第四章 Open banking 之個人資料保護
第三節 Open banking 法制與資料保護法規之調和
國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
第三節 Open banking 法制與資料保護法規之調和
由於目前Open banking及個人資料保護以歐盟地區發展最成熟,故本章將Open banking法制與資料保護法規之討論限縮於歐盟法規。PSD2要求銀行應客戶的要求向 第三方開放對帳戶數據的訪問權限;GDPR亦要求銀行確保消費者之資料可攜性。然 在兩個法律框架於歐盟均生效之後,仍存在一些不確定性,造成個人與企業合規上的 難題。是否以及如何能夠藉由法律解釋來為其解套,即為本章之重點。
第一項 受規範資料之範圍
關於資料之類型,GDPR 區分資料為一般性個人資料(personal data)以及特 種個人資料(“special categories” of personal data)。GDPR規定所謂的個人資料指的 是可識別或可得識別自然人(「資料主體」,即資料當事人)之任何資訊;「可得識 別」係指得以直接或間接地識別該自然人,包含姓名、身分證字號、位置資料等。而 所謂特種個人資料則包含揭露種族、政治、宗教或信仰之個人資料、基因、用於識別 之生物特徵、以及與健康相關或與當事人之性生活或性傾向有關之個人資料318。
PSD2 並無明確於條文規定適用的資料範圍為何,其僅在第5條第32項則指出,
所謂的敏感性付款資料(sensitive payment data)包括個人安全憑證(personalised security credentials)等可用於進行詐欺的資料;對PISP以及AISP而言,帳戶持有者的 姓名和帳號不構成上述敏感性付款資料。PSD2及RTS皆未對何謂敏感性付款資料進 行進一步說明,似乎留待個別銀行自行定義。就此部分,Deloitte指出PSD2未明確定 義敏感性付款資料之範圍造成法律解釋面及Open banking實施面的挑戰,並增加了監
318 GDPR Article 4(1) & 9(1) &13-15.
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
管不合規的風險319。
然有疑問者係,PSD2規定之敏感性付款資料是否為GDPR架構下之特種個人資 料? 有論者認為,GDPR並未將付款資料(payment data)列舉於條文之中,故其並 非特種個資的類型之一320。然本文認為,若一消費者以指紋、靜脈、或是臉部辨識等 生物特徵作為其登入銀行帳戶之憑證,此種情形下,該生物特徵可能同時落入PSD2 敏感性資料以及GDPR特種個人資料之範疇。此時即產生一個法規適用上問題:PSD2 禁止PISP以及AISP儲存消費者的敏感性付款資料;然按GDPR,只要消費者明確同意,
PISP以及AISP即可對特種個人資料進行蒐集、處理及利用。若PISP以及AISP僅處理 消費者敏感性付款資料,固無疑義;然一旦PISP以及AISP取得消費者明確同意而將 消費者用於登入銀行帳戶之生物特徵資料儲存於其伺服器,則會產生GDPR下合法但 違反PSD2的情形。
目前實務尚未有相關案例,然本文認為可以繼續關注未來歐盟是否會發展出敏 感性付款資料更加具體的定義,以釐清其與GDPR適用的問題。
第二項 同意
在GDPR的規定下,個人資料僅得於六種情形下被蒐集、處理及利用,即基於 當事人的同意、基於契約義務的遵守、基於法定義務的遵守、基於對當事人或其他人 重大利益的保護、基於公益或公權力考量,以及基於資料控制者的合法利益321。
319 Deloitte, PSD2 and GDPR – Harmony or Dissonance?,
https://www2.deloitte.com/cz/en/pages/legal/articles/psd2-a-gdpr-harmonie-ci-disonance.html (last visited:
2019/11/18).
