國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
亦有討論空間。而消費者是否受有保護,影響其參與開放銀行的意願,間接影 響開放銀行的發展規模。由此觀之,開放銀行的推行,在目前法律制度下,仍 存有討論空間,且影響開放銀行施行程度。
第七節、小結
金融科技興起,銀行數位轉型已非新聞,而開放銀行更進一步,將消費者 與銀行往來的金融資料與第三方服務提供者分享。以本研究對象為例,早期導 入開放銀行的英國,因該國少數大型銀行握有該國超過80%帳戶,且消費者轉 換銀行帳戶機率低,導致銀行惰於進行金融創新服務,恐降低該國金融競爭 力,故發布CMA Order 設立 OBIE,透過訂定開放 API 標準促進金融創新,降 低第三方服務提供者進入金融市場門檻,並強化消費者資料可攜權。為了促進 市場競爭,澳洲更進一步由ACCC 建立 CDR,其宗旨在於定義消費者與往來實 體間的資料為雙方共同資產,而消費者對於該資料具有使用權。該權利不僅限 於銀行,預計擴展到能源、電信等方面。香港則為了維持香港銀行業國際競爭 力,選擇由金管局制訂開放API 架構,施行開放銀行政策。與英國及澳洲強制 要求銀行施行開放銀行政策不同,香港對於銀行參與採自願模式。臺灣研議開 放銀行時,經金管會責成銀行公會研究,參酌英國、澳洲及香港等國政策,考 量銀行業接受度及修法程度,終採自律自願模式,並分別由銀行公會制訂業務 合作自律規範及財金公司訂定安控作業規範。比較各國情形,施行開放銀行原 因雖有不同,但共同主因均為因應金融科技潮流,欲以開放銀行導入,提升該 國銀行業競爭力。
然而開放銀行的實施,係經消費者同意授權後,由第三方服務提供者透過 API 介接銀行取得,進行分析、處理及利用,最終提供消費者第三方服務提供 者的產品或服務。就市場面而言,銀行長期儲存消費者金融資料,今轉為資料 提供者,對於該政策的配合程度影響開放銀行的發展。而消費者對開放銀行的 瞭解程度普遍不高,且因提供的是消費者金融資料,其敏感性較其他個資高,
近來如濫用消費者資料的劍橋事件及個資外洩意外頻傳,可能造成消費者不相 信第三方服務提供者,以致縱使知道可能獲得更好的金融服務,但與個資外洩 的風險相較,仍寧可選擇不開放個人銀行資料。
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
除了市場面外,在科技面上,開放銀行的導入對於銀行產生資安的挑戰。
銀行因長期受到高度監管,其資訊系統多屬封閉型,面對開放銀行係由第三方 服務提供者透過API 介接消費者金融資料,銀行是否能防止外部惡意攻擊成功 保護消費者資料,也影響消費者對於銀行的評價。而第三方服務提供者,依規 定需通過驗證方有資格與銀行界接,然而其驗證條件及執行方式應求合理,如 何在資安考量與金融科技發展間找到平衡點,是為開放銀行科技面上的挑戰。
觀察法制面,因銀行收受消費者存款,長期受法規高度監理。以臺灣而 言,現行個資法與銀行法對於銀行將消費者資料提供給第三方服務提供者,存 有灰色地帶。縱有業務合作自律規範但非違法規,其不確定性還是可能影響銀 行施行開放銀行的意願。另外,消費者爭議的處理,亦為影響消費者是否選擇 開放銀行服務的關鍵之一。此相關法規制度,在欲推行開放銀行下,應均存有 討論空間。
綜上所述推動開放銀行,於各種不同面相,仍存有許多挑戰。但面對金融 科技推陳出新的發展,各國政府仍對於開放銀行的推行仍持續不怠,並就相關 法規進行修訂,以期能使消費者資料發揮最大效用並強化金融業競爭力。
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
第參章、開放銀行法制規範的國際現況
開放銀行制度因應各國目的及市場情況不同,概可使用三種維度區分,分 別為加入開放銀行是屬法律強制、自律自願或市場驅動,以及相關要求係標準 化或非標準化。較早開始開放銀行制度的國家多選擇強制銀行加入,本文研究 的英國及澳洲即屬此類;而較近期施行的國家亦有採業者自律自願,諸如香港 及臺灣164。
第一節、英國
(一)開放銀行標準的規範重點分析
1.主管單位
依據Financial Services and Market(No.752) – The Payment Services
Regulations165(以下簡稱PSR),FCA 被指定為開放銀行業務的主管機關。FCA 施行開放銀行相關政策時需考慮以下因素,(一)以最具效益及經濟的方式運用 資源、(二)施加的負擔及限制應符合相對稱的經濟原則、(三)英國中長期經 濟的成長性、(四)消費者應對其決定負責屬一般原則、(五)要求受本法規管 轄對象具有遵守規定之責任、(六)FCA 應瞭解業務性質不同對於法規之適用 存有差異性、(七)FCA 對法規適用對象發布訊息及(八)FCA 應儘可能透明 地執行相關作業166。
2.專法
