2025 年 10 月 30 日,泰国央行颁布了一项法规,允许个人和企业把受 BOT 监管机构持有的存款、贷款与支付数据,共享给由客户自行选定的另一家机构——这套框架被称为 Your Data(据 BOT 2025 年 11 月 10 日的新闻稿)。BAAC 正是受监管的银行之一,而农户在 BAAC Mobile 里接触到的几乎所有东西——一笔存款余额、一次循环授信提款、一笔 PromptPay 转账——都落在这一界定范围之内。这一监管转变,是眼下在此启动集成最清晰的理由,也是我们整项工作的立足点。
BAAC 与几家大型零售银行不同。它是政府面向农业的放贷主体,因此这款 App 承载着商业银行 App 没有的数据面:BAAC 储蓄彩票账簿、循环农业授信额度,以及与国家信用信息公司(NCB)合作开展的信用健康查询(据 BIIA 对 BAAC–NCB 合作的报道)。为 K PLUS 或 SCB EASY 打造的连接器会遗漏这些。我们推荐的路径以已授权同意的 Your Data 渠道作为长期稳固的基础;在正式渠道尚未覆盖到某项记录时,则对 App 自身流量做授权协议分析——两者的权衡见下文。
泰国规则如何让这些数据流动起来
可靠的基础是客户本人的授权同意。泰国《个人数据保护法》(PDPA,佛历 2562 年)要求在共享金融记录前取得明确、目的受限的同意;BOT 的 Your Data 法规又在此之上,专门为存款、贷款和支付数据搭建了一套受监管的机制。客户授权共享、指明用途,并可随时撤销;我们把集成设计成尊重授权范围与有效期,而不是把一次授权当作永久有效。
就实际情况而言,Your Data 数据流刚刚推出,正在各机构间分阶段接入,因此某一项 BAAC 记录的正式覆盖情况,是我们在开发过程中逐一确认的,而不是想当然。凡是受监管渠道尚未提供的数据面,同样的数据会通过对 App 流量、针对一个已授权同意的账户做授权分析来获取。两条路径保持一致的原则:访问经过授权并留存日志,数据集按用途所需最小化,并保留授权同意记录。项目需要时,我们在保密协议(NDA)下开展工作。
这款 App 实际持有哪些数据
| 数据领域 | 在 BAAC Mobile 中的呈现位置 | 数据粒度 | 集成用途 |
|---|---|---|---|
| 存款余额 | e-KYC 登录后的账户主页 | 按账户,当前余额 | 资金头寸同步、余额核对 |
| 交易明细 | 历史/往来列表、e-Slip 查询 | 按笔,可回溯 e-Slip | 对账、记账数据流 |
| 对账单 | 历史对账单申请(邮件发送,最长 12 个月) | 按日期区间的文件 | 簿记、审计留痕 |
| 贷款与循环授信 | 贷款板块——未还余额、还款、提款 | 按授信,余额与额度 | 负债监控、还款排期 |
| 储蓄彩票 | Salak om sap 存款与中奖记录 | 按持有,附中奖记录 | 与存款区分的组合跟踪 |
| PromptPay | PromptPay 账户服务 | 绑定的别名与路由 | 支付路由、收款人解析 |
| 信用健康查询 | 经 NCB 合作提供的信用信息 | 评分/报告指标 | 偿付能力与信用评估 |
接入这些数据的路径
已授权同意的 Your Data 数据流(BOT)
可获取:法规中列明的存款、贷款与支付记录。稳定性高——这是一条受监管、以授权同意为支撑、意在长期持续的渠道。主要工作量在于接入该机制以及处理授权同意的生命周期。这部分访问权限由我们在项目中与你一起安排。需要留意的是时间点:该机制正处于推广中期,某项 BAAC 数据面未必在第一天就上线。
对 App 渠道的授权协议分析
可获取:App 本身展示的一切——包括通用数据流可能不承载的 BAAC 专属数据面,如彩票账簿和循环授信。我们针对一个已授权同意的账户研究请求与响应流量,记录其认证与会话模型,并重新实现相应调用。稳定性中等:App 会更新前端,因此我们把周期性重新验证纳入维护工作。这条路径正是用来填补受监管数据流留下的空白。
原生对账单导出
可获取:通过 App 的邮件对账单功能获得最长 12 个月的历史。它是历史对账的有用补录来源,而非实时数据源。我们会把这些文件解析并归一化为与其他路径相同的结构。
对多数 BAAC 项目而言,已授权同意的数据流承载日常的账户与支付记录,协议分析补上数据流尚未触及的农业类数据面,邮件导出则用来填充历史。哪项数据面来自哪条渠道,我们在开发中确认,而不是事先打包票。
一个示例演示
仅作示意——确切的字段名和认证握手过程,会在开发中针对一个已授权同意的账户加以确认。这段草图勾勒的是一次受授权范围约束、归一化为统一结构的余额与往来拉取。
POST /consent/grant # customer authorizes scope under PDPA + Your Data
{
"subject": "consenting-account",
"scope": ["deposit:balance", "deposit:movement", "loan:balance"],
"purpose": "accounting-sync",
"expiry": "2026-12-31"
}
-> 200 { "consent_id": "...", "access_token": "...", "expires_in": 3600 }
GET /accounts?token=... # device/phone-bound session, per app's anti-spoofing model
-> [ { "acct_id": "...", "type": "savings", "balance": 18250.00, "ccy": "THB" } ]
GET /accounts/{id}/movement?from=2026-01-01&token=...
