Open banking 簡介

國

立 政 治 大 學

‧

N a tio na

l C h engchi U ni ve rs it y

第二節 Open banking 簡介

第一項 Open banking概念及銀行分享資料之方式

第一款 Open banking 定義

英國Open Banking工作小組（Open Banking Working Group, OBWG）認為Open banking是一種使服務提供者能夠取得消費者財務資料的安全方法，它促進新產品服 務的起飛，幫助消費者以及中小型企業獲取更多利益，同時也可以使消費者更詳細了 解自身帳戶，從而制定個人最佳的理財方案的賺錢方式²⁹。歐洲工商聯合會（European Business Association, EBA）雖認為「Open banking」這個用語目前仍在發展中，然其 仍指出：Open banking大致上涉及銀行如何共享自己標準化的資料，以及如何透過安 全、有彈性的方式讓客戶使用第三方的應用程式；Open banking藉由技術發展驅動銀 行業務變革，為消費者帶來更高的透明度、更多選擇以及對個人資料的掌控³⁰。有認 為Open banking係藉由科技、市場力量和以及相關法規之間的互補共同催生而成，為 現代社會金融化（financialization）過程的一部分，即，透過Open banking，銀行及金 融科技公司等機構對於各國政府政策及整體經濟影響越來越大³¹。

第二款 銀行資料如何被分享

基於銀行本身之保密義務（bank secrecy），實務上關於個人或商業銀行帳戶的 詳細交易資訊等銀行資料並不容易共享，消費者能夠從銀行端下載銀行對帳單（bank

29 Open Banking Ltd., What is Open Banking?,

https://www.openbanking.org.uk/customers/what-is-open-banking/ (last visited: 2019/11/11).

30 EBA Working Group on Electronic Alternative Payments, Understanding the business relevance of Open APIs and Open Banking for banks, May 2016, at 15.

31 Thomas I. Palley, "Financialization: What It Is and Why It Matters," Working Papers wp153, Political Economy Research Institute, University of Massachusetts at Amherst, 2007, at 26.

‧

的格式與任何第三方分享³²。EBA指出，常用來分享消費者銀行資料（banking data）

的方法有「螢幕擷取（screen-scraping）」以及「應用程式介面（API）」³³。

第一目 螢幕擷取

所謂的螢幕擷取，又被稱為資料探勘（data mining）、網路擷取 （Web harvesting）

34，其與我們所熟悉的「網路爬蟲（Web crawling）」類似但略有不同。

螢幕擷取是一種廣義上的資料蒐集技術，藉由電腦程序存取使用者之資料並重 新發布³⁵。利用螢幕擷取蒐集資料不一定涉及網絡，其也可能是從本地端（local computer）的資料庫存取資訊；網路爬蟲在資料規模和範圍上與螢幕擷取都有很大的 不同，網路爬蟲通常專指大規模抓取資料的行為，且抓取的資料量龐大，重複資料刪 除（Data Deduplication, dedup）係其很重要的部分³⁶。至於外部第三方如何透過螢幕 擷取取得銀行之資料，舉例而言，銀行可能會將產品資料公佈於自己的網站，若外部 第三方想要利用該些產品資料建立新服務（如：價格比較網站），必須先篩選原始網 站上的資料，要求程式將非結構化內容（通常為HTML）轉換為結構化資料

（well-structured data），然後將其存儲在電子表格或資料庫中，最後這些經處理的資 料才能被進一步運用於商業模式中³⁷。

由於資料分析技術進步以及蒐集資料的便利性，利用螢幕擷取抓取資料的潛在

32 Open Data Institute, Introducing the Open Banking Standard: Helping customers, banks and regulators take banking into a truly 21st-century, connected digital economy (ODI-WP- 2016-001), 2016, at 5.

33 OBWG, The Open Banking Standard, London, 2016, at 15.

34 Rʏᴀɴ Mɪᴛᴄʜᴇʟʟ, Wᴇʙ sᴄʀᴀᴘɪɴɢ ᴡɪᴛʜ Pʏᴛʜᴏɴ: Cᴏʟʟᴇᴄᴛɪɴɢ ᴅᴀᴛᴀ ғʀᴏᴍ ᴛʜᴇ ᴍᴏᴅᴇʀɴ ᴡᴇʙ, 49 (2015), at 7.

35 John Wagnon, Web Scraping-DataCollection or Ilegal Activity, DEVCENTRAL, May 16 2013, https://devcentral.f5.com/s/articles/web-scraping-data-collection-or-illegal-activity (last visited:

2019/11/28).

36 Arpan, Data Scraping vs. Data Crawling, PROMPT CLOUD, May 30 2012,

https://www.promptcloud.com/blog/data-scraping-vs-data-crawling/ (last visited: 2019/11/28).

