開放銀行 — 台灣業者應注意的面向與未來展望

本篇在談台灣開放銀行業者應注意的面向與未來展望,包括監管法規、技術以及責任歸屬,以及開放銀行接下來希望達成的應用情境。
評論
Photo Credit:pixabay
評論

本文為投稿文章,INSIDE 經編審後刊出。作者莊子賢,原文刊登於 Medium

最近接觸了開放銀行(Open Banking)議題,覺得十分有趣。藉這篇文章分享自己對開放銀行的看法,透過寫文章的方式能再次釐清我的思緒,也順便當成自己的一份研究小筆記。

這篇文章架構大致上可以分為五個部分:

  1. 前言
  2. 開放銀行的過去與現在
  3. 台灣開放銀行的問題
  4. 台灣開放銀行業者應注意的面向
  5. 台灣開放銀行的未來展望

前面 3 點已於上篇談過,接著要談談「台灣開放銀行業者應注意的面向」與「台灣開放銀行的未來展望」。

台灣開放銀行業者應注意的面向

台灣開放銀行是現在進行式,許多《開放銀行 — 把資料分享出去吧!迎接全新金融場景》提到的問題尚未有定論。不過,我們還是可以聊聊一些值得探討的面向。

監管法規-金融機構系統更新,TSP 業者應重視法遵

由於資料共享(Data-Sharing)攸關消費者的個人資料,金融機構是否為因應技術、系統,甚至是整體服務模式的變更而有相對應的措施了?金融機構不只要隨時留意法規及監管措施的最新動態,也得考慮既有的系統是否有維護、更新的需求,甚至是導入新系統以因應資料共享應用。

立法院《開放銀行相關問題之研析》提到:

未來在實施開放銀行後,接觸消費者金融數據資料的業者將不限於傳統金融業者,更多的是規模較小的金融科技業者,衍生爭議或損害的風險也將大於傳統金融業者⋯⋯爰此,金融主管機關允宜提前研議是否於金融消費者保護法中增訂相關之資安保護及消費者權益保障規範、爭議處理及損害賠償機制等以為因應。

簡單來說,隨著越來越多業者能接觸金融資料,相關主管機關應要開始思考消費爭議處理、消費者權益保障及消費者個資的處理和利用等議題。同時,TSP 業者也要遵守銀行公會自律規範裡的事項,包含洗錢防制法、資恐防制法、個人資料保護法、消費者保護法等等,更一定要合乎財金資訊公司所訂定的 Open API 的技術標準。

管控技術 — 採用合適應用技術,強化個資保護管理機制

最近企業資料遭駭或消費者個資外洩事件頻傳,所以企業越來越重視資安與隱私問題。也就是說,在法規開放的同時,相關業者應更加強資訊風險管理。

我參考這兩份報告(報告 1報告 2),歸納出一些金融業者可以參考的資安跟隱私因應措施:

API 敏感資訊應加密保護:資料遮蔽、去識別化、傳輸層加密(TLS)

  • 建置 ISMS:ISO 27001
  • 建置 PIMS:ISO 27701
  • 遵循 GDPR:隱私預設設計(PbD)與資料保護影響評估(DPIA)
  • 建立合規雲端平台:與金融業者分享數據及共同進行 API 沙盒開發測試
  • 遵循其他國際標準:APEC 九項隱私保護原則及 OECD 八項隱私保護原則
  • 強顧客認證(SCA):重新導向、分離、嵌入式

這裡有點 tricky—— 資安不等於隱私。根據 iThome 一則文章

企業即使做好資安,也不代表完善地落實隱私。資安在乎的是,對於未授權的存取,有嚴格的控管。但隱私保護更在意的地方是,除了授權存取之外,同時還需要檢視是否妨害當事人的權利與自由,「這些個資你可以使用,但有沒有逾越當初蒐集個資時的特定目的?有沒有將個資轉售營利?這些都是隱私議題。」

我自己的解讀 —— 資安是外在的實際措施,隱私是內在的道德標準。

責任歸屬 — 將 TSP 業者納入金融體系,釐清責任歸屬

事實上,金融機構把資料分享出去時將會面臨巨大挑戰 — — 責任劃分。金融機構可能要負責 TSP 業者提供服務與資訊安全的問題。

針對責任歸屬,每個國家有不同的應對措施:

  • 英國:問題還沒釐清前,銀行先負賠償責任
  • 日本:問題還沒釐清前,TSP 業者先負賠償責任
  • 台灣:尚未有定論

萬一 TSP 業者規模太小不夠賠怎麼辦?因此,英國要求 TSP 業者要事先購買相關保險。透過履約保險或提供相當的擔保以因應無法賠償的情形。

為解決責任歸屬,《開放銀行現行挑戰與未來新藍海》一文提供幾個很不錯的解決方案。統整如下:

  1. 建立 TSP 分級管理機制:將 TSP 業者納入開放銀行生態系,且針對不同服務情境與資安標準分級管理,篩選出最合適的 TSP 業者
  2. 建立 TSP 查核機制:由認證機構與第三方獨立單位對 TSP 業者進行後續資料管理追蹤與查核,協助釐清銀行與 TSP 之間的責任歸屬
  3. 建立消費者賦權法制環境:明確規範開放銀行資料的授權與交換

上面第三點很有趣 —— 消費者賦權… 所以,資料是消費者的嗎?

