開放銀行:讓資料重獲新生、金融服務無所不在

以前銀行就像是資料黑洞,用戶的資料進得去,卻出不來。如今銀行願意透過 API 資料接口,讓資料得以重獲新生;但第一個大挑戰是標準制定問題!
評論
Photo Credit: Shutterstock/達志影像
評論

本文來自《區塊勢》,INSIDE 獲得作者同意轉載。

若要票選近期金融圈最熱議的話題,開放銀行(open banking)肯定名列前茅。我之所以會注意到開放銀行,除了因為曾經專訪將來銀行策略長吳建頤,也是因為近期多篇報導都不約而同指出 —— 開放銀行就是銀行將金融資料的所有權歸還給用戶。

身為研究區塊鏈的作家,我馬上就被「銀行想歸還資料所有權」抓住目光,可惜最後發現是空歡喜一場。今天這篇文章我會先說明什麼是開放銀行,再討論開放銀行帶來哪些影響。看完這篇文章後,不僅會知道銀行是如何將資料所有權「歸還」給用戶,還能進一步認識開放銀行和區塊鏈之間的關係。

你的存款有多少?

你知道目前自己在銀行裡的總資產有多少嗎?多數人的存款會分散在好幾家不同的銀行帳戶。長輩可能會先找出每家銀行存摺,出門刷摺後再手動加總所有餘額。熟悉數位操作的你我也沒有多高明的方法,出門刷摺變成是在銀行 app 輸入帳號密碼。不變的是,我們仍然得分別記下帳戶餘額,再自行手動加總。如果你和我一樣,常常忘記網銀的帳號密碼,可能還會跑回去刷摺。

為什麼到了 2019 年,要計算自己的總資產仍然這麼麻煩?背後有商業和技術兩大障礙。

每家銀行提供的服務大同小異,換句話說就是競爭激烈。各家銀行都將客戶資料視為創造差異化服務的武器。武器當然不能分享,因此所有銀行都採取封閉的方式管理客戶資料。銀行願意服務用戶,但可不願意服務其他銀行或競爭者。而銀行之間的商業競爭,最終卻導致用戶的不便。

回想開戶過程,我們得在不同銀行重複填寫相同的資料。這就和在網路上不管是要買東西、申請電子郵件,都會要重新設定一組帳號密碼一樣。直到 Google 和臉書的社交登入功能出現,才幫我們省去一些麻煩。幾乎人人都有 Google 和臉書帳號,兩大巨頭可以一呼百應。但金融領域欠缺這樣有號召力的角色,誰也不願意配合誰,用戶就淪為藩鎮割據下的犧牲品。

英國政府開第一槍

2016 年,英國政府以強制手段打破商業利益的拉扯,並主導技術規格,建立統一的開放銀行 API 標準。明令只要在用戶同意的前提之下,銀行就必須透過統一的 API 資料接口,將資料授權給其它業者使用,改善用戶的金融服務體驗。

舉例來說,許多用戶早就有使用記帳 app 的習慣。這些 app 與銀行串接之後猶如大升級,不僅能夠記帳,還能與特定銀行的帳戶資料同步更新。許多用戶會為了方便查詢與管理資產,捨棄既有的銀行帳戶,跳槽到有和記帳 app 串接的銀行開戶。這時銀行才恍然大悟,原來開放資料不僅不會讓自己喪失競爭力,反而可以帶來更多新客戶。

圖:ZANDERS

有了英國的成功經驗,全球吹起一股開放銀行(open banking)風潮,台灣最近也搭上了,根據數位時代 報導:

財金公司的開放 API 平台,在 10 月 16 日正式上線,首波「公開資料查詢」的應用場景民眾也都能開始使用,台灣的金融產業,將邁入「跨界、跨域」的新階段。

以前銀行就像是個資料的黑洞,用戶的資料進得去卻出不來。如今銀行願意透過 API 資料接口,讓資料得以重獲新生。不過第一個挑戰是標準制定問題。

在 USB 尚未成為全球統一的充電插孔標準時,各家手機品牌的充電插孔形狀千奇百怪,互不相通。銀行的 API 資料接口也面臨相同的技術瓶頸。與其等待銀行協議統一規格,台灣政府決定效法英國經驗,站出來制定標準的 API 資料接口。根據 iThome 報導:

