【陳鴻達 / 台灣金融研訓院副研究員】
國內開放銀行第一階段順利上路後,在籌畫如何進入下一階段的開放時,各界各種疑慮主要就圍繞在如何做好個資保護,以及相關法律配套。事實上推動開放銀行的前提就是做好個資保護,這也是為什麼歐盟開放銀行的法源PSD2於2018年1月生效後,接著又於同年5月開始執行有史以來最嚴格的個資保護法律GDPR。這兩者看似不相關,甚至有點互相矛盾,事實上卻是前者需要後者作為配套,才不會發生弊病。
消費者如何「同意」開放資料
不管是強制性或自願性的開放銀行,開放的大前提是消費者要同意,否則就是不能利用。在英國或歐盟國家,未經當事者同意授權就濫用其資料,這就違法GDPR的規定,其罰金最高可達其全球年營收的4%。那麼消費者要如何行使其同意權呢?手續若是太過繁瑣,一定影響消費者參加開放銀行的意願。同樣的若是不夠嚴謹,存在冒用造假的空間,相信也會乏人問津。
一般來說整個流程包括以下三個階段:
一、同意表達:首先消費者向第三方服務公司表達同意分享資料要求,這個介面將明確的陳述要分享的帳戶資料範圍、使用時間與用途。
二、認證:第三方服務公司根據消費者同意的內容,向銀行請求取得資料,銀行再跟消費者進行認證。目前要求進行「強認證(strong customer authentication)」,也就是說至少要有兩道認證程序。一般做法是銀行請消費者先登錄進入帳戶,再以簡訊傳送密碼到消費者手機(OTP),消費者輸入密碼後便可進入授權階段。
三、授權:這個介面將顯示某個第三方服務公司要求取得您的那些帳戶資料,使用時間與用途。消費者可選擇按下同意或不同意。消費者同意授權後,銀行才能將資料分享給這個第三方服務公司。
同意後能否反悔?
根據GDPR第七條規定,消費者必須有改變主意的機會,並可撤銷之前同意的授權。但之前已經授權釋出給第三方服務公司的資料怎麼辦?消費者應該可依據GDPR第17條被遺忘權規定,一旦撤銷其許可,之前開放的資料都應被刪除。因此一旦消費者撤銷其同意,第三服務提供者不但不能再取得新資料,已經蒐集的資料也應全部刪除。第三方服務提供者若疏忽沒刪除,將損及民眾對開放銀行的信任。
此外GDPR不但禁止空白授權,也要求消費者同意釋出資料不要超過必要的時間。因此PSD2跟英國開放銀行要求每個第三方服務公司,每90天必須獲得消費者重新許可一次,才能繼續獲得資料。當然這90天的期限屆滿之前,消費者可提前行使同意展延。
為了確保第三方服務提供者獲取這些資料後,是否用於原先設定的用途,因此有「同意編碼(consent codification)」設計,也就是說依消費者同意的內容用途編碼,並加註到這些資料上。因此日後追蹤這些資料的使用是否符合消費者開放的目的,就很容易稽查了。
除了開放銀行帳戶交易資料外,目前還有一些國家想逐步擴大資料範圍,例如墨西哥想進一步納入外匯賬戶、房貸與繳稅資料,澳洲想進一步擴大到水電瓦斯與通訊費用帳單。但這都要大家對開放銀有信心之後才會發揮其效果。
歐盟的開放銀行與GDPR幾乎同時上路,正可說明只有在個資有嚴密保護時,大家才會想嘗試開放銀行所帶來的好處。因為在開放銀行的過程中,只要其中一個小環節出現故意或過失,不但會嚴重損及銀行或第三方服務公司的形象,也會打擊大家參與開放銀行的信心。