Open banking 涉及之個人資料保護問題 - 政大學術集成

全文

(1). 國立政治大學商學院科技管理與智慧財產研究所碩士學位論文. 立. 政治大. ‧ 國. 學. Open banking 涉及之個人資料保護問題 Personal Data Protection Issues among Open Banking. ‧. n. er. io. sit. y. Nat. al. Ch. engchi. i n U. v. 指導教授：宋皇志博士研究生：林旻. 撰. 中華民國一零九年一月. DOI:10.6814/NCCU202000212.

(2) 謝辭終於完成這篇論文要正式從科技管理與智慧財產研究所畢業了。. 首先十分感謝我的指導老師宋皇志老師在我甫進入研究所的時候引導我踏入金融科技以及區塊鏈這兩個新興的法學領域。宋老師除了在撰寫論文上的指導，也分享了許多寫論文的小撇步，受益良多。另外也謝謝口試委員彭金隆老師以及余啟民老師給予我的建議，指出我在邏輯思考上的謬誤或是語意表達不清之處，讓這份研究可以更加完整以及豐富。. 立. 政治大. ‧ 國. 學. 即便相關法律為因應社會變遷不斷地被制定出來，我總覺得法規政策修正、制定的速度追趕不上社會以及產業變動的速度。因此希望這份研究可以對Open banking. ‧. 這塊新興的領域有一點點點貢獻，不管是學術上的、抑或是對於產業界的，這也是研. sit. y. Nat. 究這個主題的初衷。雖然念智慧財產研究所論文卻沒有研究與智慧財產法相關的議題. io. al. er. 這點好像有點對不起這個碩士學位，但是在修課的過程中也獨立、或是與同學合作完. n. 成了許多智慧財產法相關的專題研究，也算是無愧於心。. Ch. engchi. i n U. v. 研究生獨自撰寫論文真的是苦悶而且乏味的過程，這段期間每天第一個到912 最後一個走，完全就是912地縛靈。謝謝家人無條件的支持（雖然爸媽總是在問我的論文寫完沒，好像時間到了天上就會掉下來一本論文完稿一樣），還有昊當我免費的 IT顧問。每天在學校偶遇還沒畢業的同屆小夥伴們也是邊緣研究生的小確幸，現在回憶起過去與同門的Vic、之之一起meeting找老師，和曉萱討論英文怎麼翻比較順，還有惠惠聽我練習口試修改報告架構，總覺得恍如隔世。. 總之謝謝來自各方的幫助，才有了這本論文的誕生，銘感五內。. i. DOI:10.6814/NCCU202000212.

(3) 中文摘要資訊科技的進步，令消費者個人資料之價值由於資料得以被運用在各式各樣的金融科技而大幅提高，過去視客戶資料為商業機密之銀行，也逐漸願意、或者被迫開放其持有之資料，成為開放銀行（Open banking）生態系統中的一員。即便開放銀行目前在大部份的司法管轄區仍處於起步階段，其已經成為全球銀行業的趨勢。. Open banking的出現是銀行的機會，同時也是銀行的挑戰：其帶來更多創新產. 政治大本，避免在未經消費者同意利用其個人資料或是大規模消費者個人資料洩漏之情形，立品服務的可能，同時，銀行在個人資料保護以及資訊安全基礎設施上亦須投入大量成. ‧ 國. 學. 造成不可回復之損害。不論是消費者害怕個人資料保護不夠周全，抑或是銀行與TPP 間之責任歸屬未明確釐清，都將有礙此種的新型態生態系統持續發展。. ‧. 本論文聚焦於銀行利用API分享資料給第三方服務提供商的Open banking商業. y. Nat. io. sit. 模式，個人資料保護之部分則以歐盟之GDPR為重點，探討Open banking法制以及. n. al. er. GDPR兩者重疊之處如何調和，以及Open banking實際運作上，銀行及TPP應採取何種. Ch. i n U. v. 適當手段以符合個人資料保護法。並藉由回顧奧地利ING-DiBa Direktbank以及德國銀. engchi. 行產業委員會的兩個案例，探討Open banking概念發展歷程中，對於金融業產品服務創新以及個人資料保護取得平衡的兩難。最後，本論文以國外Open banking政策及法制為借鏡，針對我國正在發展的Open banking制度提供建議，使我國銀行與TPP在發生Open banking相關個人資料保護爭議時，有兼顧消費者保障及責任分擔明確之治理模式得以遵循。. 關鍵字：金融科技、開放銀行、開放API、個人資料保護、消費者資料權、PSD2、. GDPR. ii. DOI:10.6814/NCCU202000212.

(4) Abstract As information technology develops rapidly, the applications of consumers’ personal data on financial technologies diversify significantly. This has given rise to the value of consumers’ personal data. Banks that used to see their clients’ financial data as classified trade secrets, whether it’s due to regulations or as a result of their business strategies, have also become more willing to share data with third party service providers in order to become a member of the Open banking system. Though Open banking is still in an embryonic stage in most jurisdictions, it has become an emerging global trend in recent years within the Banking industry.. 立. 政治大. For traditional banks, Open banking brings opportunities for financial innovation,. ‧ 國. 學. but it also brings about challenges regarding data protection. Open banking introduces more possibilities for innovation of financial products and services. However, this also. ‧. indicates that banks shall devote themselves to establish information security infrastructure. y. Nat. to avoid processing of personal data without client consent or to prevent personal data. sit. leakage. These are both problems that may cause irreversible damage to consumers.. n. al. er. io. Customers’ growing awareness of data protection and unclarified responsibilities between. i n U. v. banks and TPPs will also hinder the development of the Open banking ecosystem.. Ch. engchi. The object of this study is to provide strategies given current circumstances that comply with personal data protection law for banks and TPPs. Furthermore, this dissertation also proposes some advice related to personal data protection for the Taiwanese government during the development of Open banking. By reviewing the regulations and the reconciling PSD2 and GDPR, some strategies are made to help clarify the responsibility between banks and TPPs, at the same time enhancing protection of consumers’ data. Keywords：FinTech, Open banking, Open API, Personal Data Protection, Consumer Data Right, PSD2, GDPR iii. DOI:10.6814/NCCU202000212.

(5) 目錄謝辭......................................................................................................................................... i 中文摘要................................................................................................................................ii Abstract ................................................................................................................................ iii 目錄....................................................................................................................................... iv 圖目錄................................................................................................................................... vi 表目錄..................................................................................................................................vii 縮寫對照表........................................................................................................................ viii 第一章緒論.......................................................................................................................... 1 第一節研究動機與目的........................................................................................ 1 第二節研究方法.................................................................................................... 2 第三節研究範圍與限制........................................................................................ 3 第四節論文架構.................................................................................................... 4 第二章開放銀行（Open banking）概述 ........................................................................... 6 第一節金融科技崛起............................................................................................ 6 第一項金融科技定義及其三個發展階段........................................................ 6 第二項金融科技對銀行產業之影響................................................................ 9 第三項 Open banking 作為一種因應金融科技變革的手段？ ..................... 11 第二節 Open banking 簡介 .................................................................................. 12 第一項 Open banking 概念及銀行分享資料之方式 ..................................... 12 第二項 Open banking 生態系統之參與者 ..................................................... 19 第三項 Open banking 之機會與挑戰 ............................................................. 20 第三章比較法分析：類型化各國 Open banking ............................................................ 25 第一節強制銀行開放資料.................................................................................. 25 第一項歐盟...................................................................................................... 25 第二項英國...................................................................................................... 34 第三項小結...................................................................................................... 42 第二節強制開放：立法明定資料所有權屬於消費者...................................... 44 第一項澳洲...................................................................................................... 44 第二項小結...................................................................................................... 52 第三節業者自律模式.......................................................................................... 53 第一項新加坡.................................................................................................. 53 第二項香港...................................................................................................... 60 第三項日本...................................................................................................... 64 第四節本章結論.................................................................................................. 71 第四章 Open banking 之個人資料保護 ............................................................................ 72. 立. 政治大. ‧. ‧ 國. 學. n. er. io. sit. y. Nat. al. Ch. engchi. i n U. v. iv. DOI:10.6814/NCCU202000212.

(6) 第一節金融資料保護之重要性.......................................................................... 72 第二節歐盟個人資料保護架構.......................................................................... 74 第一項 GDPR .................................................................................................. 74 第二項其他與個人金融資料有關之資料保護規範...................................... 81 第三項小結...................................................................................................... 83 第三節 Open banking 法制與資料保護法規之調和 .......................................... 85 第一項受規範資料之範圍.............................................................................. 85 第二項同意...................................................................................................... 86 第三項個人資料的處理.................................................................................. 89 第四項沉默方資料之處理（Silent Party Data Processing） ........................ 90 第五項小結...................................................................................................... 91 第四節 Open banking 與個人資料問題相關案例 ............................................. 92 第一項付款帳戶之範圍——奧地利 ING-DiBa Direktbank 案 .................... 92 第二項分享 PIN 和 TAN 給第三方提供商——德國銀行產業委員會案 ... 94 第五章結論與建議............................................................................................................ 97 第一項本文結論.............................................................................................. 97 第二項本文建議.............................................................................................. 98 第六章參考書目.............................................................................................................. 101. 立. 政治大. y. ‧. ‧ 國. 學. Nat. n. er. io. al. sit. Ch. engchi. i n U. v. v. DOI:10.6814/NCCU202000212.

