開放銀行(Open Banking)這股風潮,從歐洲吹向了全球,臺灣也在今年跟上國際腳步,採取香港、新加坡模式,以自律自願作法,由銀行與第三方服務公司(TSP)合作方式推動,由銀行開放出API給TSP業者串接,共享金融機構的數據資料,也讓金融服務可以拓展到多元層面。
而台新銀行早在2017年,在歐盟PSD2、英國Open Banking計畫推行之際,就嗅到了這波趨勢,遲早會吹進臺灣,開始著手研究。台新金控資訊長孫一仕提到,當時台新內部研究開放Open API,考慮了兩種型態,一種是走英國Open Banking的模式,由政府主導,所有銀行一體適用的API;另一種型態,是藉由API形式,以開放合作的心態來做這件事。
在「開放銀行」一詞中,孫一仕更聚焦的是「開放」這件事,他認為,銀行願不願意把自家金融服務,開放給客戶或合作夥伴的心態,才是關鍵。他也強調,所有消費者的資料,都屬於消費者所有,這個「消費者資料所有權」的概念,不只銀行,電商、電信乃至各行各業都是一樣適用。
開放銀行將加速競合,資料分析能力將是銀行業另一競逐戰場
「Open Banking會帶來新契機,刺激銀行更努力找出顧客需要的服務,也會形成競合的時代。」孫一仕提到,臺灣開放銀行的進展,一旦進入第二階段的消費者資料查詢之後,理論上,只要銀行之間合意,台新銀行也能拿到國泰世華銀行、中國信託銀行、北富銀等銀行的資料,同樣地,其他銀行也能拿到台新銀行的資料。
當銀行都拿到了同樣的資料,這時,銀行要如何找出不可或缺的客戶價值,來提高客戶對銀行的黏著度?孫一仕認為:「當握有同樣的資料,比得就不是資料量多寡,而是分析能力。這將成為銀行業另一個新戰場,分析能力會是決勝關鍵。台新有信心在這種型態的競爭中取勝。」他自信地說。
不止銀行之間的競合,TSP業者與銀行的關係也是競合,某種程度來說,銀行本身也成了一種TSP,孫一仕表示,人人都得各憑本事,基於對客戶的了解,快速組合出客戶想要的服務與價值,「功力與速度,將會是致勝的兩大要素。」
靠Open API實現金融場景化,台新的生態圈戰略
在金融業浸淫多年,孫一仕觀察到,臺灣金融業的服務內容上,各家的戰法跟領域都非常接近,焦點無非是生態圈、情境銀行等。但他認為,將來的金融業服務,不會只從金融業掌控的管道提供給顧客,還需要創造非銀行管道,將金融服務傳遞到顧客的情境。「把金融服務無縫嵌入顧客的生活消費場景,這是未來大家競逐的方向,比誰做得快、好。」
而Open API對台新的生態圈戰略,孫一仕提到,是與合作夥伴合作,為共同客戶提供更好的服務,讓雙方共同服務到每一位客戶,「這樣B+B2C的商業模式,是台新一以貫之的目標。」
早在去年11月底,台新銀行即與跨境購物網站Buy日貨合作,透過串接身分認證API,讓台新用戶可使用台新網銀的帳號身分,進到網站商城購物,不用再註冊購物網站帳號。同時,台新銀行也透過串接紅利點數兌換API,讓台新信用卡卡友,能在此購物網站使用信用卡紅利點數折抵消費。
不止如此,孫一仕提到,目前台新已開放出API,可提供支付相關服務給合作夥伴。未來,也會持續與不同TSP探索合作的模式,提供新服務給彼此的共同客戶。不過,他坦言,銀行要找到能夠串通的合作夥伴,以及能串通的場景,是要花心思的,甚至,技術更是一大挑戰。
台新今年6月上架APIM,採用微服務與容器架構
在技術層面,台新銀行也在2018年初,啟動了API管理平臺(API Management,APIM)專案,今年上半年進行建置,並且在6月就正式上線了。孫一仕解釋,他們預見未來API數量會越來越多,就決定自行建置APIM。
目前,在台新API管理平臺上,除了有台新原有API之外,第二組上架的API,就是台新在財金公司「開放API開發者平臺」上釋出的16支API。孫一仕表示,未來,不管是財金版的Open API,或是台新開放給合作夥伴的API,只要是台新對外的API,都會集中到APIM來管理,台新也會依特定的應用需求,持續擴充新API。
為了因應Open API可能帶來的爆量需求,台新在一開始建置API管理平臺時,就決定採用微服務(Microservices)與容器(Container)這類可高度擴展性的IT架構。
雖然台新已研究微服務2~3年之久,只有遇到特定目的時才導入,例如像APIM這類有擴展需求的新系統,台新才採用微服務與容器的新架構,或日後舊系統要大量擴充需求時,也考慮逐步導入。
「不為了微服務而微服務」,孫一仕認為,IT必須謹慎挑選適當的時機與應用,希望IT投資能反映到業務收益上,這是IT應該要負的責任。
開放銀行下階段,解決個資法與身份驗證問題是兩大關鍵
台新銀行作為財金公司開放API研究諮詢小組成員之一,在開放銀行後續第二階段、第三階段的推動中,孫一仕觀察,銀行要如何與TSP共創服務?第二階段的發展是關鍵。他點出目前法規面有兩大問題需解決,一個是個人資料保護法,另一道關卡則是身分驗證。
不同於過往銀行與第三方業者的合作大多是操作面整合,例如在顧客登入電商平臺後,直接在購買過程中掃描QR Code就可以付款。孫一仕表示,一旦要加值分析,需要資料,就會涉及個資法,「這是目前大家公認有點棘手的地方」,他說。
他也認為,如何在確保客戶權益的狀況下,與客戶建立良好溝通,確保資料只用在特定用途,並讓此特定用途對客戶帶來好處?如何找出一個好的價值,讓客戶願意提供資料?都會是法規面後續要解決的問題。
法規面的另一問題是身分驗證,孫一仕指出,當銀行與TSP業者合作,來到第二階段「消費者資訊查詢」,顧客透過TSP進入台新銀行取得自己帳戶的資料時,銀行如何確定,這個TSP存取行為來自顧客本人的授權?他透露,目前開放API研究諮詢小組中的技術小組,正在努力討論第二、第三階段身分驗證的機制,要透過電子化方式,解決第三方與銀行之間的身分認證。
不過,他個人則認為,得有一點程度的公權力,也就是需有一定法律效力或認可,才有辦法做到這件事。若能解決身分驗證的問題,在法律層面獲得客戶同意後,就會是合法的資料傳遞,就沒有違反個資法。
第二階段得先突破個資與身分認證問題,才能往挑戰更高的第三階段「交易面資訊」前進,他說。
此外,目前銀行與TSP合作,因最終責任還是在銀行,所以銀行必須去審核TSP的資訊安全。但,孫一仕坦言,如何審核TSP業者也有兩項課題,一是銀行有沒有這個能力?TSP審核需要成本,可能會成為小銀行的門檻。再者,對TSP來說,不可能只跟一家銀行合作串接API,他們也不可能一天到晚忙著因應來自不同銀行的資安審核。
「天平兩端必須平衡,不能讓TSP端的壓力太重,銀行端也是。得有公信力的單位來做這件事。」孫一仕認為,對銀行來說,還是得負起追蹤責任,但若能在時間、成本、技術上,透過一個銀行、TSP雙方都認可的機構來執行,大家前進的速度會更快。
