開放資料共享 發展臺灣API金融生態系

 

王儷玲建議可以仿效國際經驗,整合Open API與Partner API,明確化TSP分類與分級管理,統一遴選審查流程,建立註冊與驗證機制等,逐步架構出一個安全又可信任的API開放環境。

採訪/施鑫澤 文/楊迺仁


年來以 API為基礎發展的API經濟逐漸成為趨勢,政治大學金融科技研究中心主任王儷玲指出,所謂API經濟是指「一個組織透過API進行交換資料,使其主要核心業務可以透過API的重複使用、分享或是介接更多元服務,以創造新的營利模型,進而提升公司獲利能力」。

 

所以API經濟可以說是資料經濟的進階發展,因為是將資料數位化,可以促進資料可讀性,而透過API介接更多資料後再加以整合,可以產生更大的資料價值,提升資料分析的效能。因此,要擴大展現資料價值,必須透過API介接,但是在介接與傳遞過程,必須要穩定安全,且能夠被監理。

API經濟的發展歷程

王儷玲回顧資料交換跟API經濟的發展趨勢指出,1981~1990期間API就已經出現了,最早是點對點的資料交換。從1991~2000年開始,以中介軟體透過API介接之後,才開始做出不一樣形式的資料交換,例如訊息傳導服務導向(SOA)。而在2001年之後,整合型的API開始建立自己的生態系,更出現相關科技如雲架構、API管理、RestfulAPI,因此API也就有更多元的發展性。

從整體趨勢上來看,資料驅動使API使用量大增。王儷玲表示,以國際上最大的API平台Postman為例,目前全球有超過80萬個組織,1400萬個開發人員都在使用Postman,過去四年內Postman Collections的數量,從不到100萬增加到近3500萬,成長35倍。其中的重要關鍵就是開放銀行,這也解釋了為什麼API經濟在金融科技的領域變得越來越重要。

由於開放銀行需要將更多的資料與服務銜接,也讓API的參與度變得非常高。2018年底,全球50%市場領先的銀行都已開放至少5項API,其中包括個人財務、信貸、回購獎勵、非財務、交易、位置、產品等七大可能資訊分類。

 

王儷玲認為,英國的開放銀行是展現API效益的成功典範,尤其在近期新冠疫情(Covid-19)的因應上也能發揮效能,例如2019年英國在呼叫API的次數整年加起來超過12億次,而在2020年5月單月就高達4.1億次,更是呈現明顯的倍數成長。由於英國開放銀行早在2015年就開始,已經建良好基礎架構,所以在疫情期間,可以透過API串聯企業、新創公司與多間金融機構,提供跨機構間的借貸與債務整合服務,協助許多中小企業紆困、融資,也讓API經濟不僅回饋到整體經濟與金融科技的發展,同時也拓展新商業模式。

事實上,英國的金融科技產業透過API經濟,過去三年也有非常明顯的躍進,成長超過500%,遠高於美國的170%或歐洲的133%。王儷玲認為,英國金融科技的成長率以前其實不如美國跟歐洲其他國家,但由於英國的開放銀行做的比較早,很多API的基礎架構工程得以領先,也驗證了API經濟效益有持續發展的趨勢。

API經濟的商業模式其實有很多種,首先是直接搜尋模式,最能夠感受到的就是Google Maps,下載一個app就可以親身體會到它的方便性;另外是媒合模式,例如Trivago,可以在供需之間先把需求找出來,再用API交換促進媒合,讓需要的人跟提供者有更便利的方式交流,甚至產生群聚及跨國市場的效應;再來就是API生態系模式,在國外已經有很多金融機構建構API金融生態系的例子,如國際知名的Fidor Bank與印度的RBL Bank,都是以API串聯整個生態系的金融服務,進行全球性的擴張。

所謂金融API生態系就是用API串接金流、資訊流與服務,可以大大提升資料效益,進行跨生態系的合作。王儷玲指出,API的串接只要有標準化規範,互相之間的串接就會變得很容易,因此API生態系的擴張也可以是跨國際的,目前國際上很多的純網銀、純網保、純網證就是利用API跟很多金融服務直接串聯。

國際擁抱API生態系的成功經驗

從國際發展經驗來看,王儷玲認為,擁抱API生態系對銀行或金融機構的效益就是透過新的基礎建設產生新形態的服務,也將新服務拓展到新的通路,或是直接建構一個新平台,讓更多服務可以串接過來。透過API生態系可以建立多元資料共享,因此更容易展現AI的資料分析,再透過API一起串聯服務,可以帶進新的營業模式與新營收,同時可以深化及擴大與異業結盟的夥伴關係,擴大服務範圍,以生態系提升經營綜效。

