人工智慧與法律規範學術研究群
第三年期(2020-2021)
第三次會議
2020年10月23日(星期五)
主持人:李建良(中央研究院法律學研究所特聘研究員兼所長)
主講人:臧正運(國立政治大學法律學系助理教授)
◎ 整理:洪于庭
◎ 定稿:李建良
壹、虛擬與開放的金融體系質變
一、金融體系的本質是記憶與信任
先行回顧過去幾年間金融市場發生了何種質變,乃至於現金金融科技會需要從另一視角看到。很多金融理論、法律制度、規範層面的創新需要發生。將之稱為虛擬與開放的金融體系質變,金融體系的本質是記憶與信任,在一個金融體系中有許多陌生的交易主體,其間之所以能締結交易、產生金流,再下一道交易,背後有個很重要的基礎是有一個機構,在陌生交易主體間擔任信任供給者的角色。該機構就是我們所熟知的金融中介機構,也可以用銀行理解。故銀行所扮演的角色是,接受政府高密度的金融監管,換取作為市場信任供給者的對價,扮演擔任市場供給角色。為何要信任供給?因為沒有信任,交易就無法發生,故這是金融中介機構存在的第一個要務。隨著此要務的建立,開始在金融中介機構中慢慢積累出,我將之稱為以金融機構主導的記憶體系。
可以想像我們將錢存在銀行,投資理財透過投信投顧業者,買股票透過經紀商,買保險透過人身保險公司、財產保險公司,這些金融機構扮演的角色是為我們的交易提供承載的記憶體系。故以此簡化版方式理解金融體系的本質,我們可說,金融體系長久以來在做信任的供給,以及記憶的維繫,信任的供給與記憶的維繫不是只有金融中介機構可以做,但是過去都是以金融中介機構為主導而運作,隨著資訊科技的興起與發展,這些根本角色可能產生改變。
下文要談的是,在此質變中如何看待開放銀行發展的脈絡。我將此兩個重要的驅動力一個稱之為虛擬化、一個稱之為開放化。
二、虛擬化
如果以前信任的供給、建立與維持是建立在人與人之間實體的互動,現在信任建立、供給與維繫產生轉變,這個轉變已經發生好幾十年。如以前銀行中看到實體行員,現在可能透過電話、網銀的App。可以看到信任這件事被建立、維繫需要一些方式幫助。虛擬的通路試圖營造、維持信任,這件事在信用科技的時代被推到了極致,故於年底三間純網路銀行即將開業,這些純網路銀行有個特色是,在純網路銀行開戶就會透過網路,故行員無法實體面對面進行KYC(know your consumer),需進行線上EKYC的方式,必須有虛擬的方式維繫與客戶間的信任關係。這些事想像容易,但運作上有難度,這是虛擬化對金融體系帶來的第一個挑戰。
第二個挑戰是,除了看到從實體通路轉虛擬通路的金融服務與創新之外,同時也看到金融體系過去承載金融體系足以運作的載體或載具,將之稱為貨幣,是最基本原始的單位。此貨幣通常是法定貨幣,但現在虛擬貨幣、密碼資產興起,這些以虛擬通貨為基礎所搭建的新的記憶體系,是與傳統由中介機構主導的記憶體系截然不同。因此會產生實體貨幣為基礎的體系,與虛擬貨幣為基礎的記憶體系相互爭奪記憶權的過程。
事實上,過去從比特幣的興起到各種不同名稱的虛擬貨幣,前陣子Libra指出要推行Libra幣,承擔類似全球央行的職能,可以看到全球央行的回應是,除了認為Libra不該如是行外,央行自己也說Libra欲做的事央行也可以從事及改變,故全世界有80%的央行正在研究、實驗中央銀行所發行的數位貨幣。在我的角度而言,這其實是一個記憶權爭奪的過程。那些實體掌握金融貨幣體系的人認為,有一整套金融交易是不在他掌控下的記憶體下發生的。應如何看待?背後有許多監理規範的啟示。
舉例而言,過去幾年台灣最常討論的洗錢防制,洗錢防制是所有金融領域與財經刑法領域研究的學者關注的事項,但當虛擬貨幣興起時會看到,很多主管機關認為虛擬貨幣興起不利於洗錢防制,會帶來許多問題。有些幣高度匿名、很難以追蹤,如門羅幣。惟從另個脈絡觀察會發現這是金融記憶權的爭戰,在此記憶權的爭戰中觀察,會看到虛實之間彼此相互整合的狀況發生。一個最近的例子是,美國的OCC、SEC正式頒布一個指引,以前美國銀行是否可針對穩定幣的提供者、虛擬幣的提供者(如交易所),收了大量的法定貨幣,將錢存托在商業銀行中。過去這件事存在而被實務上接受,但是美國主管機關沒有公開表示允許,在上個禮拜美國的OCC、SEC共同發布一個指引,聲明往後從事特定的穩定幣業務,且穩定幣是在託管帳戶下運作、發行,可以把法定貨幣託管在商業銀行。因此,會看到未來有越來越多虛實整合的場景。
前天PayPal聲明可以接受加密貨幣,如比特幣、以太幣,做為支付工具,將這些加密貨幣換成法定貨幣,在PayPal可以提供支付方案的兩千六百多個商家當中進行交易。故會看到許多虛實整合的交易場景發生,這件事對金融監理的啟示是,金融記憶的體系開始被擴張。在此擴張與整合的過程中會產生破口,這對金融監理產生一定程度的影響。這是我觀察到的第一個重要的趨勢,故純網路銀行、虛擬通貨的崛起,大概都可以在此脈絡中被理解。
三、開放化
第二個是開放化的趨勢,這與下述談及的開放銀行有很大的關係。如果金融體系最核心的功能與基石是供給信任,信任關係是建立在我作為金融消費者或客戶,我將信任託付金融中介機構,基於對金融中介機構的信任,我相信主管機關會盡其監管職責,基於這樣信任可以透過該機構進行各式各樣的交易。然而,現在會發現這些金融機構,在無形中隨著商業需要、技術發展,會將信任延伸出,故於金融監理的研究中有一重要環節為委外作業的監理。可能今天銀行可以將某些原本可以自己處理的事,委託由第三方服務業者提供更便捷成本更低的服務,這本質上是將客戶信任延伸出的過程。在此延伸過程中產生傳統監理的意涵,傳統監理的場景發生在銀行與客戶,當銀行將原客戶交付的信任的延伸後,那段信任的延伸與賦予應如何看待,誰可以管理此過程中所會遇到的風險,這是第二個重要的挑戰。
今天要講的開放銀行與此有很大關係,人們未來可以透過某些技術方案、平台興起,要求與客戶往來的商業銀行在客戶的授權與同意下,把銀行所掌控的金融消費者資訊,如帳戶、交易資訊,轉給客戶所指定的第三方服務提供者,由此第三方服務提供者對客戶提供更多的服務,本質是一個由金融機構在將信任延伸出給第三方服務提供者的過程。此過程仍會產生信任的建立、供給維繫方式的挑戰。同樣也會造成記憶網絡的擴大,可以想像當這樣的記憶網絡被擴大成將各式各樣的第三方服務提供者涵蓋,這個網路擴大的過程會形成破口。
貳、資料賦權的動能
過去兩年在談金融機構的管理時,資安變成一個很重要的議題,原因是大數據時代下,金融機構必須要承載非常多的資訊,這些是一個記憶網絡的擴大與深化,如何確保資訊大量、快速、頻繁、多元的產生,但是記憶網絡的運作又不出問題,故而挑戰了資訊管理的能力、資訊安全的能力,可以粗淺地以虛擬化與開放化主要兩個推動力量理解,金融體系的改變。我認為因為這樣改變慢慢進入一個可能性,我將該可能性稱之為資料賦權的可能性。這與劉靜怡老師書中所說的資料驅動有點異曲同工之妙。
所謂的資料賦權是隨著各種資料的運作,資料可以授權給兩者層面的人,第一個是業者,故業者透過拿到資料,故可以創新或催生各種的服務,數據某方面賦權(empower)給產業的參與者。但是從另個角度觀之,數據很有可能賦權給控制者本身、或是消費者本身。所以我將此概念稱之為資料賦權,會產生一些與開放銀行有關的問題。在此資料賦權與虛擬化的金融體系質變之下,背後還有技術的興起所做的支撐,賦予其源源不絕的動能。過去可以看到與科技發展有關的用語,不管是機器學習、深度學習、類神經網絡、自然語言處理、分佈式帳簿技術、雲端運作與儲存等。這些東西從我的角度觀之,都與資料密不可分。
舉例而言,機器學習與人工智慧的本質是處理資料、分析資料,也許處理資料是為了進行預測,故處理分析。密碼學的目的是為了加密,生物辨識是為了幫資料做核實識別。當後面所談到開放銀行時,是透過一種公開、標準的應用程式介面,進行資料的交換與共享。在談雲端運算、儲存、管理時,其實是資料的儲存與管理。故這每個技術的興起與資料有關,具備以下幾個特色是,這些技術使用的門檻比以往來得低,可以用比十年前低的技術成本使用這些技術。第二個可以使用多元的方式,同時使用上述所提的兩種以上的技術。第三個因為前面所提到的條件導致,有一種類型的業者開始出現,此類業者是否有可能因資訊科技進步,進而提供金融體系傳統維持、提供的功能,也就是信任的供給者與記憶的維繫者,故可以如此理解。
問題與討論(敬稱省略)
邱文聰:
資料賦權的受詞是誰?
