第四節、 開放銀行的法制建構
2. 銀行法
國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
非一般格式之情況下,對於開放銀行欲將消費者資料於銀行與第三方服務提供 者間傳輸,使消費者獲得創新金融服務之目的難以達成。惟可攜權亦有前提,
資料提供須在技術可行之前提下,換言之,如技術不可行時,資料管理者得不 予提供。
差異其二,個資法提供資料對象為當事人本人,未涵蓋經授權之第三人,
而開放銀行之操作係為消費者授權第三方服務提供者向銀行索取資料,如銀行 以現行個資法規定拒絕將資料提供予第三方服務提供者似非不可行292。
第三項差異,可攜權所指之資料,為資料當事人曾提供給資料管理者的資 料,而未涵蓋其他與資料當事人相關但非資料當事人提供的資料。於開放銀 行,消費者開立帳戶時提供給銀行的姓名、性別、出生年月日等資料,屬可攜 權中所指資料當事人曾提供給資料管理者的資料,但如帳戶餘額、繳款情況等 資料,已非屬資料當事人提供給資料管理者的範疇。
為使消費者確能行使將存放於銀行之個人金融資料經由API 介接提供給第 三方服務提供者之權利,並使銀行可依法行事避免受主管機關裁罰之疑慮,似 可參考資料可攜權之觀念,而非直接移植以修訂個資法第10 條。惟如修訂個資 法,其適用範圍將不僅限銀行資料,而適用於所有個人資料,尚不論其正當 性,慮及修法成本及時間,恐與採自律自願開放銀行模式之初衷相違背。故如 於不修訂個資法之情況下,為避免銀行施行開放銀行有違法之虞,於次節討論 銀行法之修訂與否。
2. 銀行法
前節個資法修定的討論,為使消費者能經由授權,將存放於銀行的個人金 融資料經由API 介接提供給第三方服務提供者,是否參考 GDPR 可攜權觀念修 訂個資法第10 條。惟修訂個資法尚有是否具正當性且適用範圍是否過廣之疑 慮,故本文未建議修訂。而與銀行施行開放銀行是否違法之相關法規尚有銀行 法第48 條第 2 款保密義務,是否需修訂於本節討論。
開放銀行係為將消費者存於銀行的金融資料,經消費者同意授權後,安全 地由第三方服務提供者透過API 介接,取得資料後提供金融創新服務予消費 者。然而,銀行對於消費者資料,依銀行法第48 條第 2 款,具有保守秘密的義
292 同註 163。
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
務,惟有例外情形者方得豁免,依據中華民國九十七年十二月三十日總統華總 一義字第09700279621 號令修正公布,豁免情況共四種,分別為(一)法律另 有規定(二)對同一客戶逾期債權已轉銷呆帳者,累計轉銷呆帳金額超過新臺 幣五千萬元,或貸放後半年內發生逾期累計轉銷呆帳金額達新臺幣三千萬元以 上,其轉銷呆帳資料(三)依第一百二十五條之二、第一百二十五條之三或第 一百二十七條之一規定,經檢察官提起公訴之案件,與其有關之逾期放款或催 收款資料(四)其他經主管機關規定之情形。依現行銀行法規定,銀行在施行 開放銀行時,確有消費者資料保密的限制。故縱消費者授權同意,銀行是否即 得依此將消費者金融資料提供給第三方服務提供者,恐尚有可議之處293。
依現行業務合作自律規範,銀行對於第三方服務提供者負有遴選之責,且 於消費者爭議發生時,於無法證明消費者顯有過失之情況下,先行賠付消費者 損失,除事後與第三方服務提供者釐清責任的時間及人力成本外,更可能損及 銀行形象。因此,於未修訂銀行法下施行開放銀行,對於銀行恐尚不明確294。 於法規尚存灰色地帶之情況下,恐難使銀行全力施行開放銀行。惟修法成本高 且耗時,是否得以銀行法第48 條第 2 款第 4 項以其他經主管機關規定之情形,
由金管會公布規定,銀行得於施行開放銀行時,經確認獲得消費者授權,豁免 其保密義務,似屬可行。
惟若得以銀行法第48 條第 2 款第 4 項以其他經主管機關規定之情形,豁免 銀行保密義務,但銀行仍未有提供資料之義務。為促使開放銀行施行,是否得 於銀行定型化契約中增列相關規定,於避免修法成本高築之前提下,應亦為選 項。又或金管會得為開放銀行之實施,對銀行業設立獎勵及競賽,又或將其設 定為評鑑制度之一環,亦為促進開放銀行施行之方法。本節建議不透過修訂個 資法及銀行法,改採其他手段促進開放銀行之施行,惟建議仍應持續觀察實際 施行情況,如仍有執行上之困難,不排除修法可能。
(二)設立第三方服務提供者認證機構
293 蕭長瑞,【金融事輕鬆談】Open Banking 與數據自主權,2018 年 11 月 23 日,
http://www.appacus.org.tw/xmdoc/cont?xsmsid=0H257354211300229964&sid=0I327365782169758 218(最後瀏覽日 2020 年 10 月 31 日)。
294 同註 163。
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