英國施行開放銀行制度,除了受歐盟PSD2、一般資料保護規則(General Data Protection Regulation,以下簡稱 GDPR)及 RTS 約束外167,另外設有專 法,分別為CMA 發布的 Retail Banking Market Investigation Order 2017168
(CMA Order)及 FCA 的 Financial Services and Market(No.752) – The Payment Services Regulations(PSR)。
164 Ismail Chaib, Mapping of Current & Upcoming Regulations Globally, Regulating Open Banking, P.8, Nov 2018, https://www.openbankproject.com/reports/RegulatingOpenBanking/.
165 Financial Services and Market(No.752) – The Payment Services Regulations, 18th July 2017, http://www.legislation.gov.uk/uksi/2017/752/contents/made.
166 Function of the FCA, Part 9, Financial Services and Market(No.752) – The Payment Services Regulations.
167 OBIE, Open Banking - Guidelines for read/write participants, https://www.openbanking.org.uk/wp-content/uploads/Guidelines-for-Read-Write-Participants.pdf, p6 (last visited April 3, 2020).
168 Retail Banking Market Investigation Order 2017, 2 February 2017,
https://www.gov.uk/government/publications/retail-banking-market-investigation-order-2017.
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
(一)Retail Banking Market Investigation Order 2017(CMA Order)
CMA Order 在 Part 2 中關於開放銀行的規定,包含建立實施組織(OBIE 法 源)、任命執行受託人、發布產品及參考訊息、發布服務品質指標、發布個人往 來帳戶(personal current accounts,以下簡稱 PCA)及商業往來帳戶(business current accounts,以下簡稱 BCA)交易資料。
建立實施組織:CMA Order 生效後兩週內,帳戶/付款服務提供商應成立一 實施組織,該實體對於開放銀行標準將進行協商、實施及維護,且不得對提供 的服務收取費用169。實施組織中由實施受託人(Implementation Trustee)組成,
包含CMA9 各一名執行受託人(共九位)、五名諮詢小組成員(金融科技、支 付服務提供商、第三方服務提供者、挑戰者銀行、代表執行PSD2 機構)、兩名 消費者代表(消費者、中小企業)及四名觀察員(HMT、支付系統監管單位、
FCA、資訊委員會)。在實施組織中,五名諮詢小組成員的投票權與 CMA9 的 受託人相同。實施組織成員以其專業知識提出意見,並透由對外開放搜集資 料、安全性、API 等需求,制定有助開放銀行推動的標準,包含 Open API 標 準、資料格式標準、安全標準、治理標準及消費者補救機制。實施組織的資金 由CMA9 負擔,總預算 200 萬英鎊170,每三個月進行一次審查171。
任命執行受託人:執行受託人必須由CMA9 各成員各自指派,資格為具有 資格的獨立人士,並須依相關協議執行受託人義務。執行受託人如有損害其客 觀性或獨立性的利益衝突,則終止委託。終止委託後,帳戶/付款服務提供商須 於十五日內在CMA 提出的執行受託人名單中做出選擇並予以任命172。
發布產品及參考訊息:產品及參考訊息均屬唯讀權限,帳戶/付款服務提供 商須免費及連續發布。產品訊息需揭露價格、所有費用(利率、活動費用等)、
功能及利息、每月最高費用、條件及條款、消費者資格標準及其他由執行受託
169 10.1, Creation of the Implementation Entity, Part 2, Open API standards and data sharing, Retail Banking Market Investigation Order 2017(CMA Order).