臧正運:
受詞可能是業者、消費者。
邱文聰:
因為標題是消費者,可是剛剛所說的是包含業者的。
臧正運:
是的,以下會進入正題。
【續上報告】
參、資料與金融
資料與金融產生的關係,這樣的關係又如何影響法律的角色與監理的認知。資料有4V (variety, velocity, volume, veracity),此4V意味的是記憶體系的承載能力要很強,記憶題系的防誤能力要很強,記憶體系的韌性要很強,故對金融監理會產生一定的啟示。第二個會發現資訊流的掌控者逐漸成為記憶與信任的供給者,可以看到現在所有大的電商平台、社群媒體無一不在從事與金融相關的服務,只是在不同地域的問題,他們發現他們可以做原本金融中介機構在做的事,惟對於監理而言會產生某種程度上的挑戰。資料管控能力會在業者與消費者間產生一定的消長,過去對於銀行幫我們管控的資料,唯一我們能掌控資料方法就是帳簿,帳簿可得知做了哪些交易,僅止於此,沒有其他方式更有效率掌控我放在銀行的資料,故我與銀行間產生存在某種不對稱,這種不對稱可能是資訊的不對稱、資源的不對稱、可能是資料控管能力的不對稱。隨著科技的發展慢慢開始有改變,資料的管控能力不再如此向業者這麼傾斜,對消費者而言,可能也有一定程度的提升,但是提升意味什麼?且應如何看待?故於此,從法律與監理的角度觀之有何種啟示。
第一,會發現信任的維繫越來越困難,但仍非常重要。從傳統金融監理的理論觀之,信任就是金融體系穩定的根基,仍需維持,但該維持越來越困難。第二,會發現有各種不同的記憶體系出現,這每一個記憶體系之間是否相容、可互通,如何確保相容的過程中不出問題、沒破口,這是第二個重要的趨勢。第三,有無可能有較好且可能的責任分配機制,假設沒有公平、合理的分配機制,會使資料賦權沒有辦法發生。第四,會需要重新省思資料在整個過程中產生的作用以及倫理問題,甚至因為使用資料的方式所產生金融分配正義的問題。舉例而言,透過機器學習、大數據分析可以給予信用評等、信用評分,進而授信給消費者,很有可能基於這些資料所做出的是錯誤結果,或是有歧視性的結果。這件事會影響到整個金融市場上的信用不公平的分配,這個金融正義的問題在整個過程中如何被解決、理解。
最後,要回答上述四個問題,對於金融監理機關而言擁有巨大挑戰,因為監理機關不一定具備資料管控能力、科技能力處理這樣的問題,故我的研究中主要放在監理科技的研究,以監理官的角度而言,科技可以對監理官帶來何種改變,可以為監理官做什麼。
肆、開放銀行
一、浪潮
舉個場景幫助理解開放銀行為何,開放銀行並非銀行24小時、一個禮拜七天都開放即稱為開放銀行。假定每位手上都有四張信用卡,在使用信用卡時常常會有人告知走到某地消費應用某家信用卡,走到某地消費應使用某家信用卡,因為在此消費綁某信用卡會帶來更多現金回饋,對我而言,假設我擁有四、五張信用卡,我碰到的問題可能是我不一定清楚信用卡提供我的福利是哪些,在何種消費情境應使用何種信用卡,故幻想未來是否可能有種服務,建立在手機上,一個平台供應者就是一個記帳軟體、信用卡管理軟體,透過授權跟我所有往來的信用卡發卡銀行簽約,可以在我的授權下從我的發卡銀行取得我的資料。假定這件事發生,這樣的網路平台業者可以做何事?可以透過手機提供的位置,當我走到7-11或某個店家進行消費時會自動跳出,用哪張信用卡消費會得到最高的回饋。如果不滿意,可將其他後備選項叫出,仍然選擇用我堅持的信用卡消費,這個場景或可以建立在我所往來的眾多銀行帳戶下,假設與十間不同的銀行往來,每間銀行都掌握我不同的交易歷程,對我這個人在金融市場上的往來樣貌有不同程度的瞭解,有無可能有一個App幫我做單一介面的管理,清楚地告訴我每個月金錢的流向,從哪個銀行進出,未來要如何使用錢,投資如種基金商品,購買怎樣的保險產品,哪些是我所需要的、哪些是我所不需要的,透過一個平台滿足上述所有的需求。然此情景必須建立在重要前提上,便是有一個第三方服務業者,可能是科技業者、平台業者,必須能夠與我往來的銀行或是發卡銀行要求與我有關的資料、帳戶資料,甚至是交易資料。故開放銀行是將剛剛所述的便利、美好的願景發生所需要的法制基礎設施。
首先,先看開放銀行的定義,開放銀行可視為開放金融體系的一環,未來會常聽到開放證券、開放保險各式各項的東西。係指銀行自發或經法規要求下,將其所管理之資訊(如產品、帳戶及交易資訊等),以開放應用程式介面(API)或其他安全之方式與其他銀行、支付機構或第三方業者(Third Party Service Providers )分享,藉以強化金融市場之有序競合、激發創新金融服務模式、確保消費者的資料主導權,進而營造多元創新的普惠金融生態體系。
這些事基於何種目的需要被推動,第一,希望金融市場有更多元的競爭。大家對於銀行所銷售的商品沒有我們想像中的熟悉,舉例而言,如需要貸款,要如何知道哪家銀行可以提供我最合適的貸款,在現在低利率的時代不必然就是台灣銀行公教人員優利貸,可能是別的民營機構的銀行,故不一定知道。不知道的原因是因為沒有一個合理友善的介面幫助我知道,故如上述的情況能夠發生,就可能導致市場上會有更多競爭、更多的金融服務模式。消費者在此過程中,針對被金融機構所管控的資料取得一定程度的主導權,達到普惠金融的目標。普惠金融就是讓每個人都以自己能負擔的成本,接近使用所需要的金融服務。以上是對開放銀行的定義。於此我們知道開放銀行的重點不在於銀行是否要24小時開放,關鍵在於,銀行需願意在客戶的授權下,把為客戶控管的資料,在客戶的同意下用安全可靠的方法,分享給客戶本人或客戶所指定的第三人,也很有可能是直接由客戶所指定的第三方服務業者,向與客戶所往來的銀行索取資料,可能會發生兩種不同流向。
開放的標的為何?開放標的就是資料,惟資料有許多不同類型。以金融場景而言,資料可以區分為完全公開,與金融機構營運有關的資料。例如,在哪有分行、每天運鈔車的方向、頻率,這些資料可能為公開的資料。這些資料對於金融機構而言,不會有誘因不分享,可能會願意使用標準化格式分享。金融機構所提供的產品能用API的方式提供,對於金融機構而言沒傷害,因為就是他的產品資訊,可能只是要做比價網站而已,故產品資訊對金融機構的阻力較小。惟與客戶有關的資訊,如姓名、住址、電話、收入、動產與不動產,可以認為是個資,對於銀行而言,雖是個資但該帳戶是客戶經過某種契約關係開立的,這個記憶體系是銀行為客戶維繫的,沒有負擔任何成本嗎?銀行不能對這類資料為任何主張嗎?而後又碰到帳戶資訊,帳戶資訊可能是在某銀行開了一個活期存款帳戶、外匯存款帳戶,開了不同的帳戶。請問要將此帳戶資訊在客戶的授權下分享給第三方服務提供者?金融機構便可能產生懷疑,這是否為個資?如果是,可以做何種主張。因為銀行應有參與帳戶的維持、編輯、記憶的工作。