透過財金的開放 API 平臺,麻布記帳在 3 個月內,就完成與 20 家銀行的簽約和 API 串連。過去,光是一家就得花上 8 個月時間才能談妥。

有了標準的 API 接口,其它業者才能更容易取得塵封在銀行內部已久的資料來打造新服務。就像現在 3C 產品公司可以依據 USB 的標準接口推出許多周邊商品,讓整體的數位生態系變得更加繁榮。

那麼,開放銀行會對用戶的生活帶來哪些改變呢?主要有兩大好處:

  1. 用戶可以授權銀行資料給其它業者。
  2. 用戶會發現金融服務越來越無所不在。

先從前者說起。

用戶能授權銀行資料

目前開放銀行的進度,只進行到第一階段 —— 公開資料查詢。也就是銀行將存款利率、外幣匯率與 ATM 位置等資料,透過 API 資料接口提供給其它業者。這是用戶最無感的一步。畢竟這些資料早就已經公開在網路上,唯一的差別是其它業者可以快速地整合不同金融機構的資訊,方便用戶比較。

圖:麻布記帳

真正的有感的改變是第二階段的「消費者資料查詢」以及第三階段的「交易面資訊」,這才真正觸及到原本銀行沒有對外公開的用戶資料授權。其實授權資料你我都不陌生,以臉書登入蝦皮拍賣就是。只不過,銀行以前將用戶資料視為自己的寶貝,用戶只能在銀行 app 裡取得資料,即便用戶同意,銀行也未必會積極授權給其他服務使用。

有了英國的成功經驗,再加上台灣政府統一 API 資料接口,資料授權將會逐步成真。不過許多報導認為,開放銀行就是銀行將金融資料的所有權還給用戶。這點我並不認同。

假如我買了一台單眼相機(用戶資料)寄放在朋友家(銀行),朋友偶爾會藉代管之便使用那台相機。但朋友因為對他的室友(第三方服務商)有點誤會,即便是在我同意的情況下,朋友也不願意把我的單眼相機讓給他的室友使用。直到最近,他們兩位總算化解先前的誤會。朋友就跑來跟我說:「只要在你同意的情況下,我就會把相機讓給室友使用。這算是把相機的所有權還給你了。」

不對吧?首先,相機本來就是我的,是以前朋友因為個人因素,將相機據為己有。其次,即便現在朋友願意尊重我的意思將相機借給他的室友,這也不算是我完全取回相機的所有權。畢竟朋友自己還是會不時的拿來用一用,而我也管不到他。這就是銀行透過 API 讓用戶取得資料授權的情況,資料仍然在銀行手上。

若我要真正取回相機所有權,不再受制於朋友,簡單可以分為兩種方法:

  1. 直接將相機拿回家,自己保管。
  2. 繼續放在朋友家,但將相機上鎖。

以第一種方法,取回實體的相機自己保管或許可行。但若是想以相同方法,取回數位的資料自己保管目前仍然不太可行,我們的手機還沒準備好用來保存個人產生的所有資料。

因此,目前區塊鏈領域討論的取回資料所有權,都是採取第二種方法 —— 將資料加密之後保存在企業的資料庫內。無論是誰要使用,都得回頭向資料的擁有者取得鑰匙才行。而那把鑰匙,就是用戶自己保管的私鑰,這才算是真正取回所有權。兩相對照之下,顯然目前的開放銀行,只是用戶能授權資料,並不是銀行將資料所有權歸還給用戶。

相信你已經看出來,開放銀行雖然比銀行各自封閉的現況還來得好一些,但也只做到了類似 Google 登入與臉書登入的功能,讓用戶能逐步授權資料給指定的服務提供者,生活變得便利。

開放銀行的第一個好處是讓資料開始流動,第二個好處則是讓金融服務融入日常生活場景。

金融服務走入生活場景

我認為現在人們接觸到的網路銀行服務,完全沒有發揮數位化之後應有的潛力,銀行只不過是把實體的銀行變成一款 app 而已。就像是把大英百科全書掃描成電子檔,就說它是一份數位的百科全書。在我們用過維基百科之後,已經對數位化的百科全書有不同的期待,至少要可以搜尋或是有超連結吧!