170 Implementation entity – composition and governance , Schedule 1 Part A – Agreed Arrangements, Retail Banking Market Investigation Order 2017(CMA Order). Part 2, Open API standards and data sharing, Retail Banking Market Investigation Order 2017(CMA Order).
171 李靜宜,為何英國堅持開放銀行,iThome,https://www.ithome.com.tw/news/127558(最後瀏 覽日 2020 年 4 月 4 日)。
172 11, Appointment of the Implementation Trustee, Part 2, Open API standards and data sharing, Retail Banking Market Investigation Order 2017(CMA Order).
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
人經CMA 同意揭露之產品訊息。參考訊息則包含所有分行及商務中心位置、
營業時間、ATM 位置及其他由執行受託人經 CMA 同意揭露之參考訊息173。 發布服務品質指標:服務品質指標屬唯讀權限,帳戶/付款服務提供商須免 費及連續發布。品質指標之所有資料必須匿名處理,非屬個人資料174。
發布個人往來帳戶及商業往來帳戶交易資料:交易資料屬讀/寫資料,帳戶/
付款服務提供商須免費及連續發布,以利第三方服務提供商讀/寫消費者帳戶資 料175。
(二)Financial Services and Market (No.752) – The Payment Services Regulations(PSR)
有關第三方服務提供者連結支付系統及銀行帳戶,帳戶/付款服務提供商對 於第三方服務者的審核條件應客觀、一致、無歧視,不得有所差別。若非因防 範特定風險或保護系統及財務營運穩定,不得阻止或限縮第三方服務者連結範 圍。如帳戶/付款服務提供商拒絕或撤銷第三方服務提供者連結,帳戶/付款服務 提供商需向FCA 說明拒絕或撤銷的正當動機,並以 FCA 規定的方式及期限內 提供。FCA 將就帳戶/付款服務提供商提出之理由,予以回覆176。
依據CMA Order,由 CMA9 出資建立 OBIE,OBIE 制定開放銀行時相關規 範,銀行依其規定施行開放銀行,目的係確保銀行為開放銀行打好基礎。然而 為使第三方服務提供者得參與開放銀行,不因非客觀或歧視等因素影響,被拒 絕經由API 介接銀行資料,故定有 PSR。藉由 CMA Order 及 PSR 的施行,使 英國開放銀行生態圈得持續發展,增加英國銀行業競爭力及使消費者獲得創新 金融服務。
3.政策目的及原則
173 12, Release of product and reference information, Part 2, Open API standards and data sharing, Retail Banking Market Investigation Order 2017(CMA Order).
174 13, Release of service quality indicators, Part 2, Open API standards and data sharing, Retail Banking Market Investigation Order 2017(CMA Order).
175 14, Release of PCA and BCA transaction data sets, Part 2, Open API standards and data sharing, Retail Banking Market Investigation Order 2017(CMA Order).
176 Part 8, Access to payment systems and bank accounts, The Payment Services Regulations 2017, http://www.legislation.gov.uk/uksi/2017/752/part/8/made.
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
CMA Order 要求銀行遵循標準177,實現以下四大目的,(一)通過開放API
CMA Order 要求銀行遵循標準177,實現以下四大目的,(一)通過開放API