這件事更進一步會涉及到帳戶交易的歷程,如是否可要求銀行因為客戶要換銀行,不熟悉過去往來的歷史,故要求往來歷史提供,且是使用提供開放API的方式提供。銀行會認為交易資訊是你的資料嗎?銀行可能會抗辯這是你的資料也是我的資料,為何要分享?還有一種狀況是,客戶可能會要求授權在銀行帳戶中發動某種類型的交易,故在網路上消費選擇商品後,要求銀行從中扣款,且將啟動支付指令的權限給第三方服務提供者,此對銀行而言問題更大。還有一種類型的資料是被銀行加工過後的資料,銀行針對客戶過去往來的紀錄給予內部信用評級,這種資料要開放嗎?想當然爾銀行不可能會開放,因為是營業秘密。故在談開放銀行時會依照資料屬性討論開放範圍,國際上有二十幾個不同的國家正在推行開放銀行,國際上大部分認為公開資訊一定可以開放,產品資訊鼓勵開放,客戶的帳戶資訊可以開放,帳戶中的交易歷程可否開放每個國家的作法可能有點不一樣。啟動支付的交易有些國家做得很前面,如歐盟,可能是為了確保支付業者與銀行業者可以站在某種公平的競爭地位,故會認為可以推動。但是到目前為止,尚未看到要求銀行提供經過銀行加工後的資料的,這是從開放的標的看開放銀行這件事。
除了開放的標的,也就是資料的類型外,還會討論到資料的種類以及資料的權限。故一般而言,給第三方業者的權限有兩種,一種稱為Read Access,一種稱為及Write Access。前者是很單純給予讀取資料的權限,後者是將啟動某種交易,特別是支付類型交易的權限開放。國際上,歐盟在支付領域上有提供Write Access,澳洲只有做到Read Access,某些地方會有不同的搭配與類型的場景,這是一般的分類。
二、目的
(一)促進金融市場各行為主體間的競爭與互補
為何有開放銀行?在開放銀行的討論上主要有幾個先進國家,所謂先進不是一定做得比較好,而是較早開始從事。如歐盟,歐盟很早討論PSD 2時,就有開放銀行的精神存在,只是歐盟從來都不在該規範中使用開放銀行這幾個字。而英國更早於2014年時針對零售銀行業者進行系統性調查,該調查是由CMA進行,是一個競爭法的主管機關,針對市場特別是零售銀行市場做廣泛調查,發現原來英國人不喜歡換銀行,且不清楚銀行所提供的產品、收費費率,被九大銀行長期宰制。它舉了個例子,要求英國人換銀行,英國有九大著名的商業銀行,該九大銀行市佔率80%-90%,幾乎八成到九成的英國人都跟九大銀行往來。他發現叫英國人離婚都比叫英國人換銀行容易,故銀行有時收費不透明。例如透支,與銀行可能可以透支一定額度,可是透支銀行會收取手續費,英國發現每家銀行的透支手續費不一樣,原來客戶不清楚透支的手續費如何。故英國的競爭法主管機關發現此問題,認為需要改善零售銀行被九大銀行獨占、宰制的現象,因此要採取競爭法上的補救措施。故英國推行開放銀行的動機是,基於重新改變市場以及長期不正競爭的狀況,所採取糾正的措施。是從競爭法主管機關所發動的措施,所以做法是九大銀行掌握如此高的市佔率,要求九大銀行出資設立公司,稱謂Open Banking Implementation Entity (OBIE),由該公司建置開放API相關的技術規格、資安標準、監管治理的機制,目的是讓英國銀行的客戶可以在他們的授權與要求下,讓九大銀行將為英國消費者所控管的資訊,在消費者的同意下,分享給消費者所指定的第三方機構,這是英國的脈絡,初衷是基於彌補市場上競爭不足的狀況,所推展的結果。
問題與討論(敬稱省略)
邱文聰:
九大銀行成立,又使消費者指定?
臧正運:
因為絕大部分消費者都是該九大銀行的客戶,該OBIE的角色只是針對API規格標準化,故針對API的規格標準化後,九大銀行會依照該規格、消費者只是將資料傳輸。
邱文聰:
有OBIE以外的第三方服務業者?
臧正運:
OPIE做幾件事,第一,測試。如API要上架時,OBIE可以幫忙做測試,是否符合標準。第二是標準化,銀行與第三方業者在有開放API之前也會做雙向合作,但這個規格是不一致的、不標準化的,故OBIE的存在就是將規格一致化,使大家用同一套規格標準運作。OBIE還提供一定程度的爭端解決,提供一個渠道,兩個銀行間或是兩業者間在此事上有紛爭,透過OBIE所搭建的平台彼此協調,不實質處理消費者的糾紛,只是做個平台將有紛爭的消費者串連。
【續上報告】
(二)催生創新的產品與服務,提升客戶體驗與消費者福祉
(三)活化資料使用,實現消費者賦權,強化市場紀律
開放銀行很可能是為了彌補市場競爭不足的狀況下所催生,第二個是希望消費者能有更多選擇,因為有更多的選擇消費者才會有更多的服務與福祉。可能是習望活化資料的使用實現消費者賦權,甚至是市場機率。故每個國家推行開放銀行的動機與目的不一而足,英國是基於市場競爭的考量,澳洲基本上也是基於市場競爭的考量,澳洲有四大銀行,而澳洲當初是由一個類似中小企業部的政府部會所發動,想要針對澳洲人使用數位資料的可及性,以及數位資料如何與消費者間產生關聯,做了普遍性的調查。最後做出的是結論,每個澳洲人應對自己相關的數位資料有主控權,進而推動開放銀行。新加坡推動的動機不太一樣,新加坡的動機可能是想成為全球智慧金融中心,故每個國家推動的策略不一。故在談及開放銀行時,資料開放類型不同,資料的範圍、種類不同,開放銀行推動的目的也不一樣,推動的主體也不一樣。
開放銀行對業者、消費者而言,這是一個數據授權的過程,故必須有授權的兩端,意味著什麼?以前談及下圖時會認為,如果詢問銀行,倘若將左下角的巨型科技業者掩蓋,詢問銀行是否要從事開放銀行,銀行會說不,因為沒有道理資料從多的一方到少的一方,尤其是流向潛在競爭者。故資料的流向若是單向流動,從金融機構流動到金融科技業者時,絕大多數銀行會抗拒。故在法律制度的設計與選擇上,有的國家會採取法律規範強制的做法,如我們談及PSD 2時,會發現針對支付業者事實上是法律規定必須做的,對於英國而言也是一個法律規定,以澳洲而言推動更極端。惟如新加坡、香港、台灣不是這樣的做法,該做法是認為不應該立法強制,而是由業者決定是否運行,但會產生如業者只看到上半部的圖像會有抗拒,如將下半部的圖提供給金融服務提供者,可能很多金融機構會接受。如果巨型科技,像是Google、Facebook、Amazon、Microsoft等,能將他們擁有的資料流動給金融服務提供者,金融服務提供者多數會接受。故今天題目定為「開放銀行與消費者賦權的想像」,是當資料在不同行業間進行跨業流通時,可能對消費者帶來便利、選擇甚至是福祉,可以帶來某種想像,消費者自此取得對自身攸關資料的主控權,由消費者以資料可攜的方式讓自己的資料在不同服務提供者間流動,最後結果是讓消費者的選擇變多,這是開放銀行可能可達到的想像。這個想像有個國家正在推動,即澳洲。
三、發展模式
(一)開放API框架模式
第一種模式是,政府基本上鼓勵但不使用法規強制,以幾個做法鼓勵。第一,鼓勵業者自主開放。第二,頒布時間表告訴業者什麼時間該做什麼事,第三,篩選出候選應用程式告訴業者,哪些類型的API是這個市場上消費者可能會需要的API,以新加坡為例就做出類似化學元素週期表的API,列出411個不同API的應用方案,告訴業者如果是業者想要推動開放銀行API,就請以這411個為主要標的,也很有可能是建置一個網站或是程式介面的註冊庫,或是針對第三方服務提供者如何與銀行往來間做建議與管理。故沒有法律規範的強制,但政府透過很多措施提供框架,鼓勵業者自主開放,這是一種發展模式。
