第四章 Open banking 之個人資料保護
第四節 Open banking 與個人資料問題相關案例
國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
第四節 Open banking 與個人資料問題相關案例
第一項 付款帳戶之範圍——奧地利ING-DiBa Direktbank案
第一款 背景事實
位於奧地利的ING-DiBa Direktbank Austria提供了一種「直接存款
(Direkt-Sparen)」的線上帳戶服務。該帳戶持有人可以透過電話銀行(telebanking)
在該帳戶存款以及提款,但若要進行轉帳,帳戶持有人則須透過所謂的「中間參考帳 戶(intermediate reference account)342」進行轉帳,其不能將資金從線上直接存款帳 戶直接轉到參考帳戶以外的任何其他帳戶。這些參考帳戶可以是在ING-DiBa
Direktbank Austria以外銀行的活期帳戶。在這些線上直接存款帳戶轉帳、或從這些線 上直接存款帳戶轉帳出去的過程中皆不涉及PSP。
奧地利聯邦工會(The Bundeskammer für Arbeiter und Angestellte)在奧地利法 院對ING-DiBa Direktbank Austria提起訴訟,稱其使用的條款中有許多條款與2009年 奧地利《付款帳戶指令》(Payment Account Directive, PAD)343相抵觸。因此,奧地 利法院首先必須確定ING-DiBa Direktbank Austria提供的線上直接存款帳戶服務是否 符合《付款帳戶指令》中對付款帳戶的定義,而決定是否遵守該法律下與付款帳戶有 關的義務。
第二款 本案爭點與法院見解
奧地利法院認為,將一個帳戶命名為「存款帳戶」的行為,無法將該帳戶排除 在PAD的範圍之外。但CJEU認為,確定一個帳戶是否為「付款帳戶」的關鍵要素是
342 基本上是一種活期帳戶(current account)。
343 支付服務指令(PSD)於奧地利的內國法化。
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
「自該帳戶每日執行付款交易的能力(the ability to perform daily payment transactions from such an account)」344,如果提供資金給線上存款帳戶的唯一途徑是透過單獨的 往來帳戶,則不應將其視為「付款帳戶」。
第三款 本案影響
值得注意的是,CJEU的見解並未指出存款帳戶即不能成為付款帳戶。而是由 該帳戶能否可以直接用於進行付款交易作為判准。由於PSD與PSD2對於付款帳戶之 定義無實質上的差異345,因此若一個存款帳戶可直接用於日常付款交易,將落入PSD2 的範圍,即該帳戶則必須符合PSD2對於Open banking以及個人資料處理之規定。
但在實務上由於歐洲經濟區內的存款帳戶非屬付款帳戶,CJEU此見解將大幅 限縮PSD2可以適用的範圍,有認為此會導致一種結果——付款帳戶銀行將遵循Open banking模式分享相關資料,但針對其他類型的帳戶,則允許外部以螢幕擷取之方式 獲得帳戶相關資料346。本文認為,目前唯一的解套方式似乎只有消費者透過主張 GDPR的資料可攜權,要求銀行透過API將資料分享給外部的PISP或是AISP使用。
344 Case C‑191/17, Bundeskammer für Arbeiter und Angestellte v ING-DiBa Direktbank Austria Niederlassung der ING-DiBa AG, ECLI:EU:C:2018:809, paragraph 29.
345 舊法中的「消費者(consumer)」新法修正為「支付服務使用者(user of payment services)」。
346 Bird & Bird, The CJEU provides clarity on the definition of a "payment account", Oct. 2018,
https://www.twobirds.com/en/news/articles/2018/global/the-cjeu-provides-clarity-on-the-definition-of-a-pay ment-account (last visited: 2019/11/26).