首先,以提供新服務來看,開放銀行就有許多成功案例,以前傳統銀行可能要花很多時間去投資IT,現在在開放銀行下,藉由與TSP技術合作,就可以提供更多客戶需要的新服務。我們從Open API開放的類型也就可以看到,從支付服務、記帳服務、帳戶整合、借貸融資、個人投資理財和保險等,可以有更多元服務的延展。例如Fidor Bank就是透過完整的Open API規劃借放貸、信用帳戶、存款帳戶等三種功能,還透過串聯Robinhood提供投資選擇,串聯TransferWise、Ripper提供匯款,也跟Bitfinex介接進行虛擬貨幣交易。

 

另外,在通路結合的案例也是蠻多的,只要用API跟任何一個合作機構介接,該機構的會員、客戶或是資料都可以進一步串聯產生通路效應。例如阿里巴巴的金流服務,或是DBS的基金平台、會計平台,都可以讓新獲客變得比較容易。

最後是創新平台服務,例如新加坡DBS就推出基金交換的API平台,並將其上架全球最大的API市集提供給使用者自行串接,因為減少合作的相關行政流程,大幅度的降低第三方業者開發及串接難度,因此可以吸引到更多的人到平台合作,也讓DBS自己變得更有競爭力,因為產品別變得更多元,留住客戶的機會也愈大。此外,BBVA銀行也是透過Open API平台提供支付、費用驗證、AML/KYC等整合服務,也就是整合新技術建立一個金融服務平台(Banking as a Service;BaaS)。

王儷玲指出,從國際開放銀行的趨勢來看,支付其實只是第一階段,台灣開放銀行除了銀行服務外,未來勢必會發展投資跟保險服務。以保險為例,Fidor Bank除了用API跟全球第一間提供「P2P保險」保險服務的Friendsurance合作外,也跟Simplesurance保險經紀通路合作,利用API串接簡化客戶資料蒐集,並與各大保險公司串接,簡化保險商品及組合上架,客戶只要告知需求,服務平台就會幫客戶找到適合需求的保險公司的某個商品,可見只要API有標準格式,就可以將相關金融服務功能進行更多元的介接。

台灣開放銀行與API經濟的痛點

王儷玲認為,台灣構建API金融生態圈的第一個挑戰就是資料問題。在現行法規與個資法限制下,目前「金控下跨子公司、跨金融機構以及跨產業」獲取數據很困難,很多資料在使用時,業者無法確認有沒有違反個資法,此外現行台灣的個資法沒有資料賦權的概念,不利於資料蒐集,政府的資料和產業資料,目前也僅限於特許機構使用。因此,未來必須建立一個比較明確可行的方式,王儷玲建議將資料賦權整合到資料交換的流程中,例如在Open API下建立資料賦權相關規範,就能夠明確快速地透過API存取資料,並與TSP交換資料,且資料交換必須是可以雙向使用,這樣才能快速地累積足夠可分析的資料,進行跨業合作。

目前在開放銀行另一個痛點就是,TSP與銀行的合作定位建立在委外關係,在銀行公會的自律規範下,銀行要負擔爭議處理責任,但銀行審查TSP的成本不但高,而且難以評估後續TSP資安風險,金融機構也無法信任TSP的資安防護能力,且銀行對TSP的查核也相當困難,目前並無標準作業模式可依循。

 

TSP的困難則在於無法以註冊方式直接取得資格,一定要被銀行挑選後才能加入生態系。王儷玲指出,TSP其實是可以被評分的,評分之後公布資料就可以按照評分等級讓銀行去篩選。至於TSP的資安標準與強度,目前因為要讓銀行挑選,必須要符合一致的標準,且各銀行審查標準不一,導致資安與被稽核成本提高,對部分TSP業者帶來沉重壓力。

王儷玲認為,其實每家TSP有不同的強項,如有些TSP只提供技術,處理資料時也可以不需要落地,因此建議TSP最好是可以採分級管理制度,就是讓TSP可依不同業務功能與風險等級再分類,不一定要都遵守一致的標準。

王儷玲指出,API資料交換規格也是目前開放銀行的痛點,雖然已經開始制定API介接規範,可是資料本身的格式及TSP的治理與稽核,目都沒有統一標準與程序可供驗證。由於現在銀行必須全部負責,且開放的API項目太少,也導致銀行參與度不高。

整合API與TSP分類並做好分級管理

要解決前述痛點,王儷玲認為,首先必須先建立API及TSP分級管理的機制。過去銀行雖然可以透過自建的Partner API推動API經濟,但因為很多銀行都是在不同的時間、不同目的做的,API格式也不一致,所以目前正在討論是否要將Partner API納入Open API管理。根據現行 Open API安控規範定義,Partner API 是會受Open API監理規範的限制,因此Partner API跟Open API應該是要整合。

