有天進到一家披薩連鎖店,現場點購特餐,店員表示如果上網訂餐,價格會有優惠,因為上網訂餐需填寫簡單的基本資料,辨識訂購當事人。天下没有白吃的午餐,同樣地,對於看似免費的網際網路服務(例如免費下載APP),事實上也是客戶以自己的資料作為代價,即所謂用資料付款(Bezahlen mit Daten)。用資料付款的意義,至少顯示我們對個人資料的使用,具有自主權。
大數據(BD)與人工智慧(AI)具有整體加值創新的功能,其發展是不可逆的趨勢,經由各種社群媒體(例如Line、Facebook、Twitter等)或互聯網(尤其是電商交易平台)等快速滲透民眾日常生活並蒐集其生活資訊,對個人資料保護帶來新的議題與挑戰。對於個人資料保護與人工智慧的科技發展,如何保持利益平衡,創造普惠數位服務的環境。個人資料保護目前的途徑,就是強調自已的個人資料得自主決定,而其前提要能讓客戶了解其資料創造之價值為何? 誰有權接觸及使用其資料,如果客戶能了解企業使用其資料,可受到完全負責及透明的對待,才會提高對於提供個人資料的信賴度。
近期金管會研議推動Open Banking,其主要目的是要讓銀行開放應用程式介面(API),將客戶資料提供給第三方業者,透過數據共享,創造新的商業模式,使客戶利益極大化。過往,銀行皆將客戶資料視為商業利益,如果開放API與第三方合作,可以提供客戶更多元的產品選擇。其主要法律問題仍在於個人金融資料的保護及自主權,在歐盟則涉及個資保護規則(GDPR)或各會員國銀行秘密保護的法規及支付服務指令(PSDⅡ),GDPR雖有個人資料可攜權,但仍在技術可行(對接介面需有國家級標準規格)下,個資主體才有權要求擁有其資料直接移轉予第三方業者。在没有法律強制或技術不可行性下,僅憑客戶單方同意並不能使銀行負有移轉其資料的義務。
Open Banking合作的第三方業者,在歐盟指非銀行之第三方支付業者,包括支付服務業(Payment Initiation service,PIS)及帳務資訊服務業(Account Information Service,AIS)二者,客戶可透過第三方支付業者的API整合其所有銀行的帳戶(Account Aggregation,Multi-Banking),獲得現有的帳戶資料、歷史交易資料及其他金融資訊,利於客戶掌握各銀行提供金融服務的內容及費用,並可附隨提供客戶商務產品訊息及價格,俾利比價購物。此接受金融個資之第三方業者涉及個人資料保護問題,根據PSDⅡ指令(Directives)中的第96點,第三方業者應建置安全保護系統,確保客戶資料透過加密保護,另依據Directives中第五條,第三方業者於提出申請時,也須說明其對資料的使用方式,對資料需紀錄追蹤,而且只有在FCA(Financial Conduct Authority,金融行為監理總署)或其他主管機關監管下的公司,才可使用客戶資料。在歐盟PSDⅡ下所合作之第三方業者(PIS及AIS)亦屬需經監理機關許可並監管的企業。
金管會若欲推行Open Banking,至少仍應考量下列條件,1.在銀行端提供銀行秘密資料(個人資料)的過程中,應注意銀行法及個人資料保護法適用;2.需在金融個人資料之提供者及接收者雙方API的對接技術可行性達到全面下,客戶始有整合管理其在所有金融業帳戶的功能,此則需要建置國家級標準的規格介面;3.接收資料之第三方業者是否應予限制某特定行業並納入管理,且應訂定應具備之資訊安全基準及個資保護(例如濫用或過度使用資料責任、駭客侵害等)責任等;4.客戶同意應採明確同意,或可盡速檢討現行個資法之不足,並明確訂定資料之開放範圍、開放資料之種類(一般個資或特種個資)、使用個資之權益影響等,促進個資之合理使用。