要記住,不管是強制開放模式或自願自律模式,所有相關業者都一定要得到消費者的同意才可以使用資料。根據 GDPR 的規定,若當事者未同意授權使用資料,罰金可高達營收的 4%。所以,消費者資料授權越來越被重視,也呼應上述的消費者賦權。

若想多了解消費者賦權相關資訊的讀者,這裡提供幾個資源:

Figure 8. 金融消費評議中心 logo (Source: 金融消費評議中心官網)

補充一點,金融消費評議中心(如 Figure 8)是一個專門處理金融服務業與消費者間商品或服務爭議的單位,也是一個訴訟外的紛爭解決途徑。這裡要特別留意的是 —— 金融服務業者必須依照金融監督管理組織法規定,如果沒被納入就不是金融服務業。

現行制度下,TSP 業者的主管機關是經濟部,所以 TSP 業者不是金融服務業。既然不是金融服務業,金融評議中心自然管不到,消費者與 TSP 業者發生消費糾紛時就會是問題(直接訴訟至法院曠日費時)。

如果以後 TSP 業者被納入金融體系,當業者跟消費者有爭議時,或許透過金融消費評議中心這類跨部會機制來制定法規,不只可以從旁協助消費者與相關業者,更可以促使金融環境健全。

台灣開放銀行的未來展望

消費者對開放銀行第一階段無感,似乎沒有解決使用金融服務上的痛點。當跨入到第二階段,真正有趣的體驗就要來了。

我認為開放銀行的用意很好。第一,資料共享模式使資料不只是待在金融機構裡,也開始往外流了。第二,當資料往外流到各種服務場景,勢必會衍生出許多新興商業模式,對金融業者、TSP 業者與新創業者而言,這些都是市場。

場景金融-數位金融服務將無所不在

網路三大特性:

  • 免費(Free)
  • 完整(Perfect)
  • 即時性(Instant)

網路的邊際成本(Marginal Cost)趨近零,我們總能將免費又完整的檔案即時傳給任何人、任何地方。網路開業也是一樣,線上營運成本比實體開店便宜許多 —— 經營一間網拍商店跟一百間網拍商店的成本幾乎一樣;經營一間網路銀行跟一百間網路銀行的成本也相差不大。因此,業者勝出的關鍵將會是提供創造全新的服務或產品,也就是要客製化。傳統銀行為此開始進行數位轉型策略,首要目標便是將原本的金融服務延伸到消費者的日常生活,尋找異業合作的機會。

我認為這將具有飛輪效應(Flywheel)。隨著越來越多資料開放到各個應用場域,也就會有越來越多消費者因而接觸到更多元、豐富的金融產品,進而提升消費頻次,最終轉換成獲利。如此週而復始,成為一個勢不可擋的飛輪(Figure 9)。

Figure 9. 開放銀行的飛輪效應

以上是我對開放銀行目前進程的一些想法,謝謝閱讀到這邊的讀者。

責任編輯:Mia
核稿編輯:Chris

延伸閱讀:



【一圖看懂】民生基礎建設的資安防禦為何重中之重?ACW SOUTH 沙崙基地打造天然氣、石化、變電所三大測試場域為大眾保駕護航

這幾年的新冠疫情、俄烏戰事奪走許多寶貴生命,讓網路流行一句「你的歲月靜好,是有人為你負重前行。」當我們能夠安居樂業過著恬靜生活,其實是仰賴一群人在社會各個角落堅守崗位,多數人才能享受無虞的生活及安全的家園。
評論
Photo Credit:TNL Brand Studio
評論

我們在食衣住行許多方面皆與水、電、天然氣等資源息息相關,在高度數位化的現代,臺灣在面對這些資源的基礎建設時,網路安全的防禦為何比其他國家更需謹慎面對?這件事可以從俄烏戰爭獲得啟發。

Photo Credit:TNL Brand Studio

從俄烏戰爭居安思危,臺灣每月面臨 4000 萬次的網路攻擊

有人說如果有一天真的發生第三次世界大戰,那一定會發生在網路上。從近期的俄烏戰爭來看,除了使用傳統槍砲坦克,更值得注意的是雙方都派出大量 IT 駭客,攻擊對方的油水電重要基礎建設的伺服器、通訊設施,企圖阻斷即時資訊,藉此癱瘓敵方的民生設備運作。

事實上,一般駭客不會主動攻擊一個國家的基礎建設,大多是鎖定企業等級為目標,像是美國燃油管線營運公司,受到來自東歐的勒索病毒攻擊,被迫暫停營運同時還要支付新台幣 1 億 4,000 萬元的贖金,造成當地民眾恐慌,發生一波搶購燃油熱潮。