(二)API管理中心模式
第二種發展模式較像英國,甚至於像歐盟現在所進行的事,成立API的管理中心,由政府新設或委由一具公信力的機構,負責協調與制定API標準與資料交換格式,並設計一套治理架構,處理消費者與銀行、銀行與第三方服務機構以及消費者與第三方服務機構之間的關係,及頒布API上架的相關流程與規範、確保資訊安全的管理機制,未來爭議發生時,有無爭端解決機制。故這是開放API管理中心的模式,台灣比較像是API管理中心模式及前所提的開放API框架模式的綜合體,因為台灣有許多特色的周邊單位,其中如財金資訊公司便可扮演類似這樣的角色。
(三)標準制定機構模式
所謂標準制定機構模式是成立一個標準制定機構,由該機構將所有利害關係人集合共同制定開放API的標準,不另外成立平台,不另外設立管理中心,基本上是為了定標準而設立。澳洲一開始是這樣,由聯邦工業技術研究院,其角色為政府機關,在該組織下有個智庫組織為Data 61,相當於澳洲版的工業技術研究院。請Data 61集合相關人員成立委員會,訂定開放API的標準。不過澳洲現在也開始走向API管理中心的模式。
四、第三方服務提供(TSP)模式
這是簡單介紹幾個國家目前的發展模式,無論模式為何,所有環節發展都落入一個最根本問題,即如何處理銀行端、消費者端與第三方服務者端之間信任的維繫,以及記憶體系可能產生破口。其中最關鍵的是對銀行而言,與其往來、資料託付對象,也就是第三方服務提供者應如何管理、監理。故我初步作四種類型化,這是國際上常見的狀況。第一種是,將原本施加在銀行的作業委外管理規範,繼續套用在銀行與開放API的第三方服務提供者上。好處是主管機關監管方便,只需要使銀行負責,由銀行承擔其與第三方服務提供者往來生命週期中的主要風險,以及最終面對消費者的責任,我稱此為訴諸作業委外監理規範,優點是易於管理。缺點是,銀行不會自己承擔成本,故會將成本轉嫁給與其合作的第三方業者,最後造成的結果是銀行只會選擇夠大的第三方業者往來,最後的狀況可能是,市場上需要多元的消費者沒有辦法出現,因為銀行沒有足夠的誘因與第三方業者合作,因為所有責任被加諸在銀行身上。
有另一種模式稱為委由API管理中心把關,優點是第三方業者不用分別跟不同銀行磋商,有一個場域可以測試與驗證,資安與隱私保護的標準可以被標準化、大量推動,但很有可能對特定群體不利,因該API管理中心由何人控制、掌控不清楚,何人可以參與也不清楚。還有一種狀況是制定並適用產業自律的標準,由產業自律,由業者設定自律標準,好處是可以設定最低標準,使業者做彈性調整。缺點是產業自律很容易流於形式,且產業自律的問題是,請問是什麼產業?以台灣為例,台灣現在基本上是產業自律加上委外作業規範綜合監理,所以產業自律是由公會即銀行公會,頒布銀行與第三方服務提供者往來的相關自律規範,而此產業並沒有包括到第三方服務提供者,第三方服務提供者在過程中沒有代表性,沒有發聲者、話語權,很有可能意見被忽略。最後是由主管機關直接納管,當主管機關直接納管第三方服務業者時,銀行會較舒適的與第三方服務業者共同互動,因為無需承擔最後責任,會有意願互動,且較可有效落實消費者與金融安全的保護。缺點是,是否有法源依據、足夠的監理資源,第三方是否有足夠的成本擔負未來相關的法遵支出,以上是幾個類型化概念。
五、我國開放API
(一)發展進程
台灣是以自願且自律的方式推動開放銀行,分三個階段。第一個階段是公開資料查詢,第二個是消費者資訊查詢,涉及產品資訊與帳戶資訊,比方帳戶開戶、附屬業務與信用卡的申請、消費者個資與帳戶的查詢。第三個階段是消費者可以要求第三方服務提供者直接發動支付指令給往來銀行,據此啟動某個支付交易。台灣目前在第二個階段,惟第二個階段尚未正式上路。
(二)監理架構
- 中華民國銀行公會會員銀行與第三方服務提供者之自律規範(銀行公會)
台灣推動開放API的監理架構是因為要處理銀行與第三方服務提供者之間的關係,故以銀行公會所頒布的自律規範處理此關係。
2. 開放應用程式介面(Open API)技術標準規格文件(財金公司)
開放應用程式介面會涉及技術標準與規格,故需要有人提供,故財金公司提供。
3. 金融機構與第三方服務提供者辦理開放應用程式介面(Open API)業務安全控管作業規範(銀行公會電子化委員會與財金公司)
營運過程中會有業務安全控管的作業規範需被滿足,故此時會是銀行公會電子化委員會與財金公司一起提出安全控管的作業規範。
這是台灣現行推動開放銀行的監理框架,我列出幾個自律規範的重點給大家參考,此資料為過去所得知,但不確定是否為公會最終報金管會核備的版本,僅供參考。目前據說針對第二階段的自律規範據,金管會已經核備。從下面的說明,可以凸顯出現推動開放銀行的困境,第一個問題是會員銀行與第三方服務提供者進行相關業務合作時,除應遵循相關法令外,應依照本自律規範辦理。第三方服務提供者不受金管會監管,但銀行可以以契約關係管理,要求銀行先遴選往來的第三方服務者。第一個標準是資本額與營運資金規模要相當,不可經營非法業務。第二個該團隊需有穩健經營能力適足之經驗及專業能力。第三,應具備網路安全與資訊控管之風險管理能力。第四,應符合會員銀行與第三方服務提供者業務合作應適用之開放應用程式介面技術標準規格及業務安全控管作業規範。第五,第三方服務提供者之負責人及經理人應無「銀行負責人應具備資格條件兼職限制及應遵行事項準則」第三條第一項第一款至第十二款所述情形,並出具相關之聲明書。似乎等同於,使用規範金融機構的標準,來規範第三方服務業者,否則為何需要負責人、經理人應出具銀行負責人應遵循事項所規定無消極資格要件的聲明書。這是目前監管的現況,也因此實務上產生了一些困難。
第三方業者應遵循洗錢防制法、資恐防制法、個人資料保護法、消費者保護法及主管機關所訂定之相關法令規定等及公會相關自律規範之要求。應遵循本自律規範、訂定標準作業程序,執行消費者權益保障(包括消費者資料保密)及採取符合自律規範所規定技術標準規格及業務安全控管作業規範之相關措施,以確保資訊安全。不得違反法令強制或禁止規定、公共秩序及善良風俗,且不得有侵害會員銀行、消費者利益或其他不當之行為。第三方服務提供者利用消費者資料為行銷時,消費者表示拒絕行銷者,第三方服務提供者應立即停止使用該消費者資料行銷,並至少於首次行銷時,提供消費者免費表示拒絕接受行銷之方式。