37 OBWG, supra note 33.

‧

資訊安全風險⁴²，其在發展Open Banking時要求銀行創建用於與第三方共享客戶資料 的專用接口，並要求強大的客戶身分驗證來防止螢幕擷取，2019年9月14日開始適用 之監理技術標準（Regulatory Technical Standards, 以下簡稱RTS）甚至禁止銀行利用 螢幕擷取的方式共享客戶資料⁴³。

美國消費者金融保護局（Consumer Financial Protection Bureau, CFPB）考量利 用消費者金融資料可以促進創新金融產品服務的開發，增強金融市場競爭，使消費者 能夠更全面地掌握自己的金融生活；惟設計面上仍須考量權限的設定以保障消費者權 利，故發布「消費者授權之資料存取權（Consumer authorized financial data sharing and

38 Jeffrey Kenneth Hirschey, Symbiotic Relationships: Pragmatic Acceptance of Data Scraping, 29 Bᴇʀᴋᴇʟᴇʏ Tᴇᴄʜ. L.J., 897, 897 (2014).

39 GoCardless, Screen scraping 101: Who, What, Where, When?, Jul. 19 2017,

https://openbankinghub.com/screen-scraping-101-who-what-where-when-f83c7bd96712 (last visited:

2019/10/27).

40 OBWG, supra note 33.

41 Finextra, Open Banking vs. Screen Scraping: looking ahead in 2019, Jan. 4 2019,

https://www.finextra.com/blogposting/16494/open-banking-vs-screen-scraping-looking-ahead-in-2019 (last visited: 2019/10/20).

42 The ODI, Fingleton, Open Banking Preparing for lift off, 2019, at 11.

43 RTS Article 30(1) & 31.

‧

aggregation）」相關原則作為指引⁴⁴。CFPB指出，消費者得即時自其服務提供商獲取 與其有關的相關資料，並得以不分享登錄密碼之方式與外部第三方分享資料，其並未 禁止利用螢幕擷取之方式分享金融資料⁴⁵。

第二目 應用程式介面（API）

Open banking 所建構出來的商業模式則多仰賴技術底層的API而非螢幕擷取。

API是一種特定的軟體體系結構方法（software architectural approach），該介面具有 可伸縮性（scalable）、可重複使用性（reusable）和安全性⁴⁶，使程序員無需了解內 部演算法，只要遵循適當輸入和輸出的規則，即可了解如何使用軟體，故可以連接、

合併多個程式以創建新的功能⁴⁷。由上可知，所謂的API指的是使軟體或程式可以遵 循的一組特定的規則（「代碼」）和規範，它使程式間可以相互溝通。

目前API經濟已在各個行業發展成熟，除了在社群平台以及搜尋引擎的廣泛應 用，API也在許多電子商務平台如Amazon、eBay佔有一席之地⁴⁸。API已經從一個單 純的技術性議題慢慢發展至金融實務界⁴⁹，就金融業而言，API可能是一種有效的自

44 CFPB, Consumer Protection Principles: Consumer-Authorized Financial Data Sharing and Aggregation, Oct. 18 2017, at 1.

45 Id. at 3.

46 EBA Working Group on Electronic Alternative Payments, supra note 30, at 7.

47 Orenstein, D. (2000). "Application Programming Interface (Api)." Quick Study: Application Programming Interface (API). https://www.computerworld.com/article/2593623/application-programming-interface.html (last visited: 2019/10/20).

48 Neyer Gene, ‘Mobile First’ will become ‘API First’ — PSD2: Changing banking as we know it., 2(2) J.

Dɪɢɪᴛ. Bᴀɴᴋ. 171, 174(2017).

49 EBA Working Group on Electronic Alternative Payments, supra note 30, at 4.

50 Cortet Mounaim, Rijks Tom & Nijland Shikko, supra note 2, at 24.

51 大型的 API 平台，允許使用者使用、排名 APIs，並提供 API 相關資訊。

‧ 國

立 政 治 大 學

‧

N a tio na

l C h engchi U ni ve rs it y

（financial）」，第四名是「電子支付（ecommerce）」，「資料（data）」與「支付

（payments）」則分別排名第五及第九名。89%的銀行基於其商業策略，會利用API 與金融科技公司合作⁵²。

圖 3 Programmable Web 數量前十之 API（資料來源：Programmable Web）⁵³

API是一種快速、安全、經濟且可以重複利用資料的方式。藉由API的使用，銀 行可以降低開發成本，擴大創新範圍並擴大目標市場⁵⁴；同時透過對於銀行自身擁有 的消費者資料、公開資料以及其他外部資料（可能包括金融機構以及非金融機構）的 資料分析，銀行可以因應迅速變動的消費者需求，建構新的價值主張，重新考量銷售 通路、合作夥伴、收入和成本模型等涉及商業模式核心的要素⁵⁵。

