2017年1月
歐盟通過個人資料保護新規GDPR
全球數位防護展開新縱深
近年來雲端計算、行動互聯網、大數據等資訊科技快速發展,歐盟會員國對個人資料保護帶來新的議題與挑戰,並進行大刀闊斧的改革。
歐盟執委會自2012年1月提出資料保護改革草案以來,其嚴苛規範撼動資訊科技界的巨擘,在歐盟經營根基,紛紛投入龐大資源向歐盟當局進行遊說,經過4年多的討論, 歐洲議會終於在2016年4月27日通過歐盟規則2016/679,亦即「個人資料保護規則」(the EU General DataProtection Regulation,以下簡稱GDPR),此規則自2016年5月24日起生效,並取代歐盟1995年的「資料保護綱領」。新法規定2年過渡期,直到歐盟各成員國均實施GDPR,才自2018年5月25日起全面施行新法。
GDPR不僅適用於歐盟地區註冊的企業,非屬歐盟企業組織但在歐盟境內營運、蒐集、處理或利用歐盟人民的個人資料者,亦須適用本法。此外,GDPR除了提升個資保護強度,且大幅提高了罰款金額上限,最高可處罰鍰2千萬歐元或年度全球總營業額4%的金額。由於GDPR與信用報告機構之營運關係密切,歐盟消費者信用資訊業協會(ACCIS)亦投入相當人力與資源,針對信用報告產業的特殊議題,積極進行遊說。
個資保護強度將被提升
GDPR的修訂重點包括以下:
‧提升法律位階:由Directive提升為Regulation。
‧擴大適用範圍(Expandedterritorial scope)。
‧企業必須設置「資料保護長」(Data ProtectionOfficer,DPO)。
‧資料蒐集與處理須取得明確有效同意。
‧個人資料可攜權(Dataportability)。
‧個人資料外洩通報(Databreach notification)。
‧IT系統之資料保護設計(Data protection by designand by default)。
‧被遺忘權(Right to beforgotten)。
‧反對權(Righttoobject)。
‧對自動化決策之限制。
‧資料保護影響評估(Data Protection ImpactAssessments,DPIA)。
‧大幅提高罰則金額。
此外,GDPR與信用報告機構之營運關係密切,自GDPR於2012年啟動修法工程起,ACCIS即投入相當人力與資源,針對信用報告產業的特殊議題,積極進行遊說;並對業界重大議題,以ACCIS名義,提出說帖(Response to the proposal for a General Data Protection Regulation—Perspective of Credit Reporting Agencies),並積極進行遊說,長達4年的努力,成果大致符合ACCIS的預期。其重點如下:
‧企業之「合法利益」仍列為得以處理個人資料之要件之一。
‧對「合法利益」之反對權(Right to Object)之限縮。
‧對自動化決策之「描繪」(profiling)活動不強制人工介入。
‧移除對敏感性資料的限制使用。
適用範圍涵蓋非歐盟企業
GDPR除加強個人資料保護的強度之外,亦使歐盟28成員國資料保護規定獲得統一,可望減少跨國企業在遵守各成員國資料保護規定上之不便情形,由於其適用範圍對象涵蓋非歐盟國家之企業,在立法階段即引發全球性資訊巨擘與跨國大企業的高度關注,藉由商業全球化、網路化的發展,個人資料的跨國蒐集、處理與傳遞在所難免,而GDPR的實施,首波衝擊將影響與歐盟市場往來密切的商業活動(主要為美國企業),進而擴及全球其他與歐盟有經貿往來之區域。
以信用報告機構經營的角度而言,雖然ACCIS在GDPR立法上的遊說成果大致保住了既有的經營基礎,但GDPR於2018年的正式實施,仍對信用報告業者帶來許多不確定性的因素。
1、各會員國資料保護程度的差異有待解決
GDPR跨國一致性的規範,凸顯各國現有資料保護程度的差異,而歐盟層級的「歐盟資料保護委員會」(EDPB),亦將徵詢各國的實務,藉由發布意見與準則(opinions andguidance),補充GDPR未明確規範的空間,以利GDPR跨國一致性的執行。
2、信用報告機構之可歸責性(Accountability)增加
在GDPR的規範下,信用報告機構不論擔任資料「控制者」(controller)或是資料「處理者」(processor)的角色,其「可歸責性」將更為清楚,違反規定所付出的代價將更高,因此信用報告機構應建立遵循GDPR要求之內部健全的管理與控制機制,並證明該機制可有效運作。
3、資料當事人權利(DataSubject Rights)之行使
GDPR新增了許多保護資料當事人權益的規範,例如:個人資料之刪除與更正;資料可攜權Data port a b i l i t y(企業必須免費提供完整的電子檔案資料);個人資料處理的通知等,在信用報告機構現行運作中,皆已有一定遵循機制,例如:接受資料當事人對信用資料的爭議及後續處理;資料揭露期限的訂定;(免費)信用報告的提供等,惟是否符合GDPR之要求,信用報告機構業者應進行盤點與比對,若有不足之處,擬訂改善計畫並與監理機關密切溝通。