-> [ { "ts": "2026-06-12T09:21:00+07:00",
"amount": -500.00, "kind": "promptpay_transfer",
"eslip_ref": "MINIQR:..." } ]
# normalized record we emit
{ "account": "...", "posted": "2026-06-12",
"amount_thb": -500.00, "channel": "promptpay",
"proof": "eslip_ref", "source": "your_data|app_channel" }
# on 401 / consent_expired -> refresh against stored consent, never silently retry past expiry
你会得到什么
每一项交付物都对应一个真实的 BAAC 数据面,而非套用模板:
- 一份 OpenAPI/Swagger 规范,把余额、往来、贷款授信、彩票持有与 PromptPay 覆盖为归一化的资源。
- 一份协议与认证流程报告:令牌/授权同意链条、设备与手机号的会话绑定,以及 e-Slip 凭证如何附着到交易上。
- 关键接口的可运行源代码(Python 或 Node.js),含授权同意刷新与对账单解析路径。
- 基于录制夹具的自动化测试,涵盖授权同意到期与 401 处理。
- 接口文档,以及符合 PDPA 的数据留存与授权同意日志指引。
我们会考虑到的工程要点
- 历史对账单是通过邮件发送的,并非在屏幕上呈现,因此我们把对账单补录当作一项独立的解析工作,并与实时往来数据流核对,以避免重复入账。
- BAAC 的储蓄彩票是一个独立的资产类别。我们把彩票本金和中奖入账建模为不同的记录,这样余额汇总就不会悄悄把它们并入普通存款。
- App 会把会话绑定到已注册的设备与手机号,并用人脸验证来重置 PIN。我们围绕这一绑定设计会话处理,使同步不会触发防伪冒检测,并在接入阶段与你一起安排好用于测试的授权同意账户。
- 循环农业授信与定期贷款的行为不同——余额和可用额度都会变动。我们把提款与还款映射清楚,使该授信的剩余可用空间始终正确。
- 由于 Your Data 正在推广中,我们把同步设计成能按数据面在受监管数据流与 App 渠道之间干净地回退,并在 App 前端变化时重新验证。
团队会在哪些场景用到它
- 一家农业放贷机构在取得同意后,拉取某位 BAAC 借款人的存款往来与循环授信状况,用以评估还款能力。
- 一款记账工具用 e-Slip 凭证作为证据,为某合作社的 BAAC 交易做对账。
- 一款个人理财 App 把 BAAC 的存款与彩票持有,连同其他泰国银行账户一起纳入统一的净资产视图。
引用的 App 界面
相关的泰国银行 App
同一套基于授权同意的做法适用于泰国整个手机银行领域,这也拓宽了一次统一集成所能覆盖的范围:
- K PLUS(Kasikornbank)——面向全国规模最大零售客群之一的存款、转账与二维码支付。
- SCB EASY(Siam Commercial Bank)——多账户管理与免手续费的境内转账。
- Krungthai NEXT(Krungthai Bank)——零售银行,政务类交易使用频繁。
- Bualuang mBanking(Bangkok Bank)——零售与跨境业务,并提供英文支持。
- KMA — Krungsri Mobile App(Bank of Ayudhya)——消费金融、卡与贷款数据。
- ttb touch(TMBThanachart)——账户、卡与信贷集于一个 App。
- MyMo by GSB(Government Savings Bank)——作为国有零售银行,是与 BAAC 最接近的同类。
- Make by KBank——Kasikornbank 推出的目标储蓄与云端存钱罐 App。
信息来源与整理方式
本次梳理于 2026 年 6 月对照 App 自身的商店页面与泰国监管来源进行核对。各数据面读取自 BAAC Mobile 的商店描述;数据共享机制读取自泰国央行自己的公开出版物。主要参考:
- BOT 关于 Your Data 数据共享权法规的新闻稿(2025 年 11 月)
- BOT——Project Your Data(开放数据计划)
- Google Play 上的 BAAC Mobile(com.baac.amobileplus)
- 泰国农业与农业合作社银行——官方网站
OpenBanking Studio 集成团队 · 梳理复核于 2026 年 6 月。
常见问题
泰国的 Your Data 法规是否覆盖 BAAC Mobile 里的这些账户?