‧
Sofortüberweisung(現為SOFORT)的營運商Payment Network AG。 Giropay指控 SOFORT提供消費者在即時網站上輸入其網路銀行的PIN以及交易驗證號碼(Transaction Authentication Number, TAN)347,從而啟動支付服務的行為係不正當競 爭行為,並表示此行為危害網路銀行的安全性。2010年,Payment Network AG在科隆 地方法院敗訴後向德國聯邦卡特爾局(Bundeskartellamt, The Federal Cartel Office)投 訴,指稱其被德國銀行禁止向商人和付款人提供網路信用轉帳服務348。
德國銀行產業委員會(Deutsche Kreditwirtschaft)及其三個銀行公會:德國合 作銀行全國協會(Bundesverband der Volks- und Raiffeisenbanken eV,BVR),德國 儲蓄銀行協會(Deutscher Sparkassen- und Giroverband eV,DSGV)以及德國銀行協 會(Bundesverband deutscher Banken eV,BdB)多年來一直使用共同商定的通用契約 條款,其中包括「網路銀行的特殊條款」——通用契約條款由德國銀行產業委員會的
348 ECN SUBGROUP Banking and Payments, INFORMATION PAPER ON COMPETITION ENFORCEMENT IN THE PAYMENTS SECTOR, Mar. 2012, at 39.
349 Bundeskartellamt, Restriction of online payment services by German banking industry in violation of competition law, Jul. 5 2016,
https://www.bundeskartellamt.de/SharedDocs/Meldung/EN/Pressemitteilungen/2016/05_07_2016_Sofort%C 3%BCberweisung.html (last visited:2019/11/26).
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
2010年9月,德國聯邦卡特爾局告知管轄法院其打算發布法庭之友(amicus curiae)聲明,並要求轉送法院文件,因此法院取消了原定的宣布裁決日期;2010年 10月,德國聯邦卡特爾局對德國銀行產業委員會提起了行政訴訟,以評估德國銀行產 業委員會推薦的網路銀行通用契約條款是否符合競爭法;法院於2011年3月決定中止 其程序,直到競爭法相關的程序結束350。本案在2019年1月杜塞道夫(Düsseldorf)高 等地方法院(Higher Regional Court, OLG)判德國銀行產業委員會敗訴後,德國銀行 產業委員會上訴至德國聯邦最高法院(Federal Court of Justice, BGH),至今仍未確 定。
第二款 本案爭點與相關見解
本案爭點在於,德國金融機構可否禁止其客戶基於使用新創金融服務之目的將 其PIN和TAN授權給金融新創公司(fintechs)等第三方提供商使用。德國聯邦卡特爾 局於2016年認為,多數銀行使用的一般契約條款限制了網路上不同支付服務提供商之 間的競爭,構成水平限制競爭(Non-hardcore horizontal restrictions),因此違反了TFEU 第101條以及德國競爭法(Act against Restraints of Competition, ARC)第1條。
其指出,德國銀行業委員會的上述作為阻礙了其他業者在成長可觀的支付服務 市場中提供創新服務。卡特爾局同意必須保護網路銀行的安全性,然銀行公會目前使 用的條款不能被視為確保資訊安全的必要措施,且其同時阻礙了非銀行競爭對手進入 支付服務市場,嚴重阻礙非銀行及其支付解決方案在網路上購買產品、或相關服務的 使用351。
350 ECN SUBGROUP Banking and Payments, supra note 348.
351 Id.
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
第三款 本案後續發展
本案纏訟多年,甚至成為歐盟執行委員會在提案修正PSD以彌補其法律漏洞
(legal vacuum)時引用的案例之一352。在歐盟通過PSD以及PSD2之後,由於在促進 提供商之間公平競爭的同時又可以保護消費者的安全,對於TPP是否可以獲取銀行資 料已非爭執點。本文認為,藉由此案亦可再次印證歐盟推行開放銀行模式之目的其中 之一即為基於公平競爭以及防止大型銀行濫用市場地位之考量。
352 European Comission, Proposal for a directive of the European parliament and of the Council on payment services in the internal market and amending Directives 2002/65/EC, 2013/36/UE and 2009/110/EC and repealing Directive 2007/64/EC and Proposal for a Regulation of the European Parliament and of the Council on interchange fees for card-based payment transactions, Jul. 24 2013, at 138.
