歐盟個人資料保護架構

國

立 政 治 大 學

‧

N a tio na

l C h engchi U ni ve rs it y

第二節 歐盟個人資料保護架構

根據《歐洲聯盟基本權利憲章》（Charter of Fundamental Rights of the European Union, ECtHR）第8條以及歐洲聯盟運作條約（Treaties of the European Union, TFEU）

第16條，任何人皆享有保護其個人資料之權利。觀察歐盟之個人保護架構，關於資料 保護的普通規定為《一般資料保護規範》（General Data Protection Regulation (EU) 2016/679, GDPR），與金融個人資料相關的法規尚有《電子隱私規範》（ePrivacy Regulation, ePR）以及《洗錢防制指令第五號》（the Fifth Anti-Money Laundering Directive, AMLD5）。

第一項 GDPR

第一款 概述

快速的科技發展及全球化對於個人資料之保護帶來了新的挑戰。無論是資料產 生的速度，或是個人資料被蒐集與共享的規模，相較過往幾年已有顯著提升。為因應 網路的普及和資料遽增的浪潮， 2012年1月25日歐盟執行委員會提議對歐盟1995年的 資料保護規則進行全面改革，以加強網路隱私權並促進歐洲的數位經濟；同年3月7 日，歐洲資料保護機關（The European Data Protection Supervisor, EDPS）通過委員會 的資料保護改革方案；2014年3月12日歐洲議會（The European Parliament）贊成應立 法GDPR以進行改革；2015年6月，歐洲資料保護委員會（The European Data Protection Board, EDPB）取代歐盟第29條資料保護工作小組（Article 29 Data Protection Working Party），確保在整個歐盟中GDPR適用上的一致性²⁸⁶。GDPR在歐洲議會、歐盟理事

286 EDPS, The History of the General Data Protection Regulation,

https://edps.europa.eu/data-protection/data-protection/legislation/history-general-data-protection-regulation_

en# (last visited:2019/11/27).

‧ 國

立 政 治 大 學

‧

N a tio na

l C h engchi U ni ve rs it y

會（the Council）以及歐盟執行委員會達成共識後，於2016年5月25日生效，並在兩 年過渡期間後直接適用於歐盟各國。

在歐盟本次資料保護法規改革後，法規位階自「指令」（《個人資料保護指令》

1995 Directive 95/46/EC）提升至「規範」，故效力將直接適用於歐盟各國，毋庸再轉 換為內國法。且GDPR作為歐盟處理個人資料的一般性原則，生效後較過往採取更嚴 格之標準。以下將GDPR之特色臚列於下，分別介紹。

第二款 規範主體及適用範圍

GDPR將與個人資料利用相關人士分為資料主體（data subject）、資料控制者

（data controller）以及資料處理者（data processor）三種。

資料主體即我國法下的個人資料當事人，指可以透過其個人資料識別或可得識 別之自然人；資料控制者係指單獨或與他人共同確定處理個人資料的目的及方式之自 然人或法人²⁸⁷；資料處理者則為代表資料控制者處理個人資料的自然人或法人²⁸⁸。由 於資料主體僅限於自然人，GDPR保護的資料範圍並不包含法人之資料²⁸⁹。此處應釐 清者係，Open banking生態系統之TPP所取得之資料固然係由銀行所分享，然TPP處理 個人資料之原因係為自己創新業務之發展，並非基於銀行委任協助銀行處理資料，故 即便TPP與銀行間簽有契約，本文認為其在Open banking之個人資料處理流程中所扮 演之角色仍為資料控制者。

另外，GDPR的域外效力使其幾乎將全球的跨國企業皆納入其適用範圍。GDPR

287 可能為公部門或私部門。

288 GDPR Article 4 (1) & (7) & (8).

289 GDPR Recital 14.

‧ 國

立 政 治 大 學

‧

N a tio na

l C h engchi U ni ve rs it y

除了適用於成立於歐盟之公司，也適用於非成立於歐盟、但對歐盟境內民眾提供商品 服務、或監控其行為之公司²⁹⁰。

因此對銀行而言，其須注意除了客戶資料外，銀行員工相關資料之蒐集處理及 利用亦應符合GDPR相關規定。而在Open banking模式下，跨國TPP如Paypal亦會受 GDPR之域外效力所及，故應特別注意。