王儷玲建議,未來可以整合Partner API跟Open API,但一定要落實分級管理,在明確化TSP與API分類分級下共同管理,例如金控自己的子公司就不必要用跟外部TSP一樣嚴格的方式來控管。API之分級可切分為不同業務及風險屬性,針對業務項目本身的風險進行差異化資安要求,再根據TSP分類與API服務等級進行風險等級配對分類(舉例如下表),訂定不同風險分類下的API管理規範。

 

此外,TSP業者也可透過不同資安等級購買資安保險,以提高自己的風險承擔能力,且買保險者可以取得更優良的TSP分級,上線後以風險分類持續進行稽查與風險查核,以維護API穩健發展,如此應可有效降低API治理成本。

至於TSP的遴選與管理,目前都是由銀行先篩選,但其實銀行也沒有太多資料可以參考,未來應該要建立一個公開透明的TSP資料揭露平台,如此銀行可以更清楚看到哪些TSP是比較安全的。王儷玲建議,可參考英國模式,TSP可以先註冊,但註冊之後必須要通過審查跟驗證程序,再串接測試之後,才會進入營運階段與銀行串接,也就是藉由新增註冊及驗證(Conformance)環節,優化TSP進入生態系的流程,如此應可讓台灣的開放銀行業務推動的更加順利。

王儷玲也建議,未來應該要成立TSP治理協會或聯盟,目前政大正在著手規劃中,未來TSP協會可以配合銀行公會和財金公司共同推出單一窗口,進行註冊以及評等服務,讓TSP可以用註冊方式直接取得資格,並協助TSP建立分級管理和定期稽核機制,同時定期公布TSP相關資料給銀行及相關單位參考。

資料共享為台灣建構更健全的API金融生態系

王儷玲認為,金融科技的發展必須仰賴資料的開放與共享,因為要有數據才能讓AI展現資料價值,透過資料分析開創新的商業模式。而API正是獲取資料、交換資料的第一步。王儷玲指出,台灣要建立API金融生態系必須要有以下六個要素: eKYC身分認證、標準化API、TSP分級管理、資料賦權機制、大數據與AI演算法以及雲端平台。

首先,必須要有快速便利的eKYC認證程序,做到快速確認用戶是不是本人,驗證程序最好是只需做一次就好。再來就是API與TSP要做好分級管理,目前台灣開放銀行API交換是基於點對點的單向資料交換,只能由銀行提供消費者資料給TSP,未來必須要走向雙向交換,讓TSP也可以將資料提供給銀行,做到真正的資料共享,如此才能展現大數據的資料價值。而且金融機構跟TSP之間的資料存取,或是TSP拿到資料之後,有沒有好好保管,相關的稽核跟資安問題也要有嚴謹控管機制。

 

未來也必須整合Open API及Partner API,落實分級管理,並將資料賦權設計到eKYC作業流程,這樣可以整合資料賦權、資安與個資保護,也就是在eKYC的流程中,同時提供消費者同意資料使用的資料賦權機制,這樣後面的資料與服務串接才會更方便。如果有些資料因個資問題沒有辦法被授權,建議可以透過建立去個資化的大數據資料中心,整合分析後再給金融機構使用,此外資料中心也可以提供AI及大數據演算法,將資料價值做更多元的展現,產生更好的綜效。

最後,建立合規雲端平台也非常重要,銀行、TSP及跨金控子公司之間的合作,可以利用雲端資源共享,使用雲端運算服務,共同進行創新情境開發、測試。如此可讓TSP透過合規的雲端服務平台與金融業者進行資料交換,也可以參與API沙盒試做,這樣可以降低新創業者建立資安環境的成本,同時也可以透過雲端建立統一的雲端稽核查驗制度,以減少銀行與新創業者之間的管理成本。

台灣目前開放銀行Open API正走向第二、三階段,此階段是健全開放銀行體制及API經濟的重要關鍵期,必須針對目前運行問題做好必要的法規調適,許多技術標準、資安認證、法遵合規稽核、爭議處理與責任歸屬、資安保險等規範都必須在此階段建置完成,台灣的開放銀行才能持續往前邁進。若要讓台灣API生態系有更大的發展性,王儷玲建議,最好能有一個API管理與數據治理的專責單位負責整合與溝通,也非常期待台灣的API金融生態系能在金管會現行開放銀行與金融數據共享的政策下,早日昇華為互利共榮的API新金融生態系。

文章轉載自CIO Taiwan