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y 第五章 結論與建議
第一項 本文結論
在金融科技蓬勃發展下,各種新創金融科技公司興起,大型科技公司也跨足金 融業,Open banking作為銀行因應金融界數位化浪潮的手段,也是銀行轉型的一個機 會。
本文研讀各國之Open banking法制後,發現各國決定採行Open banking之目的各 異,在推動Open banking的角色、實施面上是否有通用的API標準亦有不同。歐盟及 英國雖然皆採行強制開放銀行資料之模式,然其在適用主體、資料範圍格式與是否具 有通用API標準等三個方面互有不同。澳洲政府雖同樣採取強制銀行開放資料之立場,
然其係以立法賦予消費者資料所有權為手段實施Open banking,且該開放資料之模式 除了銀行產業外,將來也會擴及至能源、電子通訊等其他產業。亞洲國家如新加坡、
香港以及日本則採取較為彈性之業者自律模式,其中較為特別者為日本直接將TPP納 入其銀行法規範,實務整體發展也較新加坡以及香港迅速。
至於Open banking模式下之個人資料保護,我國金管會似認為由於我國Open banking係採取銀行與TPP共同驅動市場發展之方式,由銀行挑選合作之TPP類似銀行 委外之概念,而應按銀行委外契約相關規定處理銀行與TPP之法律關係。惟如前幾章 所述,本文認為TPP利用資料之目的係為發展其自身業務,TPP已非資料處理者而係 資料控制者,與單純委託外部廠商之情形相異,將其與金融機構委外行為類比似非允 當。
另外,本文分析歐盟法規後發現,Open banking法制與個人資料保護法規兩者 在資料類型、同意之要件以及處理沉默方資料等方面皆有重疊的地方,惟解釋上依舊 存在仍屬模糊的地帶,有待相關實務學說發展。
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
我國金管會決定採取業者自律模式,即在不修法之前提下以市場驅動我國Open banking之發展,然在現行銀行法第48條第2項要求銀行須保密消費者之存放款與匯款 資料,雖然只要取得當事人同意銀行即可將資料開放予TPP,然消費者過去給予銀行 之同意是否得擴張、特定至Open banking相關服務,仍有疑慮。此種情形有待金管會 發布相關函釋,或是再次取得消費者同意。在我國個人資料保護法即將修法與GDPR 規範一致化的未來,我國銀行以及TPP未來在提供Open banking相關服務時,應合於 個人資料保護規定。
第二項 本文建議
為最大化減少個人資料外洩、增強Open banking模式下之個人資料保護,本文 建議我國政府可以藉由事前建立TPP登記制度達成此一目的。若不幸真的發生個人資 料外洩事件,銀行與TPP間事後的明確責任分擔也可以減少損害的擴大。
第一款 事前登記制度
各國為降低實行Open banking時的資訊安全以及消費者個人資料管理風險,多 設有TPP資格審核制度,確保TPP在Open banking生態系統提供消費者金融服務時,其 資訊安全等級與高度監管之金融機構相持平,以在有個人資料洩漏、或未經授權之交 易發生時,消費者可以獲得適當的損害賠償。各國對於TPP之資格限制及管理方式皆 有不同,目前各國審查TPP資格之方式有許可、登記、認證三種,其中許可制較為明 確,即符合一定條件後由政府發給執業證照。
歐盟地區針對風險較高之PISP採取許可制之方式核發執照,並對初始資本額設 有5萬歐元之門檻限制,AISP則僅需登記即可。英國目前由於仍未脫離歐盟,仍採行
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
與PSD2一致之審核模式,惟英國議會已通過於2020年1月31日脫歐,英國在此之後是
與PSD2一致之審核模式,惟英國議會已通過於2020年1月31日脫歐,英國在此之後是