【台湾Open Banking银行实例：中国信托】先行者的战略思维不一样，中信开放API三原则首度公开

中国信托是早期力拥银行API应用的先行者之一。早在2002年，中信就开始推行网络收单服务，将银行服务用API串接的方式，与各业者展开合作。而随着社群媒体的兴起，中国信托开始将这概念延伸到客户端，透过API与LINE BC（Business Connect）串接，提供中信客户账户通知的服务，比如朋友之间的转账，转账成功后，收款方就能在LINE看到即时入账通知。

近年，中信更大力推动Account Link（账号连结扣款机制）整合，让顾客将中信账户绑定到第三方支付或电子支付业者App后，直接在这些App进行支付或P2P转账。

“串接API这件事，不管从业务需求或客户需求角度，中国信托早就发动了，大量运用到企业端与消费者端，来将中信的业务延伸出去。”中国信托金控数位金融处处长苏美勋缓缓道出拥抱API背后的战略思考。

她认为，关键考量是，服务必须真正带来客户体验的具体改变，或是业务效益的创造。作为台湾金融业Open API先行者的中国信托，早已累积多年经验，清楚知道，推出什么样的API服务，客户才会有感。“中信会从客户角度筛选，并优先聚焦在这些服务的内容。”

在台湾这波开放银行政策，苏美勋表示，中信在配合银行公会的开放API策略上，会有自己的业务重点，不是全面性配合或全面性开放。中国信托会有一套自己的API策略。

所以，她坦言，在第一阶段“公开资料查询”，中信没有开放很多API。中信评估后判断，这类API如查询API，可能对客户体验的差异不大，因此才将这类API的优先级往后摆。“还是得从客户角度来进行筛选。”苏美勋强调。

中信Open API战略关键，靠三原则慎选合作伙伴

而中信在API策略上，从其挑选合作伙伴的三大原则，不难看出决策的审慎态度。第一个原则是从市场趋势为出发点，以中国信托投入研究的区块链技术来说，中信长时间观察市场趋势之后发现，近两三年，区块链技术在金融的应用，已有几个重要赛道成形，包括贸易融资、供应链融资、数位资产交易等主题，这将是金融产业未来重要的赛道，中信后续也会有相对应的API释出。

中信第二个原则是“大大联手”策略，苏美勋强调这是关键策略。合作伙伴的规模、能力、受信赖的程度，都是考量点，更重要的是，合作伙伴的服务能否满足中信大部分客户的需求，以及对客户带来的影响得够大。

第三个原则是，合作后回头检视API的客户满意度和交易量。对于客户端的服务，苏美勋举例，像与第三方支付或电子支付业者合作Account Link服务，至今推出超过1年，数据显示这些有与业者绑定账户的中信客户，其存款基数、转账笔数、消费金额相较过去都提高了，甚至还比没有使用此服务的客户更高。

开放API，先了解客户端与企业端真正需求

“这些数据颠覆了我们原有的想像。”苏美勋眼神发光笑着说。她回忆，当初推出Account Link服务之前，中信内部曾有两大犹豫。一是不确定客户是否愿意把他的账户资讯，绑定在第三方支付或电子支付业者？第二个疑虑是，客户绑定中信账户到业者端后，原本在中信的存款，会不会因此而外流？

好在，访谈多位年轻客户后，再次确认年轻族群对这类服务的需求量很大，加上-积极推动行动支付产业，于是，中信看好其未来的市场发展，决定积极迎战。后续的成果证明了中信的眼光，苏美勋表示，对中信与合作方来说，此项业务都是双赢。

而在企业端的服务上，中信也有自己关注的业务重点。在金融总会设立的金融科技创新园区，中信是园区里的API供应商之一，在数位沙盒环境中，释出了一批金融API，让FinTech新创可以进行创新应用的实证，甚至是商转。

中信更逐一访谈入驻金融科技创新园区的每一家新创，询问他们需要什么样的金融API。最后发现，新创业者的需求大多与金流有关，于是，中信决定在数位沙盒开放出三大类API，一是红利点数API，二是账户扣款API，三是区块链金流API。苏美勋提到，中信内部会研发区块链金流相关产品，源自以区块链FinTech业者的需求访谈，他们的服务拼图普遍缺少金流那一片，需要有银行愿意在区块链上扮演金流监督的角色。

已导入API管理平台，正准备走向微服务与容器化

考虑到长期需求，中国信托IT更早在2017年，就率先导入了Axway的API管理平台 （API Management，APIM），一来将API开发标准化，也透过集中化平台来管理API。苏美勋指出，在API管理平台上，目前有超过60支在线上提供服务的API。光是社群上通知类API的用量，全年已破亿次。

在API管理上，中信订定了一套API开发的规范，不同团队都得遵循同一套标准模式来开发API，就像工厂产线一样，让产出的API品质都能够一致。中信IT与数金处的协作也采用敏捷开发，可快速迭代开发新功能回应市场需求，同时也确保品质，兼顾银行系统的稳定。中信指出，现在开发一支API只需10天就能完成。

从去年，中信IT也归纳出不同业务之间的API共同需求，目前正在执行一个工程，试着将共用性质高的API独立出来，变成一套可跨业务共用的基础API，只有遇到业务特性不同之处，再来开发各自需要的API。

而为了因应API爆量需求，中信IT还有一个中信云计划，目标是让自家基础环境建设可像公有云业者一样，可以按需求弹性扩充。中信更透露，目前他们正准备走向微服务与容器化，希望可更进一步，做到快速弹性伸缩的程度。“即便，API用量无法预测，银行能做得就是先准备好，才有能力去应付。”

第二阶段应采取分级式管理制度

2年前，中信建置API管理平台目的，就是统一管理原本分散各处的API，苏美勋透露，中信原本要进一步开始API分类控管，细分不同的风险控管。不过，台湾金融市场突然吹起的这一股开放API风潮，让中信不得不放慢原本的脚步，来配合银行公会的相关规范。

苏美勋认为，目前最关键的议题是，第二阶段“消费者资料查询”，因涉及消费者个资，银行与TSP业者之间的权利义务该如何厘清？以及TSP业者必须做到类银行的资安控管，会到何种程度？银行之间又要如何配合？她提到，如何拿捏中间的分寸，是此阶段规范细节订定的攻防之处。

举例来说，中信指出，银行与TSP业者合作的责任归属厘清，在第二阶段的重要性。假设第三方业者外泄资料，过去作法中，中信透过合约由第三方赔付，但在银行公会订定的自律规范中，现在则要求银行代偿（先赔付），再来厘清责任，这对银行来说，两者的风险考量截然不同。此外，中信过去从来都没有将客户资讯交出去的经验，为了因应第二阶段消费者资料查询开放带来的新风险，目前中信也正在设计新的机制，因应风险等级的增加。

“得对TSP业者所提供的服务内容，就服务内容产生的风险等级，分层次订定要求，不管是分级管理、分级风险控管，不同的资安相关标准，都得要有配套。”苏美勋建议，应采取分级式管理制度。她认为，如果一体适用，用同样严格的高规标准来要求TSP业者，反而会造成大家的困扰。原因是API串接在银行现有业务合作已行之有年，“这些合作业者并非电支电票业者，难道也要纳入同样高规格的要求？”不过，她也认同，部分需要提供客户账户资讯，比如代登代爬的TSP业者，甚至可能要适用比电支电票业者更高规格的要求。

在银行开放API这条路上，先行的中国信托，走得很远了，甚至设计出无涉个资的金融交易API，尽管慢下脚步来与产业同调，中信还是坚持自己一贯的策略，以顾客需求优先的API发展战略。