麻布記帳資訊安全|台灣開放銀行 Open API 如何發展?Moneybook 代理同步合法性 金管會回應一次看

開放銀行風潮2019年吹向台灣,金管會採取不修法、不強制的方式,開放銀行與第三方服務業者合作,麻布記帳就是其中之一。究竟開放銀行是什麼?台灣政策與麻布記帳分別發展到哪些階段?金管會如何看待代理同步功能?

透過本文 麻編想要告訴你:開放銀行是什麼?台灣 Open API 政策三階段有何差異?開放銀行第一階段:公開資料查詢
開放銀行第二階段:客戶資料查詢
開放銀行第三階段:交易面資訊
麻布記帳 Open API 目前進展到哪個階段?
開放銀行第一階段 合作業務範圍
開放銀行第二階段 合作業務範圍
開放銀行合作業務範圍之外
麻布記帳可以提供代理同步嗎? 金管會是否有相關規範釋出?
麻布記帳代理同步如何保護使用者個資?資料為何要存在雲端?

開放銀行是什麼?台灣 Open API 政策三階段有何差異

「開放銀行(Open Banking)」核心概念在於推動傳統金融機構與金融科技公司合作,讓銀行結合麻布記帳這類第三方服務業者(Third-party Service Providers,TSP),用開放應用程式介面(Application Programming Interface,API)的方式分享金融數據,讓消費者拿回金融機構內個人資料的主導權,創造更多元的金融服務與數位生態系,達到用戶與社會利益最大化的價值。

開放銀行風潮約於2019年吹向台灣,金管會採取不修法、不強制的方式,將 Open API 分為三階段,分別為「公開資料查詢」、「客戶資料查詢」及「交易面資訊」,第三方服務業者(如麻布記帳)可依照政策發展階段,與銀行機構洽談合作,以下分別介紹。

1. 開放銀行第一階段:公開資料查詢

金管會已於2019年9月底推動

公開資料指的是「非交易面」的金融產品,例如,外幣匯率、台外幣定存利率、房貸利率等,不包含客戶資料。

2. 開放銀行第二階段: 客戶資料查詢

金管會已於2021年4月中推動

客戶資料包含銀行帳戶、信用卡、消費者個人資料。目前台灣正值此階段。

3. 開放銀行第三階段: 交易面資訊

金管會尚未推動

交易面資訊指的是可直接透過第三方業者提供的服務,進行帳戶扣款、消費支付、調整資金等動作。


麻布記帳 Open API 目前進展到哪個階段?

1. 開放銀行第一階段 合作業務範圍

麻布記帳針對開放銀行第一階段推出的「公開資料查詢」服務,已於2019年上線,是國內首家與19家銀行介接API的「公開資料」(非客戶資料)整合服務,可查詢「非交易面」的金融資訊,如外幣匯率、台外幣定存利率等。

延伸閱讀》搶搭開放銀行首班列車!麻布記帳與19家銀行串接API 第一階段「公開資料查詢」服務誕生

2. 開放銀行第二階段 合作業務範圍

目前,麻布記帳正積極與各家金融機構洽談第二階段的合作關係,預計與銀行合作的「授權同步」(即開放客戶資料查詢)將於2022年上線。

3. 開放銀行合作業務範圍之外

在此之前,麻布記帳主要使用「代理同步」,由使用者主動授權、提供金融帳戶資訊,並經使用者授權、透過安全代理技術,幫用戶整合各家金融機構的資產。

麻布記帳 Open API 與代理同步發展階段-麻布記帳 Moneybook
麻布記帳 Open API 產品發展階段-麻布記帳 Moneybook

麻布記帳可以提供代理同步嗎? 金管會是否有相關規範釋出?

