【2024監理沙龍】金融資料共享

活動日期:
-
2024/7/11

金融科技創新園區透過「監理沙龍」輔導機制,打造新興產業共通議題的溝通平台,至今已舉辦「委外及雲端」、「金融科技發展路徑圖2.0」、「金融業運用AI」、「創新保險商品」等四場沙龍,共同探討前沿議題、推動金融科技創新與發展。

 

為提升客戶體驗、降低成本、管控風險及精準行銷等目的,金融機構對資料共享和交換的需求日益普遍,隨之而來的個資保護及隱私問題也受到關注。客戶資料洩露不僅會損害金融機構和客戶利益,還可能影響市場信心和信任度。因此需要發展一套可資遵循的資料共享指引,以平衡資料價值和客戶權益。

金管會於2021年發布「金融機構間資料共享指引」,作為金融機構間共享資料的辦理方針。各界亦期待金管會就跨機構或跨市場共享客戶資料之作法給予明確指引,因此金管會於「金融科技發展路徑圖2.0」中提出「發布跨市場資料共享之資料治理指引」,計劃於2024年12月完成。為確保指引的範圍、實用性及操作性,金管會於2024年5月16日發布諮詢文件,徵求各界意見。

本場監理沙龍為配合相關發展,以「金融資料共享」為題,邀請創新中心長官分享諮詢文件內容,並邀請勤業眾信分享隱私強化技術及資料共享。且邀請到個人資料保護委員會籌備處、國家資通安全研究院、國泰金控及國際通商法律事務所的專家加入與談。活動吸引來自11家新創及18家金融機構,超過145人實體及線上參與。

 

以下節錄活動重點,協助讀者了解目前金融資料共享相關政策及未來發展。

圖1、「監理沙龍:金融資料共享」議程

 

圖2、金管會林副執秘致詞 圖3、FTS洪總監致詞

 

主題分享 一、「金融資料共享」(主講人:金管會創新中心蔡少懷組長)

圖4、金管會蔡組長主題分享
  • 目前就促進金融機構資料共享已推出的措施
    • 2021年12月發布「金融機構間資料共享指引」,明確揭示金融機構間可辦理之資料共享類型及相關辦理原則。
    • 2024年1月成立「資料共享實作工作平台」,鼓勵業者透過平台提案、與主管機關共同探討可行性、媒合其他業者。
  • 為推動金融機構跨市場資料共享,金管會創新中心於2024年5月16日發布「金融機構資料共享之資料治理諮詢文件」,擬將金融機構客戶資料分4級:
客戶資料分級 對應之資料處理技術 對應之治理方式
保護環境程度 個資法規遵循 資料共享/再利用之對象
第1級

原始客戶資料

未經處理 高度保護環境 須遵循個資法規,並逐項取得客戶同意
  • 原則:金融機構
  • 例外:依據開放銀行等機制辦理之資料共享
第2級

經隱私權保護目的處理,但仍易於還原識別客戶之資料

傳統去識別化技術處理
  • 原則:金融機構
  • 例外:對於資料治理及隱私權保護強度等同金融機構之非金融機構,亦可評估納入分享對象
第3級

經隱私權保護目的處理,較不易遭還原而識別客戶之資料

新興隱私強化技術處理 中度保護環境 依循個資法規,並可採取較簡易之方式取得客戶同意 金融機構或具備妥適資料治理及隱私權保護能力之非金融機構
第4級

不屬於個別客戶之資料

聯合學習所產生之參數資料,及合成資料 低度保護環境 無個資法規之適用 金融機構非金融機構

(屬於資料再利用,不涉及共享個別客戶資料)

(本表係園區就蔡組長簡報及諮詢文件內容彙整)