(7) 圖目錄圖 1 金融科技創新類型（資料來源：巴塞爾銀行監管委員會）................................... 9 圖 2 各金融科技服務之服務提供商比例（資料來源：巴塞爾銀行監管委員會）..... 10 圖 3 Programmable Web 數量前十之 API（資料來源：Programmable Web） ........... 16 圖 4 Open Banking 收益預測（單位：百萬英鎊）（資料來源：PwC）.................... 21 圖 5 API 累積成功呼叫量（單位：百萬次）（資料來源：Open Banking Ltd.） ...... 41 圖 6 CDR 法的 CDR 資料判斷架構（資料來源：澳洲聯邦議會） ........................... 49 圖 7 歐盟個人金融資料保護架構（資料來源：本文自行整理）................................. 84. 立. 政治大. ‧. ‧ 國. 學. n. er. io. sit. y. Nat. al. Ch. engchi. i n U. v. vi. DOI:10.6814/NCCU202000212.

(8) 表目錄表 1 各國 Open banking 模式比較（資料來源：本文自行整理） ............................... 71 表 2 PSD2 與 GDPR 之比較（資料來源：本文自行整理） ...................................... 91. 立. 政治大. ‧. ‧ 國. 學. n. er. io. sit. y. Nat. al. Ch. engchi. i n U. v. vii. DOI:10.6814/NCCU202000212.

(9) 縮寫對照表縮寫. 英文原文. 中文譯文. ACCC. Australian Competition and Consumer Commission. 澳洲競爭及消費者委員會. ADI. Authorised Deposit-taking Institution. 授權存款機構. ADR. Accredited Data Recipient. 經認證之資料接收者. AISP. Account Information Service Provider. 帳戶資訊服務提供商. AMLD5 the Fifth Anti-Money Laundering Directive. 歐盟《洗錢防制指令第五號》. API. Application Programming Interface. 應用程式介面. AS PSP. Account Servicing Payment Service Provider. CDR. Consumer Data Right. CFPB. Consumer Financial Protection Bureau. 美國消費者金融保護局. CMA. Competition and Markets Authority. 英國競爭與市場管理局. CJEU. Court of Justice of the European Union. 歐盟法院. DPO. Data Protection Officer. 資料保護長. DPIA. Data Protection Impact Assessment. 資料保護影響評估. EBA. European Business Association. 歐洲工商聯合會. EBF. The European Banking Federation. 歐盟銀行聯盟. EEA. European Economic Area. 歐洲經濟區. ePR. ePrivacy Regulation. FCA. Financial Conduct Authority. FSI. Financial Stability Institute. GDPR. General Data Protection Regulation. 歐盟《一般資料保護規範》. HKMA. Hong Kong Monetary Authority. 香港金融管理局. JBA. Japan Bankers Association. 日本銀行業協會. MAS. Monetary Authority of Singapore. 新加坡金融管理局. OBIE. Open Banking Implementation Entity. 開放銀行實施實體. OBWG. Open Banking Working Group. 開放銀行工作小組. PAD. Payment Account Directive. 奧地利《付款帳戶指令》. PIN. Personal Identification Number. 個人識別碼. PISP. Payment Initiation Service Provider. 支付啟動服務提供商. PII. Professional Indemnity Insurance. 專業賠償保險. PSD2. Payment Services Directive 2. 歐盟《支付服務指令第二號》. er. io. sit. y. ‧. Nat. v i英國金融服務局 n U. 歐盟《電子隱私規範》. n. al. 學. ‧ 國. 立. 政治大帳戶服務提供商（銀行）消費者資料權. Ch. engchi. 金融穩定協會. viii. DOI:10.6814/NCCU202000212.

(10) PSP. Payment Services Provider. 支付服務提供商. PSU. Payment Service Users. 支付服務使用者. RTS. Regulatory Technical Standards. 《監理技術標準》. SCA. Strong Customer Authentication. 強力客戶身分驗證. TAN. Transaction Authentication Number. 交易驗證號碼. TPP. Third Party Service Provider. 第三方服務提供商. TSP. Technical Service Provider. 技術服務提供商. 2FA. Two Factor Authentication. 雙重驗證. 立. 政治大. ‧. ‧ 國. 學. n. er. io. sit. y. Nat. al. Ch. engchi. i n U. v. ix. DOI:10.6814/NCCU202000212.

(11) 第一章緒論第一節. 研究動機與目的. 近年開放銀行（Open banking）的概念風靡全球各國，巴塞爾銀行監管委員會（Basel Committee on Banking Supervision）近期發佈之報告指出其已成為一個趨勢1。透過開放銀行，越來越多的新創公司以及大型科技公司利用自身的科技優勢制定以資料分析為基礎的解決方案，試圖以與銀行串接應用程式介面（Application Programming. 政治大. Interface, API）之方式跨足金融業，提供消費者更創新的服務。我國金管會2019年亦. 立. 決定效仿香港模式，委託財金公司開發通用技術標準，鼓勵金融圈異業結合，解決消. ‧ 國. （Third Party service Provider , TPP）三贏的未來。. 學. 費者過去在使用金融服務上可能的痛點，共創消費者、金融機構、第三方服務提供商. ‧. sit. y. Nat. 然而在現今的大數據（Big data）時代中，除了資料科學（Data Science）相關. io. er. 技術的躍進、使資料的附加價值越來越高外，個人資料保護亦成為時下熱門的議題之一。過去幾世紀的資料主要透過紙張等媒介被人們蒐集以及利用，因此對資料所有權. al. n. v i n Ch 以及使用權限的界定十分明確，只要銷毀紙張即可達到刪除資料的目的。然隨者電腦 engchi U 硬體計算量不斷進步以及記憶體價格大幅降低，儲存資料的方式逐漸自實體的紙張轉換為數位形式，資料除了會被放置於網站上供公眾瀏覽，亦開始被儲存在個人的電腦、行動裝置、隨身碟或是雲端資料庫等，究竟何人擁有資料的使用權越來越模糊。網際網路的發達使每日產生的資料量大幅增加，電子商務的發達亦使銀行由於握有大量個人資料，但由於金融業高度監管的本質，該些資料多儲存於銀行內部而不能被有效利用。. 1. Basel Committee on Banking Supervision, Report on open banking and application programming interfaces, November 2019, at 4. 1. DOI:10.6814/NCCU202000212.

(12) Open banking的本質即將銀行之資料與第三方服務提供商共享，然在資料共享之過程中仍有風險產生，如銀行及TPP之API接口可能遭外部攻擊之資訊安全風險、委託技術公司進行Open banking相關基礎設施設置之委外風險，以及新型態資料利用方式致銀行或TPP違反個人資料保護法之法律遵循風險等。這些風險都可能導致相關業者或是消費者不願意參與Open banking的生態系統。. 故本文好奇如何在資料開放與個人資料保護間取得平衡，儘可能規避開放銀行資料所生風險的同時，消費者的個人資料也可以被安全地利用。本文之研究目標係藉. 政治大銀行以及第三方服務提供商能夠以合規之方式加入Open banking生態系統，釐清相關立. 由研究各國開放銀行制度，探討Open banking下可能產生之個人資料保護議題，以供. 第二節. 研究方法. Nat. y. ‧. ‧ 國. 學. 權利義務的歸屬，使消費者得同時享有嶄新商業模式體驗及充分的個人資料保護。. io. sit. 本文主要運用文獻分析為主、案例探討為輔之方式，對Open banking模式可能. n. al. er. 產生的個人資料保護問題進行研究。. Ch. engchi. i n U. v. 文獻分析之部分，由於我國Open banking發展尚處於起步階段，故研讀對象以歐盟、英國、新加坡、香港、日本以及澳洲等Open banking模式較成熟之地區，其相關法令、期刊論文以及政府報告等，歸納出該地區Open banking實施架構以及大致規劃。. 又案例探討部分，考量採行Open banking模式後，各國尚未有支付服務使用者、金融機構與第三方支付服務提供商之相關訴訟案，故本文挑選歐盟兩個對Open banking發展有重要意義之案例，研讀法院及相關機關之見解，探討該見解對開放銀行未來發展上可能有何影響。 2. DOI:10.6814/NCCU202000212.

(13) 第三節. 研究範圍與限制. 為研究開放資料概念在金融業之具體應用會產生何種個人資料保護爭議，本文主要以開放銀行制度為中心，聚焦於「開放銀行立法及政策」以及「個人資料保護」兩個面向，藉由分析開放銀行模式成長較迅速的國家其在法律以及實務上有何最新發展，如何平衡新商業模式的推動以及基本權之保障。具體研究範圍以及限制如下：. 一、Open banking立法及政策. 政治大. 考量各國發展Open banking模式之成熟度，本文選擇聚焦於歐盟、英國、澳洲、. 立. 新加坡、香港以及日本等地區，按其採行之模式歸納為三種類型，並比較各自對於. ‧ 國. 學. Open banking此議題的歷史發展、採納目的以及具體政策上，有何特殊之處以及異同。. ‧. 其中關於Open banking生態系統參與者之部分，須特別注意的是，本文所稱之TSP為技術服務提供商（Technical Service Provider），與我國金管會以及香港金融管理局定. y. Nat. io. sit. 義之TSP（Third party Service Provider，第三方服務提供商）不同。本文對於第三方. n. al. er. 服務提供商採取與英國相同之用語，一概以TPP（Third Party service Provider）簡稱之。. 二、個人資料保護. Ch. engchi. i n U. v. 個人若要主張隱私權保障，尚須具有「合理隱私期待（reasonable expectation of privacy）」，然該議題並非本文所欲討論重點，故本文僅探討範圍更寬廣的個人資料保護（data protection）而不限於隱私（data privacy）。另外，由於歐盟為開放銀行模式及個人資料保護發展較迅速之國家，且我國國家發展委員會為申請歐盟個人資料保護法對於適足性（adequacy decision）之認定，未來將推動我國個人資料保護法修法，以期歐盟個人資料保護達一致水準，故關於個人資料保護法本文以研讀、分析歐盟法為主。 3. DOI:10.6814/NCCU202000212.

