▲金管會推動開放銀行。（示意圖／取自免費圖庫Pixabay）

記錄、撰文／陳雅莉

金管會推動開放銀行，希望透過資料共享，創造新的商業模式，若能達成真正的資料自主運用，打破資料權分配的不平衡狀態，銀行與消費者均可受益，共享成果。

金管會推動開放銀行（Open Banking），希望銀行開放應用程式介面（API），將客戶資料給予第三方服務提供者（TSP），透過資料共享，創造新的商業模式，並使客戶利益極大化。

以往，銀行皆將客戶資料視為商業利益，若能開放API與TSP業者合作，將可提供客戶更多元的產品選擇。不過，台灣大學法律學系助理教授楊岳平指出，開放銀行的主要法律問題在於個人金融資料的保護及自主權，在歐盟則涉及「個人資料保護規則」（GDPR）或各會員國銀行秘密保護的法規及「第二號支付服務指令」（PSD2）。GDPR雖有個人資料可攜權，但必須在技術許可（對接介面需有國家級標準規格）下，個資主體才有權要求擁有其資料直接移轉予第三方業者。在無法律強制或技術不可行下，僅憑客戶單方同意，並不能使銀行負有移轉其資料的義務。

無數金融資訊　形成資料孤島

個資流通指的是個人資料在不同機構發生傳輸、流通，甚至是交易等情形。目前個資流通有兩種情況，一是在未告知並獲得消費者同意下，銀行直接把客戶個資傳輸給第三人；二是在取得消費者同意且授權下，由消費者請求銀行把個資傳輸給第三人。

第一種情況是會侵害消費者權益，因為個人資料保護法制的前提是必須取得消費者同意，並強調消費者有個資自主權。「第二種情況是配合個人請求，譬如病人請求醫院傳輸病歷給另一家醫院，這才是我國《個人資料保護法》關注重點。」楊岳平解釋說。

其實，大多數人都有3到4家銀行存摺，同時持有好幾張信用卡。若要管理這些帳戶，必須先下載3到4家銀行App，才可看到個人存款紀錄。但這些App無法自動合併存款總額，必須要自行計算加總。同樣的，若要查詢不同張信用卡的每日交易紀錄，這些App亦無法自動加總，最後只能靠消費者自行記帳，才能得知個人金融帳戶的全貌。

楊岳平指出，這就是目前的金融資料現況，大多數的金融資料都是破碎而零散，有人形容是「資料孤島」。就銀行而言，只握有客戶的部分金融資料，難以建立其關聯性，亦無法窺知其交易資料的全貌。對消費者來說，則是不易管理個人金融資料和進行金融交易。

以洗錢防制為例，銀行該如何認定客戶交易疑似洗錢？因為認定必須要有許多數據和資料來勾稽、過濾、確認。然而，銀行只擁有客戶的部分金融交易資料，加上無法與其他金融機構互相傳輸資料，就難以做到洗錢防制要求的勾稽比對。顯見，資料孤島是金融產業處理資料分析時所遇到的一大挑戰。

推動開放銀行　遭遇現實障礙

為打破資料孤島，推動開放銀行勢在必行。在金融消費者與銀行之間，由TSP業者提供開放金融App，扮演資訊流整合者的角色，並擁有較完整的金融資料。這是開放金融想像的境界。

金管會自2019年推動三階段的開放銀行，第一階段先開放銀行公開資訊查詢，包括存放款利率、金融商品等，由銀行與TSP業者共享資料，再由消費者讀取資料。第二階段則是開放消費者資訊查詢、第三階段將開放交易面資訊，主要目的是將金融資料的主導權還給消費者，使消費者獲得更多元金融服務。

目前我國開放銀行已進展到第二階段，但因涉及個資保護，須徵得消費者同意，由消費者向TSP業者請求，TSP業者取得消費者授權後，再向銀行請求共享資料。然後，由銀行提供給TSP業者，再讓消費者讀取資料。

易言之，消費者擁有個資自主權，請求行為是由消費者主動驅動的。然而，發展開放金融仍遭遇不少現實障礙。楊岳平分析指出，首先，銀行不見得願意配合提供資料，「畢竟，資料分享和傳輸是有成本的，更隱含資安風險疑慮。」因此，當TSP業者向銀行請求資料共享，除資料共享存在成本外，銀行可能會認為TSP業者有搭便車之虞。

其次，消費者也不見得願意讓TSP業者掌握個人金融資料。「由TSP業者整合金融資料，或許便利，但消費者對個資保護仍有疑慮，且金融消費資訊也存在不對稱的問題。」楊岳平說，因銀行受到高度監理，大多數人寧可相信銀行，而不信任TSP業者。所以TSP業者必須要建立健全的資訊安全機制，才能取得銀行和消費者的信賴。

