接口推出許多周邊商品,讓整體的數位生態系變得更加繁榮。

那麼,開放銀行會對用戶的生活帶來哪些改變呢?主要有兩大好處:

  1. 用戶可以授權銀行資料給其它業者。
  2. 用戶會發現金融服務越來越無所不在。

先從前者說起。

用戶能授權銀行資料

目前開放銀行的進度,只進行到第一階段 —— 公開資料查詢。也就是銀行將存款利率、外幣匯率與 ATM 位置等資料,透過 API 資料接口提供給其它業者。這是用戶最無感的一步。畢竟這些資料早就已經公開在網路上,唯一的差別是其它業者可以快速地整合不同金融機構的資訊,方便用戶比較。

圖:麻布記帳

真正的有感的改變是第二階段的「消費者資料查詢」以及第三階段的「交易面資訊」,這才真正觸及到原本銀行沒有對外公開的用戶資料授權。其實授權資料你我都不陌生,以臉書登入蝦皮拍賣就是。只不過,銀行以前將用戶資料視為自己的寶貝,用戶只能在銀行 app 裡取得資料,即便用戶同意,銀行也未必會積極授權給其他服務使用。

有了英國的成功經驗,再加上台灣政府統一 API 資料接口,資料授權將會逐步成真。不過許多報導認為,開放銀行就是銀行將金融資料的所有權還給用戶。這點我並不認同。

假如我買了一台單眼相機(用戶資料)寄放在朋友家(銀行),朋友偶爾會藉代管之便使用那台相機。但朋友因為對他的室友(第三方服務商)有點誤會,即便是在我同意的情況下,朋友也不願意把我的單眼相機讓給他的室友使用。直到最近,他們兩位總算化解先前的誤會。朋友就跑來跟我說:「只要在你同意的情況下,我就會把相機讓給室友使用。這算是把相機的所有權還給你了。」

不對吧?首先,相機本來就是我的,是以前朋友因為個人因素,將相機據為己有。其次,即便現在朋友願意尊重我的意思將相機借給他的室友,這也不算是我完全取回相機的所有權。畢竟朋友自己還是會不時的拿來用一用,而我也管不到他。這就是銀行透過 API 讓用戶取得資料授權的情況,資料仍然在銀行手上。

若我要真正取回相機所有權,不再受制於朋友,簡單可以分為兩種方法:

  1. 直接將相機拿回家,自己保管。
  2. 繼續放在朋友家,但將相機上鎖。

以第一種方法,取回實體的相機自己保管或許可行。但若是想以相同方法,取回數位的資料自己保管目前仍然不太可行,我們的手機還沒準備好用來保存個人產生的所有資料。

因此,目前區塊鏈領域討論的取回資料所有權,都是採取第二種方法 —— 將資料加密之後保存在企業的資料庫內。無論是誰要使用,都得回頭向資料的擁有者取得鑰匙才行。而那把鑰匙,就是用戶自己保管的私鑰,這才算是真正取回所有權。兩相對照之下,顯然目前的開放銀行,只是用戶能授權資料,並不是銀行將資料所有權歸還給用戶。

相信你已經看出來,開放銀行雖然比銀行各自封閉的現況還來得好一些,但也只做到了類似 Google 登入與臉書登入的功能,讓用戶能逐步授權資料給指定的服務提供者,生活變得便利。

開放銀行的第一個好處是讓資料開始流動,第二個好處則是讓金融服務融入日常生活場景。

金融服務走入生活場景

我認為現在人們接觸到的網路銀行服務,完全沒有發揮數位化之後應有的潛力,銀行只不過是把實體的銀行變成一款 app 而已。就像是把大英百科全書掃描成電子檔,就說它是一份數位的百科全書。在我們用過維基百科之後,已經對數位化的百科全書有不同的期待,至少要可以搜尋或是有超連結吧!

目前銀行的 app 也有相同的問題。打開銀行 app,就像是有人問你今天要辦理的業務是存提款、貸款還是購買外幣?選項多到令人眼花撩亂。這是用實體銀行的思維,打造網路銀行。實體分行多半開在市區的精華地段,才有足夠的人流。在店租、人力的營運成本考量之下,銀行會盡可能在實體分行內提供最完整的服務。

圖:台新銀行

但是到了網路世界,在網路上開設新據點、營運成本都比實體分行便宜許多,甚至開一家網路分行可能和開一百家網路分行的營運成本近乎相同。不僅如此,在網路上的精華地段變成是應用商店裡的熱門 app,例如經典手遊、理財應用甚至是社交 app。因此,若要讓金融服務走入數位的生活場景,銀行首先必須打破想建立一家完整分行的舊習慣,將銀行的功能拆分成多種金融服務,再將它們以 API 的方式「塞」進熱門 app 之中。