(14) 三、Open banking制度與個人資料保護之調和. 由於個人資料法規本文以研讀歐盟法為主，故本文在Open banking法制與個人資料保護之互動下適用上之衝突上亦聚焦於歐盟法；且本文排除以資訊科技的技術性手段解決個人資料保護在開放銀行模式可能產生之爭議，主要著眼於如何藉由法律之解釋方法解決兩部法律體系適用上的問題。. 第四節. 立. 論文架構. 政治大. 本文以Open banking制度為中心，共分為五章：第一章為緒論，說明本文之研. ‧ 國. 學. 究動機與目的，說明研究方法並界定研究範圍。第二章則為Open banking概述，第一節簡介金融科技與銀行之交互影響，除了政府推動之原因，銀行自身亦可能為因應金. ‧. 融科技浪潮，而採取Open banking制度增加其競爭力；第二節除簡介Open banking之. Nat. sit. y. 概念，銀行分享資料時所需要運用之技術外，尚會介紹Open banking生態系統之參與. er. io. 者以及銀行在擁抱Open banking模式後可能獲得之機會及面臨之挑戰。. al. n. v i n Cbanking模式第三章則著眼於各國Open banking模式類型化後， h e n g c，h將比較法之Open i U. 闡述各國發展Open banking模式之濫觴及其在制度上重要之特色，並在章節末尾處整理各國制度上之異同。. 第四章以個人資料保護為出發點，在首節先點出為何個人之金融資料需要受到保護，第二節則建構出歐盟的個人資料保護架構中與Open banking較為相關之部分，除了闡明GDPR實施後銀行需要注意的變革外，尚說明除了PSD2以及GDPR外，金融領域中歐盟其他與個人資料相關之法律。第三節則接續第二節之歐盟的個人資料保護架構，凸顯出Open banking法制與個人資料保護法規上，可能有衝突或模糊不清尚待. 4. DOI:10.6814/NCCU202000212.

(15) 釐清之處。最後於第四節，引用二則與Open banking相關之案例，探討Open banking 未來發展上，關於個人資料保護可能會有什麼樣的議題。. 第五章為本文結論，統整並根據上述章節，給予我國政府、銀行以及第三方服務提供商在發展Open banking、或是參與Open banking生態系統時，可以參考之相關策略。. 立. 政治大. ‧. ‧ 國. 學. n. er. io. sit. y. Nat. al. Ch. engchi. i n U. v. 5. DOI:10.6814/NCCU202000212.

(16) 第二章開放銀行（Open banking）概述第一節第一項. 金融科技崛起. 金融科技定義及其三個發展階段. 近年來，隨著全球智慧型手機的普及以及數位化生活不斷發展，消費者不僅希望在工作、購物、娛樂方面，在金融服務的提供方式以及其他日常支付體驗上都希望有更快的速度和便利性，消費者偏好正在隨著日益數位化的生活改變。金融業如同許. 政治大. 多產業，越來越仰賴科技來支持其提供的服務以及產品。金融創新持續地在改變金融. 立. 業，而這樣的改變主要來自於消費者行為模式改變以及科技進步兩大原因2。上述結. ‧ 國. 學. 合了科技、且應用於金融服務的創新，即現今吾人所稱之金融科技。. ‧. 然這樣的解釋似乎過於廣泛及空洞。所謂的「金融科技（Financial Technology）」. y. Nat. 究竟指的是什麼呢？此用語的起源可以追溯至20世紀90年代早期、由花旗集團發起的. er. io. sit. 金融服務技術聯盟，該專案旨在促進技術合作3。金融穩定協會（Financial Stability Institute, FSI）認為金融科技係指金融服務中以科技為基礎的創新，可能會創造出新. al. n. v i n Ch 的商業模式、應用程式、流程或產品，且對金融服務產生重大影響；巴塞爾委員會 engchi U 4. （Basel Committee）亦採取相同見解5。日本金融審議會之金融制度工作小組則在其報告書中指出，所謂金融科技主要係指利用IT、創新之金融服務業務6。PwC在其發. 布之報告中，則指出金融科技（FinTech）描述了金融服務和科技在各自發展中的交 2. Cortet Mounaim, Rijks Tom & Nijland Shikko, PSD2: The digital transformation accelerator for banks, 10(1) J. ᴏғ Pᴀʏᴍᴇɴᴛs Sᴛʀᴀᴛᴇɢʏ & Sʏsᴛᴇᴍs 13, 14(2016). 3 Arner D. W., Barberis J. & Buckley R. P., The evolution of Fintech: A new post-crisis paradigm, 47 Geo. J. Int'l L.1271, 1272(2015). 4 Financial Stability Board, Financial Stability Implications from FinTech, Supervisory and Regulatory Issues that Merit Authorities’ Attention, 2017, at 33. 5 “The BCBS has opted to use the Financial Stability Board’s (FSB) working definition for fintech.” Basel Committee on Banking Supervision, Bank for International Settlements, Sound Practices: Implications of Fintech Developments for Banks and Bank Supervisors, Feb. 2018, at 8. 6. 金融審議会，金融制度ワーキング・グループ報告― オープン・イノベーションに向けた制度整備. について ―，2016 年 12 月 27 日，頁 2。 6. DOI:10.6814/NCCU202000212.

(17) 匯點，該用語可以指稱新創公司、科技公司，甚至是傳統的金融服務提供商；金融與科技的界限越來越模糊，人們享有的服務中已不僅僅是單一的科技或是金融服務7。亦有學者指出，所謂的「金融科技」指的是利用科技提供金融解決方案8，不僅限於特定面向（如融資）或商業模式（如P2P貸款），而是涵蓋金融服務行業傳統上提供的整個服務和產品範圍9。雖然產、官、學界對於金融科技的闡述不完全一致，但大致上可以歸納出一個輪廓：金融科技必須是以科技為基礎的金融服務，且此服務對現有的金融服務產生破壞式創新。. 政治大認為具有更好的品質、更方便以及更多樣化的選擇，因此現今無論是金融科技公司立金融科技公司所提供的服務，或者應用了金融科技的金融服務，通常被消費者 10. ‧ 國. 學. 或是傳統金融機構都十分樂意於在自己的產品服務中應用金融科技。且由於金融科技的出現，使消費者在選擇產品服務時更加透明11。對金融機構來說，將科技導入傳統. ‧. 的金融服務可以降低尋找潛在客戶的搜尋成本以及身分驗證的成本、利用大數據資料. sit. y. Nat. 分析實現規模經濟，並且實現更安全、更便宜之資料傳輸方式12。如此一來。不論是. io. al. n. 加管理的便利性。. er. 在內部管理或是外部與客戶端的接觸上，都可以減少金錢的花費及人力成本，大幅增. Ch. engchi. i n U. v. 即便金融科技近幾年才被廣泛地討論，然而其並非一嶄新的議題。有學者將金融科技之發展歷程區分為三個階段：. 7. PwC, What is Fintech, 2016, at 1. Arner D. W., Barberis J. & Buckley R. P., supra note 3. 9 Id. at 1275. 10 Anna Omarini, Banks and Fintechs: How to Develop a Digital Open Banking Approach for the Bank’s Future, 11(9) Iɴᴛ. Bᴜs. Rᴇs. 23, 24(2018). 11 Aɴɴᴀ Oᴍᴀʀɪɴɪ, Rᴇᴛᴀɪʟ Bᴀɴᴋɪɴɢ: Bᴜsɪɴᴇss Tʀᴀɴsғᴏʀᴍᴀᴛɪᴏɴ ᴀɴᴅ Cᴏᴍᴘᴇᴛɪᴛɪᴠᴇ Sᴛʀᴀᴛᴇɢɪᴇs ғᴏʀ ᴛʜᴇ Fᴜᴛᴜʀᴇ 134 (2015). 12 Anjan V. Thakor, Fintech and Banking: What Do We Know?, J Fɪɴᴀɴᴄ Iɴᴛᴇʀᴍᴇᴅ 1, 3 (2019). Available at SSRN: https://ssrn.com/abstract=3429223 8. 7. DOI:10.6814/NCCU202000212.