第三款 當事人權利之強化

第一目 同意

在資料主體有效同意之情形，資料控制者得對其一般個人資料進行處理²⁹¹；有 效的同意必須是資料主體自主給予（be freely given）、特定（specific）、經告知的

（informed）、且清楚表明其意願（unambiguous indication of wishes）²⁹²。資料主體 得隨時撤回其同意，且撤回同意不得影響撤回前基於先前同意處理資料的合法性；資 料控制者必須確保已制定適當的流程，使資料主體撤回同意十分容易。

GDPR對同意的嚴格要求在Open banking實施上產生若干問題，銀行以及TPP必 須隨時確定其正在處理之個人資料，其同意是否仍為有效或已經撤回。究竟獲取消費 者同意之主體係銀行還是TPP？又消費者撤回同意後，接收到撤回同意意思表示之主 體應如何通知他方？此部分將於下一節進一步探討之。

第二目 資料控制者之告知義務（Obligation to provide information）

GDPR要求資料控制者在蒐集資料主體的資料時，應告知資料主體其隨時得撤

290 GDPR Article 3.

291 GDPR Article 7.

292 GDPR Recital 32 & Article 4(11).

‧ 國

立 政 治 大 學

‧

N a tio na

l C h engchi U ni ve rs it y

回其同意，有權更正、刪除其個人資料，擁有資料可攜權並得對個人資料之處理進行 限制；資料控制者亦應提供其聯絡方式、處理資料之目的及法律依據，說明是否有對 資料主體之個人資料進行自動化決策之分析，以及是否有資料接收者對個人資料進行 進一步的利用。銀行以及TPP在進行與Open banking相關業務時，應告知消費者其在 個人資料使用上享有的權利，以落實其告知義務。

第三目 資料可攜權（Right to data portability）

為了進一步加強資料主體對自己資料的控制，並鼓勵資料控制者開發可互操作 的資料格式以實現資料可攜性²⁹³，在以同意或契約義務作為合法處理個人資料基礎的 前提下，資料主體有權以結構化、常用和機器可讀的資料格式接收他提供給資料控制 者的個人資料，並得將該些資料傳輸給另一個資料控制者²⁹⁴。

Open banking生態系統的發展很大程度上促進了金融產業資料可攜性，透過API 的串接，銀行得將消費者資料結構化，並以機器可讀的格式將資料分享給外部的TPP 或是其他家銀行。

第四目 拒絕權

除非資料控制者主張其有凌駕於駕於資料主體的利益、權利和自由之上的合理 理由，否則資料主體將有權拒絕基於資料控制者的「合法利益」或「公共利益」下的 個人資料處理²⁹⁵；若係於出於直接的行銷目的（directly marketing purposes），消費 者亦得隨時拒絕²⁹⁶。資料控制者必須在與資料主體首次聯絡時明確告知（be explicitly

293 GDPR Recital 68.

294 GDPR Article 20.

295 GDPR Article 21(1).

296 GDPR Article 21(2).

‧ 國

立 政 治 大 學

‧

N a tio na

l C h engchi U ni ve rs it y

brought to the attention）其有反對的權利，且該告知應與其他資訊分開並清楚呈現²⁹⁷。

雖然實務上銀行及TPP多係以當事人同意的方式取得合法利用當事人資料之基 礎而無此條適用餘地，然須注意的是，若係基於行銷目的使用消費者個人資料，銀行 及TPP負有告知以及清楚呈現的義務。 在銀行及TPP內部管理上，為確保能夠有效率 地在Open banking生態系統合作，建議可以共同建立一系統以管理消費者相關請求以 及同意。