  • 就資料處理技術,傳統去識別化技術包含:抑制/編修、遮罩、記號化、雜湊化、泛化、k-匿名化等。新興隱私強化技術則包含:同態加密、差分隱私、安全多方運算、合成資料、聯合學習等。
  • ​諮詢文件並揭示資料共享治理之6大原則:「遵法、公平及透明」、「目的限制」、「資料最小化」、「正確性」、「儲存限制性」及「完整性與機密性」(參酌歐盟GDPR)。且金融機構應訂定資料共享治理政策,並參考ISO/IEC 38505-1:2017國際標準,建立資料治理制度。
  • 諮詢文件目的在鼓勵金融機構於遵循個資法及金融規範之前提下,導入以風險為基礎的資料治理架構來進行資料共享,以確保在發揮資料創新利用效益時也能讓資料安全運用。
  • 蔡組長也說明,諮詢文件內容僅為指引草案,正式指引內容仍待後續研議,雖公告蒐集意見至7/14,仍歡迎各界於近日儘速提出回饋。

 

主題分享 二、「隱私強化技術及資料共享」(主講人:勤業眾信林彥良資深執行副總)

圖5、勤業眾信林資深執行副總主題分享
  • 無論是開放銀行或近期AI的發展,都推升了全球金融市場的資料共享規模。金融市場大且留存資料豐富,然而不同產業的監理架構不盡相同,對於生態系的進一步擴大是一個挑戰,如何在隱私保護與資料價值實現中取得平衡會是未來的重點。
  • 從場景來看,資料並非靜止的點而是流動的,需以資料生命週期之觀點來觀察應如何搭配應用隱私強化技術、以及資料在生態系中的流動與控管。因此在金融業需要基於業務場景(而非僅以資料欄位),以風險為基礎(RBA)之方式去思考資料內容完整與否、資料蒐集目的、技術成本、共享後管理及維護等議題。
  • 林資深執行副總認為,隱私強化技術雖可分為傳統與新興,但兩者之間並無優劣。仍應基於應用的場景,決定適合採行的隱私強化技術,以掌控並緩解不同性質資料與不同應用場景下,面臨到的隱私資料保護風險。
  • 隱私強化技術並非隱私保護之萬靈丹,在技術採用和實際案例整合需考量以下潛在挑戰:部分技術成熟度不足、實作不佳或設定錯誤、驗測機制未臻明確、合規性挑戰等。

討論及交流 一、主題交流

圖6、主題交流實況
(由左至右分別為:資安院方顧問、勤業眾信林資深執行副總、個資會籌備處曾科長、金管會蔡科長、國泰金控李副總、國際通商徐律師)

 

Q1.針對市場現況請教各位的觀察,金融機構資料在金融業間、跨產業/市場的情況如何?有哪些應用場景?還有什麼發展空間?

A

  1. 金管會創新中心蔡少懷組長:

針對資料共享,本會每半年定期調查、追蹤辦理狀況,以家數來說,從2022年7月的17家提升到2024年4月的90家,比重從5%成長為24%,其中銀行、電子支付機構辦理資料共享均超過5成。

目前雖以金控集團內資料共享為主,但跨域或跨業的生態系擴展仍充滿前景。根據本會近期於立法院做的金融科技發展分析報告,台灣金融市場高度發展、但規模較小,最終容易走到同質化的價格競爭。因此希望透過資料共享或跨業、跨域開發,發展出新型態服務並做差異化的競爭,長遠來看希望生態系擴大,提供更好、更創新的金融商品及服務。

  1. 國泰金控李玉梅副總經理:

我們樂見資料共享治理指引的發布,台灣金融業同質性競爭太多,希望利用資料共享把競爭對手變成隊友,大家聯手打造讓客戶可以信任的數據生態圈,但重點在於讓消費者信任生態圈是安全的。

消費者同意金融機構將資料與他人共享,是基於對金融機構的信任,因此金融機構有責任與義務選擇適合的合作夥伴。但目前諮詢文件,是由消費者在同意的階段自行把關,例如為滿足客戶服務體驗,需要分享明碼資料予第三方,但若要施以高度保護環境及密碼加密,反而不利發展,進而造成客戶困擾。

期待透過資料治理建構完整的、可以取得消費者信任的資料安全控管機制,使金融機構可以共同響應,讓全體金融機構變成隊友,共同打造金融數據生態圈,再與別的生態圈結合起來。

  1. 國際通商法律事務所徐聖評律師:

