中国信托是早期力拥银行API应用的先行者之一。早在2002年,中信就开始推行网络收单服务,将银行服务用API串联的方式,与各企业展开合作。而随着社群媒体的兴起,中国信托开始将这概念延伸到客户端,通过API与LINE BC(Business Connect)串联,提供中信客户账户通知的服务,比如朋友之间的转帐,转帐成功后,收款方就能在LINE看到即时入帐通知。
近年,中信更大力推动Account Link(账号连接扣款机制)集成,让顾客将中信账户绑定到第三方支付或电子支付企业App后,直接在这些App进行支付或P2P转帐。
“串联API这件事,不管从业务需求或客户需求角度,中国信托早就发动了,大量运用到企业端与消费者端,来将中信的业务延伸出去。”中国信托金控数字金融处处长苏美勋缓缓道出拥抱API背后的战略思考。
她认为,关键考量是,服务必须真正带来客户体验的具体改变,或是业务效益的创造。作为台湾金融业Open API先行者的中国信托,早已累积多年经验,清楚知道,推出什么样的API服务,客户才会有感。“中信会从客户角度筛选,并优先聚焦在这些服务的内容。”
在台湾这波开放银行政策,苏美勋表示,中信在配合银行公会的开放API策略上,会有自己的业务重点,不是全面性配合或全面性开放。中国信托会有一套自己的API策略。
所以,她坦言,在第一阶段“公开数据查询”,中信没有开放很多API。中信评估后判断,这类API如查询API,可能对客户体验的差异不大,因此才将这类API的优先级往后摆。“还是得从客户角度来进行筛选。”苏美勋强调。
中信Open API战略关键,靠三原则慎选合作伙伴
而中信在API策略上,从其挑选合作伙伴的三大原则,不难看出决策的审慎态度。第一个原则是从市场趋势为出发点,以中国信托投入研究的区块链技术来说,中信长时间观察市场趋势之后发现,近两三年,区块链技术在金融的应用,已有几个重要赛道成形,包括贸易融资、供应链融资、数字资产交易等主题,这将是金融产业未来重要的赛道,中信后续也会有相对应的API发布。
中信第二个原则是“大大联手”策略,苏美勋强调这是关键策略。合作伙伴的规模、能力、受信赖的程度,都是考量点,更重要的是,合作伙伴的服务能否满足中信大部分客户的需求,以及对客户带来的影响得够大。比如,中信与LINE的合作,是因为LINE是台湾用户最多的通信软件,中信将自家服务串联到LINE,能服务到最大规模的用户群体。
第三个原则是,合作后回头审查API的客户满意度和交易量。对于客户端的服务,苏美勋举例,像与第三方支付或电子支付企业合作Account Link服务,至今推出超过1年,数据显示这些有与企业绑定账户的中信客户,其存款基数、转帐笔数、消费金额相较过去都提高了,甚至还比没有使用此服务的客户更高。
开放API,先了解客户端与企业端真正需求
“这些数据颠覆了我们原有的想象。”苏美勋眼神发光笑着说。她回忆,当初推出Account Link服务之前,中信内部曾有两大犹豫。一是不确定客户是否愿意把他的账户信息,绑定在第三方支付或电子支付企业?第二个疑虑是,客户绑定中信账户到企业端后,原本在中信的存款,会不会因此而外流?