重點是要求會員銀行簽訂與第三方服務提供者簽訂業務合作契約,且有規定應訂定事項。等於是透過銀行公會頒布的自律規範,間接將第三方服務業者納管,只是該納管仍將管理責任賦予會員銀行,使銀行承擔最終責任。故要求告訴第三方服務業者應遵循的事項:智慧財產權之歸屬及使用、第三方服務提供者對外行銷時應遵守之事項、消費者爭端解決機制,包括解決程序及補救措施、會員銀行與第三方服務提供者發生爭議時,其爭議處理機制、與第三方服務提供者終止業務合作契約之約定、若發生異常事故、重大缺失或違反法令之情事,第三方服務提供者應立即通知合作之會員銀行及消費者,並應立即採行緊急應變措施以降低對合作之會員銀行及消費者可能造成之影響、第三方服務提供者如有違反上述各款任一規定,致損害消費者或合作之會員銀行權益時,應負損害賠償責任,合作之會員銀行並得終止合作契約、消費者資料保護與爭議解決。故於消費者與第三方服務提供者或會員銀行發生消費爭議時,會員銀行應提供消費者申訴管道,並應提供消費者協助,以妥適處理消費爭議。會員銀行應與第三方服務提供者約定,如消費者向會員銀行提出因其與第三方服務提供者所生之消費爭議而受有損害者,除會員銀行得證明消費者有故意或過失者外,於一定金額內由會員銀行先償付消費者,再依業務合作契約之約定向第三方服務提供者求償。簡單而言,藉由銀行承擔第一線消費者的賠償責任,對銀行而言較困難,對第三方業者而言合作也會有困難。
伍、消費者賦權的想像——以澳洲的消費者資料權為例
一、澳洲消費者資料權的定義與核心
如開放銀行可以做到前述的這些事,我用一詞總結稱之為「消費者賦權」。即消費者可以透過科技的某些方案與法律基礎設施,在消費者的主控與同意之下,選擇與其有關的資料應在哪些服務主體之間流動、被使用。澳洲將這件事情推動的十分極致,他們認為不只要推動消費者賦權,還要在法律上賦予消費者資料權,稱為Consumer data right (CDR)。有部法律為競爭與消費者法,在許多英美法系國家,競爭法與消費者法的主管機關為同一機關,法律權源也是一致的,故可透過修改一部法律,將某種權利、義務植入法律規範中。何為消費者資料權,是一橫跨所有經濟的改革,漸進性採取不同產業推展。目標是消費者資料者主體可以效率且便捷接近與自己有關的資料,而這些資料是長期以來被公司所控管的資料。並且可以使消費者要求資料持有者將其所管控的資料以安全的方式揭露給第三方,或是消費者本人。
二、澳洲消費者資料權制度的監理分工
故在澳洲的脈絡下,只給予第三方業者資料讀取權利,而非啟動交易的權利。此權利為一新的權利,故需要法制工程建構。其中最重要的法制工程是,請問誰可以當合格的資料接受者(accredited data recipients)?這些認證條件包含隱私、資訊安全的要求,由Australian Competition and Consumer Commission (ACCC),是消費者保護與競爭法的主管機關,在澳洲制度下,主要推動開放銀行的不是金融監理機關,而是競爭與消費者保護的主管機關。透過機關協作,假設有個被認證合格的資料接收方違反義務,ACCC會給予行政處分暫停、撤銷、停止服務。但中間會需要監理分工,故有三個重要的監理主管機關必須參與,一個是ACCC,依照競爭與消費者法所立的消費者資料權頒佈授權的法規命令,稱為消費者資料權規則,該規則已頒布,負責擔任認證資料接受者角色,並建立與維護註冊合格資料接收者。故可以在其網站中查詢哪些是合格的資料接收者,並確保各方遵守相關法規。但在此過程中會涉及個資隱私問題,故請澳洲隱私保護辦公室(OAIC)參與,其負責制定消費者資料權的隱私保護準則,且監督遵守關於隱私投訴,這是他們的分工。至於資料標準機構(DSB),就是Data61所設立的資料標準機構,負責制定開放API當中的技術標準。
三、澳洲消費者資料權制——資料接受者的認證條件
第一須滿足適格要求(fit and proper person),何謂合格的人,可能包括資本額、團隊經營管理。第二,須重視資安的相關措施。第三,須重視爭端解決機制,且該爭端解決機制應是內、外部都有,所以銀行端要有爭端解決機制,第三方業者也需要有爭端解決機制,且此兩種類型的業者都要有客觀適用的外部爭端解決機制。最後,需要有保險,因澳洲很特別,澳洲有資安險,英國也有資安險。倘若第三方業者是新創公司,要求他們作合格的資料接受者,承擔所有資安外洩、個資外洩的責任不切實際,需要保險制度的搭配,故需要這樣的商品與服務。
四、澳洲效費者資料權制度——同意權行使
除此外,消費者賦權關鍵在於消費者有主導與主控權,如果消費者沒有主導與主控權所有都是虛無。故他們十分重視同意權行使的規範,而列出幾個同意權行使的準則。第一同意要自願、明示、知情後的同意,每一次同意都是基於某種特定目的。授權要有時間限制,每次授權不可以超過十二個月,台灣銀行公會的版本據了解好像是每次授權不超過三個月,消費者要能夠很輕易地將其授權撤回,消費者應有權利選擇其CDR被刪除,此概念類似被遺忘權。同意權管理的機制,規範上要能夠實現同意權的管理,制度、介面設計上也要能夠實現同意權的管理,故要求銀行與資料接受者製作Consumer dashboard,消費者可以拿手機準備授權時透過該儀表板,知道過去一段時間做了哪些授權、基於何種特定目的的用途、妹每次授權期間多長、何時曾經撤回、授權的對象為何,透過儀表板一目了然,這是他們所說同意權管理的機制。澳洲的要求是銀行要有此儀表板,第三方業者也必須要有。這是我認為台灣在討論開放銀行中缺少的一環,我認為很重要。
陸、消費者賦權的挑戰
消費者賦權會遇到何種挑戰,以下列舉幾個問題。未來會有合格資料接受者,且該合格資料接受者,假設資料進行跨產業的流動,會有不同產業的合格資料接收者,應如何設計合格資料接受者的監理機制。光是在金融領域就不容易回答,以開放銀行為例,現如何納管第三方服務業者?現沒有法律依據。實務上問題是,即便要納管第三方服務業者,主管機關的擇定由誰擇定?第二個遇到的挑戰,如何推展消費者資料權的法制化工程?所有消費者賦權的想像都建立在重要的前提,即消費者是基於充分自願知情同意的狀況下,選擇與其有關資料在不同的服務主體之間流動。在法制上賦予消費者這樣權利,需要一個法制工程,該法制工程如何落實。以台灣為例,如今天賦予消費者資料權,需要修改何法?銀行法?金管會組織法?金融消費者保護法?消費者保護法?公平交易法?如何入法?何法?哪個主管機關?這是挑戰。
有了法制權利,會需要實質上的管理機制,特別是同意權的管理機制,如同討論個資隱私保護時,會討論資料可攜權。資料可攜權是一個理想的境界,惟該資料需可攜,又要確保每次的授權都是消費者同意、每次授權都沒有逸脱特定目的,有無可能有制度面或是設計面上,可以幫助我們達到的。故有無法律規範、技術方案的問題,而技術方案與我所說的「助推設計」有關係,即有沒可能如同澳洲有dashboard,可以清楚幫助消費者做消費者同意權的管理。如果知情同意可以透過技術做到這種程度,如果我們在制度或介面上使用助推機制,是否可以更便捷幫助消費者行使同意權。在其中有無助推設計的考量、技術方案的選擇可以是什麼?所有與技術方案的運用都會牽涉到的問題是,技術會出錯,需要有外部的稽核,誰能做外部稽核、如何運作?更重要的事,可以很理想的說要求大家做到完美的技術方案,惟成本誰承擔,銀行?業者?新創業者?還是轉嫁給消費者?
