金管會訂定「金融機構間資料共享指引」2021-12-23
為因應金融科技發展,提升消費者便利性、強化金融機構風險控管及促進金融機構間跨業合作,金融監督管理委員會(以下簡稱金管會)今日訂定「金融機構間資料共享指引」(以下簡稱本指引)並開始實施,明確就金融機構間可辦理之資料共享類型揭示相關辦理原則,說明如下: 聯絡單位:金融科技發展與創新中心
一、為提升金融機構客戶便利性、強化金融機構之風險控管及促進金融機 構間跨業合作,特訂定本指引。 金融機構間資料之共享,除其他法令得共享者從其規定外,依個人資 料保護法及本指引辦理。 前項得共享資料之其他法令規定彙整揭露於金融監督管理委員會網站 。 二、本指引用詞定義如下: (一)金融機構:係指金融控股公司、銀行、信用合作社、票券金融公司 、信託業、電子支付機構、辦理郵政儲金匯兌業務或簡易人壽保險 業務之郵政機構、證券商、證券投資信託事業、證券金融事業、證 券投資顧問事業、期貨商、槓桿交易商、期貨信託事業、期貨經理 事業、期貨顧問事業及保險公司。惟不包括在國外之分公司。 (二)金融機構子公司:係指前款金融機構依公司法第三百六十九條之二 規定所控制且符合前款金融機構定義之從屬公司。但不包括在國外 之從屬公司或在國外之分公司。 三、金融機構間依本指引辦理資料共享,依下列原則建立內部控制規範: (一)資料共享須有明確、妥適目的,並應合法及注意倫理道德。 (二)共享之資料如屬身分核驗資料、負面資訊等,對客戶權益有較大影 響性者,金融機構應進行必要之查證,或提供其他強化客戶資料保 護措施。 (三)資料共享過程中之參與者及其員工須經授權,並對相關法令、內部 控制規範及資料共享約定條件等有充足之認識。 (四)對於資料共享、日常維護、留存、權限設定、報表管理、共享結束 後之處理等事宜,應訂定妥適之管理政策。 (五)應按合作對象及資料共享方式,以風險為基礎,明定內部審核及分 層負責機制。 (六)應確保資訊系統及資料傳輸之安全性。 (七)應針對資料共享作業,明定受理客戶申訴及處理爭議之內部標準程 序。 前項之內部控制規範應經董(理)事會通過。 四、金融機構間資料共享,應於公司網站揭露隱私權政策,其內容應至少 包括共享資料之公司名稱、共享目的、客戶資料保護措施及客戶權益 維護之救濟方式等。 五、本指引所定資料共享之適用對象,區分為以下三類型: (一)第一類:金融控股公司與所屬金融機構子公司間,及金融控股公司 所屬之各金融機構子公司間。 (二)第二類:非屬金融控股公司之金融機構與所屬金融機構子公司間, 及非屬金融控股公司之金融機構所屬各金融機構子公司間。 (三)第三類:非屬上述二類之金融機構與金融機構間。 六、第一類及第二類金融機構得為辨識風險、進行風險控管而共享資料, 並應注意以下事項: (一)應事先取得客戶同意。 (二)可共享之資料包括客戶基本資料、身分核驗資料、帳戶資料、金融 商品或服務之交易紀錄、負面資訊、認識客戶(KYC) 資料及金融 機構加值之資料、電子通訊歷程紀錄(如 IP 位址)或其他經客戶 及合作金融機構同意共享之資料等。 (三)應落實客戶權益之保障,確保個人資料之保護、資料傳輸之安全。 (四)應明確約定至少下列內容,並確實執行: 1.資料共享目的、資料範圍、資料之蒐集、處理、利用頻率及方式 。如須取得客戶同意者,告知客戶及取得其同意之方式。 2.資料共享參與者之描述、各參與者權責分工及責任歸屬。 3.依據資料屬性所採行之維護作業、資料治理、風險管理及使用限 制。 4.資料共享相關法令遵循事宜。 依第一點第二項及前項規定辦理之資料共享,得由金融控股公司或控 股之金融機構統籌建置資料庫、管理資料共享,並得由金融控股公司 、控股之金融機構指定其所屬之金融機構子公司辦理。 七、第一類、第二類及第三類金融機構得為減少客戶重複輸入資料等便利 客戶作業或為合作辦理業務而共享資料,並應注意以下事項: (一)應事先取得客戶同意。 (二)可共享之資料包括客戶基本資料、身分核驗資料、帳戶資料、金融 商品或服務之交易紀錄、負面資訊、認識客戶(KYC) 資料及金融 機構加值之資料、電子通訊歷程紀錄(如 IP 位址)或其他經客戶 及合作金融機構同意共享之資料等。 (三)應落實客戶權益之保障,確保個人資料之保護、資料傳輸之安全。 (四)金融機構間應建立業務合作關係,明確約定至少下列內容,並確實 執行: 1.資料共享目的、資料範圍、資料之蒐集、處理、利用頻率及方式 。如須取得客戶同意者,告知客戶及取得其同意之方式。 2.資料共享參與者之描述、各參與者權責分工及責任歸屬。 3.依據資料屬性所採行之維護作業、資料治理、風險管理及使用限 制。 4.資料共享相關法令遵循事宜。 5.業務合作關係起訖時間及合作關係結束時客戶資料之處理方式。 為了提升金融機構客戶便利性、強化金融機構風險控管,以及促進金融機構間跨業合作,金管會今天(12/23)發布金融機構間資料共享指引,即日起正式實施。 金管會今年初展開金融機構間資料共享適法性的討論,4月底擬定具體版本,參考了新加坡與澳洲的規定,訂出這份金融機構間資料共享指引。這也是金融科技發展路徑圖中在資料共享政策上,重要推動的措施之一。 金管會副主委邱淑貞表示,該指引重視全市場的發展,適用對象共區分為3類型,第一類是金控公司與旗下金融機構子公司間,比如,A金控與旗下銀、保、證子公司的資料共享;第二類是非金控公司的金融集團與旗下金融機構子公司間,比如B證券金融集團與旗下投顧、期貨子公司的資料共享;除了以上兩類以外,不同金融機構間相互資料共享,則屬於第三類型的適用對象,像是A金控旗下銀行子公司與B證券集團旗下投顧子公司,或者C銀行與D產險公司間的資料共享。 金管會綜合規劃處處長胡則華表示,資料共享的態樣上,共分為2項資料共享目的與適用機構。第一項資料共享目的是,辨識風險或進行風險控管。僅有第一類與第二類金融機構可執行,取得客戶同意的前提下,可由金控公司或控股的金融機構統籌建置資料庫、管理資料共享,且能指定旗下金融機構子公司建置資料庫。 另一項資料共享目的是,減少客戶重複輸入資料等便利客戶作業,或者金融機構間合作辦理業務。包括第一類、第二類、第三類金融機構都能辦理,在取得客戶同意下,各金融機構間皆可採簽訂合約方式,建立業務合作關係來共享資料。 邱淑貞表示,可共享的資料範圍包括客戶基本資料、身分核驗資料、帳戶資料、金融商品或服務的交易記錄、負面資訊、認識客戶(KYC)資料及金融機構加值過後的資料、電子通訊歷程記錄如IP位址,或其他經客戶與合作金融機構同意共享的資料。 邱淑貞進一步舉例,加值過的資料比如金融機構風險等級分析,當一家金融機構判斷客戶風險屬性時,能再加上另一家合作金融機構的參考資料,對客戶的了解能更加清楚,可減少重新從基礎資料調查分析所花的時間。此外,依照不同的交易內容,金融機構間傳輸的資料也會不一樣,金管會規定,金融機構間資料共享採取客戶逐次同意,客戶更可就不同資料來選擇是否共享。 胡則華表示,金融機構間的資料共享,若屬於現行金融法規沒有明確規定或沒有限制的範圍,金融機構需完備內控規範,並依該指引、個人資料保護法來辦理資料共享,同時,得對外揭露隱私權政策。此外,金融機構在進行資料共享時,必須事先取得客戶同意、落實客戶權益保障、確保個人資料保護、確保資料傳輸安全,並訂定妥適的內部管理政策。 在資料共享案件的申請原則上,胡則華提到,金管會重視金融機構內控制度及落實執行,所以,辦理資料共享不需要特別向金管會申請核准。不過,因為證券期貨業以往較缺乏與其他金融機構間共享客戶資料的依據與應用,所以,針對第三類金融機構間資料共享,將對證券期貨業採取首案申請核准制。 邱淑貞透露,開放金融機構間的資料共享只是第一階段,未來建立起信任的基礎後,在第二階段,規畫開放金融集團下的非金融機構也能資料共享,甚至,第三階段有可能開放非集團金融機構與非金融機構之間資料共享,將依序往前推進。 至於金融機構間資料共享如何確保個資保護水準一致,胡則華表示,金融機構彼此合作簽約前,需要了解雙方的內控機制、資安水準是否完備,因為發生資安事件時雙方都得承擔一定的責任,所以,在合作前得審慎考量彼此是否為可信任的金融機構。文⊙李靜宜 |
金融機構之間的合作或金融機構與非金融機構之間的合作只要涉及資料交換都應該適用金融機構間資料共享指引
版權 © 2024 zh.wiewird Inc.
