你不知道的个资风暴来袭专题5（中央社记者吴佳蓉、刘姵呈台北14日电）今年7月底金管会公布3家纯网银获准申设名单，正式启动纯网银元年，面对新兴科技的资安风险及网络犯罪的威胁，纯网银及开放银行等创新营运模式，都必须做好应战准备，才能为民众的个资把关。

比起其他产业，主管机关高度监管的金融业，具有更完备、严谨的个资保护控管机制，主管机关也都严格要求金融机构必须遵照个资法规定，妥善处理客户资讯的搜集、处理及运用。但前几年，还是曾有公、民营银行发生个资外泄事件，遭金融监督管理委员会开罚。

趋势科技首席资安顾问纪孟宏在2018台湾资安大会上也说，至2017年9月为止，在Google Play商店出现将近30个Bankbot恶意程式，伪装成正常的应用程序到处散布。

他说，骇客利用假网页覆盖在正常的行动银行APP，当用户输入行动银行的账号密码后，恶意程式会要求再输入一次账号密码，确保两次的输入无误，再使用窃取的账号密码，从网络银行登入进行盗刷。更可怕的是，Bankbot恶意程式还会拦截银行寄给用户的简讯双重认证，让受害者无法及时发现。

“客户的个人资料就好比银行的资产。”台新银行资讯长孙一仕表示，个资分为两部分，除了姓名、电话、email等基本资料外，就是消费者与银行间的交易往来等敏感资讯。他认为，金融机构本来就不会随意的去使用或是提供给他人，不过未来为了消除客户在使用数位金融上对个资泄漏的疑虑，银行必须更加谨慎地去规范及把关。

数位时代来了银行保护个资有更大挑战

值得注意的是，数位转型迅速，传统的资安防护已不能解决新兴金融科技衍伸的资安问题，尤其像AI、区块链、云端与大数据，虽然能用来加值金融服务，但也存在了更高的资安风险。

为了保护民众的身家财产，金管会要求，拿到执照的3家纯网银业者自行规划的资安规范，要符合现有银行所要遵循的资安防护与资安管理规定外，业者在开业后1年之内，必须通过并取得资安标准如ISO27001、个资保护标准如英国BS10012、台湾TPIPAS等认证。

传统金融机构的个资保护机制如今也面临不少挑战。金管会日前已拍板，将分三阶段在台湾推动“开放银行（Open Banking）”。

举例来说，第一阶段开放商品公开资讯，如房贷利率、信用卡商品等，让第三方公司能透过共通的应用程序界面（API），介接到各银行资讯，让使用第三方公司APP的客户，借由APP就可轻松比较各银行房贷利率。

开放银行异业结盟个资授权规范仍未明

孙一仕表示，目前技术层面是由财金公司来作拟定与认证，但第三方业者将来要使用客户在银行这边的资料，并不是全部的资料都可以开放，而是要视第三方业者提供的服务所需要的资料作开放。举例来说，银行与这家公司合作5个服务项目，银行透过财金公司取得认证后，第三方公司就可以跟财金公司取得这5个服务项目对应的个资。