【名家觀點】個資保護vs.金融科技發展

最近有機會走訪多家金融業了解他們對金融科技發展的看法,業界幾乎異口同聲對於個人資料使用,希望法令能更明確以及合理的開放。我國《個人資料保護法》第1條揭示立法兩大目標,一是「避免人格權受侵害」,二是「促進個人資料之合理利用」,兩者寬嚴之間各有顧慮,如何衡平是必須妥善處理的課題。

個資保護概念起源甚早,14世紀從英國隱私權觀念開始,歷經數百年演變,直到1970年以後各國才陸續制定個資保護法制。依時序推論,個資保護的立法邏輯與基礎思維,當然不會考慮近年才蓬勃發展的金融科技,用一個舊觀念制度去框架新思維活動時,衝突與扞格很難避免。

目前我國個資法架構中,「事前取得同意」與「尊重資料當事人」,是合法蒐集、處理與利用個資二大要件,據此衍生許多保護個資當事人規定,如個資法第8、9條說明義務,或第20條拒絕行銷利用權等規定。這些邏輯在「古代」以面對面交易蒐集個資為主時代,如此規範合理可行。但網路與資訊發達的今日,蒐集個資方式無所不在,瞬間資料傳遞動輒以萬千計,如果嚴格按照個資法要求,要做到逐筆事先同意並完成說明,實際可能嗎?網路世界的事前同意,往往只剩不得不按下的「同意」鍵,這樣無意識徒具形式的同意,是否符合個資法要求?大數據蒐集處理程序是否符合法規?個資去識別化標準不明確,使實務應用違規的不確定性大增等,諸多未知的法律風險,已成金融科技發展隱憂。

由於我國個資法未明列主管機關,法務部是解釋機關,負責執行的是各目的事業主管機關,另外還有目前主政機關國發會,很多金融業者企盼能透過個資法修法或是放寬解釋解決市場難題,常因事涉多單位,修法與解釋每每曠日費時且難度頗高。個資法立法之初已確認為普通法性質,如有其他特別法則應優先適用,為解決金融科技發展的個資使用障礙,除了修個資法外也許可以思考其他方法。

依據我國個資法施行細則規定,個資法所稱的「法律」,可擴及法律具體明確授權之法規命令;個資法所稱「法定義務」,也包括法規命令規定之義務,這些法規命令只要有法律明確授權,目的事業主管機關就有訂定的權限。許多影響金融科技發展的個資法重要條文(如第6、8、9、10、19、20、54條等)都明文規定,只要依法律規定或執行法定義務時,可以不適用個資法某些規定,這給予目的事業主管機關彈性規範個資使用的空間。

因此可考慮將個資法規範較僵化的條文,重新根據金融科技的特性,尋找金融法律條文中有具體明確授權的法源,據以訂定更符合金融保險科技發展的個資保護相關法規命令。如此既符合個資法規定,更可訂定更適切金融業的個資保護與合理利用規則。畢竟金融業已是高度監理的行業,個資保護的嚴謹度原本就比一般行業高,另訂規定並不會發生個資保護下降的疑慮。

目前金管會也注意到個資使用問題是金融科技發展的關鍵,已在金融科技發展路徑圖中規畫出部分個資開放之方向與進程。未來如欲進一步促進金融科技的發展,讓風險與效益取得更好的平衡,個人資保護架構與方法的重新調整是有其必要的。

2021-03-22 經濟日報 彭金隆
https://money.udn.com/money/story/12952/5333918