金管會 金融機構間資料共享指引 金融科技 Fintech 新冠肺炎

「金融機構間資料共享指引」上路 理專違規凸顯內控重要性

資料共享跨機構效益加乘 善用金融科技輔助興利除弊

2022-02-23
2021年12月底,金管會發布「金融機構間資料共享指引」,放寬金融機構在資訊安全的原則下,於取得客戶同意後,可合理利用客戶資料,以促進金融機構間資料共享機制。因為涉及客戶個資保護,金融機構也被要求須建立並落實相關的內控制度。

新冠肺炎的陰霾長期籠罩全世界,對社會經濟產生很大的影響。新的農曆年來臨,大家都希望能脫胎換骨虎虎生風,鼓動錢潮發大財。金融機構儲存大量金錢財富,坐擁民眾的金山銀山,因此受到國家的高度管制,被要求必須完善其內部控制。然而,「道高一尺,魔高一丈」,面對危安違法事件頻傳,人力應對有時而窮,也要靠金融科技輔助做好內控管理。

2021年12月底,金管會發布「金融機構間資料共享指引」,放寬金融機構在資訊安全的原則下,於取得客戶同意後,可合理利用客戶資料,以促進金融機構間資料共享機制。這項行政指導有助於金融機構發展智慧金融以及做到精準行銷,可說是開源興利的措施,但因為涉及客戶個資保護,金融機構也被要求須建立並落實相關的內控制度。

上開指引發布幾天後,金管會公布有三家銀行業者因其理專、行員挪用客戶款項、與客戶間有異常資金往來,核有未完善建立及未確實執行內部控制制度,乃處以合計二千萬元的罰款。人謀不臧的金融案件層出不窮,倘若能藉由金融科技的輔助完善化內控機制及落實查核,應有機會杜絕及提早發現不法情事。

從金管會以上兩項興利與除弊的作為可以了解,金融機構內部控制的地位已提升至相當高度,不容輕忽。而金融科技的發展也必須密切觀察政策規劃與實務缺失,才能對症下藥發揮功效。

金融機構之間共享客戶資料

金融機構掌握金流,而金流隨人流而來,要匯集人流,則必須掌握資料流,包括瞭解誰是潛在客戶?誰是有錢的大戶?客戶的身分職業、財富來源、風險承受度、財務需求及理財規劃為何等等資料。金融機構之間如能互相交流,掌握越多關於客戶的資料,則越能做到主動行銷甚至精準行銷,吸引更多的人潮與錢潮。

金管會公布的「金融機構間資料共享指引」規定金融機構間可共享的資料包括客戶基本資料、身分核驗資料、帳戶資料、金融商品或服務之交易紀錄、負面資訊、認識客戶(KYC)資料、金融機構加值資料、電子通訊歷程紀錄(如IP位址)、其他經客戶及合作金融機構同意共享的資料等9大類。三大適用對象包括:第一類的金控公司集團、第二類的非屬金控公司的金融集團,以及第三類的非屬前兩者的金融機構。三大類金融機構都可共享客戶資料,惟應取得客戶同意並保障客戶權益,其中第一類及第二類金融機構由於屬於同集團,可進一步建置資料庫。

金管會表示,資料共享合理使用是數位發展的核心,金管會將在「金融科技發展路徑圖」下逐步推動落實。隨著金融創新不斷發展,金融服務之提供已跨越機構別,然而過去部分金融業法對於客戶資料之共享並無具體規範,本指引訂定之目的乃在於明確揭示金融機構跨機構間資料共享機制,以提升消費者權益,並在資訊安全之原則下促進客戶資料之合法、合理利用,提升客戶交易之便利性,亦減少各機構因重複建置與維護客戶資料所增加之營運成本,提升效率、發揮加乘效益。

資料共享需建立內部控制規範

值得注意的是,本指引特別規定金融機構須建立內部控制規範且須依下列原則辦理辦理資料共享:

1.資料共享須有明確、妥適目的,並應合法及注意倫理道德。

2.共享之資料如屬身分核驗資料、負面資訊等,對客戶權益有較大影響性者,金融機構應進行必要之查證,或提供其他強化客戶資料保護措施。

3.資料共享過程中之參與者及其員工須經授權,並對相關法令、內部控制規範及資料共享約定條件等有充足之認識。

4.對於資料共享、日常維護、留存、權限設定、報表管理、共享結束後之處理等事宜,應訂定妥適之管理政策。

5.應按合作對象及資料共享方式,以風險為基礎,明定內部審核及分層負責機制。

6.應確保資訊系統及資料傳輸之安全性。

7.應針對資料共享作業,明定受理客戶申訴及處理爭議之內部標準程序。

為建立及執行前述內控制度原則,除須金融人員分層負責之外,亦有必要借助金融科技的輔助,確保資訊系統及資料傳輸之安全性以及完善化其他資安措施。值得一提的是,關於前開原則第1點所述資料共享應注意倫理道德,本指引說明特別舉例諸如:運用人工智慧評估客戶風險時,應注意避免產生潛在偏見之情形;運用人工智慧分析客戶資料後,不得對相同條件之客戶有不同差別待遇之情形。這是避免人工智慧唯利是圖而被誤用濫用。

個資保護相關內部控制的重要性

現行法制對於金融機構與公開發行公司均要求建立內部控制制度,然而個資保護也是金融機構法律遵循的一環,特別是金融機構對於客戶資料尚有保守秘密的義務(參見金融控股公司法第42條)。與個資保護密切相關的法律是個人資料保護法,因此個資保護之內控制度即須注意個資法之遵循。個資法第27條即規定:非公務機關保有個資檔案者,應採行適當之安全措施,防止個資被竊取、竄改、毀損、滅失或洩漏,此即涉及資安之維護。「金融機構間資料共享指引」更要求金融機構辦理資料共享須依其樹立之原則建立內部控制規範,不容輕忽。

關於理專、行員挪用客戶款項、與客戶間有異常資金往來之違法情事,金融機構被指摘其未完善建立及未確實執行內部控制制度,這是屬於金流內控方面的疏失。而在人流與資料流方面,則涉及客戶個資保護與金融隱私保密的層面,金融機構亦須善盡內控管理之責,否則也會因此受罰及承擔相關法律責任。面對如海量龐大的金流、人流及資料流的三流匯集,金融機構的人力監控或有未逮,尚可透過金融科技來輔助抓錯,讓工人智慧與人工智慧協作運轉,始能克盡其功。

<本文作者:陳佑寰目前為執業律師。國立台灣大學法學碩士,美國賓夕法尼亞大學法學碩士。專攻領域為智慧財產權法、高科技產業議題及資訊法等。>


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!