(18) （一）第一階段（Fintech 1.0，1866至1967年）早期金融服務業仍依靠書面紀錄13、珠算、複式記帳（double entry accounting） 14. 等較依靠人力的方式進行資訊管理，但許多歷史學家認為複式記帳為17世紀後期涉. 及股份公司、保險和銀行業的歐洲金融革命以及往後的工業革命奠定了基礎15。. （二）第二階段（Fintech 2.0，1967至2008年）. 此時期與前階段以巴克萊銀行於1967年推出世界上第一台自動取款機（ATM）. 政治大. 為劃分點16。60年代末和70年代，電子支付系統迅速發展，開始能夠支持更大的跨國. 立. 支付服務以及資金流動；80年代後，越來越多金融機構將每個新的資訊科技應用於其. ‧ 國. 學. 內部營運管理，取代過往紙本的管理方式管理內部風險；網際網路的進步為金融業此階段的發展奠定了基礎，金融業投入相當多成本於資訊科技，實務上也越來越習慣使. ‧. 用數位化的交易以及紀錄系統17。. sit. y. Nat. io. n. al. er. （三）第三階段（Fintech 3.0, 2008年至今）. i n U. v. 歷經全球金融海嘯的陰霾，進入了金融科技最蓬勃發展的第三階段18。此階段. Ch. engchi. 金融服務不再僅僅依賴於受監管的金融機構（銀行），各種金融科技服務提供商、新創公司慢慢崛起，直接向大眾提供金融產品及服務19。. 13. 學者認為書面紀錄乃是最早的資訊科技形式。出現於歐洲中世紀晚期和文藝復興時期，指對每一筆業務都要以相等的金額，同時在兩個或兩個以上相互聯繫的帳戶中進行登記的記帳方法。 15 Arner D. W., Barberis J. & Buckley R. P., supra note 3, at 1276. 16 Id. at 1279. 17 Id. at 1283. 18 Consumers International, Banking on the Future: An Exploration of Fintech and the Consumer Interest, Jul. 2017, at 5. 19 Arner D. W., Barberis J. & Buckley R. P., supra note 3, at 1287. “…banking is necessary, banks are not.” 14. 8. DOI:10.6814/NCCU202000212.

(19) 第二項. 金融科技對銀行產業之影響. 銀行通常會在零售銀行、私人銀行、商業銀行以及投資銀行等業務中提供廣泛的產品組合，以及財富管理、資產管理及保險等服務；又因為客戶數量龐大，帳戶資料多保留在銀行自己擁有的專屬資料中心，銀行設有許多分行，並自行開發服務相關之應用程式20。在金融科技發展的第二階段，由於ATM漸漸普及化，銀行開始出現數位化的雛形；第三階段經歷金融海嘯後，銀行業仍然面臨信譽不佳和與其他行業相比消費者信任度較低的困境21。. 政治大. 相較而言，金融科技公司只專注於銀行價值鏈的特定業務，因此能夠較銀行提. 立. 供更好的服務、讓消費者以更實惠的價格享有更便捷的服務22。金融科技多應用於B2C. ‧ 國. 學. 端，其中支付服務以及P2P借貸是破壞式創新影響最大的領域23。其他常見的金融科技服務尚有群眾募資、行動銀行、數位貨幣以及機器人投顧等。. ‧. n. er. io. sit. y. Nat. al. Ch. engchi. i n U. v. 圖 1 金融科技創新類型（資料來源：巴塞爾銀行監管委員會） 20. Blakstad S. & Allen R., New Standard Models for Banking, in: FinTech Revolution 147, 148 (Blakstad S. & Allen R.eds., 2018). 21 PwC, The future of banking is open - how to seize the Open Banking opportunity, 2018, at 4. 22 Cortet Mounaim, Rijks Tom & Nijland Shikko, supra note 2, at 15. 23 PwC, supra note 7, at 2. 9. DOI:10.6814/NCCU202000212.

(20) 而根據巴塞爾銀行監管委員會報告統計（見下圖），提供支付、清算以及結算服務的服務提供商超過四成，為最多服務提供商提供的服務類型，其中以金融科技服務提供商的數量最多，其次是信貸、存款以及募資服務。市場支持服務商的數量（即為金融科技金融服務提供支持的公司）僅次於支付、清算和結算服務，居於第二24。. 立. 政治大. ‧. ‧ 國. 學 sit. y. Nat. er. io. 圖 2 各金融科技服務之服務提供商比例（資料來源：巴塞爾銀行監管委員會）. al. n. v i n Ch 在這樣的環境下，金融科技公司為傳統銀行業帶來了競爭，新的商業模式不斷 engchi U. 進入市場，打破了過去由銀行一手掌握的通路價值鏈，將其分解為不同的產品或服務模組25。金融科技加入後也造成整個銀行產業生態改變。學者指出在金融科技催生之下，有種新型態的生態銀行（ecosystem bank）出現，其除了提供傳統的金融服務，也扮演類似平台的角色。與傳統銀行不一樣的是，它提供多平台網絡，能夠在客戶、服務提供商之間透過網絡各個節點連接起來，使銀行不再是價值鏈中的一員，而成為類似居間人的角色。在此模式下，銀行的利潤可能來自消費者支付的軟體訂閱費用（如銀行提供的供應鏈與會計服務整合應用軟體），參與平台的第三方服務提供商也會支 24 25. Basel Committee on Banking Supervision, supra note 5, at 10. Anna Omarini, supra note 10, at 25. 10. DOI:10.6814/NCCU202000212.

(21) 付一定比例的費用給銀行，以換取獲得銀行更廣泛客戶群的機會26。. 第三項. Open banking作為一種因應金融科技變革的手段？. 承上項可知，金融科技變革對銀行影響巨大，在如此之變革之下，銀行必須調整其商業模式，才能夠與如雨後春筍般興起的金融科技新創公司、甚至是跨足金融業的大型科技公司競爭。有學者指出，銀行或許可以利用其廣泛的客戶關係和分行的覆. 政治大需的其他服務則透過其合作夥伴來協助支持，因為隨著Open banking發展以及和消費立蓋範圍作為與金融科技公司的差異化要素，自身僅提供非常核心的產品服務，客戶所. ‧ 國. 學. 者資料所有權的出現，所有銀行都將需要改變其定價模式和商業模式27。. ‧. 隨著金融科技的應用增加，電子商務的興起以及數位支付的普及化，亦令銀行得以藉由消費者每次的交易或消費紀錄抓取更多的資料（例如位置、偏好等）；且由. y. Nat. io. sit. 於電腦處理能力進步，資料分析、資料探勘以及生物識別支付的發展，銀行於個別消. n. al. er. 費者上蒐集的資料數量和價值在不斷增長。從銀行之角度觀察，共享產品服務以及消. Ch. i n U. v. 費者等相關資料雖然可能對他們造成潛在的損失，但獲得的收益（例如，提供消費者. engchi. 客製化個人理財方案及異業合作優惠）卻可能超過上述損失以及與TPP共享資料的風險28。因此，除了上述的客戶關係、地緣優勢外，銀行利用Open banking與第三方或是其他銀行共享資料與消費者獲得雙贏的模式，不失為應對金融科技變革的手段。. 26 27 28. Blakstad S. & Allen R., supra note 20, at 162. Id. Cortet Mounaim, Rijks Tom & Nijland Shikko, supra note 2, at 15. 11. DOI:10.6814/NCCU202000212.

(22) 第二節第一項. Open banking 簡介. Open banking概念及銀行分享資料之方式. 第一款 Open banking 定義英國Open Banking工作小組（Open Banking Working Group, OBWG）認為Open banking是一種使服務提供者能夠取得消費者財務資料的安全方法，它促進新產品服務的起飛，幫助消費者以及中小型企業獲取更多利益，同時也可以使消費者更詳細了. 政治大. 解自身帳戶，從而制定個人最佳的理財方案的賺錢方式29。歐洲工商聯合會（European. 立. Business Association, EBA）雖認為「Open banking」這個用語目前仍在發展中，然其. ‧ 國. 學. 仍指出：Open banking大致上涉及銀行如何共享自己標準化的資料，以及如何透過安全、有彈性的方式讓客戶使用第三方的應用程式；Open banking藉由技術發展驅動銀. ‧. 行業務變革，為消費者帶來更高的透明度、更多選擇以及對個人資料的掌控30。有認. sit. y. Nat. 為Open banking係藉由科技、市場力量和以及相關法規之間的互補共同催生而成，為. al. er. io. 現代社會金融化（financialization）過程的一部分，即，透過Open banking，銀行及金. v. n. 融科技公司等機構對於各國政府政策及整體經濟影響越來越大31。. Ch. engchi. i n U. 第二款銀行資料如何被分享基於銀行本身之保密義務（bank secrecy），實務上關於個人或商業銀行帳戶的詳細交易資訊等銀行資料並不容易共享，消費者能夠從銀行端下載銀行對帳單（bank 29. Open Banking Ltd., What is Open Banking?, https://www.openbanking.org.uk/customers/what-is-open-banking/ (last visited: 2019/11/11). 30 EBA Working Group on Electronic Alternative Payments, Understanding the business relevance of Open APIs and Open Banking for banks, May 2016, at 15. 31 Thomas I. Palley, "Financialization: What It Is and Why It Matters," Working Papers wp153, Political Economy Research Institute, University of Massachusetts at Amherst, 2007, at 26. 12. DOI:10.6814/NCCU202000212.