第五目 自動化處理資料之限制

為了確保對資料主體的資料進行公平和透明的處理，防止特定資料對其產生歧 視性影響²⁹⁸，GDPR禁止資料控制者對其持有的資料進行剖析（profiling），即自動 化處理消費者資料以識別和評估個人特徵如健康、興趣、工作表現以及經濟狀況等

299。

在金融科技蓬勃發展下，銀行越來越仰賴自動化決策以為其服務創造更高的價 值，例如投資理財服務、消費者日常支出分析（expenditure evaluation）等。但是若 銀行基於當事人同意、契約義務或是法律上義務（如監控逃稅行為及詐欺³⁰⁰）等正當 理由，則可以針對個人資料進行自動化決策，如評估是否同意或是拒絕消費者貸款的 情形。若消費者對自動化決策的結果提出質疑，銀行必須能夠證明自動化決策係有意 義且無偏見的（unbiased）。在Open banking模式下，可能會限縮銀行以及TPP可以運 用資料的方式。

297 GDPR Article 21(4).

298 GDPR Recital 72.

299 GDPR Article 4(4) & 22(1).

300 GDPR Recital 71.

‧ 國

立 政 治 大 學

‧

N a tio na

l C h engchi U ni ve rs it y

第六目 小結

由上述可知，GDPR藉由當事人同意之要件、資料控制者之告知義務、資料可 攜權、拒絕權及自動化處理資料限制等制度設計，強化當事人作為資料主體之權利。

銀行或是金融機構除須告知消費者其在個人資料保護法架構下享有之權利，亦須特別 留意其是否儲存不合適或是應該被其遺忘的資料。為對消費者的個人資料進行適當的 控制及管理，並確保銀行及TPP符合GDPR要求大規模並定期監測當事人之資料控制 者須設有資料保護長（Data Protection Officer, DPO）之規定³⁰¹，本文建議銀行與TPP 在提供Open banking相關服務時，應任命內部之個人資料負責人，妥善管理其持有或 利用到之個人資料。

第四款 資料保護設計及預設（Data protection by design and default）

GDPR要求資料控制者在衡量現有技術水準、實施所需成本以及對資料主體權 利的影響，應以適當的手段及措施實施資料保護設計及預設³⁰²。資料保護設計係指藉 由技術面的設計進行資料保護，其背後的法理為，若所有資料控制者在資料處理系統 設計時已將資料保護措施內建於系統中，則個人資料可以得到最完善的保護。但是 GDPR並未對資料保護設計進行明確定義。又關於資料保護預設，其指的是資料控制 者所提供的產品服務，其預設應符合個人資料保護規範。舉例而言，在網頁彈出視窗 欲使資料主體同意個人隱私政策時，該同意的方框不可預設打勾，再由資料主體自行 將打勾取消。

資料保護設計對Open banking生態系統的參與者而言，需要花費更多心力在檔 案管理以及相關系統的建置上，以在有資料外洩事件發生時，可以即時告知資料主體 及主管機關並進行資料保護影響評估（Data Protection Impact Assessment, DPIA），將

301 GDPR Article 37(1).

302 GDPR Article 25.

‧ 國

立 政 治 大 學

‧

N a tio na

l C h engchi U ni ve rs it y

傷害減至最低；PISP和AISP在規劃、設計新產品服務時更是要注意資料保護設計預 設，在產品服務上市前確實考量其對個人資料保護的影響。

第五款 大幅提高罰款

針對輕度違反GDPR的案件，如違反資訊社會服務適用兒童同意之要件、不須 識別之處理以及隱私設計和預設等規定，可處以2000萬歐元或該家企業上一會計年度

針對輕度違反GDPR的案件，如違反資訊社會服務適用兒童同意之要件、不須 識別之處理以及隱私設計和預設等規定，可處以2000萬歐元或該家企業上一會計年度

在文檔中 Open banking 涉及之個人資料保護問題 - 政大學術集成 (頁 84-95)