是的。泰国央行(BOT)于 2025 年 10 月下旬颁布的 Your Data 法规,把受 BOT 监管机构持有的存款账户、贷款与支付数据,列为客户有权要求共享的记录。BAAC 是受该监管的国有银行,因此农户在 BAAC Mobile 里看到的存款余额、贷款余额和 PromptPay 往来均在范围之内。该机制仍在分阶段落地,因此在正式渠道尚未开通的情况下,我们也会基于一个已授权同意的账户来开发。
能否读取储蓄彩票(salak om sap)的持有和中奖记录?
这一数据面是 BAAC 独有的,也是通用的泰国银行连接器无法适配的原因之一。App 会展示彩票存款和一份中奖查询记录;我们把两者都映射为各自独立的结构化记录,与普通存款分开,这样组合视图就能正确区分彩票本金与中奖入账,而不是把它们并入同一个余额里。
BAAC Mobile 只通过邮件发送的 12 个月对账单,你们怎么处理?
在 App 内,历史对账单是以邮件文件形式发送的,而不是屏幕上的实时列表。无论项目采用哪条渠道——已授权同意的 Your Data 数据流,还是经授权的 App 内交易明细列表——我们都会把它归一化为一套带 e-Slip 凭证引用的、按日期编排的交易结构,让你得到可查询的历史记录,而不是收件箱里的一份 PDF。
要维持集成长期可用,如何应对 e-KYC 和刷脸重置带来的设备绑定?
BAAC Mobile 会把会话绑定到已注册的设备与手机号,并使用人脸验证来重置 PIN。我们围绕这一绑定来设计认证与会话刷新逻辑,使同步不会触发防伪冒检测;当 App 更新前端时,我们会重新验证整个流程。
有两种成交方式:我们为你指定的 BAAC 数据面交付可运行源代码——OpenAPI 规范、协议报告、Python 或 Node.js 的可用接口、测试与文档——起价 300 美元,仅在交付且你满意后才计费;或者你跳过开发,直接调用我们托管的接口,按调用计费,无需预付费用。无论哪种方式,周期都在一到两周之间。告诉我们 App 名称以及你需要从其数据中获取什么,我们就与你一起安排访问权限与合规事宜。从 /contact.html 开始。
应用简介——BAAC Mobile
BAAC Mobile 是泰国农业与农业合作社银行的手机银行 App,该行是一家服务农户与农村客户的泰国国有银行。完成电子身份验证(e-KYC)后,客户可以转账与充值、缴费、无卡取现、存入并查询 BAAC 储蓄彩票中奖、查看并偿还贷款余额及提取循环授信、查看交易往来并申请 e-Slip、按邮件申请最长 12 个月的对账单、开户以及使用 PromptPay。安全特性包括针对访问冒用的设备与手机号绑定、通过人脸验证自助重置 PIN,以及通过扫描 miniQR 校验 e-Slip 有效性。据其 Play Store 页面,包名为 com.baac.amobileplus;在 Android 与 iOS 上均可获得。本页面是一份独立的集成参考,与 BAAC 无关联,也未获其认可。