最後,同意不等於主控,資料賦權不等於資訊安全。有再好的同意權管理不代表資料被我處理跟利用擁有絕對的主控權。資訊安全一旦出問題,所有的基石會被推翻,應由外部監理?何機關監理?還是市場有無紀律發生的可能性,所謂市場紀律就是消費者本身,台灣在金融領域,談太多金融監理上著重金融機構健全業務經營、金融體系的穩定、金融消費者的保護,惟金融消費者如何在過程中自負其責卻較少被重視,這些是我看到的問題思考與挑戰。
問題與討論(敬稱省略)
李建良:
所謂第三方服務業者為何?若從法律觀點而言,會是什麼。第二是消費者資料權利,如果將消費者去除,只看資料權利,這會是什麼樣的權利?我們通常是說個人隱私或個人資料保護。消費者資料權利這個概念想要承載何種權利內涵?當然最後談及所謂合格資料的接收者,似乎已經將此權利的形貌畫出。追根究底的問題是,這些資料是自己的還是別人,資料的受詞是誰,如從接收者的角度而言,似乎是他人的資料,是否為新的資料權的形貌。
臧正運:
第一個是,現在第三方服務業者及合格資料接收者,現在我們的想像會像是個法人。以台灣為例,譬如麻布記帳、CWmoney,可能就是第三方服務業者,原本可能是科技業者、製作應用程式。也有可能是較大的公司,如電信業者、集保結算所。故第三方也可以是個法人,對他而言只要能夠透過取得客戶授權下銀行端或是他業而來的資料,針對資料加值提供某些服務或多元的選擇都可以當第三方服務提供者。才會有討論是這種類型的人看起來也承擔大家的信任,拿資料的人被我們託付也是重要的東西,雖然在想像中談及錢與資料時會認為錢比較重要,但其實擔任資料的保管者、處理者也是很嚴肅的,只是現在沒有明確的機制一定要有何條件才能做這件事。從開放銀行的領域目前有的討論只會至少要確定一定資本額的要求,至少要有專業度,該專業是團隊有處理資料能力的人。目前看到會是透過資格要件的符合,只要符合這些資格要件就可以作為第三方服務業者,前提是銀行需跟你有往來。在法律上我會較傾向認為第三方服務業者是一個法人,個別自然人有無辦法承擔此角色,我認為相對而言是較困難的。
第二個問題,權利的本質為何,我認為是個大哉問。我隱約看到他們在討論這個問題的脈絡是,他們認為隨著科技的發展公民有越來越多的數位資料被產生,該數位資料其實會對某些業者帶來利益,惟該利益不一定會反饋到公民本身,這件事法律上應如何評價或看待,因此澳洲慢慢發展出你應該有個權利,惟是否應該這麼快拉到權利層級,我仍在觀察。他們打算先做銀行,銀行做完做能源、最後電信,三大特許行業做完後,未來的想像是可以做跨業的資料流動,因為才剛開始,我也不確定會如何發展。
李建良:
第三方有可能是資訊業者,讓人聯想到Uber問題,Uber不認為它是運輸業者,而是資訊業者,但交通部認定它是運輸業者而處以罰鍰。這種情形會不會同樣發生在第三方業者?即主管機關認定是金融業者,而非資訊業者,故以金融業者的監管方式直接進行管理?
臧正運:
我認為有可能,現在這種間接式的管理有點這樣的影子存在,變成是要求銀行確保這一方的業者更像銀行,確實會有這樣的問題。
邱文聰:
今天報告的題目包括開放銀行、消費者賦權,聽起來是在談兩件事,如果從打破銀行壟斷讓金融產業更有競爭性的角度討論此問題,我們看到現在台灣做法透過銀行公會的自律規範,由各個會員銀行與第三方業者合約訂定,似乎不能達成該目的,因自己找他人合作要打破自己壟斷或寡占的局面,似乎不合理。台灣自己在發展開放銀行背後的思維為何,與英國、澳洲似乎不一樣。
第二,與消費者賦權有關的是,我認為很有趣,原因是該問題不只出現在金融消費市場上,同時會出現在其他場域。我目前在做的計畫是與醫院,醫院也擁有大量的病患資料,這邊出現相同的問題是,每家醫院都將自己所握有的病患的病歷資料當作是投資很多努力下的記憶,為何要與別人分享?會有一個這樣的困境。我們的計畫也意識到這樣的問題,現在有越來越多的資料使用需求,希望將A醫院的病患資料與B醫院的病患資料整合做加值應用,就會遇到其實病患自己的資料控制能力有限,一種模式的提出會與剛剛臧老師所提到的消費者的賦權模式很像,即找一個數據經紀人或是第三方幫病患主張他的權利,故病患可以將其隱私偏好與第三方分享,他願意在何種情況下,為何種目的提供其醫療資訊做何種應用。這個第三方會有很多不同病患給予這樣的授權,資料使用方可能是未來其他醫院或是其他想要使用病歷資料進行醫學產品開發的數據使用者,就可以與第三方業者要求病患資料。由第三方業者授權,某A病患在X、Y、Z的資料是可以被釋出或是不能被釋出。這套想法其實與臧老師提到的消費者資料權是相似的。這樣的風潮其實已經在許多不同領域出現,台灣目前有嘗試在做同意權管理形式,透過資訊系統研發,類似剛剛所提到的消費者儀表板的模式,他們比較想做的是動態同意模型,可以隨時動態的控制資料利用,故當然需要一個儀表板可以有效管理醫療資訊。有關消費者賦權這塊在跨領域已經有些實踐可以參考,但是前端有關開放銀行的部分,想要達成的目的為何,我較不清楚。
臧正運:
第一個問題,台灣有無如同上述國家相類似的推動開放銀行的脈絡與思維,我認為可能要打上一個問號。可以很清楚的看到其他國家推動的脈絡可循,台灣的脈絡有點像是因為有眾多國家推動,因此也進行相關討論與評估。其中一個討論是台灣的零售銀行市場與其他國家的結構一樣嗎?如英國與澳洲都是幾大銀行獨占的市場,台灣不是。台灣是某些實證研究會認為像是獨佔性的競爭市場,也不是完全競爭,又有人認為是過多銀行(當然,若從銀行業所提供商品與服務的同質性來看,或許確實又可能有競爭不足的問題)。故台灣業者一開始很抗拒這個想法,會認為已經夠競爭了,為何還要將過多的競爭帶入。從另一面觀之,我認為帶進更激烈的競爭並非主管機關的本意,惟其同時也認識到數位金融與金融科技的浪潮可以讓消費者有多元選擇,故他們正在尋找一平衡點,如何不要過度改動既有規定,又可以使消費者的選擇變多元。故台灣的背景是一連串思維下的結果,很難法規強制,當然與我們的結構限制有關,即要使用法規強制應改什麼法,有何既有的法規命令可以授權,可能找不到。如找不到而需要修法,應修何法?很難得知,且需要長時間的研擬與評估。故在政策上合理的選擇是由業者自願自律來做,惟自願自律會碰到的問題,會是,如業者不願意應如何?故台灣最近My data,是政府各個機關管控的資料,由我作為一個公民,我使用My data的資料,如財稅資料、所得資料、勞保申報資料,與My data有往來的十間銀行,申請信用卡、房貸、車貸。這與開放銀行的精神有點像,都是給予消費者資料可攜的選擇,會發現目前有的銀行在做開放銀行,有的不做開放銀行,而是先加入My data,因為My data的推動者是國發會,也較不涉及金融監理法制層面的問題。在開放銀行方面,金管會現在分階段推開放API,但是具體可能要到年底第二階段才會正式上路。在正式上路前,他選擇十八種不同服務內容的API,跟大家說第二階段可以做十八種API的內容,在正式大規模開展前可以做,但需先至主管機關做業務試辦。會導致金融業可能想做,但又發現有此規定在,做起來不會如此快。第三方業者想要加入,卻又發現與金融業合作的門檻如此高,以資安而言,必須要有ISO 27001,但許多新創業者沒有,故需花成本。新創業者無法進入,金融挑大的公司合作,但大的公司又會認為為何要給金融業者主導,台灣的發展就可能會變成較詭異的呈現。
有關第二個問題,其他領域的師長也有在做類似的計畫,如剛剛所提的第三方業者是一個資訊中台或是隱私權管理工具,也許背後可以搭建區塊鏈技術,有些醫療機構有在做類似的事情。我個人認為這件事會是趨勢,惟此趨勢能否真的解決,確實做好同意權管理,很難管理同意權授與完後發生的問題。而這段應如何解決,目前我沒有答案,感覺技術方案尚未出現。
邱文聰:
有關My data的部分,銀行的動機為何?基本上如果是銀行就是公會的會員,也因此他可以取得聯徵中心的資料,為何需要靠My data才能核發信用貸款?