開放銀行之啟動,自銀行選擇與第三方服務提供者合作為起點,因臺灣採 自律自願模式,銀行須就欲合作對象是否合規進行檢視。開放銀行第一階段為 公開資料查詢,原本即屬公開資訊,且與消費者資料無涉,因此阻礙較少。然 而第二階段,經消費者授權提供的是消費者存於銀行的資訊,涉及個資,第三 方服務提供者的資安狀況,重要性躍於紙上。銀行公會與財金公司分別制定的 業務合作自律規範及安控作業規範,對於第三方服務提供者均有相關規定,然 而實務執行上可能遇到,銀行無法確定要求第三方服務提供者安控規定遵行到 何種程度可謂合規,在與第三方服務提供者合作出現消費者爭議時,依現行規 定先由銀行擔負責任的情況下,不可避免地銀行對於第三方服務提供者的資安 要求可能相對嚴謹,或以金管會要求銀行的資安水平檢視之。而第三方服務提 供者接收消費者資訊原即應符合資安規範,然而資安規範可能因不同銀行而有 不同要求,增加第三方服務提供者合規的成本及不確定性。且當第三方服務提 供者與多家銀行合作時,可能對其資安控管多次檢視,都可能影響第三方服務 提供者提供創新服務及產品的速度。開放銀行發展的基礎之一,即為消費者資 料能被妥善保護,然而為了達到保護效果,而發生莫衷一是的情形,反而抑制 了開放銀行發展的可能性,對於開放銀行的初衷,使消費者掌握個人資料以獲 得創新金融產品及服務,反倒產生揠苗助長的現象。
參考開放銀行先行的英國及澳洲,分別由FCA 及 ACCC 負責驗證第三方 服務提供者,並建立名單供公開查詢。此舉在驗證上可有一定的標準,避免不 同銀行標準不一,銀行也無須擔心自身設立的標準為主管機關挑戰。對第三方 服務提供者而言,則是面對單一機構且為政府機關的查驗標準,一來溝通聚 焦,二來降低重複查驗或不同銀行標準導致的成本增加。而經FCA 及 ACCC 驗證通過的第三方服務提供者,其最新名單會透過FCA 及 ACCC 公告,有助 於銀行檢視外,消費者同時也可確認選擇的產品或服務的第三方服務提供者,
是否經過主管機關認證,除提升信賴度,亦有助於開放銀行的發展。思及開放 銀行的長遠發展,建立第三方服務提供者認證機構,應有其價值及必要性(見 圖 12)。
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
圖 12、臺灣開放銀行架構建議–設立第三方服務提供者認證機構
資料來源:本研究整理
然而,如要建立第三方服務提供者認證機構,以臺灣開放銀行而言,應由 何單位擔任較適宜。參考金管會金融科技發展路徑圖報告書所言,因金管會非 第三方服務提供者的主管機關,其涉入第三方服務提供者管理於法無據,充其 量只能依第三方服務提供者與銀行締結之合約,因金管會為銀行主管機關而間 接要求第三方服務提供者應依約履行其義務295。思考金管會之專業,以金融專 業知識為主,雖說因應時勢有擴大專業之必要,但恐非短時間內一蹴可幾。然 而,開放銀行的發展與時俱進,如受限政府單位之發展速度,恐非推動政策初 衷所樂見。思及現行安控作業規範,係由財金公司訂定,且管理開放API 管理 平台,如能擴大功能至提供第三方服務提供者認證服務,除有明確認證單位 外,財金公司亦可藉由與第三方服務提供者間的互動,修訂安全作業規範,在 保護資安及發展創新服務之間,儘可能地尋求平衡點,以使開放銀行能順利施 行。綜上觀點,由財金公司擔任第三方服務提供者認證機構似存有可行性。而 長期是否有另設獨立認證機構之必要,應可依業務負荷及施行形況再行評估
(見圖 13)。
295 金融監督管理委員會,金融科技發展路徑圖,頁 38,「TSP 非屬金管會依法轄管之機構,因 此其介接金融機構於處理客戶資料時,仍應有相關管理機制,以確保客戶資料及系統之安全 性,並落實客戶之權益。」,
https://www.fsc.gov.tw/uploaddowndoc?file=news/202008271855440.pdf&filedisplay=1090827%E9%
87%91%E8%9E%8D%E7%A7%91%E6%8A%80%E7%99%BC%E5%B1%95%E8%B7%AF%E5%
BE%91%E5%9C%96%E5%A0%B1%E5%91%8A%E6%9B%B8%28%E4%BF%AE%29.pdf&flag=d oc,2020 年 8 月 27 日。
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
圖 13、臺灣開放銀行架構建議–財金公司擔任第三方服務提供者認證機構
資料來源:本研究整理
(三)設立消費者爭議處理機構
當消費者開始授權銀行,將個人資料提供給第三方服務提供者,並開始使 用相關產品及服務後,必會有爭議開始發生,諸如個人資料外洩、授權程序有 瑕疵、消費者無法清楚了解其授權的內容及期限、非被直接授權之機構獲得消 費者的資料、第三方服務提供者的產品及服務與消費者預期有差異等等。因開
當消費者開始授權銀行,將個人資料提供給第三方服務提供者,並開始使 用相關產品及服務後,必會有爭議開始發生,諸如個人資料外洩、授權程序有 瑕疵、消費者無法清楚了解其授權的內容及期限、非被直接授權之機構獲得消 費者的資料、第三方服務提供者的產品及服務與消費者預期有差異等等。因開