麻布記帳是金管會指導之「金融科技創新園區(FinTechSpace)」的進駐成員,該園區提供「監理門診」服務,有助創新應用服務釐清法律問題。

從前述內容可知,麻布記帳目前與各家銀行業者處於 Open API 第一階段的合作,第二階段已經啟動,目前正在進行開發、上線審查階段。

根據金融科技創新業務常見法規問答集(第二類 支付/匯兌/借貸服務 A.20),TSP業者「如於開放銀行合作業務範圍外」,規劃由消費者授權TSP業者使用消費者個人提供的登入資訊,透過網路讀取、儲存消費者資訊,則與現行開放銀行第二階段以 OPEN API 取得金融機構客戶資訊的方式不同,不適用旨在規定 Open Banking 業務範圍的資安標準。

簡單來說,如果麻布記帳有跟某銀行機構合作查詢用戶信用卡帳單的 OPEN API ,那就不能以用戶提供的登入資訊來代理同步查詢信用卡帳單。反之,麻布記帳目前代理同步替用戶整合的資訊,都在開放銀行合作業務範圍外,因此並無違法疑慮。

問答全文
Q20. TSP業者與銀行合作開放銀行第二階段業務,以開放應用程式介面(以下簡稱「OPEN API」)取得金融機構客戶資訊,其安全設計需符合財金公司所訂定之「金融機構與第三方服務提供者辦理開放應用程式介面(OPEN API)業務安全控管作業規範」(以下稱「資安標準」)相關規定,其規範之精神在於解決代理登入認證機敏資訊洩漏及無法有效限制業者進行有限制範圍存取的風險。如TSP業者規劃由消費者授權TSP業者使用消費者個人提供的登入資訊(包含但不限於帳號、密碼、代號、金鑰以及相關所需資訊),透過網路機制以讀取消費者於金融機構之金融往來資訊並儲存於該公司系統內,是否需適用現行財金公司所研訂之資安標準?應注意之法規為何?

A20. 財金公司所定資安標準已就銀行與TSP業者合作之開放銀行業務範圍,明定禁止該TSP業者使用消費者於原金融機構之認證資訊(如帳號密碼)存取資源,如於開放銀行合作業務範圍外,規劃由消費者授權TSP業者使用消費者個人提供的登入資訊,並透過網路讀取、儲存消費者資訊,則與現行開放銀行第二階段以OPEN API取得金融機構客戶資訊之方式不同,並不適用上述資安標準。

麻布記帳代理同步如何保護使用者個資?資料為何要存在雲端?

麻布記帳用戶相關資料均存放在企業級 Google Cloud Platform(GCP)雲端儲存服務的 Virtual Private Cloud(VPC)虛擬私人雲端中,僅有指定 IP 可以進入,且資料皆經加密技術轉換後存放。

使用此種雲端資訊儲存服務,對於外部,可以攔截惡意來源盜取資訊;對於內部,開發人員都受到權限控管,必須簽署內部保密條款,也無法任意存取任何重要資訊。麻布團隊目前也已通過國際 ISO/IEC 27701 個人資訊管理系統認證,其中有一系列關於個人隱私資料保護的規範,所有可直接或間接識別特定對象的資訊,如網路識別碼( IP 位址、瀏覽器 Cookies ),及足以辨識特定身分性別的資訊,都屬於個人資料,且受到完整保護。

麻布記帳資訊安全等級比照銀行機構,並已通過多個國內外認證,致力於確保資訊安全與使用者隱私保護。更詳細的資訊安全議題,可看下方延伸閱讀。

延伸閱讀》資訊安全最高規格!面對使用者最擔心的資安隱私問題 Moneybook麻布記帳做了哪些努力?


麻布記帳LOGO

最創新的理財記帳APP|自動記帳|資產管理平台

理財第一步「自動記帳」!麻布記帳為你省去手動記帳,把時間花在分析趨勢、檢視財務健康上。一鍵同步即時掌握 33 家銀行活定存、信用卡與海外投資、悠遊卡等,不花時間就能掌握每個帳戶金額變動與消費狀況。最多元的全資產管理平台,最方便的自動記帳工具,最智能的帳單繳費提醒!立即免費下載。																											

聯絡我們