金融教授楊瑞芬

迎向數位經濟的法律大革新— 消費者資料權與開放銀行資料法

楊瑞芬
, , ,

What, How, Why & Implication

楊瑞芬

    去年歐盟生效了三項相互關聯的法令,啟動了歐盟的數位經濟發展政策,這些法令分別是Open Banking Data (開放銀行法)、Payment Service Directive II (PSD2 ,付款服務法二)以及General Data Protection Regulation(GDPR,一般資料保護法)。乍看之下,還以為三者互不相干,事實上三個法令都是為了發展和推動數位經濟、金融科技,其重點都是在創造歐盟在數位時代的競爭力!

一、資料權的重新審視

日前消費者在FB臉書資料被劍橋分析拿去運用,搞得臉書執行長被召喚到美國國會公審、歐洲也祭出使上最嚴也最高罰款的GDPR一般資料保護法,才上路没多久各大企業都在皮皮挫,而澳洲在五月底也大張旗鼓的上路了「消費者資料權」(Consumer Data Right),都在進行一個重要的資料權的法令重新詮釋。

   你消費或金融所留下的資料,到底是屬於你的?還是服務商/銀行的?

目前我國還在使用的個人資料保護法只強調可辬明個人身份之資料的保護,而忽略了消費者留在各企業中的消費、金融、電信等行為資料的擁有權的討論。而隨著數位經濟的發展與蓬勃,個人生活各項資訊的軌跡越來越多留在服務供應商的系統中,而透過數位的演算或運用,反而更有可能產生出具有加乘效益或價值的服務。

其中,最被列為頭號項目的資料就是金融,隨著金融科技浪潮來襲,過往單一往來關係的金融資訊,格外在這波數位經濟中被優先矚目。於是對於消費者是否有權將其過往留在單一金融機構的資料,交付他人運用,變成了一個新的議題; 而這個議題不僅僅衍生探討資料擁有權的法律問題(資料權是否是基本人權?),也同時衍生了國家面對新經濟型態所需面對的策略問題。資料權的確立,將會對數位經濟發展及企業運作模式,帶來巨大的改變!

目前主要歐盟、英國及澳洲都已明文確定了消費者資料權回歸到人民,不再是留存資料的服務機構所擁有。英國於今年也推出了英國實踐歐盟GDPR的英國版Data Protection Act 2018 ,而歐盟則在五月上路了一般資料保護法(General Data Protection Regualtion GDPR),而澳洲則更大動作的於今年五月底公佈了消費者資料權(Consumer Data Right 2019年7月起實施),明白確認了資料所以權由原來留存其服務或交易的廠商手上回到了消費者手中。

簡單摘要這相關法令的核心精神要點,也就是你的資料不管是誰為了提供服務給您而取得,消費者資料擁有存在「你」!簡單來說就是:你有權利知道哪些機構(包括政府)擁有你什麼樣的資料,也包含以下權利: 

  • 預先被通知的權利–擁有你資料的機構要使用你的資料,必須先告知你
  • 你有權去看/使用你存在這些機構的資料
  • 你有權要求不正確資料被修正
  • 你有權要求資料被刪除
  • 你有權停止或限制這些機構使用或處理你的資料
  • 你有權把資料帶走或交給他人(機構)使用
  • 你有權反對你的資料在某些情況下被使用

為何要英、歐、澳要強勢推動這些權利與法令呢?

之前有看到不少評論,多半認為是要限縮個人資料的使用,但實際上筆者認為恰恰相反—這些國家,正是為了準備即將到來的數位經濟,必須要大量、海量地使用消費者資料,因此一定要先有個基本準備或原則,才不致到時失序。在這一點上筆者忍不住又要羨慕與尊敬一下這些國家,在未來發展政策上,法律與政令的腳步總是緊跟在後,以此法來看,甚至有些跑在前頭,並且利用強勢的法令與政策,使得其國內相關產業與經濟的發展,大幅躍進!

簡單規納一下相關法令的核心目的,主要是在「限制個人的資料被使用時的目的」,以及被使用的「公平與透明」。詳細要點摘要如下:

  • 企業或機構必須公平、合法及透明地使用消費者資料
  • 企業或機構必須明示其使用消費者資料的目的
  • 企業或機構必須是限制在具充份理由並確實有關下使用消費者資料
  • 企業或機構必須在需要下保持消費者資料的正確與更新
  • 企業或機構必須只有在需要下才保存消費者資料
  • 企業或機構必須確保資料妥適的安全

避免消費者資料被無端濫用

換言之,為了避免資訊爆炸的時代,消費者資料被濫用,這些基本遊戲規則要訂好,免得傻傻地業者,或者不肖的業者,會無限制的使用消費者資料,劍橋分析在無消費者授權下由FB臉書取得消費者資料,就是一個絕佳的例子,說明了這個資料被濫用的後果,更是彰顯了這個法令對於數位資料運用的重要性!