目前銀行的 app 也有相同的問題。打開銀行 app,就像是有人問你今天要辦理的業務是存提款、貸款還是購買外幣?選項多到令人眼花撩亂。這是用實體銀行的思維,打造網路銀行。實體分行多半開在市區的精華地段,才有足夠的人流。在店租、人力的營運成本考量之下,銀行會盡可能在實體分行內提供最完整的服務。

圖:台新銀行

但是到了網路世界,在網路上開設新據點、營運成本都比實體分行便宜許多,甚至開一家網路分行可能和開一百家網路分行的營運成本近乎相同。不僅如此,在網路上的精華地段變成是應用商店裡的熱門 app,例如經典手遊、理財應用甚至是社交 app。因此,若要讓金融服務走入數位的生活場景,銀行首先必須打破想建立一家完整分行的舊習慣,將銀行的功能拆分成多種金融服務,再將它們以 API 的方式「塞」進熱門 app 之中。

這就好像人們都會去文具店買明信片,於是郵局就派員進駐文具店為人們提供寄信服務。在實體世界的人員派駐成本很高,但在網路世界的成本可能近乎免費。因此,銀行的數位策略應是從人們的使用場景出發,尋找每項金融服務的潛在異業結合機會。當金融服務已經融入應用場景,就更能凸顯獨立的銀行 app 只是銀行數位化過程中的半成品。

同樣的事情,在區塊鏈世界也正在發生。有越來越多虛擬貨幣錢包,都內建交易所的買賣功能。以前若要用穩定幣 USDT 購買以太幣(ETH),得先把 USDT 先從錢包轉到交易所,在交易所兌換成 ETH 之後,再轉回自己的錢包。但現在像是 imToken 或 Trust 錢包都直接將交易所內建在錢包裡,用戶直接在錢包裡面就能買幣。

圖:Trust

錢包既然可以整合交易所,當然也可以整合銀行。若錢包以後串接銀行提供的 API,用戶就可以在錢包裡以銀行帳戶裡的新台幣購買 ETH。而不用先到中心化交易所入金、買幣之後,再把幣匯出到個人的錢包。從銀行的角度來看,熱門的錢包 app 也是網路上的精華地段,自然也會成為各家銀行爭相合作的對象。

更長遠來看,現在有越來越多數位資產交易平台,開始透過區塊鏈交易全新的數位資產,例如數位收藏品、數位版權。未來這些交易平台,肯定也都會陸續有銀行「進駐」服務,讓用戶體驗更加順暢。

看到這裡,相信你會發現開放銀行乍看之下和區塊鏈有一段距離,但其實運用區塊鏈提供數位資產交易的那群人,若不免要跟銀行打交道,就不能忽視這波開放銀行的潮流。

責任編輯:Chris

延伸閱讀:



Akamai 擁有最卓越的執行能力,獲《Critical Capabilities》肯定

Akamai 是全球最受信賴的數位體驗保護和遞送解決方案供應商,連續四年獲得《Magic Quadrant for Web Application and API Protection (WAAP)》評選為領導者。
評論
圖片來源:Akamai
評論

Akamai Technologies, Inc. 是全球最受信賴的數位體驗保護和遞送解決方案供應商,在 2021 年《Magic Quadrant for Web Application and API Protection (WAAP)》(網路應用程式與 API 保護 (WAAP) Magic Quadrant) 中,獲 Gartner 評選為領導者。

Gartner 分析師評鑑 11 家廠商,並依據各廠商願景之執行力和完整度給分。在採用新命名的報告中,Akamai 在執行能力方面獲得最高評價。這份報告是 Gartner《Magic Quadrant for Web Application Firewalls》(網路應用程式防火牆 Magic Quadrant) 的進化版本,而 Akamai 在過去四年連續獲 Gartner 於該報告中評選為領導者。

Gartner 也發表了 2021 年《Critical Capabilities for Cloud Web Application and API Protection》(雲端網路應用程式與 API 保護的關鍵功能) 報告。這是 Gartner《Magic Quadrant for Web Application and API Protection》(網路應用程式與 API 保護 Magic Quadrant) 的配合報告,此報告評估了 WAAP 產品保護網路應用程式與 API 的能力。在此報告內,Akamai 於四大使用案例的其中三項皆獲得最高分,包括 API 安全與 DevOps (3.60/5)、高安全性 (3.76/5),以及網頁規模的業務應用程式 (3.91/5)。