(23) statements），但是不容易將銀行對帳單包含的資料以任何機器可讀（machine-readable）的格式與任何第三方分享32。EBA指出，常用來分享消費者銀行資料（banking data）的方法有「螢幕擷取（screen-scraping）」以及「應用程式介面（API）」33。. 第一目螢幕擷取所謂的螢幕擷取，又被稱為資料探勘（data mining）、網路擷取（Web harvesting） 34. ，其與我們所熟悉的「網路爬蟲（Web crawling）」類似但略有不同。. 政治大. 螢幕擷取是一種廣義上的資料蒐集技術，藉由電腦程序存取使用者之資料並重. 立. 新發布35。利用螢幕擷取蒐集資料不一定涉及網絡，其也可能是從本地端（local. ‧ 國. 學. computer）的資料庫存取資訊；網路爬蟲在資料規模和範圍上與螢幕擷取都有很大的不同，網路爬蟲通常專指大規模抓取資料的行為，且抓取的資料量龐大，重複資料刪. ‧. 除（Data Deduplication, dedup）係其很重要的部分36。至於外部第三方如何透過螢幕. sit. y. Nat. 擷取取得銀行之資料，舉例而言，銀行可能會將產品資料公佈於自己的網站，若外部. n. al. er. io. 第三方想要利用該些產品資料建立新服務（如：價格比較網站），必須先篩選原始網. v. 站上的資料，要求程式將非結構化內容（通常為HTML）轉換為結構化資料. Ch. engchi. i n U. （well-structured data），然後將其存儲在電子表格或資料庫中，最後這些經處理的資料才能被進一步運用於商業模式中37。. 由於資料分析技術進步以及蒐集資料的便利性，利用螢幕擷取抓取資料的潛在. 32. Open Data Institute, Introducing the Open Banking Standard: Helping customers, banks and regulators take banking into a truly 21st-century, connected digital economy (ODI-WP- 2016-001), 2016, at 5. 33 OBWG, The Open Banking Standard, London, 2016, at 15. 34 Rʏᴀɴ Mɪᴛᴄʜᴇʟʟ, Wᴇʙ sᴄʀᴀᴘɪɴɢ ᴡɪᴛʜ Pʏᴛʜᴏɴ: Cᴏʟʟᴇᴄᴛɪɴɢ ᴅᴀᴛᴀ ғʀᴏᴍ ᴛʜᴇ ᴍᴏᴅᴇʀɴ ᴡᴇʙ, 49 (2015), at 7. 35 John Wagnon, Web Scraping-DataCollection or Ilegal Activity, DEVCENTRAL, May 16 2013, https://devcentral.f5.com/s/articles/web-scraping-data-collection-or-illegal-activity (last visited: 2019/11/28). 36 Arpan, Data Scraping vs. Data Crawling, PROMPT CLOUD, May 30 2012, https://www.promptcloud.com/blog/data-scraping-vs-data-crawling/ (last visited: 2019/11/28). 37 OBWG, supra note 33. 13. DOI:10.6814/NCCU202000212.

(24) 利益越來越高，然以此種方法分享資料，除了可能因螢幕擷取方與資料持有者（data host）為互惠或單方面寄生之關係而造成法律關係日益複雜38，更有以下若干缺點：. 在使用螢幕擷取分享資料的情況下，銀行用戶的登錄資訊（login credentials），即其帳戶密碼將直接與第三方共享，由於TPP登錄銀行主機系統相當於模仿銀行用戶行為，銀行無法區分登錄系統介面者究竟為銀行用戶本身或是第三方，故無法控制 TPP存取的資料範圍以及存取資料的時間，從而不可能僅在銀行用戶同意的範圍內抓取資料39。且銀行內部採用新的資訊安全措施或重新設計網頁時，以此方法抓取資料. 政治大擷取可能需要5到10分鐘才能檢索到資料。立. 可能會失敗，就連續取得資料的穩定性而言仍有缺陷40。另外，若資料量龐大，螢幕 41. ‧ 國. 學. 由於安全性以及速度上的缺點，歐盟認為利用螢幕擷取分享資料有非常嚴重的. ‧. 資訊安全風險42，其在發展Open Banking時要求銀行創建用於與第三方共享客戶資料的專用接口，並要求強大的客戶身分驗證來防止螢幕擷取，2019年9月14日開始適用. y. Nat. sit. 之監理技術標準（Regulatory Technical Standards, 以下簡稱RTS）甚至禁止銀行利用. n. al. er. io. 螢幕擷取的方式共享客戶資料43。. Ch. engchi. i n U. v. 美國消費者金融保護局（Consumer Financial Protection Bureau, CFPB）考量利用消費者金融資料可以促進創新金融產品服務的開發，增強金融市場競爭，使消費者能夠更全面地掌握自己的金融生活；惟設計面上仍須考量權限的設定以保障消費者權利，故發布「消費者授權之資料存取權（Consumer authorized financial data sharing and 38. Jeffrey Kenneth Hirschey, Symbiotic Relationships: Pragmatic Acceptance of Data Scraping, 29 Bᴇʀᴋᴇʟᴇʏ Tᴇᴄʜ. L.J., 897, 897 (2014). 39 GoCardless, Screen scraping 101: Who, What, Where, When?, Jul. 19 2017, https://openbankinghub.com/screen-scraping-101-who-what-where-when-f83c7bd96712 (last visited: 2019/10/27). 40 OBWG, supra note 33. 41 Finextra, Open Banking vs. Screen Scraping: looking ahead in 2019, Jan. 4 2019, https://www.finextra.com/blogposting/16494/open-banking-vs-screen-scraping-looking-ahead-in-2019 (last visited: 2019/10/20). 42 The ODI, Fingleton, Open Banking Preparing for lift off, 2019, at 11. 43 RTS Article 30(1) & 31. 14. DOI:10.6814/NCCU202000212.

(25) aggregation）」相關原則作為指引44。CFPB指出，消費者得即時自其服務提供商獲取與其有關的相關資料，並得以不分享登錄密碼之方式與外部第三方分享資料，其並未禁止利用螢幕擷取之方式分享金融資料45。. 第二目應用程式介面（API） Open banking 所建構出來的商業模式則多仰賴技術底層的API而非螢幕擷取。 API是一種特定的軟體體系結構方法（software architectural approach），該介面具有可伸縮性（scalable）、可重複使用性（reusable）和安全性46，使程序員無需了解內. 政治大. 部演算法，只要遵循適當輸入和輸出的規則，即可了解如何使用軟體，故可以連接、. 立. 合併多個程式以創建新的功能47。由上可知，所謂的API指的是使軟體或程式可以遵. ‧ 國. 學. 循的一組特定的規則（「代碼」）和規範，它使程式間可以相互溝通。. ‧. 目前API經濟已在各個行業發展成熟，除了在社群平台以及搜尋引擎的廣泛應. sit. y. Nat. 用，API也在許多電子商務平台如Amazon、eBay佔有一席之地48。API已經從一個單. n. al. er. io. 純的技術性議題慢慢發展至金融實務界49，就金融業而言，API可能是一種有效的自. v. 動化方法，可以使獲得許可的第三方提供商、金融科技公司和其他銀行無需共享帳戶，. Ch. engchi. i n U. 直接以安全的方式連線到銀行，最小化暴露敏感資料的可能性以及程度50。為金融產業創建的開放式API（open-APIs）數量則證明了近來與金融服務相關的API受到了很大的關注：根據 Programmable Web51的分類，數量上第二名的API類型為「金融. 44. CFPB, Consumer Protection Principles: Consumer-Authorized Financial Data Sharing and Aggregation, Oct. 18 2017, at 1. 45 Id. at 3. 46 EBA Working Group on Electronic Alternative Payments, supra note 30, at 7. 47 Orenstein, D. (2000). "Application Programming Interface (Api)." Quick Study: Application Programming Interface (API). https://www.computerworld.com/article/2593623/application-programming-interface.html (last visited: 2019/10/20). 48 Neyer Gene, ‘Mobile First’ will become ‘API First’ — PSD2: Changing banking as we know it., 2(2) J. Dɪɢɪᴛ. Bᴀɴᴋ. 171, 174(2017). 49 EBA Working Group on Electronic Alternative Payments, supra note 30, at 4. 50 Cortet Mounaim, Rijks Tom & Nijland Shikko, supra note 2, at 24. 51 大型的 API 平台，允許使用者使用、排名 APIs，並提供 API 相關資訊。 15. DOI:10.6814/NCCU202000212.

(26) （financial）」，第四名是「電子支付（ecommerce）」，「資料（data）」與「支付（payments）」則分別排名第五及第九名。89%的銀行基於其商業策略，會利用API 與金融科技公司合作52。. 8000 7000. 6911. 6806. 6687 5908. 6000. 5676. 5386. 5324. 5236. 5146. 5140. 5000 4000 3000 2000. 立. 1000 0. 政治大. ‧. ‧ 國. 學. Programmable Web 數量前十之 API（資料來源：Programmable Web）53. io. sit. y. Nat. 圖3. n. al. er. API是一種快速、安全、經濟且可以重複利用資料的方式。藉由API的使用，銀. i n U. v. 行可以降低開發成本，擴大創新範圍並擴大目標市場54；同時透過對於銀行自身擁有. Ch. engchi. 的消費者資料、公開資料以及其他外部資料（可能包括金融機構以及非金融機構）的資料分析，銀行可以因應迅速變動的消費者需求，建構新的價值主張，重新考量銷售通路、合作夥伴、收入和成本模型等涉及商業模式核心的要素55。. 52 53 54 55. Capgemini & Efma, World Fintech Report 2019, at 12. 2019 年 12 月 19 日之資料。 Cortet Mounaim, Rijks Tom & Nijland Shikko, supra note 2, at 25. Anna Omarini, supra note 25 , at 29. 16. DOI:10.6814/NCCU202000212.