劉靜怡:
聯徵中心的資料有那麼多嗎?如剛剛提到勞動部。資料的多樣化可以讓洋行的決定更佳精準。
林建中:
最可怕的是財政部的財稅中心,你的利息、收入、股利、股票、所有繳的稅、房地產等。所有資料中最可怕的是國家將手伸到每個空間中。該機構有兩個進入的管道,第一是拿到勝訴判決,可以要求看債務人有何資產。最常出現的問題,當有人死亡,繼承人可能不知道被繼承人有多少遺產,希望可以瀏覽。其他金融的三個領域,第一個聯徵中心查的是信用問題,有關財經,基本上是銀行維繫、內部的部分,還有集保中心主要是管理股票,有許多證券投資的數據在那。
劉靜怡:
純量的數據,即A、B、C股票各有多少。我好奇的是這種資料會存多久?比如將某一檔股票賣掉,資料會一直留存嗎?二十年後還是可以查到某年某月某日賣出何股票嗎?
林建中:
基本上沒聽說過有刪除。
臧正運:
除了股票、有價證券的資料,還有基金資料、基本上是所有有價證券的資料。
林建中:
故能想像到的基本上所有都在政府手上,雖然有些是用財團法人的型態,有個是用財政部的型態,有個是用公司的型態。現在可以至聯徵中心索取個人信用報告,在貸款時銀行常常會問所得稅申報資料、扣繳名單,是聯徵中心沒有的。而最後其實是會到銀行,政府已經將手伸入。這是我第一個問題要做開放銀行期待的利益是什麼?銀行就算沒有辦法自行取得,也可以要求客戶提供,且最後客戶也會提供。推動開放銀行主要的利益為何?只是多一組人擁有我們的資料嗎?於我而言,知道哪張信用卡較好用不是一個很好的誘因。
臧正運:
聯徵中心擁有的資料有極限,My data的資料如財稅資料、勞保加保的資料,如同劉老師所說的,他可以透過這些資訊針對你做更精準的分析,決定要給予何種條件,這可能是其中之一。另一個會是較商業的考量,My data有參與,開放銀行有參與,對於擁抱金融創新的形象是好事,我認將像是這種考量綜合的結果。台灣推動開放銀行的利益為何,我個人認為是,如同老師所說的使用信用卡,我認為這不是最有力量的場景,最有力量的場景對某些人而言也許是單一財富管理的介面,對某些人而言是清楚知道這些事是有幫助的,如如何消費,將錢花費至何處。
林建中:
使用者是知道,只是為了克服這種麻煩創造一組人再將這些資料擁有,其實保險法領域也要討論要有保險資料中心。基本上已經有銀行、所有的投資證券、保險、財稅中心在掌控所有的想像課稅的東西。我懷疑的是利益有這麼大,Google勉強還不知道的可能是所的存款,也許知道。如趨勢是對於資料更保護,開放所創造的可攜性的好處我不認為有足夠大。因為可攜性是現在即可做到的,其實我們並不是沒有選擇。
臧正運:
開放銀行的場域是一件事,我個人認為像是跨業的資料流動可能是另一件許多人在討論的事,確實可能會對生活帶來許多改變。
楊岳平:
第一,很多人並不是很在乎隱私、個資,既然已經有很多人擁有我的個資,再多一個人也無仿,對於很多人而言個資比率不見得有如此高。我個人認為最近大家在討論的一個場域,即跨機構的支付或是交易,這是很多人在討論的事。像是現在在通動的電子支付,希望辦了一個Line pay後,Line pay可以付街口支付等,都需要某一種串連。開放銀行在想像的是讓所有交易由金融機構串連,讓所有交易是一站式到位,利用此窗口做所有的交易。這對大家而言,好處較多還是壞處叫多,我認為是取決的每一消費者對自己個資的重視程度,以及對於金融便利性的重視程度,背景大概是如此。反之,我不認為台灣的主管機關推動開放銀行是為此,另外有個政治因素在背後,是新創業者推波助瀾的結果,近幾年新創業者的政治聲音很大,使得金管會必須做回應,許多金融科技方面的回應是為了做到某種對於新創業者可交代的程度,是半推半就的結果,金管會會打從心底不想做,會造成行政負擔,才會有如此多奇怪的模式。
臧正運:
其實關鍵是,如同剛剛岳平說的多一個選擇,是否要使用可以自己決定。這也是澳洲在推開放銀行原因之一,澳洲在推動開放銀行時做了一個針對國家整體的調查,該調查找了一個律師主導,他們最在意的是有無賦予消費者「選擇」。不過這些國家是否有做非常嚴格意義上的成本效益分析,我認為似乎還沒有看到任何一個國家是這樣做的。
林建中:
我懷疑其他國家是否有如同我國如此密集由政府資助的資料集中化,在台灣這件事已經做了很久,這件事其實他們已經在我們不知道的時候就在做,是否會有背景上的落差,不太確定其他國家是否有如此徹底的規劃資料庫、跨業者、跨級別的規劃。
蘇凱平:
我認為將資料集中在一起,我能想到這件事的能獲大最大利益的人是檢察官,可能是從旁論的角度。最近科技偵查法的草案停滯,如果要提出其中可能會有較大的改變,以科技偵查法的觀點觀之,是十分需要一個將資料集中、跨場域的處所,如能將全部合一,而非散落在不同的機構,這件事對於檢察官而言是很麻煩的。
黃相博:
檢察官有自己的內部的體系,他們已經有可以串連的平台,不需要靠外部開放,可以連線所有財政部的資料。
蘇凱平:
我在想應是金流,比如洗錢犯罪,洗錢犯罪確實會有找到各種金流的管道,但這件事他們必須自己做勾稽。且洗錢犯罪在法院審判遇到最大的問題是,就是起訴時講述金流的流向,而在審判中辯護人講另外一個故事,判決認為不是這樣勾稽方法不是這樣。如果今天是以開放銀行或是類似的方式,可以將資料用很整齊的方式勾稽,對於我而言,如果我作為審判者,是一個特別有說服力的方式,編排方式應該是要如此的,因為國家已經整理好給我了,這是第一個。另外剛剛提到的,API厲害的是,我每週都用一兩次使用手機付台北市路邊停車費用,故會勾稽的已非僅金流。
劉靜怡:
Line提供的所有生活付費功能,基本上就已將生活的軌跡全部勾勒。
蘇凱平:
以前要跟蹤需要用GPS的方式,惟因通訊保障監察法有非常多設計的機制反抗,要得到GPS的偵查不容易。如果透過API的方式,連結到很多物理性,如付水電費的金流勾稽是一回事,惟如同靜怡老師提到的,在某處的711用Wallet付款、在哪停車等,我的行動軌跡是很清楚地被勾稽,這件事對於國家而言有巨大的利益。
林建中:
我們到底有多少人是罪犯?
劉靜怡:
對於治理者,無論是公部門、私部門,有一個基本心態是,可以掌握的資料越多越安心,因為需要時即可使用。最近有一群台灣的資料科學家,大部分是以經濟學家為主,加上一些社會學家。他們與政府部門談好,號稱要用行政資料放置在一平台上,想要做研究時,就透過該平台拿到資料,事實上是這樣運作。甚至包括最近談及從小學生開始到高中要製作學習檔案,這個東西就是裡面的一部份。可以想像學界都可以這樣做,其他部門的誘因其實更大。
楊岳平:
剛剛文聰老師提及,於醫療領域中有數據經紀人,我的理解是有點像是一個代理人,像是不動產仲介只是變成是醫療仲介,做此有需要特別許可嗎。
邱文聰:
現在沒有管制。
楊岳平:
也不會被當作是醫療產業?