以台灣金融業來說,目前資料共享之應用場景多為金融機構間資料共享指引所定義的第一類及第二類的集團之間,主要原因在於目前金融法令對這類型的金融機構進行資料共享已訂定較清楚的規範可供遵循。至於金融機構間資料共享指引下歸屬於第三類之金融機構,例如母公司不在台灣境內之外商金融集團在台灣的人壽、產險、證券、銀行子公司或分公司,目前金融主管機關在這類型的金融機構間的資料共享法令規定相對較少,因此有些第三類金融機構在實務上不確定或不知道是否以及應如何辦理資料共享。以共同行銷為例,屬於同一個金控集團底下的各子公司可遵循金融控股公司子公司間共同行銷管理辦法辦理,但屬於同一個外商金融集團在台灣的子公司或分公司的第三類金融機構間,則似乎在是否及如何辦理共同行銷方面欠缺明確的法源依據及規範,因此未來在第三類金融機構的資料共享應用層面仍有發展空間。

此外,另一個可期待有更多發展空間者在於金融機構與非金融機構間的跨機構、跨市場合作,國際上跨機構合作常見的方式,例如嵌入式金融也會有需要資料共享的情形。國際上金融機構在選定跨機構的合作夥伴時,趨勢上目前有四種對象較受青睞,例如電信商(持有許多客戶關鍵資料)、電商平台(例如可結合航空公司或是零售商平台)、Super App (是指一個App綁定很多小的應用程式在內,因此一個Super App就可能掌握客戶多面向屬性)、醫療機構/健康產業之業者(例如透過wellness App蒐集之非屬特種個人資料之個人健康數據),國內金融機構或許也可考慮與這些跨機構的合作夥伴透過資料共享的方式,開發更多商品或是擴展新的銷售管道。

 

Q2.個資委員會正式成立後,有哪些新政策或關鍵發展方向?從個資保護的角度,針對客戶資料共享有什麼想提醒業者的?

A:

  1. 個人資料保護委員會籌備處曾傑科長:

個資委員會正式成立後,預計進行個資法的修訂,以配合現今電子商務、社群媒體及資料流通方式等實務需求。但現階段籌備處工作重點在遵循憲法法庭健保資料庫案(111年憲判字第13號判決),預定明年8月前成立個資委員會。

就上述憲法法庭判決的立場,資料需要客觀上達到無還原識別個人之可能,才不屬於個資(即諮詢文件第四級資料)。只要仍然是個資,就應依循個資法等相關法規執行個資保護管理措施。

 

Q3.目前針對隱私強化技術之相關政策及未來發展方向?

A:

  1. 國家資通安全研究院方怡婷顧問:

數發部認知到隱私強化技術應用存在挑戰,並從四個層面來應對:

(1)針對有哪些技術工具及應用場合等認知問題,在今年正式推出「隱私強化技術應用指引」並將透過各界回饋持續調整、補充案例,以貼近我國的應用場景。

(2)針對技術門檻高且技術人才不足等問題,先與學研單位合作,讓原本遙不可及的技術可以實際運用在不同領域的場景上,產生實際案例,再擴展到與業者合作。業者也許一開始不會想到隱私強化技術,但當認知越來越高後,需求長出來就會需要解方。透過與技術提供商合作、不斷分享案例,產學研三方共同提高技術亮點。

(3)針對技術成本問題,提升技術的投資報酬率是數發部持續努力的方向。數發部從去年陸續開發開源工具,找尋潛在需求者來確認符合其需求,協助減少導入技術所需要花費的時間及技術成本。

(4)針對合規性問題,在法律上是否合規或在技術上是否有標準可依循,也是未來將持續研討、發展的方向。

 

Q4.針對資料分級治理,將對金融機構及合作夥伴將帶來什麼效益或影響?

A:

  1. 國際通商法律事務所徐聖評律師:

首先,在實務上有如何判斷分級的議題,目前諮詢文件第2、3、4級的差異取決於技術強度,如何及由誰認證技術,銀行及其合作夥伴認定可能不同。其次,若專案進行中技術有所突破,則產生是否更改原始認定、是否需重新執行逐項同意等議題。

  1. 國泰金控李玉梅副總經理:

金融機構最大的成本並非資訊系統的建置,而是消費者的信任。以技術作為資料分級標準,反而使金融業成為科技公司的競技場,且等級可能一夕之間就不同,資料是否容易被破解與還原,責任不應透過同意方式轉嫁給消費者,而應該由金融機構依照風險等級建置環境,金融機構若無法確信技術不會被破解,就要提高自我控管。金融機構若發生資料外洩事件,即應承擔相關責任,不應以已經一定技術處理資料而免責。