52 Capgemini & Efma, World Fintech Report 2019, at 12.

53 2019 年 12 月 19 日之資料。

54 Cortet Mounaim, Rijks Tom & Nijland Shikko, supra note 2, at 25.

55 Anna Omarini, supra note 25 , at 29.

6911 6806 6687

5908 5676 5386 5324 5236 5146 5140

0 1000 2000 3000 4000 5000 6000 7000 8000

‧ 國

立 政 治 大 學

‧

N a tio na

l C h engchi U ni ve rs it y

第三款 「開放」之意義

儘管某些類型的API不需要任何身分驗證即可進行操作，使用者無需向應用程 式註冊即可免費利用該API，但是大部分的API在使用前都需要某種類型的身分驗證，

銀行端即可透過身分驗證以「限制」特定用戶或第三訪獲取特定類型的資料或使用 API⁵⁶。

因此，即便是開放式API，大多數仍需進行身分驗證，所謂的「開放」指的是 使API本身的技術以及標準開放而非完全公開其傳輸的資料，而非意味著所有第三方 提供商都可以自行進入銀行的系統⁵⁷。銀行仍會透過特定的控制措施，維護資料安全 性以及其在契約上的保密義務：只有在得到銀行端身分驗證的前提下，第三方提供商 或是其他銀行才能通過開放API獲取私有資料⁵⁸。

EBA之報告中，按照各種API之開放程度由開放至私密區分為下列五種類型：

第一目 公開API（Public APIs）

公開API不限於特定人使用，因此任何人都有訪問權限，通常會以註冊的方式 進行身分識別和驗證⁵⁹。

第二目 一般API（Acquaintance APIs）

一般API會給符合預定義條件的所有人開放訪問權限，開發人員網站提供此種 API時通常會附帶某種形式的標準化協議，一般商店銷售時點資訊（POS, point-of-sale）

56 Rʏᴀɴ Mɪᴛᴄʜᴇʟʟ, supra note 34, at 93.

57 EBA Working Group on Electronic Alternative Payments, supra note 30, at 7.

58 Open Data Institute, supra note 32, at 5.

59 EBA Working Group on Electronic Alternative Payments, supra note 30, at 8.

‧ 國

立 政 治 大 學

‧

N a tio na

l C h engchi U ni ve rs it y

系統中的API即屬於此種類型⁶⁰。

第三目 會員API（Member APIs）

會員API會向擁有明確會員規則的社群成員開放訪問權限，API提供者只允許符 合社群會員規則與相關規範的會員取得權限。歐盟PSD2強制開放的帳戶資料和支付 啟動服務即是使用此類型的API，只有經授權或登記（registered）的TPP才能獲得訪 問權限⁶¹。

第四目 合作夥伴API（Partner APIs）

合作夥伴API係根據雙邊協議向指定合作夥伴開放的API，與下面將提及的私人 API一樣，合作夥伴API只能由API提供者自行決定他人得否訪問，銀行的合作夥伴以 及其系統開發者通常皆可訪問。銀行與企業資源計劃（Enterprise Resource Planning，

ERP）軟體提供商進行特定資料交換時，即是利用此種類型的API⁶²。

第五目 私人API（Private APIs）

私人API不屬於開放API的類型，其並不對外開放，只有銀行內部人員方擁有權 限⁶³，故私人API並非Open banking模式會運用到API類型。

在相關配套法規修正、技術進步以及客戶行為變動的背景下，銀行「開放」似 乎已成為當前趨勢，世界各國在Open banking方面的發展正逐步成熟。英國、歐盟、

香港、新加坡、日本，澳大利亞、美國以及加拿大等國都在各自的市場取得重要進展，

本文將於下一章介紹各國Open banking歷程及動向。

60 Id.

61 Id.

62 Id.

63 Id.

‧ 國

立 政 治 大 學

‧

N a tio na

l C h engchi U ni ve rs it y

第二項 Open banking生態系統之參與者

Open banking生態系統之參與者可能有以下五種角色：第一種為支付服務使用 者（Payment Service Users, PSU），包含自然人及法人；第二種則係監管者（Regulator），

可能為政府金融主管機關或是競爭法相關主管機關；第三種角色為帳戶服務提供商

（Account Servicing Payment Service Provider，AS PSP），目前市場上多為銀行提供 帳戶服務予消費者；第四種為包含支付啟動服務提供商（Payment Initiation Service Provider, PISP）以及帳戶資訊服務提供商（Account Information Service Provider, AISP）

在內的TPP；最後一種參與者，即為負責提供Open Banking相關產品技術的技術服務 提供商（Technical Service Provider, TSP）。

第一款 帳戶服務提供商（AS PSP）

第一款 帳戶服務提供商（AS PSP）

在文檔中 Open banking 涉及之個人資料保護問題 - 政大學術集成 (頁 22-35)