立法委員鍾佳濱。(王侑聖攝)
2023年到來,隨著數位轉型的腳步加快,金融科技(FinTech)儼然成為當代顯學,許多銀行與保險業者紛紛投入資源,積極推動行動支付、智能客服、機器人理財、KYC等創新技術發展。
面對金融科技創新的趨勢,金管會即將在今年8月提出「金融科技發展路徑圖」2.0版,持續推動行動支付、保單電子化、開放銀行(Open Banking)等政策,以及將個人化資料自主運用(MyData)應用在金融領域,盼建構友善創新的監理法治環境。
但隨著金融創新的服務案件越來越多、樣態也越來越複雜,監理量能恐有不足的疑慮。對此,立委鍾佳濱指出,金融服務業的類型與規模都不同,監管機關未來要因應數位時代,推出新的規管機制,並思考監理對象的規模與數位化程度,適時分層、分流管理。
就鍾佳濱的觀察,台灣的金融科技不該只聚焦在技術發展,也要重視人才培育,像金融業的資安人才不足、高階經理人仍用紙本合約核章。他認為,金融素養可以從國民教育階段開始推廣,讓更多人了解理財知識與風險管理,在無形中強化產業人才的基礎;台灣在社會包容度、民主自由與法治程度都比鄰近國家來得好,除了育才外,也可以提出吸引人才、留才的措施。
然而,金融科技也衍生出新的風險,必須落實資訊安全與消費者保護,才能避免個資外洩。根據全球網路安全解決方案廠商Check Point Research最新的研究報告指出,2022年全球網路攻擊的年增率高達38%,台灣的年增率則為10%,各組織去年平均每週遭受3118次攻擊,其中被攻擊最多次的產業為金融與銀行業,達到4664次。
近半年來,台灣發生多起重大資安事件,包含逾2300萬筆戶政資料被駭客盜售、健保署官員涉及竊取民眾個資、華航會員個資外洩、iRent爆發資安危機,卻沒有獨立的監管單位來主動調查。不少專家學者認為,在發展金融科技時,得先解決資安破口、設置專責機關,並向重視人權、個資保護嚴謹的歐盟GDPR(一般資料保護規範)看齊,才有機會實現資訊共享。
GDPR是以「被遺忘權」為基礎發展,使用者可以要求擁有資料的機構,刪除所有個人資料的連結、副本與複製品,還擁有「可攜帶權」,將資料移轉到其他服務上。除了網路社群外,只要擁有歐盟公民的姓名、電話、信用卡、住址等資訊,都必須受GDPR規範,小至餐廳,大至銀行與航空公司,幾乎所有產業都包含在內。
立委鍾佳濱表示,台灣目前對數位科技的規範僅有《個資法》,但《個資法》是網路時代來臨前所訂定,現在應參考歐盟GDPR規範進行架構上的更新,並賦予新的權責機關,再分別細緻化,像健保資料庫、金融資料庫如何管理,企業如何與消費者議定條款,承諾彼此權利義務關係。
鍾佳濱也提到,從iRent會員資料外洩可以發現,國內對於資安風險、個資外流造成的損害,缺乏預防與補救辦法,都是等到事件爆發後,才思考如何建構管理。國內金融機構在雲端委外作業時,應落實事前良好的風險評估與管理、損害發生後可以即時防堵、事後的究責與求償能有效進行等三大原則。
「當金融服務大量運用數位科技,難免成為洗錢途徑之一,但問題並不在數位科技,而是數位身分的掌控權如何回到民眾手上,並且也有相對應的權利義務指引。」鍾佳濱強調,台灣要先釐清數位隱私的界線,才有辦法進行規範,否則現在問金管會如何推動金融科技發展,也很難繼續討論,更別說共享金融領域的資料,甚至是擴大跨業資料庫。至於民眾願意公開多少個人資料給金融業者,換取較靈活的經濟活動空間,可以留給個人做一定程度的管理。