強制開放：立法明定資料所有權屬於消費者

2014年3月24日，澳洲財政部任命了一個國際諮詢小組（International Advisory Panel）調查澳洲的技術變革、全球競爭力以及其他國家的監管框架等，並於同年11 月完成並發佈該次調查的結果《金融系統調查報告」（Financial System Inquiry Final Report）¹⁶⁵。該報告建議政府授權生產力委員會（Productivity Commission）評估增加 資料可用性和改善資料使用所須花費的成本以及可能增加的收益，並考量適當的隱私 保護¹⁶⁶。2015年，澳洲競爭政策審議小組（Competition Policy Review Panel）鑑於亞 洲和其他新興經濟體的崛起對澳洲整體經濟狀況帶來挑戰，檢討澳洲當時的競爭政策 並作出《2015年競爭政策報告》（the Competition Policy Review Final Report）。報告 指出，考量到企業為了更了解消費者偏好，其蒐集的資料越來越多，建議政府思考透 過某些措施使澳洲消費者能夠以有效率的方式獲取資料，如此一來可以改善使他們在 做決定時獲得的資訊¹⁶⁷。另外，該報告認為澳洲銀行業整體競爭程度是足夠的

（generally adequate），但澳洲金融體系高度集中以及垂直整合的特色可能會限制競 爭所帶來的益處¹⁶⁸。上述兩個報告的建議為澳洲開放資料發展的濫觴。

澳洲生產力委員會採納上述兩個報告之建議，針對澳洲「資料普及性及使用」

的現況進行調查，並於2017年3月公布《資料取得與使用》（Data Availability and Use）

報告。該報告指出，為了提高澳洲整體創新和競爭力，促進企業新產品和服務的開發，

165 Murray, Financial System Inquiry Final Report, November 2014, at vii.

166 Id. at 181. “Review the costs and benefits of increasing access to and improving the use of data, taking into account community concerns about appropriate privacy protections.”

167 Professor ian Harper, Peter Anderson, Su Mccluskey, Michael o’Bryan Qc, Competition Policy Review Final Report, March 2015, at 54. “… allow consumers to access information in an efficient format to improve informed consumer choice.”

168 Id. at 18.

‧

該被賦予一個綜合性的權利（comprehensive right），該權利應使消費者得以機器可 讀（machine-readable）的格式取得資料，或移轉給指定的第三方¹⁷¹。

澳洲財政部長莫里森（Hon Scott Morrison）委託法雷爾（Scott Farrell）主持的

《澳洲開放銀行評論》（Review into Open Banking in Australia）於2017年7月20日公 佈，建議澳洲以立法制定《消費者資料權法》（Consumer Data Right Bill, 以下簡稱 為CDR法）的方式推動開放銀行政策，如此一來即可以令澳洲人民更全面地掌握其資

170 Productivity Commission, Data Availability and Use, March 2017, at 544.

171 Id. at 191. “Under the new Right, all consumers would have a right to obtain a machine-readable copy of their own digital data, provided to them and/or to a nominated third party, such as a potential new service provider.”

172 The Treasury of Australian government, Consumer Data Right, https://treasury.gov.au/consumer-data-right (last visited:2019/11/20).

‧ 國

立 政 治 大 學

‧

N a tio na

l C h engchi U ni ve rs it y

第二款 消費者資料權法

澳洲政府於2019年8月1日通過了《2019年消費者資料權聯邦法案》，該法案主 要是對《2010年競爭和消費者法》和1988年《隱私法》的修正。其中CDR法與銀行相 關的部分通常被稱為Open banking。由於2019年5月澳洲舉行聯邦大選，2019年初首 次提交國會的草案已失效，與實際通過的法案版本不同¹⁷³。除了法案本身，制度面上 尚有其他相關規定，包括指定產業文件（Designation Instrument），消費者資料權規 則（Consumer Data Right Rules, CDR規則）以及資料標準。由Andrew Stevens擔任第 一任資料標準主席，CSIRO Data61則被任命為資料標準機構¹⁷⁴。

澳洲的開放銀行將分階段強制銀行開放資料，第一階段自2019年7月1日開始，

由澳洲的四大銀行（Big Four Banks）：澳洲聯邦銀行（Commonwealth Bank of Australia）、

西太平洋銀行（Westpac Banking Corporation）、澳盛銀行（Australia and New Zealand Banking Group）以及澳洲國家銀行（National Australia Bank）試行，提供關於信用卡、

