衍生法規風險不容忽視

金融業資料共享大勢所趨

金管會公布的共享資料指引看起來是以個資法為基礎訂定，但問題在於沒有明確區分自然人與法人客戶，一旦個資涉及風險管理，原本不受個資法保障的法人客戶資訊，根據資訊共享指引，可能就得在分享前經法人客戶同意後才能分享。

在金融科技（FinTech）推波助瀾下，消費者的個人資料所有權已明確回歸消費者，消費者可藉由授權方式讓金融機構共享個人資料，但這資料共享也衍生出資料治理、法令遵循等問題，對此，台灣金融研訓院邀請臺灣大學法學院副教授陳肇鴻就「資料治理的實務與趨勢」為題，依金融業在資料分享過程中，所面臨效益成本、資料移轉的法規面、指引與風險進行深入分析。

資料共享「一魚多吃」 簡化作業流程

過去消費者在A銀行開戶所填寫的資料，只能供A銀行使用，當客戶到B證券公司開戶時，又得重新再填一次資料，但這些麻煩的作業程序，在2021年金管會頒布「金融機構間資料共享指引」後，金融機構只要取得消費者授權，B證券業者就能直接拿消費者在A銀行填寫的資料來使用，可大幅簡化相關作業流程。

攤開金管會2021年12月公布的共享資料指引，主要是建立內部控制規範、公告資料及隱私權政策，大致分成三大類，包括金控集團內的公司間、非金控集團但屬集團內的關係企業、其他金融機構與金融機構之間。

進一步看指引內容，金融機構「得」為辨識風險、進行風險控制而共享資料，但僅限於第一類（金融集團內部）與第二類（非金控的金融集團），而且金融機構必須事先取得客戶同意。至於可分享的資料內容與範圍，主要包括客戶基本資料、身分核驗資料、帳戶資料、金融商品或服務之交易紀錄、負面資訊、認識客戶（KYC）資料及金融機構加值的資料、電子通訊歷程紀錄（例如IP位址）或其他經客戶及合作金融機構同意共享的資料等。

留意共享背後可能衍生法律風險

資料共享固然有助簡化作業流程，但背後可能衍生的法律風險也不容小覷，金融規範及相關法規、個資保護、隱私權與營業秘密或商業秘密、其他資料管理法規，及一般民刑事法律。不同產業有不同的法規規範，陳肇鴻提到，例如銀行、保險等金融業本身就受相關法規約束，而當金融業碰上Data（資料）就會產生個資法的問題，以歐盟為例，《Data Goverments Act》主要是規範公部門資訊分享，至於有關私人部門的《Data Act》目前還在審議中。

在資料治理與法律架構問題這部分，陳肇鴻建議從幾個面向來討論，包括：資料的來源與用途，甚至是要如何使用資料；而資料的蒐集與應用也可能衍生相關風險，像是個資法、營業秘密法、隱私權與金融規範與資料賦權等。至於在資料分析部分，則可能面臨整合資料的成本風險，例如以不當或錯誤資料進行分析，就可能出現因後續錯誤作為而產生的金融風險。

自然人vs.法人資料共享法規適用待確認

首先是資料來源，來源大致可分為自然人、法人等當事人，或是關係人、公開場域等；在資料源頭部分，原則上是採告知後同意（Informed Consent）的原則，只要是經充分告知資料來源者，並取得同意後，就能以此合法取得資料與後續使用，而這種「告知後同意」的概念大多是應用在手術同意書、金融商品銷售前的揭露與風險預告等。

但陳肇鴻也說，現行的資料蒐集也面臨法制上的混亂，例如自然人受個資法的保障，但法人卻不適用個資法，儘管法人必須公開包括：公司的營業登記或公司登記字號等，但像是營業秘密或是合約的保密協議等資訊，這些資料仍需受保護規範，也因此金融機構應該如何處理法人的資料，是否要比照自然人個資辦理或是另有其他規範？就是值得探討的問題。金融機構在告知當事人，蒐集資料的目的與範圍後，在取得當事人同意後，就可將取得資料做後續使用，但這些個人資料除了核心項目外，還有一些跟主要業務不太相關的項目，可使用範圍更擴及到業務往來相關機構。

舉例來說，銀行經合法蒐集客戶個資後，通常還會分享給業務往來機構，像是聯徵中心、聯合信用卡中心，或是信用卡特約商店等，甚至就連銀行所使用的社群媒體或軟體服務商，像是Yahoo、Google、LINE、FACE BOOK等這些都可能是可共享金融機構資料的對象之一。