(27) 第三款「開放」之意義儘管某些類型的API不需要任何身分驗證即可進行操作，使用者無需向應用程式註冊即可免費利用該API，但是大部分的API在使用前都需要某種類型的身分驗證，銀行端即可透過身分驗證以「限制」特定用戶或第三訪獲取特定類型的資料或使用 API56。. 因此，即便是開放式API，大多數仍需進行身分驗證，所謂的「開放」指的是使API本身的技術以及標準開放而非完全公開其傳輸的資料，而非意味著所有第三方. 政治大. 提供商都可以自行進入銀行的系統57。銀行仍會透過特定的控制措施，維護資料安全. 立. 性以及其在契約上的保密義務：只有在得到銀行端身分驗證的前提下，第三方提供商. ‧ 國. 學. 或是其他銀行才能通過開放API獲取私有資料58。. ‧. EBA之報告中，按照各種API之開放程度由開放至私密區分為下列五種類型：. y. Nat. n. er. io. al. sit. 第一目公開API（Public APIs）. i n U. v. 公開API不限於特定人使用，因此任何人都有訪問權限，通常會以註冊的方式 59. 進行身分識別和驗證。. Ch. engchi. 第二目一般API（Acquaintance APIs）. 一般API會給符合預定義條件的所有人開放訪問權限，開發人員網站提供此種 API時通常會附帶某種形式的標準化協議，一般商店銷售時點資訊（POS, point-of-sale）. 56 57 58 59. Rʏᴀɴ Mɪᴛᴄʜᴇʟʟ, supra note 34, at 93. EBA Working Group on Electronic Alternative Payments, supra note 30, at 7. Open Data Institute, supra note 32, at 5. EBA Working Group on Electronic Alternative Payments, supra note 30, at 8. 17. DOI:10.6814/NCCU202000212.

(28) 系統中的API即屬於此種類型60。. 第三目會員API（Member APIs）. 會員API會向擁有明確會員規則的社群成員開放訪問權限，API提供者只允許符合社群會員規則與相關規範的會員取得權限。歐盟PSD2強制開放的帳戶資料和支付啟動服務即是使用此類型的API，只有經授權或登記（registered）的TPP才能獲得訪問權限61。. 政治大. 第四目合作夥伴API（Partner APIs）. 立. ‧ 國. 學. 合作夥伴API係根據雙邊協議向指定合作夥伴開放的API，與下面將提及的私人 API一樣，合作夥伴API只能由API提供者自行決定他人得否訪問，銀行的合作夥伴以. ‧. 及其系統開發者通常皆可訪問。銀行與企業資源計劃（Enterprise Resource Planning，. io. sit. y. Nat. ERP）軟體提供商進行特定資料交換時，即是利用此種類型的API62。. n. al. er. 第五目私人API（Private APIs）. Ch. engchi. i n U. v. 私人API不屬於開放API的類型，其並不對外開放，只有銀行內部人員方擁有權限63，故私人API並非Open banking模式會運用到API類型。. 在相關配套法規修正、技術進步以及客戶行為變動的背景下，銀行「開放」似乎已成為當前趨勢，世界各國在Open banking方面的發展正逐步成熟。英國、歐盟、香港、新加坡、日本，澳大利亞、美國以及加拿大等國都在各自的市場取得重要進展，本文將於下一章介紹各國Open banking歷程及動向。 60 61 62 63. Id. Id. Id. Id. 18. DOI:10.6814/NCCU202000212.

(29) 第二項. Open banking生態系統之參與者. Open banking生態系統之參與者可能有以下五種角色：第一種為支付服務使用者（Payment Service Users, PSU），包含自然人及法人；第二種則係監管者（Regulator），可能為政府金融主管機關或是競爭法相關主管機關；第三種角色為帳戶服務提供商（Account Servicing Payment Service Provider，AS PSP），目前市場上多為銀行提供帳戶服務予消費者；第四種為包含支付啟動服務提供商（Payment Initiation Service Provider, PISP）以及帳戶資訊服務提供商（Account Information Service Provider, AISP）在內的TPP；最後一種參與者，即為負責提供Open Banking相關產品技術的技術服務. 政治大. 提供商（Technical Service Provider, TSP）。. 立. ‧ 國. 學. 第一款帳戶服務提供商（AS PSP）. ‧. 所謂的AS PSP，係指為PSU提供付款帳戶、並維護該帳戶之服務提供商，他們. sit. y. Nat. 會發佈讀取（read access）或寫入權限（write access）的API，以在支付服務使用者同. io. 料提供給TPP64。目前多由銀行扮演此角色。. n. al. Ch. engchi. 第二款支付啟動服務提供商（PISP）. er. 意的情況下允許TPP啟動的支付服務，或透過其API將支付服務使用者的帳戶交易資. i n U. v. 所謂的PISP，指的是提供消費者直接從銀行帳戶向店家付款，而無需透過Visa 或MasterCard等信用卡、金融卡方式付款的業者。PISP提高了付款以及不同銀行帳戶間轉帳的速度，很大程度上改善消費者付款流程中的體驗。近年來越來越多的科技公司（如PayPal）看到電子商務領域的商機而成為PISP的一員。. 64. Open Banking Ltd, Website Glossary, https://www.openbanking.org.uk/about-us/glossary/ (last visited: 2019/11/5). 19. DOI:10.6814/NCCU202000212.

(30) 第三款帳戶資訊服務提供商（AISP） AISP顧名思義，即藉由取得帳戶相關資訊，對該些資訊進行分析或整合後提供相關服務之業者。基於計算信用評分之目的，蒐集消費者個人及群體的信用歷史、收入以及資產資料的信用機構即屬於AISP的類型之一。記帳軟體「麻布記帳（Moneybook）」亦為我國著名的AISP，其支援27家不同銀行、3家電子票證以及電子載具，透過與20家銀行串接API的方式提供金融帳戶整合服務，現階段消費者雖然只能透過麻布記帳獲取不同銀行之存款、外匯利率，但在未來Open banking第二階段. 政治大. 成功上路後，消費者得以透過單一軟體掌握不同銀行帳戶的存款及收支情形，全面掌握自身財務狀況65。. 學. ‧ 國. 立. 第四款技術服務提供商（TSP）. ‧. TSP是與受監管的TPP合作提供Open banking產品或服務的技術公司。為了能夠. sit. y. Nat. 更快地在市場上推出新產品服務，並即時監控銀行API是否有新版本或應對API任何. io. n. al. er. 的變動，再加上技術上便利性與安全性的考量，TPP通常都會選擇與TSP合作66。. 第三項. Ch. hi. en. gc Open banking之機會與挑戰. i n U. v. 根據PWC 2018年發佈之報告，根據中小企業和零售客戶採用的方案，其預期 2022年時英國與開放銀行相關的總收益將達到72億英鎊（見圖4）67。因此可以得知， 65. 麻布記帳，首家與 20 家銀行串接 API 的金融帳務整合服務誕生，「Moneybook 麻布記帳」成功與 20 家銀行串接 API，2019 年 10 月 16 日， https://blog.moneybook.com.tw/2019/10/16/%e9%a6%96%e5%ae%b6%e8%88%8720%e5%ae%b6%e9%8a %80%e8%a1%8c%e4%b8%b2%e6%8e%a5api%e7%9a%84%e9%87%91%e8%9e%8d%e5%b8%b3%e5% 8b%99%e6%95%b4%e5%90%88%e6%9c%8d%e5%8b%99%e8%aa%95%e7%94%9f%ef%bc%8c%e3%8 0%8cmoneyb/ （最後瀏覽日：2019 年 11 月 5 日）。 66 Finextra, Working with Technical Service Providers under PSD2, Jul. 30 2019, https://www.finextra.com/blogposting/17686/working-with-technical-service-providers-under-psd2 (last visited: 2019/11/5). 67 PwC, supra note 21, at 43 20. DOI:10.6814/NCCU202000212.

(31) 開放銀行之商業模式潛力非常大。. 立. 政治大. ‧. ‧ 國. 學. Open Banking 收益預測（單位：百萬英鎊）（資料來源：PwC）. n. al. er. io. sit. y. Nat. 圖4. i n U. v. 考量各個角色共享資料之目的不同，Open banking對一般大眾、企業、銀行，. Ch. engchi. 以及金融監管機構的影響各有利弊，本文將分析在採用Open banking模式時，各個參與者可能會有的機會與挑戰。. 第一款 Open banking 的機會第一目提高金融界產品服務創新. Open banking讓銀行拓展現有服務內容，除了現有產品、支付服務之外，也可以提供數位身分服務（Digital identity services）；由於銀行金流與資訊流分別由不同部門運作管理，過去銀行所擁有的客戶資料多不甚完整，因此銀行也可以利用共享資 21. DOI:10.6814/NCCU202000212.