確保擁有大眾資料的少數機構開放消費者資料給新業者使用

對照消費者資料權的重點,就會發現有一條很有意思: 「你有權把資料帶走或交給他人(機構)使用」。在我國現行的個資法中,幾乎是未考慮到這一點,因為在思維上還是把資料擁有人放在消費的機構上,你在A 商店消費,資料當然由A取得,不會明天你要去B商店了,A 還要同意讓B 去A那兒把你過去的消費資料也讀過去或複寫一遍。然而這樣的新邏輯正是GDPR或者Consumer Data Right 想要推動的。甚至,為了怕A商店為了競爭因素而拒絕資料轉移,而訂出這些相關辧法,明定A商店不可拒絕客戶授權B商店來取資料。

事實上,英國、歐盟與澳洲都是在推動其國內的FinTech金融科技的發展,遭遇到了銀行或傳統金融機構的阻抗,他們霸佔了消費者的資料,並據為己有,消極地抵抗創新的FinTech金融科技。這些FinTech業者運用消費者的資料加以運算或者修正運用後,加乘出對消費者更有利益、更有價值的服務。

受到挑戰威脅的銀行或金融機構心想,只要這些創新的FinTech公司拿不到這些金融資料,自然就無法提出加值的服務,反正巧婦難為無米之炊,於是傳統銀行與金融機構就可以維持過往一樣的服務與利潤;然而這樣消極抵抗甚至有些不求改進的特許保護傘下的思維,持續其不公平競爭,在這些國家的金融科技發展政策下被拿出來檢討,於是這些國家以強力的新法令讓佔據消費者資料的銀行被迫要開放消費者出來,給其他機構使用。這個政策,被稱為開放銀行資料(Open Banking Data)。

開放銀行資料(Open Banking Data)政策

英國算是最早開始推動並進行並貫徹資料開放的國家,由於是主要金融科技國家,主要是以開放金融資料為開始,自2014年起即在其財政部報告上宣佈要開放金融資料,而2015年度國家預算中,則明白承諾銀行會開放金融數據,並且制定消費金融應用開發介面(Application Programing Interface簡稱API)的標準,使得任何機構要去任何銀行拿消費者資料都使用同一套介面,這樣這些創新運用銀行資料的FinTech業者只要配合開發一次這個介面即可。

到了2016年政府推動組織了OBWG(Open Banking Working Group)發展與提出制定API標準計畫。並由競爭市場局CMA(Competition & Markets Authority )宣佈推行Opening Banking計畫,訂定法令推動客戶資料在安全無虞下開放, 建立軟體標準以及業界指南以推動英國零售銀行業的創新與競爭。同時也是英國創新中心Innovation Hub的重要發展政策。

CMA接著還成立了OBIE(The Open Banking Implementation Entity)成為開放銀行政策執行單位,推動英國零售銀行業競爭與創新的軟體標準與行業準則。之後CMA於2017年底發函要求9大銀行於 2018年1月13日起,如果在客戶同意下,其客戶資料將要開放給其他產業或公司運用,其中明列消費者對於個人資訊有絕對的掌控權,所有會被公開的網站或者APP,消費者可以決定發布或者取消。

歐盟自然也不落英國之後, 新支付服務政令PSD2 (Second Payment Services Directive)以及剛上路的GDPR (General Data Protection Regulation 一般資料保護法),明白的在相關法規上訂出資料權回歸消費者。PSD2 的法案明白的要求任何經消費者授權的FinTech業者,可以向各銀行拿到消費者的轉帳付款歷史資訊,同時,在消費者授權下更可以在這FinTech平台上直接發動其他銀行的轉帳!

換言之,你原來有A銀行和B銀行帳戶,你可以透過C這個金融科技業者同時取得你在A和B的過去付款資料,C可以幫你整合資訊; 同時,你若想要轉錢,你不必再去A或B的網站來交易,你可以直接在C網站上指揮A或B帳戶轉出到他人帳戶。

澳洲則更大動作的於今年五月底公佈了消費者資料權(Consumer Data Right 2019年7月起實施),其中列了核心要開放消費者資料的產業排序,優先開放順序產業為: 銀行、能源及電信。 銀行是其第一個優先運用消費者資料權的產業,其政策除了明定消費者權利外,同時在消費者資料權法案中,就是開放銀資料命令, 其列出各項消費者銀行資料,同樣訂出API等,以期其金融科技可以大幅領先其他國家,快速取得大量金融資料,但運用後產生加乘的價值,以期領先其他國家的金融機構。

二、對台灣的啟示

目前台灣還未有法界專家學者們針對這個題目表示看法,然而,據媒體報導國發會已經表示將推動台灣與GDPR接軌,然而綜觀完這相關法規的演進,以及其實際背後的政策目的,就會發現,這是一個實踐新經濟模式而必需思考的政策與法令,它不再只是單純的人權問題,它是新時代,新產業而衍伸的新權利,更重要的,它不是修修法條就可以輕鬆達陣的事。

觀察以上三個區域國家,他們分別都推動了至少二至三年,同時在推動之負責單位上也分屬相當多不同機構,以英國為例,有跨越財政部、金融授權局,商務部的創新中心,又加上競爭與市場局及國會等參與共同在不同角度與線及面上推動法令及政策面的改變,當然更投入大量資金及人力成立開放銀行政策執行單位。

換言之,這又是一個國家整合力的展現,當然更是有前瞻策略規劃與執行的展現,澳洲更投入4千5百萬元在其開放資料的建立,亞洲相對於這些做法都還有些距離,看看他們,想想台灣,或許,這正是一個台灣可以力圖振作,大幅躍進的好機會,不僅是在數位人權上,更是數位產業金融科技產業上!

參考資料:    

1.英國的Data Protection Act: https://www.gov.uk/data-protection

2.歐盟成立的資料保護新組織-EDPB及其相關運作含預算: https://edpb.europa.eu/about-edpb/about-edpb_en

3.澳洲消費者資料權: https://treasury.gov.au/consumer-data-right/

4.Fairness, transparency, purpose limitation – principles of the GDPR:

https://www.lexology.com/library/detail.aspx?g=93745b67-90c2-43c0-8d23-be7f5aa65ac5

Source from IDC Financial Insight May 2018