儘管金融機構在取得客戶同意後就能使用與共享，但陳肇鴻認為，在資料賦權與個資方面的挑戰，首先是「同意範圍過於廣泛」，當同意書記載的同意範圍過於廣泛，這個統包式的「同意」是否具備正當性？此外，客戶又是否會真正閱讀個資說明書內容？也因此，現行個資法的規範模式是否符合實際需求與實務運作，就值得政府深思。

再看資料賦權的部分，陳肇鴻提到，客戶的資料賦權可以做到什麼程度？這可以從兩個層面來討論，首先是匿名化的資料，亦即加密資料，是否可稍微自由點運用，但如果是客製化或目的性使用的資料，則無法以匿名化方式呈現，但有些資料可通盤使用，以新加坡為例，對於委外作業的指引，原則上企業在移轉客戶資料時就需要較高的規範制度，但若是匿名化的資料，則採用一般控管即可。

另外，在身分別部分，由於法人並非自然人，有些不受個資法管制，而我國現有法令中，有些並未就法人或自然人的身分進行區分，不論是「資料共享指引」或「共同行銷管理辦法」都只有提到「客戶」，現行法令上有些似乎沒有考慮到自然人或法人客戶在資訊蒐集上有不同法律適用的問題。

政府平台提供資料共享 兩大問題待解

除了客戶提供的資料，部分金融業所需的資料則須由政府提供，像是身分、所得與稅務、健保等，而這些資料是否可在經過當事人同意下，透過政府平台一站式取得，以此減少相關法遵成本，同樣是值得探討的問題。

舉例來說，金融業從聯徵中心取得的個人信用評分，以及新加坡政府建置的Sing Pass資訊平台，業者可從該平台蒐集民眾的所得、稅務等個資，而目前有不少國家或地區正在推動將政府持有資訊提供私人部門更有效率的使用。

陳肇鴻表示，透過政府平台共享資料，還有兩個層次的問題必須思考，包括：一、政府是否該擴大分享所持有的資料，以此提升資料的使用安全度與效率；第二，在分享過程中該如何導入賦權觀念。

而資料取得後衍生的分享效益與成本則是另一個重點，在效益部分，資料庫中的種類雖然越大越好，如此才能提升綜效及分析能力並提高客戶的服務或體驗；而成本部分，不同來源或是定義不夠明確的資訊，在整合過程中就會產生相當的成本。舉例來說，金控旗下的銀行與保險業者，兩家子公司所蒐集的資料不盡相同，顆粒化程度也不同，很可能要耗費許多成本處理，如果沒有細緻化的處理資料合併，某種程度也會衍生出相關風險。

此外，部分金融業者會將資料委外處理，這時候就需要第三方機構協助，例如保險業的委外作業幾乎都是銷毀文件，文件銷毀涉及個資問題，包括機密資訊或個人資料，資料移轉中甚至還可能會跨境。陳肇鴻表示，目前香港與新加坡等市場，在資料移轉過程中毋須經過主管機關同意，但在台灣金管會則保有核准權，但主管機關無法管轄境外雲端業者，因此金管會通常要求金融機構要有專門查核機制，業務外包後還有事後查核機制，因此金融機構需要具備一定程度的稽核量能，並確保第三方資安水準足夠。

陳肇鴻說，在我國現行法令制度下，業者在資料處理與保存的委外作業中，涉及個資的部分應依照個資法辦理，同時必須在委外契約載明客戶資料保密與安全措施。值得注意的是，境外委外作業需取得主管機關核准，並確認第三方有關資訊使用與控管全都符合我國法令規範；如果是雲端服務，則客戶資料傳輸或儲存要有適當的加密措施。

共享資料反思：錯誤的資料蒐集風險大

最後陳肇鴻以共享資料反思做結尾，他指出，金管會公布的共享資料指引看起來是以個資法為基礎訂定，但問題在於沒有明確區分自然人與法人客戶，一旦個資涉及風險管理，原本不受個資法保障的法人客戶資訊，根據資訊共享指引，可能就得在分享前經法人客戶同意後才行。

此外，不當的資料分析也可能產生相關風險，例如當原始資料因蒐集方式有誤，或是以錯誤訊息進行分析，則之後的資料分析也會產生錯誤訊息，例如有些保單會詢問客戶是否抽菸喝酒，但是否抽菸喝酒則涉及客戶對於相關行為的自我認知，以金融業來說，錯誤的保險風險或信用風險評價，就容易發生將正當行為誤會成洗錢或詐保等。陳肇鴻認為，我國目前內部治理及控制相關規範，有些只憑法令文字或是只強調形式，例如向董事會報告或內部規範作業須經由董事會同意，但就內部控制與董事會、高階經理人的治理責任，不妨多參照國際趨勢做更進一步的強化。