麻布記帳自動抓帳真的安全嗎？開放銀行 API 資安風險評測

📅 原文發布：2023 年 9 月｜最後更新：2026 年 4 月 ⚠️ 重要更新：麻布記帳自 2026 年 4 月 1 日起轉為全收費制（月費 NT$69 起）。本文資安分析內容仍適用，定價已更新。

問題的核心

麻布記帳能自動同步你的銀行餘額和交易紀錄，這個功能很方便，但「讓一個 App 讀取我的銀行帳戶」這件事本身就讓很多人不舒服。

這篇要做的是說清楚 Open Banking 的實際運作機制，哪些風險是真實的，哪些是因為不了解機制而過度擔心的。

「開放銀行（Open Banking）」是金管會推動的制度，讓第三方服務（如麻布記帳）可以在用戶授權下，透過標準化的 API 介面存取銀行的帳戶資訊。

關鍵在「授權」和「API 介面」這兩個詞。

你在麻布記帳裡綁定銀行帳戶的過程是：進入官方銀行的授權頁面（不是麻布的頁面）→ 輸入銀行密碼 → 確認授權麻布讀取哪些資料 → 完成。

麻布記帳沒有拿到你的銀行帳號密碼。它拿到的是一個有時間限制的 API 存取憑證，這個憑證只能讀取你授權的資料（帳戶餘額、交易紀錄），不能進行任何轉帳操作。

不能轉帳：透過 Open Banking API 能做的事只有讀取資訊，不包含任何資金移動。即使麻布記帳的系統被入侵，攻擊者也無法透過這個管道轉走你的錢。

無法持有你的密碼：整個授權流程中，麻布記帳沒有機會拿到你的網路銀行帳號密碼。你輸入密碼是在銀行自己的介面上，不是麻布的介面。

授權可以隨時撤銷：如果你改變心意，可以在銀行官網或麻布 App 裡撤銷授權，連結立即失效。

麻布是金管會認證的 TSP 業者：TSP（Third-Party Service Provider）是金管會對第三方服務業者的認證制度，麻布記帳是台灣取得認證的業者之一，需要符合相關資安規範。

說完有保護的地方，也要說真實的風險。

麻布記帳本身的資安：你的帳戶資料（餘額、交易紀錄）存在麻布的伺服器上。如果麻布的系統被入侵，這些資料可能外洩。這不是 Open Banking 機制的問題，而是你把財務資料交給第三方業者本身的風險。

資料收集範圍：你需要確認麻布記帳的隱私政策，了解它收集哪些資料、如何使用。2026 年起轉為付費制的同時，它的商業模式已從廣告 / 資料模式轉向直接訂閱收費，這在一定程度上降低了依賴資料變現的誘因。

服務中斷風險：如果麻布記帳停止服務，你的帳戶連結會失效，過去的交易記錄如果沒有匯出備份就可能遺失。

市場上有一些記帳工具使用的是另一種方式：你把銀行的網路銀行帳號密碼直接交給它，它模擬登入去抓交易紀錄。這叫「螢幕擷取（screen scraping）」，不是 Open Banking。

這種方式的風險比 Open Banking 高很多——業者拿到了你的實際銀行密碼，而且這通常違反銀行的服務條款，出問題時銀行可以拒絕補償。

麻布記帳使用的是 Open Banking API，不是螢幕擷取。這是一個值得區分的重要差異。

Open Banking 的機制設計本身是有保護的，主要風險是在麻布記帳作為第三方業者的資安層面，而不是「帳號被盜錢」的直接風險。

如果你的顧慮是「自動同步會讓別人轉走我的錢」，這個風險在 Open Banking 機制下不成立。

如果你的顧慮是「我不想讓第三方業者知道我的財務狀況」，這個顧慮是合理的，也不需要特別說服自己用這個功能——手動記帳的 App 同樣可以達到記帳的目的，只是需要自己輸入每一筆。

Open Banking 的自動同步在機制設計上是安全的，沒有轉帳風險，沒有持有你密碼的問題。風險在於把財務資料交給第三方業者保管這件事本身，這是一個你能接受或不能接受的選擇，不是非黑即白的問題。

對隱私要求不高、在意自動化便利的人，麻布記帳的同步功能是值得用的。對個人財務資料的流向很在意的人，手動記帳是更符合你需求的選擇。

📌 本文無聯盟行銷連結，評測立場獨立。