320 Jᴇʟᴇɴᴀ Mᴀᴅɪʀ, FɪɴTᴇᴄʜ: Lᴀᴡ ᴀɴᴅ Rᴇɢᴜʟᴀᴛɪᴏɴ 44 (2019).
321 GDPR Article 6.
‧
consent)。對此議題,歐盟第29條資料保護工作小組發佈了《同意指導原則》(Guidelines on Consent under Regulation 2016/679,以下簡稱《原則》),對當事人同意之要件進 行更細緻的規定。根據GDPR前言以及《原則》,一個有效的同意必須是當事人自主給予(be freely given)、特定(specific)、經告知的(informed)、且清楚表明其意願(unambiguous indication of wishes)。若同意被綑綁在契約中不可協商的部分,則推定該同意並非當 事人自主給予;在衡量當事人同意是否具備自主性時,應將資料控制者以及資料主體 過「清楚且肯定的行為(clear affirmative act)」清楚表明其同意,即資料主體必須採 取明確的行動以同意特定目的的資料處理327。例如在安裝電腦軟體時,其多半會徵求 軟體使用者同意其隱私政策,若消費者主動選取方框勾選「我同意」,即屬「清楚且
322 GDPR Article 7.
323 會員國可自由決定「兒童」範圍,其年齡應介於 13 至 16 歲之間。
324 ARTICLE 29 DATA PROTECTION WORKING PARTY, Guidelines on Consent under Regulation 2016/679, at 5.
325 Id. at 11.
326 Id. at 13.
327 Id at 16.
‧
用、或儲存用戶的個人資料331。PSD2亦有將GDPR規定明文化,規範支付服務提供商 應僅在付款服務用戶明確同意的情況下取得(access)、處理(process)、或保存(retain)其付款服務所需之個人資料332,故PSU可以自由決定資料分享的範圍。PSD2並未如 GDPR明文要求「同意」須符合許多要件。
333 Niels Vandezande, Reconciling Consent in PSD2 and GDPR, Mar. 2019,
https://thepaypers.com/expert-opinion/reconciling-consent-in-psd2-and-gdpr/777976 (last visited:
2019/11/18).
‧
的合法依據。小組更進一步指出,PSD2下的明確同意是契約上的同意(contractual consent),應被視為一項附加要求而有別於GDPR的資料處理同意335,但為了符合 GDPR的要求,在契約之中仍應指定處理消費者個人資料的目的。https://edpb.europa.eu/sites/edpb/files/files/news/psd2_letter_en.pdf (last visited: 2019/11/18).
335 Id.
336 EBA, Opinion of the European Banking Authority on the implementation of the RTS on SCA and CSC, Jun. 13 2018, at 4. “It is the EBA’s view, after discussing it with the Commission, that, where AIS or PIS are provided to a payment service user (PSU) following a contract that has been signed by both parties, ASPSPs do not have to check consent. It suffices that AISPs and PISPs can rely on the authentication procedures provided by the ASPSPs to the PSU, when it comes to the expression of explicit consent.”
337 見本文 3.1.1.2.3 同意及撤回同意。
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
或儲存(store)338。然PSD2並未解釋須明確至何種程度才可以符合「明確請求」之 標準,而得以進行個人資料的相關利用行為。其判斷標準究竟係GDPR一般個人資料 有效同意之「清楚表明其意願」要件,即消費者於服務契約上勾選願意令TPP基於各 該目的利用其個人資料即可;還是如同GDPR特種個資對於「明確同意」所採取之嚴 格標準,而須另外以書面明確請求,用語十分模糊不清。
本文以為,為與GDPR之個人資料之規範標準一致,在付款資料並非特種資料 之前提下,此處之「明確請求」應採取較寬鬆之標準即可。
第四項 沉默方資料之處理(Silent Party Data Processing)
當銀行共享消費者的資料予TPP時,可能會包含未明確表示同意第三方之資料,
此種資料即為「沉默方資料(silent party data)」。舉例來說,在消費者同意PISP處 理其資料使資金移轉到另一個人(即「沉默方」)的帳戶時,為了使交易能夠成功完 成,該PISP勢必會取得或處理到沉默方之個人資料。
有疑問者係,此種情形下TPP是否具有適當的法律基礎處理該沉默方之個人資 料?EDPB指出,在此種情形下,由於PISP和AISP與服務使用者間有簽訂契約,其可 以該處理資料之行為係出於資料控制者或第三方之「合法利益」作為處理資料的法律 基礎,而無須取得沉默方的同意即可處理其資料339。
若根據上述見解,則Open banking模式中TPP即可主張其處理資料之行為係基於 一個支付服務提供商之合法利益。惟仍須注意的是,由於此時PISP和AISP係以「合 法利益」作為處理資料之法律基礎,根據GDPR之規定,該沉默之第三方應得行使其
338 PSD2, Article 66.
339 EDPB, supra note 334, at *3.