議題觀點

金融機構間資料共享指引之法令遵循議題探討

德勤商務法律事務所 / 張憲瑋資深律師

金融監督管理委員會於2021年12月23日訂定「金融機構間資料共享指引」,主要是針對境內金融機構間就客戶資料(包括自然人客戶及法人客戶)分享與其他金融機構者,應建立相關的內部控制制度,及揭露隱私權政策,並依三種不同的金融機構類別,分別適用不同之規範。由於各金融機構應於金融機構間資料共享指引頒布後6個月內經董事會(或授權之經理部門)訂定內部控制規範,故目前各金融機構應已完成相關規範之制定,本文主要就金融機構間資料共享之規定進一步探討相關法令遵循之議題。

關於資料共享可以參考國際認證標準BS10012:2017的8.2.7.4關於個人資料分享之規定,資料傳輸雙方必須簽訂協議,並載明雙方責任、使用目的及使用限制,此點與金融機構間資料共享指引第6點第1項第4款第1目、第7點第4款第1目之規定:「資料共享目的、資料範圍、資料之蒐集、處理、利用頻率及方式。如須取得客戶同意者,告知客戶及取得其同意之方式。」類同,該規定亦較個人資料保護法有更進一步的規範,而向BS10012:2017標準接近的狀況,亦即資料共享傳輸方有對接收方就分享資料控管之必要性,故金融機構間資料共享指引第3點第1項第1款即規定:「資料共享須有明確、妥適目的」,而第3點第1項第3款規定參與資料分享之員工則必須對「資料共享約定條件等有充足之認識」。依此衍生的議題是,如果約定的條件包括客戶撤回分享之同意或客戶請求停止處理利用時,接收資料方應停止使用,此際資料分享之金融機構應如何控管?如果資料接收之金融機構未依規定之使用目的或使用限制利用客戶資料時,又應如何及早發現及控管?此際如何符合金融機構間資料共享指引第3點第1項第4款:「…共享結束後之處理等事宜,應訂定妥適之管理政策。」?在實務上顯然資料傳輸方就需要較靈活的資訊系統管理方式,不管是資料的對接或分享能有即時控制之機制。

再者,資料分享可能包括控管者傳輸給控管者、控管者傳輸給處理者、處理者傳輸給控管者及處理者傳輸給控管者,惟金融機構間資料共享指引主要是針對控管者傳輸給控管者(傳輸給處理者則適用個人資料保護法施行細則第8條),應如何確認資料接受方之客戶資料管理是否完善?金融機構間資料共享指引第6點第1項第4款第3目、第7點第4款第3目之規定:「依據資料屬性所採行之維護作業、資料治理、風險管理及使用限制」關於資料治理、風險管理及使用限制,資料傳輸方應約束資料接受方,則相關條款又應如何訂定?除了參考BS10012:2017的8.2.7.4規定資料傳輸方應取得接受方之承諾或類似遵循證據外,亦可參考GDPR第41條資料傳輸方可以主管機關核准之行為準則監控、評估資料接受方遵循個資法之狀況,或可參考GDPR關於資料分享的標準個資條款(2021 European Commission Standard Contractual Clauses)完整約定資料共享雙方的權利義務。這些議題都是金融機構在簽訂資料分享協議及執行資料分享時,宜再進一步深究的問題。

金融機構間資料共享指引雖是站在個人資料保護法(主要是客戶同意)的基礎上,但更進一步要求了資料傳輸的控管,不論是在資料傳輸方的內部控制制度或雙方的資料傳輸合約規範條款,但也引發了更多執行面上的問題,本文在金融機構間資料共享指引實施初期也提出一些看法,望供金融業界在落實面能有進一步的參考。

是否找到您要的資訊?