(32) 料的優勢，匯總來自不同帳戶、甚至是異業策略夥伴的客戶資料，豐富其資料庫後進行資料分析，使得銀行提供的產品服務更貼近消費者實際的偏好及需求68。. 第二目使用者友善的金融環境. 消費者而言，其可以取得完整的金融資料，透過人工智慧投資與大數據分析的應用，同時比較多個銀行帳戶利率及優惠，選擇是否繼續使用原先銀行之服務，在個人資產配置和理財規劃上更有效率；企業可以直接將他們的帳戶資料分享給會計師，減少時間成本69。. 立. 政治大. 第三目銀行能夠拓展更廣的通路. ‧ 國. 學. 過去銀行的通路多仰賴實體分行的銀行櫃臺，根據華南銀行的統計，2016年底. ‧. 消費者在ATM上的交易規模遠大於網路銀行以及手機行動銀行的交易量，但是到隔. sit. y. Nat. 年第三季，個人行動銀行交易量開始超越ATM，2018年第一季行動銀行的交易量更. io. er. 是超越了網路銀行70。但是在Open banking持續發展的未來，銀行得以藉由串接API. al. 於多個數位平台上銷售其產品、服務。以我國為例，不涉及消費者資料、以開放產品. n. v i n 服務等公開資料為主軸的OpenC banking第一階段，已在2019年9月底開始實施。 hengchi U 第四目有利主管機關監理. EBA報告中亦指出，Open banking有利於增加風險緩釋（Enhanced risk mitigation） 71. 。英國國家詐欺管理局（UK National Fraud Authority）指出，金融詐騙每年造成英. 68. EBA Working Group on Electronic Alternative Payments, supra note 30, at 23. Open Data Institute, supra note 58, at 6. 70 王宏仁，「臺灣 Open Banking 銀行實例：華南銀行」數位轉型從開放銀行做起，華南要靠開放 API 擴大異業結盟，iThome，2019 年 10 月 18 日，https://www.ithome.com.tw/news/133685（最後瀏覽日： 2019 年 10 月 20 日）。 71 EBA Working Group on Electronic Alternative Payments, supra note 30, at 23. 69. 22. DOI:10.6814/NCCU202000212.

(33) 國經濟損失超過5.7億英鎊，而英國民眾普遍依靠銀行通知其帳戶中存在詐騙活動72。透過消費者共享的帳戶交易資料，監理機關、銀行或第三方在偵查詐騙行為（fraud detecting）時也可以一次監控多個帳戶，集結多個帳戶或產品的資料進行資料分析，以預防詐騙、改善洗錢防制（AntiMoney Laundering, AML）以及更了解其客戶（KYC） 73. 。. 第二款 Open banking 的挑戰雖然銀行採納Open banking模式對其係千載難逢的轉型機會，但銀行同時也可. 政治大. 能面臨許多挑戰，本文分述如下：. 立. ‧ 國. 學. 第一目數位化挑戰（Transformational challenges）. ‧. 技術層面而言，若銀行要採行Open banking模式，其除了要維持銀行日常營運. sit. y. Nat. 所需的服務容量外，尚須承載與第三方提供商API功能以及相關IT基礎架構，更要更. io. er. 新現有的資訊安全技術標準；就組織層面，銀行內部也可能面臨包括部門各自為政（bureaucratic silos），保守派對變革的抵制，管理層對Open banking策略立場不一致. al. v i n C hbanking潮流即時進行數位轉型，在金融業有金融。如果銀行無法跟上Open engchi U n. 74. 等問題. 科技公司、大型科技公司的強烈競爭下，銀行可能因會流失客戶而不能夠從規模經濟中受益75。. 第二目客戶流失. 客戶保存率（Customer retention）可能是銀行在採用Open Banking 模式時面臨. 72 73 74 75. Open Data Institute, supra note 58, at 6. EBA Working Group on Electronic Alternative Payments, supra note 30, at 23. Id. Id. 23. DOI:10.6814/NCCU202000212.

(34) 的難題之一76。由於法規要求以及資料標準化，客戶資料可攜性較過往高，消費者在發現有金融科技公司或是其他家銀行的方案對其較有利時，由轉移門檻降低，多會選擇更換主要銀行（Primary bank）。為了防止有價值的客戶流失，銀行勢必要花更多心力研究如何建立消費者忠誠。. 第三目銀行商譽及品牌信任之減損. Open banking使銀行面臨許多與資訊安全相關的風險，如客戶隱私，駭客入侵銀行系統，非法使用資料以及身分詐騙等問題。由於金融業的本質即在為客戶執行交. 政治大. 易並提供金錢保管服務，因此個人資料的安全性是客戶信任銀行的基礎，銀行的聲譽. 立. 取決於客戶對銀行的信任程度77。因此，銀行必須建立一個風險治理控制模型. ‧ 國. 學. （governance control model），確保利用Open banking提供相關服務時，外部第三方的. ‧. 過失或資安意外不會導致其客戶對於品牌信任之減損78。. Nat. sit. y. 由上揭討論可知，Open Banking雖有龐大的商業潛力，但是亦有不少風險存在。. n. al. er. io. 且金融界由於涉及資金流動以及更多的敏感性資料，僅僅技術介面不足以直接促成金. v. 融機構與金融科技公司間的信任以及合作79。為了使上述資料被安全地管理，使Open. Ch. engchi. i n U. banking商業模式能夠實現，目前金融界針對不同類型的資料有不同的管理方式：舉例而言，針對敏感性較高的資料TPP只能讀取，但若為一般性的資料，TPP即具有寫入權限；客戶的特種個人資料相較銀行資料（如產品資訊、ATM位置）或是匯總、匿名性的資料，需要以更嚴格的標準管理。下章將對各國Open banking發展歷程、如何管理個人資料進行更為詳盡的介紹。. 76 77 78 79. Id. at 22. Id. Id. Id. at 10. 24. DOI:10.6814/NCCU202000212.

(35) 第三章比較法分析：類型化各國 Open banking 世界各國雖基於不同目的開始發展Open banking，也採納不同的Open banking 模式，但大體上皆有規範如何建立一套開放銀行標準的API架構、相關技術流程，指導銀行及TPP應如何處理、利用開放銀行模式下所產生、或被蒐集的資料，並期望這樣的模式將有助於刺激銀行業的創新，提高銀行效率。以下將外國採納Open banking 發展較迅速的幾個管轄區區分為「強制銀行開放資料」、「強制開放：立法明定資料所有權屬於消費者」以及「業者自律」三種類型。. 立. 第一節. 政治大. 強制銀行開放資料. ‧ 國. 學. 歐盟在修正了支付服務指令、強制各會員國轉換指令為內國法後，歐盟境內可. ‧. 以說是受開放銀行影響最廣泛的區域。英國則為全球最早開始發展「開放銀行資料」. sit. y. Nat. 概念之區域，英國政府在進行了許多實證調查及研究後，意識到其銀行業存在多年的. io 歐盟. al. n. 第一項. er. 問題，遂在政府主導下，強制英國九大銀行開放其部分資料。. Ch. engchi. i n U. v. 第一款《支付服務指令第二號》之發展及立法目的歐盟執行委員會（The European Commission）於2012年1月11日的發布之綠皮書「邁向歐洲信用卡、線上及網路支付之整合市場（Towards an integrated European market for card, internet and mobile payments）」指出，近年來由於電子支付相關技術複雜性增加、全球電子支付數量成長以及新興支付服務的出現，電子支付相關風險逐漸提高，許多創新的支付工具無法被納入《支付服務指令》（Payment Services Directive, PSD）的規範框架，此造成法律監管上的不確定性，支付服務中的潛在風險亦使消費. 25. DOI:10.6814/NCCU202000212.

(36) 者保護存在漏洞80。. 為了確保消費者以及企業享有更多選擇、增加其對市場的信任，並促進歐盟經濟成長以持續發展歐盟內部安全的電子支付市場，歐盟執行委員會認為應該建立新的框架以填補法規與實務上的差距81。故歐盟執行委員會於2013年7月提出《支付服務指令第二號》（Payment Services Directive 2, 以下簡稱 PSD2）修正案，歐盟成員國必須於PSD2 2016年1月12日生效後的兩年內，也就是2018年1月13日前將PSD2轉換為內國法82。但是仍有包含比利時、荷蘭以及西班牙在內的部分國家未能在上述期限完成 PSD2的內國法化83。. 立. 政治大. PSD2旨在使歐洲的支付服務進一步現代化，它希望能夠促進歐洲網路支付、行. ‧ 國. 學. 動支付發展，並建構更周全的消費者保護；同時，亦希望改善支付金融服務提供商的. ‧. 競爭環境，激勵更多新創公司、金融科技公司進入市場，並為更加一體化的歐洲支付市場做出貢獻，以造福於消費者和企業84。. sit. y. Nat. n. al. er. io. 整體而言，經過本次的修正將有助於歐盟線上支付服務市場之創新、競爭和效. i n U. v. 率，這也意味著歐盟朝著完成歐盟數位單一市場的目標更進一步85，在支付方面為消費者提供了更多更好的選擇。. Ch. engchi. 第二款 PSD2 內容架構在PSD2規範下，受監管的第三方提供商在獲得客戶同意的前提下，可以取得客 80. PSD2 Recital 7. PSD2 Recital 6. 82 PSD2, Article 116. 83 Innopay, PSD2 licensing: solving the puzzle of becoming a Third Party Provider, https://www.innopay.com/en/publications/psd2-becoming-a-third-party-provider (last visited: 2019/11/27). 84 European Commission, Frequently Asked Questions: Making electronic payments and online banking safer and easier for consumers, 13 September 2019, at 1. 85 European Commission, supra note 84, at1. 81. 26. DOI:10.6814/NCCU202000212.