金融卡、存款帳戶及交易帳戶等銀行產品資料；第二階段則係四大銀行於2020年2月1 日前開放關於抵押貸款帳戶、信用卡、金融卡，以及與包含存款和交易資訊在內的消 費者帳戶資料¹⁷⁵。其他銀行應於四大銀行施行12個月後跟進¹⁷⁶。以下將介紹澳洲CDR 法立法上較有特色的內容。

第一目 立法目的

按CDR法第56AA條，其指出本法的制定旨在使澳洲特定產業（designated sector）

的消費者能夠以安全、有效和方便的方式分享該些產業中與自己有關的資料，供經官 方認證的公司使用或用於他們認為合適的用途，使任何人皆能以高效率且方便的方式

173 Id.

174 Id.

175 Id.

176 Id.

‧ 國

立 政 治 大 學

‧

N a tio na

l C h engchi U ni ve rs it y

取得關於商品或與非可（合理）識別特定消費者的資料；如此一來，即可創造更多選 擇和競爭，或以其他方式促進公眾利益。

澳洲財政部指出，消費者資料權實行上應謹記四個關鍵原則：

一、消費者資料權應以消費者為中心，應自消費者的角度去思考；

二、消費者資料權應鼓勵競爭，使消費者在產品和服務上有更好的選擇；

三、消費者資料權應創造機會，提供一個框架去支持新想法、新商業模式的發展；

四、消費者資料權應有效且公平，在考慮資料安全性和隱私的同時，不會使資料取得 變得更加複雜或超出所需的成本¹⁷⁷。

由上可知，CDR法賦予消費者對資料的控制權，使消費者得以指示其服務提供 者（如銀行）與他人共享其資料，消費者資料權的立法似乎將資料的價值和視為一種 消費者的資產。

第二目 資料範圍

按CDR法，澳洲財政部可以指定適用CDR法的產業，一旦該產業在CDR法的架 構下被指定，則必須根據客戶的要求揭露CDR資料：所謂的CDR資料是與產品相關 的資料，包括消費者資料、帳戶資料、交易資料以及產品資料等¹⁷⁸。但由於澳洲開放 銀行分階段實施，不同階段的產品範圍不同：第一階段的產品較為基礎，包含存款帳 戶、交易賬戶、支票帳戶、信用卡及金融卡等¹⁷⁹；第二階段增加住宅抵押、投資抵押、

177 The Treasury of Australian government, CONSUMER DATA RIGHT OVERVIEW, September 2019, at 1. 178 ACCC, CDR Rules Outline, Dec. 2018, at 7.

179 Id.

‧ 國

立 政 治 大 學

‧

N a tio na

l C h engchi U ni ve rs it y

不動產擔保對沖帳戶¹⁸⁰；最後一個階段新增與個人以及企業的信貸額度及透支、資產 融資、信託帳戶、退休儲戶帳戶等產品服務相關之資料¹⁸¹。但「特定信用資料（credit information）」¹⁸²以及「實質性增強的資料（materially enhanced information）」¹⁸³被 排除在CDR法的範圍之外。所謂實質性增強的資料係指透過資料分析或轉換，使其與 原始資料相比後，可用性和價值提高許多的資料¹⁸⁴。舉例而言，如資產驗證評估的結 果（asset verification assessment）或利用外部資料（如地理位置）大幅改善交易上的 描述¹⁸⁵。

澳洲政府發布一個檢驗框架（見下圖），判斷一種資料是否屬於屬於CDR法所 規範的資料。若該種資料為指定文件中特定之資料，且在澳洲被產生、蒐集，且又為 澳洲之自然人或法人產生或持有，該資料即為適用CDR法的CDR資料；該筆資料雖 為指定文件中特定之資料類型，然其並非於澳洲被產生、蒐集，若其為澳洲之自然人 或法人產生或持有之情形，若該資料與提供給澳洲人之產品服務或是特定澳洲人有關，

該資料仍然屬於適用CDR法的CDR資料¹⁸⁶。

180 Id. at 8.

181 Id.

182 Consumer Data Right (Authorised Deposit-Taking Institutions) Designation 2019, Article 9.

183 Consumer Data Right (Authorised Deposit-Taking Institutions) Designation 2019, Article 10.

184 The Treasury of Australian government, Explanatory Materials of Treasury Laws Amendment (Consumer Data Right) Bill 2019, at 6.

185 Id.

186 The parliament of the commonwealth of Australia, Explanatory memorandum of Treasury Laws Amendment (Consumer Data Right) Bill 2019, at 25.

