金融科技在面對跨境個人資料傳送的挑戰

個人跨境資料之定義與重要性

企業出於考量需要蒐集大量個人資訊，隨著科技即網路的發展，這些個人資料的保存已不限於紙本，而是上傳至網路世界中，網路的發達大幅改變資訊傳輸的方式，這也使傳遞或交付個人資料上跨境流通變得輕而易舉。對於個人跨境資料的定義，根據經濟合作暨發展組織(OCED)1980年訂定之「隱私保護暨個人資料跨境流通綱領時」其曾將「個人資料跨境流通」定義為「跨國境之個人資料移動」(movements of personal date cross national borders)，不過學者認為，此等定義已無法全然涵蓋當今的個人跨境資料，宜認為不僅限於跨越國境，而是只要橫跨在不同法律管轄區皆可屬於跨境個人資料，以確保法律保護的完備。

 

挑戰--法律合規性挑戰

歐盟：GDPR

一直以來就是重視人權的先驅--歐盟於2018開始施行「歐盟資料保護一般規則（General Data Protection Regulation）」(下稱GDPR)，其被稱為最嚴格的個資法，為歐盟會員國間可直接通用之法律，GDPR保護資料當事人的權利如取得資料的權利、請求更正的權利、請求刪除之權利等。其中針對個人資料在跨境資料的傳輸原則上限制之，歐盟公民個資只能在歐盟境內利用，例外在以下情況得傳輸至歐盟以外的地區或國家:該地區經評估具備「適當保護水平」、資料管理者以提供適當保護措施、當事人明確同意、履行契約或依當事人要求為締約前之必要措施、基於重要公共利益之維護、為主張、行使或防禦法律上之請求權所必要、基於保護當事人之重要利益所必要、依法辦理之登記作業，而向公眾提供資訊等。

另外，對於評估第三國個人資料保護程度充足與否時，應考量有否獨立監管機關之存在並有效運作、已否參與或簽署關於個人資料保護之國際協定或其他具法律拘束力之契約、或參與多邊或區域體系而生之義務等。第三國資料保護程度不足時，應禁止向該第三國為資料移轉(第45條)。此時控管者或處理者應採取適當之保護措施以彌補第三國對資料保護之欠缺，該等措施可包括利用有拘束力之企業守則（Binding Corporate Rules，BCR）、歐盟執委會採行或核准之標準資料保護條款、由監管機關授權控管者或處理者與第三國或國際組織之個人資料控管者、處理者或接收者之契約條款等(第46條)。

 

台灣：個人資料保護法

台灣對於個人資料的跨境傳送相關規範的通論可見於「個人資料保護法」中，與歐盟的GDPR不同，在台灣對於跨境資料原則上是開放，但在以下例外情況中央主管機關可以限制:涉及國家重大利益、國際條約或協定有特別規定、接受國對於個人資料之保護未有完善之法規，致有損當事人權益之虞、以迂迴方式向第三國(或地區)傳輸個人資料規避個資法時。

對於金融機構中的個人資料境外運輸或是處存之規定，可見於我國金管會於《金融機構作業委託他人處理內部作業制度及程序辦法》。首先，金融機構必須充分了解受委託機構對客戶資訊的使用、處理及控管情況，並僅提供與委託事項直接相關的必要資訊。受委託機構的員工僅能在委託範圍內使用資訊，且需與其他資料有明確區隔。金融機構還需定期查核和監督受委託機構的操作，並在必要時將結果報告主管機關。此外，當受委託機構所在地的金融主管機關要求提供客戶資訊時，金融機構必須先通知我國主管機關並取得同意。涉及重大性消費金融業務資訊系統的境外委外需申請主管機關核准，並提交風險評估、客戶資訊保護措施等相關文件。另外辦法亦有針對使用雲端服務時的規定，金融機構需對雲端服務業者進行最終監督，並對客戶資料進行加密。這些規定旨在確保境外處理客戶資料時能夠妥善管理和保護，符合國內外資料保護法規。