(37) 戶的銀行帳戶資料或是請求付款。以下將PSD2的特色分別詳述。. 第一目將新型態支付服務提供商納入規範. 由於支付啟動服務以及帳戶資訊服務過去不受支付服務指令約束，引發了一系列關於消費者保護、責任分配以及資料保護等法律問題，為了能夠給予消費者充分的保障，並使相關服務提供商的法律地位的得以確定，PSD2將新型態的支付服務提供商，即PISP以及AISP納入規範。. 政治大. PSD2第4條明確定義了何為PISP以及AISP。其指出，所謂的PISP指的是根據用. 立. 戶的請求，針對另一付款服務提供商所持有的付款帳戶啟動付款的服務提供商86。為. ‧ 國. 學. 了與其他定義（如，直接付款）區別，PSD2特別於前言（Recitals）的部分釐清，PISP 扮演店家網站與消費者銀行帳戶間的軟體橋（a software bridge），在信用轉移（credit. ‧. transfer）的基礎上啟動網路支付87。舉例而言，消費者確以信用卡或其他方式支付購. Nat. sit. y. 物款項時，PISP得到消費者授權即可向店家支付消費者購物的款項，店家收到款項後. n. al. er. io. 便可以即時出貨或提供服務，減少消費者於網路購物體驗中不必要的延誤（without. v. undue delay）88。故按PSD2前言所揭示之意旨，PISP似乎特別指在電子商務領域的支. Ch. engchi. i n U. 付啟動服務，且在此情境下，PISP通常會與電商平台的店家有契約關係，帳戶資訊服務等輔助性服務（complementary services）可能作為附加服務出現89。另外，PISP有5 萬歐元的初始資本額（initial capital）限制90，且必須獲得許可證才可以提供支付啟動服務91。. 關於AISP，PSD2指出其為提供消費者得以獲取其持有的、可能分屬不同帳戶 86. PSD2 Article 4(15)&(18). PSD2 Recital 27. 88 PSD2 Recital 29. 89 The European Banking Federation, Guidance for implementation of the revised Payment Services Directive, Sep 2016, at 24. 90 PSD2 Article 7(b). 91 PSD2 Article 5(1). 87. 27. DOI:10.6814/NCCU202000212.

(38) 服務提供商的一至多個帳戶的整合（aggregated）資訊92。按PSD2規定，並未指出AISP 應該提供何種資料予消費者，但與消費者支付帳戶相關的資料可能與支付服務並不相關，其帳戶可能透露其身上的貸款、存款，或是定期扣款費用等。又根據PSD2前言，消費者藉由帳戶資訊服務，可以隨時全面地了解自身財務狀況93；且AISP僅能取得來自指定支付帳戶和相關支付交易的資料94。因此，消費者的銀行應該提供AISP消費者支付帳戶（如活期存款帳戶、信用卡帳戶等）的帳戶餘額以及與支付交易相關的帳戶，如借方/貸方支付帳戶的資料95。相較於PISP，成立AISP並無資本額限制，亦不需取得主管機關授權，僅需登記即可96。. 政治大為了提高透明度，並確保在歐洲單一市場內的消費者獲得較高水準的保護，立. ‧ 國. 學. PSD2要求EBA應開發一套關於TPP的中央電子登記系統，該登記名單應於其網站上公開，且供公眾免費瀏覽及搜索相關資料97。該電子登記系統的資料來自各國主管機關，. ‧. 並每日更新98。. y. Nat. n. al. er. io. sit. 第二目強力客戶身分驗證（Strong Customer Authentication, SCA）. i n U. v. PSD2對電子支付的啟動和處理流程採用較為嚴格的資安要求，其明文要求支付. Ch. engchi. 服務提供商在消費者發起電子支付（electronic payments）交易時應用「強力客戶身分驗證」99。SCA是一種基於兩個以上要素的身分認證100，這些要素可能為以下三種態樣：知識（Knowledge），指客戶自己才知道的東西，如密碼；財產（Possession），. 92. PSD2 Article 4(16), (19). PSD2 Recital 28. 94 PSD2 Article 67(2)(d). 95 The European Banking Federation, supra note 89, at 25. 96 PSD2 Article 33(1) & 5(3). 97 PSD2 Article 15(2). 98 EBA, EBA goes live with its central register of payment and electronic money institutions under PSD2, 18 March 2019, https://eba.europa.eu/eba-goes-live-with-its-central-register-of-payment-and-electronic-money-institutions-un der-psd2 (last visited:2019/11/27). 99 PSD2 Article 97(1)(b) 100 PSD2 Article 4(30). 93. 28. DOI:10.6814/NCCU202000212.

(39) 指客戶擁有的東西，但也有可能是無體財產101，如手機、應用程式、密鑰（key length）以及資訊熵（information entropy）等；固有（Inherence），指客戶本身，如演算法規範（algorithm specifications）、生物識別傳感器102等。這樣的制度設計用意在於保護授權資料的機密性。. EBA在近期發布的意見書中，進一步對於SCA各個元素可能的應用進行例示：. 知識要素除了密碼之外，還可能包含個人識別碼（Personal Identification Number, PIN）、私密問題（knowledge-based challenge question）、密碼短語（passphrase）103. 政治大. 以及滑動圖形（memorised swiping path）等104。針對財產要素，EBA指出客戶持有的. 立. 裝置（device）若「存在一種可靠的手段，可以通過在生成或接收到的動態驗證確認. ‧ 國. 學. 該裝置確實由該客戶持有」，該裝置及可作為SCA的財產要素，無論是由軟體或硬體. ‧. 生成的一次性密碼（OTP, 如SMS或是通知推送）或數位簽章（digital signature）皆可以做為驗證裝置的方式105。藉由外部裝置掃描QR code或photoTAN方式驗證的裝置. y. Nat. n. al. Ch. engchi. er. io. 的卡片，都可以是被認為是財產要素106。. sit. 或卡片、透過綁定的裝置驗證擁有應用軟體或瀏覽器以及由讀卡機或動態安全碼驗證. i n U. v. 固有要素包含指紋掃描、語音識別、靜脈識別、消費者臉和手的幾何形狀（hand and face geometry）、視網膜和虹膜掃描（retina and iris scanning）、按鍵動態（keystroke dynamics, 透過消費者打字習慣和滑動方式識別）、消費者握住裝置的角度，以及使用穿戴式裝置時客戶的心率（或是其他身體運動模式）等107。但使用上述方法進行驗證時，支付服務提供商必須確認該方法「未授權方被認證為支付方的可能性非常低」 101. EBA, Opinion of the European Banking Authority on the elements of strong customer authentication under PSD2, Jun. 21 2019, at 6. 102 RTS Recital 6. 103 密碼的一種，但其長度較密碼長，且通常為易於記憶的字串。如：Iama3grad@NCCU。 104 EBA, supra note 101, at 8. 105 Id. at 6. 106 Id. at 7. 107 Id. at 5. 29. DOI:10.6814/NCCU202000212.

(40) 108. 。另外，由於目前透過EMV® 3-D Secure version 2.0或是其他通訊協議交換的資料. 並不包括與生物相關的資訊和生物特徵識別，故其並不能被歸類為強力身分驗證的固有元素之一，但EBA認為不排除其未來被納入的可能性109。. 簡言之，SCA係一種用於驗證支付服務或支付交易使用者身分的方法，確認消費者是否確實授權使用支付工具。對消費者進行強力身分驗證有助於降低在線支付和網路銀行詐騙的風險，並保護個人財務資料的機密性，歐洲消費者將自更安全的電子支付中受益110。. 第三目同意及撤回同意. 立. 政治大. ‧ 國. 學. AISP或PISP僅能在付款者明確同意（explicit consent）的情況下提供 Open banking服務111。惟按PSD2第64條第3項，付款人得於不遲於第80條規定之時間，隨時. ‧. 撤回其同意；其亦得撤回對於執行一系列支付交易的同意，於此情形，撤回同意後的. Nat. sit. y. 任何支付交易視為未經授權。由於此條文並未要求PSU通知AS PSP其也同意該筆付款，. n. al. er. io. 當PISP已經啟動了支付，AS PSP可能不知道PSU已撤回其同意進行付款或一系列付款. i n U. v. 交易，AS PSP亦無檢查PSU是否確實同意的義務。歐盟銀行聯盟（The European. Ch. engchi. Banking Federation ,EBF）針對此問題，建議PSU與AS PSP間簽訂的契約中增加一項條款，明定PSU撤回同意時，必須以雙方約定的形式通知他的AS PSP其已撤回對PISP 或信用卡/金融卡發行人（在PSD2第65條範圍內）的同意；若未通知AS PSP撤回其同意，則確實必須使PSU意識到分享資料的風險，即在PSU撤回同意的前提下該筆交易仍然被執行，以求公允112。PSD2第80條則規範了付款人授予同意後不得撤銷其支付指令的情形，此規定在PSD修正為PSD2後並沒有改變。 108. RTS Article 8(1). EBA, supra note 101, at 5. 110 European Commission, Frequently Asked Questions: Making electronic payments and online banking safer and easier for consumers, 13 September 2019, at *2. 111 PSD2, Article 66&67. 112 The European Banking Federation, supra note 89, at 42. 109. 30. DOI:10.6814/NCCU202000212.