我國開放金融法制四大特色

基本上，各國推動開放銀行腳步不一，台灣除借鏡他國經驗外，也發展出我國開放銀行的四大特色。第一是財金公司介入，由財金公司研擬技術與資安標準、設立開放API管理平台，提供資訊交換與查詢，提升金融機構和TSP業者間合作效率，降低介接成本，並維護開放銀行資訊安全。

第二是分段實施。第一階段為銀行公開資料查詢，已有25家銀行與7家TSP業者上線。第二階段是消費者資訊查詢，金管會於2020年底公告開放銀行第二階段業務核准名單，包含第一銀行、華南銀行、國泰世華、兆豐銀行、元大銀行、中國信託、遠東商銀等7家銀行，以及集保結算所、遠傳電信等2家TSP業者。其中，遠東商銀與遠傳電信合作帳戶資訊整合服務，其餘6家銀行皆與集保結算所合作，推出「集保e存摺」App開放應用程式介面（Open API）跨平台查詢。

第三是採自願自律模式。依據〈中華民國銀行公會會員銀行與第三方服務提供者合作之自律規範〉第4條規定：「會員銀行於選擇合作之第三方服務提供者時，應注意下列原則……」。

第四是銀行委外模式。依〈自律規範〉第10條：「消費者與第三方服務提供者或會員銀行發生消費爭議時，會員銀行應提供消費者申訴管道，並應提供消費者協助，以妥適處理消費爭議。會員銀行應與第三方服務提供者約定，如消費者向會員銀行提出因其與第三方服務提供者所生之消費爭議而受有損害者，除會員銀行得證明消費者有故意或過失者外，於一定金額內由會員銀行先償付消費者，再依業務合作契約之約定向第三方服務提供者求償。」由此觀之，TSP業者為銀行委外的單位。

第五是消費者同意模式。依〈自律規範〉第7條：「非經消費者事前同意，會員銀行不得提供消費者之資料予第三方服務提供者。」楊岳平分析指出，根據〈自律規範〉，銀行並無義務分享資料給TSP業者，「到了第二階段，參與的銀行家數減少，凸顯銀行業者較謹慎保守的心態。」此外，銀行公會透過自律規範，而非立法管理開放銀行，代表會員銀行參與開放銀行的推動，主要採取自願自律模式，非強制合作。

他也提出反思：在銀行端方面，自願架構是否足以排除資料共享的障礙？委外架構是否反而增加障礙？就消費者端而言，自律委外架構是否足以排除消費者請求、同意的障礙？

資料可攜權　正反意見拉鋸

目前開放銀行架構可分為強制、建議、市場導向等三大模式。

強制模式是強制銀行分享消費者同意分享的資料，並強制TSP業者受監管，例如歐盟、英國、澳洲。

建議模式則是發布指引與建議標準，規定開放API標準與技術規格要求，譬如香港、新加坡，台灣較接近此模式。

市場導向模式並無明確法規或指引要求，或禁止銀行與TSP業者分享消費者資料，比如美國、中國。

2018年5月，歐盟超嚴格個資法GDPR正式生效。其中，最重要的是第20條規定的「資料可攜權」，在技術許可的前提下，業者必須容許用戶帶走個資，並在不同服務中移動個資，充分展現個資的自主運用權利。

不過，資料可攜權引起各種正反意見。支持者主張資料涉及消費者資訊，屬消費者所有，且可節省消費者索取後再傳輸資料的不效率。反對者認為資料是銀行所編製，屬銀行所有，且資料傳輸存在成本，亦可能涉及靜默方資料權的保護。

楊岳平表示，我國現行個資法並未納入資料可攜權的概念，國內正反兩派意見也仍在拉鋸中。若能基於相同法理，肯認消費者的資料可攜權，但允許銀行酌收必要成本費用，也許可提高銀行配合意願。

開放銀行具體法制問題，還包括資料可攜權的確認與範圍、資料共享的付費機制、TSP業者是否採許可制、TSP業者與銀行間的風險分擔、對消費者的責任基礎與救濟管道，以及消費者告知後同意的程序設計。

楊岳平強調，未來開放銀行發展，希望能打破資料權分配僅由某一方決定的不平衡狀態，真正做到資料自主運用，創造銀行與消費者雙贏局面。

本文轉載自《台灣銀行家》，探索更多精彩內容，請繼續閱讀《台灣銀行家》雜誌。