好在,访谈多位年轻客户后,再次确认年轻群体对这类服务的需求量很大,加上政府积极推动移动支付产业,于是,中信看好其未来的市场发展,决定积极迎战。后续的成果证明了中信的眼光,苏美勋表示,对中信与合作方来说,此项业务都是双赢。
而在企业端的服务上,中信也有自己关注的业务重点。在金融总会设立的金融科技创新园区,中信是园区里的API供应商之一,在数字沙盒环境中,发布了一批金融API,让FinTech创业公司可以进行创新应用的实证,甚至是商转。
中信更逐一访谈入驻金融科技创新园区的每一家创业公司,询问他们需要什么样的金融API。最后发现,创业公司企业的需求大多与金流有关,于是,中信决定在数字沙盒开放出三大类API,一是红利点数API,二是账户扣款API,三是区块链金流API。苏美勋提到,中信内部会研发区块链金流相关产品,源自以区块链FinTech企业的需求访谈,他们的服务拼图普遍缺少金流那一片,需要有银行愿意在区块链上扮演金流监督的角色。
已导入API管理平台,正准备走向微服务与容器化
考虑到长期需求,中国信托IT更早在2017年,就率先导入了Axway的API管理平台(API Management,APIM),一来将API开发标准化,也通过集中化平台来管理API。苏美勋指出,在API管理平台上,目前有超过60支在线上提供服务的API。光是社群上通知类API的用量,全年已破亿次。
在API管理上,中信制定了一套API开发的规范,不同团队都得遵循同一套标准模式来开发API,就像工厂生产线一样,让产出的API品质都能够一致。中信IT与数金处的协作也采用敏捷开发,可快速迭代开发新功能回应市场需求,同时也确保品质,兼顾银行系统的稳定。中信指出,现在开发一支API只需10天就能完成。
从去年,中信IT也归纳出不同业务之间的API共同需求,目前正在执行一个工程,试着将共享性质高的API独立出来,变成一套可跨业务共享的基础API,只有遇到业务特性不同之处,再来开发各自需要的API。
而为了因应API爆量需求,中信IT还有一个中信云计划,目标是让自家基础环境建设可像公有云企业一样,可以按需求弹性扩展。中信更透露,目前他们正准备走向微服务与容器化,希望可更进一步,做到快速弹性伸缩的程度。“即便,API用量无法预测,银行能做得就是先准备好,才有能力去应对。”
第二阶段应采取分级式管理制度
2年前,中信构建API管理平台目的,就是统一管理原本分散各处的API,苏美勋透露,中信原本要进一步开始API分类管控,细分不同的风险管控。不过,台湾金融市场突然吹起的这一股开放API风潮,让中信不得不放慢原本的脚步,来配合银行公会的相关规范。
苏美勋认为,目前最关键的议题是,第二阶段“消费者数据查询”,因涉及消费者个人信息,银行与TSP企业之间的权利义务该如何厘清?以及TSP企业必须做到类银行的安全管控,会到何种程度?银行之间又要如何配合?她提到,如何拿捏中间的分寸,是此阶段规范细节制定的攻防之处。
举例来说,中信指出,银行与TSP企业合作的责任归属厘清,在第二阶段的重要性。假设第三方企业外泄数据,过去作法中,中信通过合约由第三方赔付,但在银行公会制定的自律规范中,现在则要求银行代偿(先赔付),再来厘清责任,这对银行来说,两者的风险考量截然不同。此外,中信过去从来都没有将客户信息交出去的经验,为了因应第二阶段消费者数据查询开放带来的新风险,目前中信也正在设计新的机制,因应风险等级的增加。
“得对TSP企业所提供的服务内容,就服务内容产生的风险等级,分层次制定要求,不管是分级管理、分级风险管控,不同的安全相关标准,都得要有配套。”苏美勋建议,应采取分级式管理制度。她认为,如果一体适用,用同样严格的高规标准来要求TSP企业,反而会造成大家的困扰。原因是API串联在银行现有业务合作已实行有些年头,“这些合作企业并非电支电票企业,难道也要纳入同样高配置的要求?”不过,她也认同,部分需要提供客户账户信息,比如代登代爬的TSP企业,甚至可能要适用比电支电票企业更高配置的要求。
在银行开放API这条路上,先行的中国信托,走得很远了,甚至设计出无涉个人信息的金融交易API,尽管慢下脚步来与产业同调,中信还是坚持自己一贯的策略,以顾客需求优先的API发展战略。