邱文聰:
不會,就是做醫療資訊,即個人的管控。
楊岳平:
但其時手上會有很多個資。
邱文聰:
他的模式是他只透過偏好
楊岳平:
偏好也是個資。
邱文聰:
偏好只是,如我的血液、血脂的相關資訊,同意做高血壓的研究。事實上血脂多高市不清楚的。
楊岳平:
如剛剛李老師的擔憂,這樣資訊業者會不會如同Uber般被歸類為某種特許行業。
邱文聰:
會與剛剛所提及的金融第三方服務業者不太一樣的地方是,第三方服務業者需要知道資訊內容,以便幫忙做管理或建議,故程度上有差別。也有些醫療的第三方業者是真的拿資料的,但現在的模式是可以完全不碰資料,只有如透過區塊量的方式記載偏好,所有的要求進入,他幫忙過濾後,是作為一個開關的角色。
楊岳平:
但他拿取你的資料又如何,也是基於同意下給予的。
邱文聰:
他不想負擔這個責任,故他認為不要給予資料。
劉靜怡:
對他而言,目前要發揮的功能這樣就夠。
邱文聰:
且區塊鏈基本上會有資料量的上限,不可能在每個區塊上寫太多東西。寫偏好就夠了,不需要將完整病例資料放上。
高國祐:
剛剛提到當資料安全發生問題,造成消費者損害時,是由銀行負第一線的責任,代表澳洲規範設計預想由銀行承擔風險,為何在這種情況下不是由資訊持有者,即平台業者負責。舉例而言,在使用麻布記帳時,條款中有寫到如因為資訊洩漏導致損害,明白揭示不負損害賠償責任,但是與銀行的條款中也明示如果將自己的資料給予第三方業者造成自己的損害,銀行也不負責。規範設計上風險應如何分配?
洪于庭:
我認為在全球應該沒有任何一企業比Google擁有我們更多的資訊,事實上在2013年美國有個判決揭示當信件進入Gmail,Google會掃瞄信件內容,甚至是刪除的信件,Google敗訴原因是因為未於隱私權條款中揭露。銀行與Google時,如同國祐所提及的資料洩漏問題,Google會因此承擔何種責任嗎?或是可以獲得賠償嗎?畢竟是Google使用者的資料被洩漏。另外,對於Google而言,有何誘因跟銀行合作,沒有一家銀行的規模是可以與Google所匹敵的。
臧正運:
剛剛所說的脈絡,分配責任的機制不是澳洲,剛剛所說的是台灣的現狀。看起來台灣的自律規範會是由銀行承擔第一線責任。為何會是這樣,也就呼應你提出的問題,銀行與客戶簽約,銀行可能表明在何種情況下不負責任。與第三方簽約,第三方也表明不負責任。然而在台灣,銀行是無法逃脫責任的,因為我們的文化脈絡與社會氛圍。記得曾聽過有人舉例,如果今天在某家銀行提領十萬元,在門口被搶劫,銀行可能都還得要承擔一定的補償之責。這是一個我們一直以來對金融消費者保護的思維,才會變成我們都認為銀行最安全,最後制度成為如此。澳洲是規範面上說得很隱晦,基本上是規定,依照事件可歸責的對象咎責,但沒有揭示銀行須先賠償,這是澳洲現在的處理模式,即個案判斷。但是如何操作因沒有看到實際上發生問題,故仍需觀察。確實如我所述,責任分配是個難題,光是判斷責任分配,金流支付,哪個環節資料被外洩,技術方案,資訊流的環節,光是要判斷責任分配要先找出問題歸屬,今天如是Read Access不涉及金流指令的啟動,關鍵會是在哪個環節資料被外洩,如何證明。故即為何我會說同意權管理的機制是否有技術方案可以記錄資訊流的所有環節,如果可以記錄資訊流的所有完整環節,才有辦法做理想的責任分配,否則,最符合政治正確的考量會是使最有能力承擔的人,負最後承擔的責任。至於Google問題是十分難解,我猜想如果有誘因會是階段性誘因,可能在某階段會想在某個市場做某件事,會需要金融服務的執照,對他而言沒必要,故會先選擇與銀行合作,這是種階段性、策略性的做法。
黃相博:
在開放銀行的環境下,是有意將消費者賦權的概念下只考量消費者,是符合金融消費者保護法或是消費者保護法的消費者概念嗎?如果不是消費者,在開放銀行環境下有無您提到的資訊權的部分需要被考量?
臧正運:
現在所說的消費者,因為在台灣的情境是必須是由會員銀行給提供客戶資料給第三方服務提估者。故基本上會落入原本對金融消費者保障的範圍,我心中想像的消費者不必然要受此拘束,可以是廣義的依據在何種連結或情況做資料的移轉跟流動,我自己的想像是沒有特別侷限在一定是金保法上的消費者。台灣能做的部分以自律規範而言,他們的自律規範應也是用消費者的用語,定義是接受會員銀行或第三方服務提供者依業務合作契約所提供的金融商品或服務者。
黃相博:
我們講到消費者時有時會有框架,如是銀行客戶有時是公司,在發放薪資,或是貨物交易等,那些帳戶資訊也是有可能會落入。如是在開放銀行的環境下,也許會有資訊交換的可能性,我只是想要確認,是否有刻意要將這兩塊區分。
臧正運:
沒有,我認為可以包含。以澳洲為例,澳洲消費者資料權的主體也可以是小公司。
黃相博:
台灣的架構下有可能?
臧正運:
台灣應該尚未想到那程度,但我個人會認為可以考慮。
楊岳平:
我認為從文字觀察是如此,這裡的消費者定義顯然不是消保法或金消保法的定義,沒有區分並將複雜的排除。基本上只要與銀行有往來就是,可以包括專業投資人。我的問題是不管事消費者資料權利,我們會發現這裡所說的「Data」不一定是個資,其實有很多是非個人資料,理論上是超脫個資法的狀況,至少澳洲所說的消費者的情況是超脫個資法的情況。回到台灣的框架下,台灣暫時沒有立法的情況,唯一會卡住的這些個資法,法人我不確定。法人資料在台灣的情況,似乎是監管真空的狀況,反而澳洲提出消費者資訊權後,好像稍微擴大對法人的保護,至少是小型企業。個資法與資料法是不一樣的概念,資料法更廣,開放銀行或是未來各種開放產業可能會談及的是更廣的資料法,現在連個資主管機關都找不到,更難想像萬一需要資料主管機關應如何。假設有數位資料法或是個資主管機關,基本上非目的事業主管機關,較像是作用法的主管機關,而剛剛正運所提及最後需處理的問題是,第三方服務業者納管,想得更多的是目的事業主管機關,不只是作用法的管理,如果要變成通案,不確定正當性如何處理。
臧正運:
這我也還在思考,剛剛提到澳洲為何會賦予小型企業消費者資料權,這點我沒有特別從他們的法律文本中看到解釋,我猜是一種路徑依存後的結果,因為最早開始在針對產業做調查的政府機關是主管中小企業的機關,我猜是因為這樣的原因。
李建良:
開放銀行的推動背後的思維可能是自發性,還是依照法規,代表兩種思維取向:可能是業者自己推動,而自己推動不需要理由,這種模式政府或國家需要介入,在進行時會有何種問題,有無可能會有規範真空的問題。這部分會有問題的是,是否會形成反競爭問題,變成幾家銀行加上第三方業者,形成聯合行為,當國家看到可能須介入調整。另外是一法規的模式,是由上而下的情形,變成國家主動推動,歐盟是這樣,歐盟強勢推動要求必須開放,這種情形必須要有正當性,正當性不足會有問題。
第二層次的問題是,是否需要納管?過去的基本想法比較是組織法思維,好像組織成立之後,就可將所有問題解決。事實上真正的問題在作用法,如環境資源部,在行政院組織法已經有規定,直到現在無法成立,因環境資源部一旦成立,會將所有業務納入,因為所有事都與環境資源相關。問題根源在作用法的部分是不清楚的,就算成立作用法也很難運作。
最後,銀行是否有包括郵局,事實上在台灣很難排除郵局。郵局事實上的功能是扮演銀行,故在開放銀行時,郵局的角色為何?值得進一步思考。