這就好像人們都會去文具店買明信片,於是郵局就派員進駐文具店為人們提供寄信服務。在實體世界的人員派駐成本很高,但在網路世界的成本可能近乎免費。因此,銀行的數位策略應是從人們的使用場景出發,尋找每項金融服務的潛在異業結合機會。當金融服務已經融入應用場景,就更能凸顯獨立的銀行 app 只是銀行數位化過程中的半成品。

同樣的事情,在區塊鏈世界也正在發生。有越來越多虛擬貨幣錢包,都內建交易所的買賣功能。以前若要用穩定幣 USDT 購買以太幣(ETH),得先把 USDT 先從錢包轉到交易所,在交易所兌換成 ETH 之後,再轉回自己的錢包。但現在像是 imToken 或 Trust 錢包都直接將交易所內建在錢包裡,用戶直接在錢包裡面就能買幣。

圖:Trust

錢包既然可以整合交易所,當然也可以整合銀行。若錢包以後串接銀行提供的 API,用戶就可以在錢包裡以銀行帳戶裡的新台幣購買 ETH。而不用先到中心化交易所入金、買幣之後,再把幣匯出到個人的錢包。從銀行的角度來看,熱門的錢包 app 也是網路上的精華地段,自然也會成為各家銀行爭相合作的對象。

更長遠來看,現在有越來越多數位資產交易平台,開始透過區塊鏈交易全新的數位資產,例如數位收藏品、數位版權。未來這些交易平台,肯定也都會陸續有銀行「進駐」服務,讓用戶體驗更加順暢。

看到這裡,相信你會發現開放銀行乍看之下和區塊鏈有一段距離,但其實運用區塊鏈提供數位資產交易的那群人,若不免要跟銀行打交道,就不能忽視這波開放銀行的潮流。

責任編輯:Chris

延伸閱讀:



遊戲進軍海外市場,使用者體驗外更要注重用戶隱私安全

近年來遊戲產業蓬勃發展,但也同時引來了大量的 DDoS 攻擊。除了提供遊戲玩家良好流暢的遊戲體驗,防範惡意攻擊也是遊戲產業發展的重點項目。
評論
評論

隨著科技日新月異、加上新冠肺炎席捲全球,大家「宅在家」的時間也越來越長。也就是說,人們需要花更多時間,透過網路與線上的各項服務,滿足自己工作、學習、娛樂等需求。

Photo Credit: Akamai

然而,這同時也代表著各類線上或網路的服務將面臨更多安全攻擊。據統計,光是 2020 年,全球的勒索軟體攻擊事件就增加了 715%,網路釣魚攻擊增加了 600%,上半年 DDoS 攻擊事件也增加了 151%。

遊戲產業,已成 DDoS 主要目標之一

對於遊戲產業來說,本來可以借著網路的蓬勃發展,將服務擴廣至到全球市場,不過也必然會在安全和用戶體驗等方面遇到更多挑戰。舉例來說,阻斷服務攻擊(DDoS)是一種常見攻擊方式,並已成為遊戲產業所面臨的最主要攻擊方式之一。根據 Akamai 威脅研究人員在 2019 年 7 月至 2020 年 6 月期間的調查,發現了超過 3000 起針對遊戲產業的 DDoS 攻擊!

Photo Credit: Akamai

面對 DDoS 攻擊,玩家遊戲體驗大受影響,遊戲廠商收入和品牌聲譽受到損害,你該如何應對?

Akamai 幫你有效緩解

要想守護遊戲安全,需要遊戲公司、遊戲玩家共同承擔責任,單打獨鬥很難應對海外攻擊的大幅增長。對此,Akamai 將 Prolexic DDoS 與 IP Protect 技術相結合,通過簡單有效的方法保護資料中心內所有以 Web 和 IP 為基礎的應用程式免受 DDoS 攻擊,減少停機時間,幫助遊戲廠商為玩家提供提供沉浸式遊戲體驗,提升玩家黏著度,提高企業營收,保護品牌信譽。

面對 DDoS 攻擊的企業將能通過 Akamai 清洗中心重定向網路流量,只允許乾淨的流量轉發,從而有效抵禦 DDoS 攻擊。同時 Akamai 安全營運指揮中心(SOCC)的專家還可協助客戶量身打造主動破解的控制措施,以便即時發現並有效阻止攻擊,並對其餘流量進行即時分析,作為擬定下個階段因應措施的參考。

Photo Credit: Akamai

Prolexic 的主動破解控制如今已經可以「零秒」抵擋超過三分之二的 DDoS 攻擊,並以業界領先的破解時間 SLA 為後盾,為客戶的線上服務提供完全託管的 DDoS 防護服務,快速緩解大規模、即流量來到 TB 等級的 DDoS 攻擊。