根據 Gartner《Hype Cycle for Application Security, 2021》(2021 年應用程式安全技術成熟度曲線) 指出:「雲端網路應用程式和 API 保護產品是雲端遞送式多功能網路應用程式安全產品,且須整合至少四項核心功能:網路應用程式防火牆、DDoS 保護、機器人程式管理和 API 保護。WAAP 是網路應用程式防火牆所扮演之角色的進化版,而此進化是因為企業需要更有效地防禦多種威脅手法,同時大幅增加對外公開的網路應用程式和 API。」

Akamai 親眼見證叫用 API 的幅度大幅增加。為了確保 API 安全,需要量身打造的解決方案,以因應深度 API 訊息檢查、API 規格管理、驗證與授權,以及反自動化等問題。

Gartner 表示:「安全與風險管理領導廠商所選用的 WAAP,應能夠提供容易使用的控制功能,並可針對先進機器人程式與日益進化的 API 攻擊,提供更為專門的保護。」根據 Gartner 指出:「到 2026 年時,40% 的組織會根據進階 API 保護及網路應用程式安全功能來選擇 WAAP 供應商。」

Akamai 相信,全方位的網路應用程式和 API 保護解決方案需包含相鄰安全功能,以涵蓋範圍不斷擴張的威脅。在 2020 年,Akamai 推出首款引進自動化 API 探查與分析功能的雲端 WAAP 解決方案。

Akamai 在今年推出調適性安全引擎,這是其網路應用程式安全產品組合的核心基礎,其設計可自動因應攻擊的複雜程度來調整防護,同時減少維護和調整規則的工作。另外亦包含機器人程式能見度與緩解能力,以針對機器人程式對數位資產的影響提供深入剖析。

Akamai 應用程式與網路安全產品管理副總裁 Amol Mathur 表示:「網路應用程式與 API 安全有一項不變的特質,那就是變化 Akamai 持續在 WAAP 產品中推動大幅進展,讓我們的客戶能更輕鬆跟上迅速加快與變動的威脅情勢,同時提高營運效率並增加開發人員工具。我們相信 WAAP 產品組合的這些重要進展,是讓我們在 Gartner《Magic Quadrant》報告中贏得領導廠商地位的功臣。」

Akamai 技術支援和管理服務,持續獲得客戶肯定

根據報告指出:「Akamai 的客戶在客戶支援體驗方面,給予該廠商極高評價,包括他們從技術支援和管理服務獲得的專業知識和協助。」

此外,Akamai 保護資料、網站和應用程式的能力,以及其網路安全解決方案的使用簡便性,均獲得客戶的認可。

根據 2021 年 9 月 20 日的 Gartner Peer Insights 評論,以下是 Akamai 客戶的意見:

  • 一位服務業的技術主管表示:「這套軟體 (Kona Site Defender) 擁有絕佳的功能,可保護企業資產和組織資源免受 DDoS 攻擊和各種網路威脅的影響。它在處理威脅時能提供高準確度。它能以更準確的方式保護網站和裝置,包括行動裝置在內。它能封鎖與廣告相關的惡意網站和內容,這些都可能損害企業安全。」
  • 一位零售業的軟體開發工程師表示:「適用於 DDoS 和網路應用程式攻擊的最佳安全產品。KSD 是我用過最好的安全工具。它簡單易用,而且具有出色的支援能力。KSD 提供可自訂的保護機制,這非常有用,且其功能都相當實用又切中要點。」
  • 一位金融業的網路自動化專家表示:「我們與 Akamai 合作以保護我們的核心資產,而每一分錢都值回票價。我們每年都會進行一次 DDoS 模擬演習,以測試 Akamai DDoS 和 WAF 的控制功能,而測試結果證明我們的投資是值得的。」
  • 一位金融業網路產品經理指出:「Kona 提供了顯著的安全改善,並且賦予我們過去無法獲得的可見度。它是我們的策略中的核心產品,以確保提供給客戶的應用程式安全無虞。」

歡迎於此處免費參閱 2021 年 9 月 20 日所發表的 Gartner《Magic Quadrant for Web Application and API Protection》(網路應用程式與 API 保護 Magic Quadrant) 完整報告,內含 Magic Quadrant 圖表。如需有關 Akamai WAAP 產品的額外資訊,請造訪此處

本文章內容由「猿聲串動」提供,經關鍵評論網媒體集團廣編企劃編審。