對於合作夥伴的挑選及管理是維持消費者信任的關鍵,資料分級要求的控管也會影響我方對合作夥伴的管理,期待透過公正的第三方機制,去認證合作夥伴的安全等級,金融機構才能足夠信任將消費者的資料共享出去。

  1. 金管會創新中心蔡少懷組長:

以金融機構來看,採用新技術會衍生新成本,但也將產生許多新的收益。許多國家在推動開放資料都是從金融機構開始,因為金融機構掌握很多客戶、法遵要求高、成本負擔能力強,金融業有引領整個經濟體系前進的一個重要功能,要達到資料共享的目標中間有很多困難要去克服,但相信金融業是有辦法帶領大家去克服。

透過採用隱私強化技術、人工智慧及大數據分析等新技術,有更多發展的可能,或許不用使用到個人資料。目前也觀察到國外個資相關政策文件開始將隱私強化技術與法規對接、結合。個資保護及資料共享之間,在法律、成本跟效益等方面需要權衡。本次諮詢文件以技術為分級標準,是希望導引金融機構採用新技術,於資料共享及隱私保護之間取得平衡。

 

討論及交流 二、意見回饋

本次監理沙龍事前針對諮詢文件提及之諮詢問題,邀請業者提出意見,以下摘要當天口頭說明及相關回饋:

 一、國泰金控 提出意見:

  1. 身為金融業事實上遇到個資外洩事件仍應全權負責,不建議靜態式地用隱私強化技術高低去做資料的分級,建議應依個資運用對客戶權益影響程度的高低,動態配合場景及應用對象做資料分級。
  2. 目前的隱私強化技術仍不斷發展,無法保證新興技術就比傳統技術安全,或得以此直接區分、保證是否不易遭還原。且分級進一步與客戶同意掛勾,何謂簡單同意、何謂逐項同意,目前也較難想像、區分。
  3. 諮詢文件提及應讓客戶參與「審查」,此恐怕已超出個資法給予當事人之「存取、修正或移除」之權。是否據此須提供客戶個人化之審查要求,目前並不明確,若金融檢查以此作為檢查標準會較難遵循,希望能回歸個資法。

相關回饋:

  1. 個人資料保護委員會籌備處曾傑科長:從分級上來說,若因技術無法區分強弱而均屬經去識別化處理的個資,可以考慮的是第2、3級的合併,而不是將仍屬個資的第3級與非個資的第4級合併。
  2. 金管會創新中心蔡少懷組長:以風險為基礎的角度來看,透過隱私強化技術處理過的資料遭遇不當利用或外洩時,理論上風險較低。本次推出諮詢文件是一個討論過程,資料分級等問題還會再研議、調整,持續讓文件內容越來越豐富、個案越來越詳細,逐漸凝聚共識、提升資料保護的意識。

二、LexisNexis Risk Solutions 提出意見

  1. 建議進一步訂定資料共享的方式,比方說透過境外雲端或是API等方式,操作上的建議做法為何。

金管會創新中心蔡少懷組長回饋:

  1. 若是涉及到委外關係,則回歸適用委外規範。以資料共享指引來說,目前內容是以國內為主,若僅因業務合作而有國際資料共享(非委外關係),因所涉層面多,仍需要進一步思考。

 

三、中國信託 提出意見

  1. 如何評估第二級共享對象「非金融機構的資料治理及隱私權保護強度是否等同金融機構」,要符合哪些要件?如何評估第三級共享對象「非金融機構已具備妥適之資料治理及隱私權保護能力」要符合哪些要件?

金管會創新中心蔡少懷組長回饋:

  1. 此係參考GDPR國際資料傳輸接收國之隱私保護強度,應與歐盟國家「相當」(equivalent)之概念。而個資保護法各產業均應遵循,並非僅要求金融業,未來透過持續發展相關認證機制及案例,逐漸建立彼此信任、成為生態系。

圖7、國泰金控提出意見

圖8、LexisNexis Risk Solutions提出意見