 

APEC：CBPR

由於台灣為亞太經濟合作APEC會員，APEC中關於隱私規則的標準跨境隱私規則CBPR( Cross-Border Privacy Rules)，相較於前兩者是屬於法規，CBPR屬於一種需要透過企業申請以取得的驗證。CBPR為亞太經濟合作數位經濟指導小組下，由美國領導推動的國際隱私法遵標準，為一種國際級驗證，符合驗證者代表氣企業在內部關於個資蒐集、處理、利用上具合規性，且建構自由流通的信賴環境。

 

相關案例

過去發生的Cambridge Analytica事件可看出數據保護和跨境個人資料使用的嚴重法律問題。Cambridge Analytica通過名為“thisisyourdigitallife”的應用從Facebook收集數據，這些數據被用於建立選民心理分析模型，以影響2016年美國總統選舉和英國脫歐公投。然而，數據收集過程中未經用戶和其好友的明確同意，違反了GDPR的基本原則。此外，用戶對其數據被用於政治目的並不知情，這違反了GDPR強調的透明度原則。數據的跨境傳輸也涉及法律問題，因為從歐盟用戶傳輸到美國的數據必須確保保護水平不低於在歐盟內部的標準。最終，Facebook被罰款50億美元，而Cambridge Analytica則宣布破產。此案件促使全球加強數據保護法律的執行和修訂，如加州制定了《加州消費者隱私法》（CCPA）。

另外，金融科技應用上也會涉及許多個人資料之使用，如仰賴雲端運算與大數據則需要蒐集大量的資料，若此時涉及跨境個人資料的取得，企業應於此時注意取得與使用這些資料的合規性。過去就曾發生企業提供給AI訓練之數據違反個人資料保護之相關規定之案例，Google DeepMind與NHS的合作案於2016年引發了數據保護的法律問題。DeepMind開發的Streams應用程序利用Royal Free London NHS Foundation Trust提供的150萬名患者的健康數據，其目的在改進急性腎損傷的預測和預防。惟事後調查發現DeepMind在使用這些數據時未獲得患者的明確同意，也未向公眾充分透明地披露數據的使用目的。這違反了GDPR的知情同意和透明度要求。最終，ICO要求DeepMind和NHS改進其數據保護措施，確保未來的合作符合GDPR規範。

 

跨境個人資料在金融科技上應用之案例:

PayPal 是一家全球知名的跨境支付平台，處理大量跨境個人資料，包括客戶的姓名、地址、電子郵件、交易記錄等。為確保資料安全和合規，PayPal 在不同國家設有資料中心時，必須遵守各地的法律法規，如歐洲客戶的資料需符合《通用數據保護條例》（GDPR）。資料在跨境傳輸過程中經過匿名化和加密處理，並且只有授權員工才能訪問敏感資料。PayPal 在這方面採用多因素認證（MFA）和欺詐檢測系統來增加安全性，定期審查和審計資料處理流程，明確告知客戶資料使用和傳輸方式，並保障客戶查看、修改和刪除資料的權利。這些措施提升了支付處理效率，確保了資料隱私和安全，增強了客戶的信任。

 

普匯觀點

從上述法規介紹以及案例啟示中可以看出對個人資料保護的重視程度不斷提高，金融科技業者在運用技術時，通常需要大量個人資料和數據，而這些資料的合法使用將因數據的所在地和來源地的法律要求而有所不同。金融科技公司必須在全球各地不同的法規環境下運營，這要求他們在收集、處理和存儲個人資料時，始終遵守相關的法律和規定--特別是在跨境數據流動方面，金融科技業者需要確保數據處理活動符合所在地和來源地的法律標準，如GDPR和CCPA等法規。這不僅包括獲得用戶的明確同意，還涉及確保數據處理的透明度和安全性，和應對不斷變化的法律環境，並確保其操作符合全球各地的數據保護標準。