Q2-26. TSP業者與銀行合作開放銀行第二階段業務，以開放應用程式介面（下稱「OPEN API」）取得金融機構客戶資訊，其安全設計需符合財金公司所訂定之「金融機構與第三方服務提供者辦理開放應用程式介面（OPEN API）業務安全控管作業規範」（下稱「資安標準」）相關規定，其規範之精神在於解決代理登入認證機敏資訊洩漏及無法有效限制業者進行有限制範圍存取的風險。如TSP業者規劃由消費者授權TSP業者使用消費者個人提供的登入資訊（包含但不限於帳號、密碼、代號、金鑰以及相關所需資訊），透過網路機制以讀取消費者於金融機構之金融往來資訊並儲存於該公司系統內，是否適用資安標準？應注意之法規為何？

財金公司所定資安標準已就銀行與TSP業者合作之開放銀行業務範圍，明定禁止該TSP業者使用消費者於原金融機構之認證資訊（如帳號密碼）存取資源，如於開放銀行合作業務範圍外，規劃由消費者授權TSP業者使用消費者個人提供的登入資訊，並透過網路讀取、儲存消費者資訊，則與現行開放銀行第二階段以OPEN API取得金融機構客戶資訊之方式不同，並不適用上述資安標準。