近期LINE Bank開戶時被要求須同意提供好友資訊引起熱議,雖宣稱是為了好友轉帳功能,且用戶可自行決定是否讓第三方存取。然此一說法,只考量本身服務需求,卻未顧及是否履行告知事項、有無在特定目的內利用或是否符合其他要件。
自今(2021)年開始,樂天與LINE Bank兩家純網銀陸續上路。雖如LINE Bank上路初期,因同一時間上線人數過多造成系統負擔過大,產生當機狀況;但修復後仍開始提供服務。此一發展,可顯示我國金融科技時代的來臨。然而,以科技為導向的純網銀,相較傳統金融機構,除了服務流程或產品需有不同思維外,在法令遵循部分,實與現有管理機制無異,甚至應加入存款保險、遵守主管機關相關規範或要求。
惟以近期產生爭議的LINE Bank開戶,卻需要好友資訊乙事為例。按相關資訊如符合個人資料保護法(簡稱個資法)對個資之定義,且業者將進行蒐集、處理或利用之行為,應依循個資法及相關法令,例如:履行告知、符合法定情形並於特定目的內利用,並應提供當事人權利行使管道。
雖然業者有對外說明,LINE Bank開戶需要好友資訊,主要係為了好友轉帳功能,用戶可以自行設定關閉LINE之「外部應用程式存取」,決定是否讓第三方存取。然此一說法,只考量本身服務需求,卻未顧及是否履行告知事項、有無在特定目的內利用或是否符合其他要件,實與個資法規定不符。
金融科技應用:隱私設計或自動化決策之規範
有關開戶需要好友資訊之爭議,雖業者後來有進一步解釋,因LINE Bank開戶有兩種管道:(1)可從LINE Bank官方App申請,或(2)從LINE App提出申請。本次產生爭議的原因,主要是(2)從LINE App申請部分,因若不同意將LINE帳號與LINE Bank帳戶綁定,就會跳出申請流程,無法完成開戶。但如同意綁定,LINE帳戶內之好友或相關資訊,就會被LINE Bank蒐集或利用。
由此一說明可以看出,業者輕忽個資法之規範係以當事人與蒐集主體為主。LINE與LINE Bank雖屬同一集團,但在法人格上,仍屬於兩個不同法人,應各自遵循法定義務。此外,當事人同意LINE之告知事項,並不代表同意LINE Bank的內容,反之亦同。且對於當事人是否願意提供個資給同一集團之其他公司利用,在我國已有可供參考之作法。此一情形,類似過往在金控集團內之銀行辦理信用卡時,可選擇是否願意提供給同一集團之保險、證券或期貨等行銷用途,但預設應為不同意。
不過,業者在辦理LINE Bank開戶時,仍預設連結好友資訊。暫不論有無列入LINE之告知事項,甚至如欲取消或不願提供好友資訊,還必須係以LINE Bank官方App提出申請,並於開戶流程中,點選「取消」與LINE的綁定後,才能繼續下一步開戶流程。雖開戶後,可以隨時取消或重新恢復綁定。但此一說明,彰顯實未顧及不同蒐集主體,且未考量有無先履行告知事項或相關義務。
不僅我國個資相關法令有所規範,對於可能蒐集個資之產品或服務,歐盟GDPR第25條設有隱私設計或隱私預設之規定,也可供參考。以隱私設計(Privacy by Design,PbD)為例,依GDPR要求資料控制者應採取適當之科技化且有組織性的措施,以有效方式將保護措施納入個資處理程序,如有關個資之約定先預設不連結或不同意,讓當事人閱讀告知事項或契約條款後,才進行決定。且當事人同意更要求是出於自願之同意,並非透過流程或其他方式讓當事人無法拒絕。
至於隱私預設(Privacy by Default,簡稱亦為PbD),則是較系統或技術面向之考量,如要求資料控制者應實施適當之科技化且有組織的措施,以確保在預設情況下,僅處理一特定目的且在必要範圍內之個資。包含但不限於:對可能蒐集個資產品或服務之權限控管,確保非所有資料控制者的員工都能接取當事人的個人資料。或於安全通訊環境中運用端到端之加密通訊,於客戶端至伺服器建立加密通訊頻道,及驗證通訊方身分和匿名通訊。
此外,考量目前產業處理資料需求,透過電腦或相關方式自動化處理已為常態,如進行數據分析或行銷活動,甚至對於個人信用貸款等提供初步建議。此處涉及自動化決策之規定,在我國個資法雖無明文,但中國大陸或歐盟皆有類似規範可供參考。如大陸個資法2020年10月草案之第69條第二款已有定義,其自動化決策是指利用個人信息對個人的行為習慣、興趣愛好或經濟、健康、信用狀況,透過計算機程序自動分析、評估並進行決策之活動。
至於歐盟GDPR第22條提及之自動化決策(Automated Decision),如剖析或剖繪(Profiling),主要指在無人參與的情形,單純使用個人資料加以演算分析,所做出之決策。無論是大陸個資法草案第25條與歐盟GDPR規範,除須符合相關要件,如特定目的;欲進行自動化決策,還包含必須符合透明、公平及合理之基本原則。基此,未來純網銀如欲規劃自動化決策相關業務,歐盟規範或中國大陸之後續發展,皆可納入參考。
結論與建議
綜合上述我國法令與歐盟GDPR規範,在規劃系統或開戶流程前,LINE Bank之團隊除IT或行銷人員外,應可加入法令遵循人員。且古人有云:「前車之鑑、後事之師」,傳統金融機構可供之參考規範甚多,如前述信用卡之條款。金管會對於個資之蒐集、處理或利用,也有許多資料。金融科技相關業者要落實隱私設計,應從產品或服務流程規劃之前就開始,不僅考量行銷、服務流程或體驗、更要考量對應之法令遵循,以降低可能風險或避免不必要之困擾。
甚至,純網銀等公開發行公司,也會在意公司治理等需求。金管會已說明公司治理係指一種指導及管理企業的機制,以落實企業經營者的責任,並保障股東的合法權益及兼顧其他利害關係人的利益。在資料經濟時代內,除了以往重視的金融法規外,金融機構可能涉及之各類商業活動,如貸款、保險甚至是電商等業務,都需要運用資料作為行銷、規劃之用,也因此,個資或相關法令遵循實應不可忽略。
<本文作者:陳宏志目前服務於資策會,專注於資料治理議題,如資安、個資政策或法令及管理實務,並協助零售、物流、智慧財產權等規劃區塊鏈應用。>