‧ 國

立 政 治 大 學

‧

N a tio na

l C h engchi U ni ve rs it y

圖6 CDR 法的 CDR 資料判斷架構（資料來源：澳洲聯邦議會）

第三目 CDR制度的參與者

在整個CDR制度下，參與資料處理過程的有三種角色：CDR消費者、經認證 的資料接收者（Accredited Data Recipient, ADR）與CDR資料持有者（data holder of CDR data）。CDR消費者指其CDR資料被CDR資料持有者或已認證的資料接收者所 持有的人¹⁸⁷；亦包涵可以從CDR資料被識別、或「合理識別（reasonably identifiable）」

出的人¹⁸⁸。因此CDR消費者可以是自然人或是法人，但自然人需年滿18歲¹⁸⁹。CDR 消費者必須是資料持有者的客戶，其可以藉由網絡瀏覽器或行動應用程式線上取得資 料持有者的產品，擁有與資料持有人相關的帳戶以及分享資料的相關權限¹⁹⁰。

所謂的ADR係指在提供產品服務給消費者或他人，並徵得消費者同意下，基於 提供產品服務的目的，向CDR資料持有者請求（make a consumer data request）CDR 資料的一方¹⁹¹。為取得澳洲競爭及消費者委員會（Australian Competition and Consumer

187 CDR Bill, Article 56AI(3)(b).

188 CDR Bill, Article 56AI(3)(c).

189 ACCC, CDR Rules Outline, Dec. 2018, at 6.

190 Id.

191 CDR rules, rule 4.3.

‧

Commission, ACCC）認證¹⁹²，ADR應符合以下五個要求：為適合的CDR資料管理人；

具適當的實務經驗、程序以及系統來管理CDR資料與資訊安全風險；具有符合CDR 規則要求的內部爭端解決程序；為CDR的EDR（External Dispute Resolution）方案成 員之一；擁有足夠（adequate）的保險或相當的擔保，以補償消費者因CDR制度下所 受到的損失¹⁹³。ACCC並已於2019年9月發布關於上述認證標準的《認證申請指南草 案》（Draft Accreditation Application Guidelines）¹⁹⁴。然保險額究竟要多少才可以被 認定為「足夠」，上述草案指出，由於不同的ADR所營業務不同，其風險及足夠的 保險範圍亦有所影響，ACCC在考慮ADR的保險是否足夠時，應將保險人之承保範圍 和保單條款納入考量¹⁹⁵。

資料持有者係持有原始資料，或者直接、間接從原始資料中取得CDR資料的人

（或代表人）¹⁹⁶，而在金融業的資料持有者通常為授權存款機構（Authorised

Deposit-taking Institution, ADI）。資料持有者在收到ADR的請求後，原則上應向消費 者請求揭露資料之授權¹⁹⁷。但若資料持有者基於防止身體或財務上損失或濫用的必要；

或有合理理由（reasonable grounds）認為揭露該資料的一部或全部將對ADR或是消費 者本身產生不利影響，資料持有者有權拒絕ADR的請求¹⁹⁸。

第四目 經告知同意（Informed Consent）

CDR規則中規定了同意的要件，並說明ADR應如何取得消費者的同意以及同意

194 ACCC,CDR draft accreditation guidelines, Sep. 25 2019,

https://www.accc.gov.au/focus-areas/consumer-data-right-cdr-0/cdr-draft-accreditation-guidelines .

195 ACCC, Consumer Data Right Supplementary accreditation guidelines: insurance, Sep. 23 2019, at 4.

196 CDR Bill, Article 56AJ(1).

197 CDR rules, rule 4.5.

198 CDR rules, rule 4.7.

‧

以書面通知ADR、或使用儀表板撤回其同意²⁰¹。此時ADR必須儘快實行同意的撤回

（give effect to the withdrawal），最晚必須在其收到的兩個工作天內完成；並將通知 資料持有人消費者已撤回其同意²⁰²。關於同意的有效期間，ADR必須徵得消費者的

204 The parliament of the commonwealth of Australia, supra note 186, at 26.

205 Id.

206 Id.

‧ 國

立 政 治 大 學

‧

N a tio na

l C h engchi U ni ve rs it y

小型ADI於2020年7月1日前，即便消費者請求也不需要揭露銀行資料，但一旦該ADI

小型ADI於2020年7月1日前，即便消費者請求也不需要揭露銀行資料，但一旦該ADI

在文檔中 Open banking 涉及之個人資料保護問題 - 政大學術集成 (頁 54-63)