而臺灣因為政治戰略的因素,外部駭客總是虎視眈眈,想要癱瘓我國的民生關鍵基礎設施。過去幾年間臺灣每月平均受到 2,000 萬到 4,000 萬次外來攻擊,甚至懷疑一起大型惡意軟體攻擊,幕後的駭客是有國家力量在撐腰。

臺灣民生建設資安防禦迫在眉睫,ACW SOUTH 沙崙基地扮演關鍵角色

身為島國的臺灣,電力、石油、天然氣及水利等資源設備,是供應國內經濟發展及民生需求的重要資產。面對各項能源設備資安的防護,我國經濟部長王美花過去就曾公開表示,「油電水等關鍵設施假使被破壞,後果不堪設想,所以資安是重要基本功,一定要發展做好防護措施。

身為國內首屈一指的「ACW SOUTH 沙崙資安服務基地」(以下簡稱 ACW SOUTH 資安基地),承接起重責大任,提供資安實驗場域,模擬攻防演訓及產品驗測服務;也會邀請資安服務廠商與工控營運業者到沙崙場域,進行實作的技術交流。

ACW SOUTH 資安基地計畫團隊表示,「透過資安服務商與工控營運業者的交流分享,有助促進產業對於工控資安了解與場域運用;同時我們也會辦理工控資安等相關課程、研討會及交流會,鏈結資安與工控業者幫助雙方有更深入的技術合作。」

目前 ACW SOUTH 資安基地的「關鍵基礎設施工控場域」主要有「石化/化工、天然氣及變電所」三套系統,模擬五套攻擊劇本,協助相關基礎設備的管理者,在受到攻擊當下知道該如何反應,及早因應強化資安防禦實力。萬一遭遇偽造工作站監看數據、偽造命令操控電磁閥和空壓機、電驛傳輸通訊中斷等攻擊事件,就能立刻啟動應變流程。

走訪 ACW SOUTH 資安基地關鍵基礎設施,了解三大測試場域功能有多強

場域一、石化基礎設施
2020 年臺灣兩大石化公司接連傳出資安攻擊事件,部分資訊系統感染勒索軟體病毒,造成加油站的支付系統停擺,導致消費者付款機制受到影響。

ACW SOUTH 資安基地提供的化工模擬製程實體運作機櫃,是全台首座「石化/化工製程水位控制平台」,模擬情境為一般化工反應槽連續式循環水流水位控制,以水為循環流體模擬,可提供研究測試與訓練使用、自主開發攻防情境。來現場測試的業者,可透過視覺式監控介面與 DCS 收集現場監測儀表的即時資訊,做到收集完整數據紀錄及警報,具體測試資安防護設備與解決方案。

場域二、天然氣基礎設施
美國一家天然氣壓縮公司曾經受到勒索軟體攻擊,駭客透過魚叉式網釣攻擊入侵 IT 網路,再找機會滲透到 OT 網路,並在這兩個網路部署勒索軟體,導致人機介面、伺服器完全失能,公司業務被迫停擺兩天。

ACW SOUTH 資安基地的儲槽氣體壓力監控系統,模擬情境為天然氣廠氣體儲槽壓力,使用空壓機模擬天然氣體,當氣體壓力高於或低於警報值時,系統畫面警示工作站主機,並同時記錄數據變化、警報和事件。

場域三、變電所基礎設施
2021 年台電董事長說台電遭駭客攻擊幾乎每天發生;俄烏戰爭過程,俄羅斯駭客也曾嘗試對烏克蘭發電廠下手,利用資料破壞軟體發動攻擊,藉此癱瘓高壓變電所,讓烏克蘭當地無電可用。

電力系統無論在發電、輸電及配電的任一部分發生故障,都有可能影響整個供電系統異常,因此保護電驛的作用就在及早隔離故障,避免影響到後續的相關設備。ACW SOUTH 資安基地的保護電驛監控系統採用 IEC61850 標準來進行網路通訊,可用來監視、記錄電驛突發事件,藉此模擬變電所遭受攻擊的危機處理。

要讓臺灣關鍵基礎設施免於駭客襲擊,可說是天方夜譚,但我們能做的是提升資安、強化防禦韌性,更有餘裕時間來防禦或補救攻擊。ACW SOUTH 資安基地的關鍵基礎設施,目前打造了三大測試場域,擁有可實際演練的攻防腳本,並進行資安產品的驗測。

ACW SOUTH 資安基地深知臺灣以製造業起家,尤其近年半導體領域成為舉世聞名的護國神山;另外因應全球淨零碳排議題,綠能也是前景可期的重要產業。因此在 ACW SOUTH 資安基地除了有關鍵基礎設施,還設計智慧製造、智慧綠能、半導體及物聯網等主題,可為相關業者做攻防演訓及產品驗測,有助提升我國整體資安防禦力。

「經濟部工業局 廣告」