4、只是開始,不是結束
在「合法利益」、「被遺忘權」、「反對權」、「特殊類別的個人資料」等議題,雖然信用報告機構業者在GDPR的立法中占了上風,但該等議題已引發各界關注,後續可預期將有更多消費者保護團體針對此等權利提出「是否濫用」的質疑,「歐盟資料保護委員會」亦將密切注意其發展,任何一個會員國資料保護主管機關(Data Protection Authority)所做的決定,都可能影響整體歐盟,信用報告機構宜小心應對。
普惠金融vs.個資保護
個人資料保護的立法概念,一般偏重於保護社會大眾與相對具有權力與經濟優勢之公務機關或私人企業往來時,其個人資料之合理運用與隱私權利的適度保障。若將此種消費者保護概念,應用於民眾與金融機構往來希望能以合理的條件取得所需信用的情境中,則產生諸多值得特別深入探討的面向。
在信用交易市場中,「信用需求者」與「信用供給者」間存在之資訊不對稱,是信用交易效率的最大障礙,「信用需求者」必須提供「信用供給者」評估信用風險所需資料,以換取從「信用供給者」取得信用的機會。
當「信用供給者」為金融機構時,由於金融機構之資金係來自於社會大眾的存款,金融監理機關基於金融穩定考量,對金融機構的信用風險管理訂定較高標準,並以監理手段要求其確實遵循。此外,監理機關亦可能立法設立跨機構蒐集與提供信用資料的「信用報告機構」,以提升金融機構對「信用需求者」信用資訊蒐集的廣度與深度;於此情境下,有信用需求之個人必須犧牲較多的個人資料保護程度,甚至必須放棄某種程度之「被遺忘權」,以換取使用社會大眾存款的機會,及整體金融信用體系的健全發展,進而建立公平合理的信用市場紀律。
財團法人金融聯合徵信中心(以下簡稱聯徵中心)即循上述概念,在《銀行法》、《銀行間徵信資料處理交換服務事業許可及管理辦法》的法規安排下所設立之非營利性財團法人機構。並採「會員制」管理, 透過「會員規約」(目前會員僅限經許可設立之金融機構,包括:銀行、信用合作社、票券金融公司、證券金融公司、農會信用部、漁會信用部、信用卡公司、經營授信業務之保險公司等),經營會員機構信用資訊之蒐集、處理與交換之特許業務,以解決「信用需求者」與「信用供給者」之間存在資訊不對稱的癥結;經逾40年的運作,個人資料保護與授信管理目的個人資料分享,大致維持均衡與穩健。
如今, 隨著數位科技蓬勃的發展, 「普惠金融」(financial inclusion)得以快速發展並有效實現,模糊與動搖了原本牢固封閉的金融領域。「普惠金融」的目標為讓經濟地位弱勢者,藉由取得與享用完整的金融服務,達成脫離貧窮的實質目的,其方式為透過金融科技大幅降低提供金融服務成本與門檻,提升對經濟活動相對弱勢者金融服務的深度與廣度;而不論該種金融服務之提供係來自於傳統金融機構,或來自於非金融機構的科技業者,數位化個人資料廣泛的蒐集、處理與利用皆為必要的途徑,而在現今的資訊科技環境下,個人資料之保護運用,亦變得十分複雜與棘手,此即歐盟訂定GDPR的主要背景。
聯徵中心應未雨綢繆
傳統信用報告機構所蒐集、使用之信用資料,係以資料來源清楚可信、資料定義明確的結構化資料為主;而新型態信用報告服務提供者所使用之數位資料,其資料範圍廣泛、資料面向多元、資料即時且動態,加以處理大量資料之分析方法日益成熟,藉由多維度資訊彼此的關聯性來描繪資料主體之信用狀況,已實質改變傳統信用分析之既有框架。在應用大數據資料之情形下,若資料當事人引用前述歐盟GDPR行使「被遺忘權」或「反對權」,或質疑大數據可能帶來的「資料獨裁問題」,亦會產生GDPR所至為關切的以資料進行被分析對象的「描繪」與資料當事人之「反對權」議題。
在數位資訊科技一日千里的高度動態環境中,「資料保護」與「普惠金融」兩種概念的相互碰撞,激起了跨領域監管議題,政府不同部門間對於數位科技所帶來全新的便利與威脅,雖有不同立場,但監管者都必須強化對數位科技的認識,在一定程度專業理解下,進行跨部門溝通與論證,甚至應用數位科技強化監管的效率與效能,亦即「法遵科技」(RegTech)新概念。此外,任何監管措施實施之前,亦應充分與被監管者進行有效的溝通,在可控制的範圍內進行試作,以了解科技運用的潛在風險與威脅,並以風險為基礎,設計有效且精準法規遵循與金融監理措施,降低法規遵循負擔,此即為「監理沙盒」(Regulatory Sandbox)的概念。
雖然GDPR的實施及歐盟地區信用報告機構的發展對於聯徵中心無明顯或立即的影響,惟從GDPR的修訂或觀察目前影響全球或歐盟信用報告業發展的重大趨勢,皆可發現資訊科技發展所帶動的數位化、網路化、行動化、雲端化所產生之個人資料保護與使用議題、資訊跨國傳遞與金融跨國監理議題等,早已成為信用報告業者之關注焦點;聯徵中心仍應未雨綢繆,了解國際趨勢,針對個人資料保護等相關議題預作研議,俾於未來議題形成與討論階段,以公益性信用報告機構之立場,向政策制定部門提出妥適之建議,以當事人權益為優先考量之前提下,兼顧我國信用報告機構之健全發展。(本文作者為金融聯合徵信中心研究部經理)