案例分享:Smilegate West的 玩家體驗革新之路 

在南美和北美地區排名第一的遊戲發行商 SmilegateWest 透過自家的遊戲平臺 Z8 Games 發行了很多廣受歡迎的線上遊戲,該公司也是「穿越火線(CROSSFIRE)」在美洲、歐洲以及中東和北非地區的代理。對於這樣的一個遊戲平臺,Smilegate West 的收入和聲譽高度取決於其所營運線上遊戲的速度和穩定性,因此他們非常重視 DDoS 攻擊。

作為一款大受歡迎的第一人稱線上射擊遊戲,穿越火線在全球的玩家數量始終維持在數百萬人之多。雖然該遊戲可以免費遊玩,但大量忠實玩家也非常願意透過付費獲得更好的武器、防禦克貝以及其他有助於提高成績和排名的裝備。

談到遊戲的營運思維,Smilegate West 資深 IT 基礎架構和安全經理 Arash Haghighi 說:「在類似穿越火線這樣的遊戲中,速度和快速的決策能力非常重要,有時候甚至 1 毫秒的延遲也會對玩家得分產生負面影響,斷線的後果更為嚴重。我們希望玩家盡可以獲得最佳的遊戲體驗,因此降低延遲並提供穩定可靠的網路,一直是我們最重視的目標。」

Photo Credit: Akamai

Haghighi 負責了該公司在全球部署的多個資料中心,需要確保無論有多少玩家,IT 基礎架構都能為穿越火線以及其他遊戲提供快速、穩定的遊戲體驗。然而頻繁遭遇的 DDoS 攻擊成了 Haghighi 最頭痛的問題。尤其是現今的 DDoS 攻擊無論是在規模或是複雜性等方面都有了明顯的增長,且遊戲產業已成為攻擊者眼中的重要目標。洶湧而來的攻擊很容易就會讓伺服器徹底崩潰,瞬間影響數千名玩家。他們甚至遇到了一些更有針對性的攻擊,可以通過增加延遲的方式讓某些玩家在對戰過程中更具優勢。

「當玩家在玩某款遊戲遇到糟糕的體驗後,他們會非常積極地透過論壇和社群向全世界大肆宣傳,這很可能導致我們的市場佔有率被競爭對手搶走。」Haghighi 對於這種問題有極大的感觸。

行雲流水般的,無懼 DDoS 威脅

近些年,Smilegate West 一直在 Akamai 的幫助下有效抵擋 DDoS 攻擊,確保能為全球玩家提供流暢的遊戲體驗。尤其是在 Akamai Prolexic Routed 的幫助下,他們甚至成功緩解了最大規模、最複雜的攻擊。

借著 Akamai 雲端 DDoS 抵擋服務的容量和威脅情報,Smilegate West 成功抵擋了巔峰值流量超過 400 Gbps 的攻擊,並瞬間恢復了正常運作。

Akamai 工程師 24/7 全天候分析流量模式並提供新篩檢程式的做法也讓他們更具信心。

在透過 Akamai 安全營運回應中心(SOCC)及時回應最新威脅的同時,他們還可以通過一個專用的帳戶密切監視各項網路活動,並針對諸如封包丟失、延遲、連線品質等關鍵指標獲得即時資訊。

Photo Credit: Akamai

為全球化營運保駕護航

DDoS 攻擊可能來自全球任何一個角落,而 Akamai 遍佈全球的 20 個據點可以有效阻止攻擊流量進入 Smilegate West 的資料中心。由於該公司玩家遍佈全球,每年還會在巴西、加拿大、中國、埃及、土耳其和美國等地舉辦多場比賽,因此 DDoS 抵擋服務的規模和覆蓋範圍也就顯得更加重要。而無論 Smilegate West 將業務拓展到哪裡,都可以獲得 Akamai 的妥善保護。

同樣借助 Akamai 遍佈全球的雲端,Smilegate West 還可以在 CDN 加速、遊戲下載和更新速度以及邊緣交付等領域獲得巨大價值。對玩家來說,這意味著遊戲和更新的下載速度更快,遊玩體驗也有了進一步提升。

在此基礎上,Smilegate West 也進一步加深了與 Akamai 的合作,開始借助 Akamai 的 Web Application Protector 解決方案為遊戲後端系統提供安全防護。

 

我們與 Akamai 的關係並不僅僅是客戶與提供商,而是朋友和夥伴。
——Arash Haghighi,Smilegate West 資深 IT 基礎架構和安全經理

歡迎訪問 Akamai 官網,了解更多行業案例及資訊。

本文由「Akamai」提供,經關鍵評論網媒體集團廣編企劃編審。