觀念平臺-數位隱私是金融業 新興風險的關注焦點
疫情當前持續考驗金融業超前部署加速轉型,金管會最新公佈開放銀行第二階段,國內第一家純網銀樂天國際銀行也於今年1月正式對外營運,而去年底攸關國內電支電票整合重大政策的「電子支付機構管理條例修正草案」經立法院三讀通過,推動國內數位金融新階段發展的三支箭齊發;加上央行宣佈啓動第二階段通用型央行數位貨幣(CBDC)試驗計劃,金流與資訊流互通,加上未來法定數位貨幣體系加持,預估國內數位金融市場將產生重大變化及新商機。
非接觸式(contactless)及全通路(omnichannel)金融服務平臺模式商業化有三個趨勢,一是大量運用應用程式介面(API);二是跨平臺(cross platform)動態串流資料存取;第三就是推動產業加入開放資料(open data)加值運用。未來金融業與異業合作共同投入開發資料加值新業務的熱度將會愈來愈高。實際的問題來了,這些趨勢共同現象就是產生大量的客戶資料,除了數位足跡(digital footprint)不斷擴增,更多是產生所謂資料的資料(data about data),數位隱私(digital privacy)將成爲金融業最關切,甚至可能是未來幾年新興金融風險來源的重點。
資料成爲金融業的新生利金融資產,但同時資料權主張也漸引起消費者關注;然而由於人們愈來愈依賴智慧設備及電子支付,消費過程沒有保護條款之下,形同自動貢獻數位隱私給提供服務的企業,產生「你情我願、各取所需」的認知模糊;加上數位隱私型態及形成來源漸趨多元難辨,足跡不自覺被截取,以及個人自主及辨識的能力極低,使得這個問題變得更爲複雜難解。
此外客戶資料在經過金融業者加工或加值之後,到底還屬不屬於「純」個資,未來恐產生金融消費及運用權的爭議。數位足跡竊取技術大幅精進降低犯罪成本,成爲最新隱私侵害金融犯罪主要模式,這是金融業也是未來央行數位貨幣推動後,必須面臨的一個重要新興風險議題。
數位隱私可能無法確實據以辨識出特定人,但卻可透過人工智慧模糊辨識(fuzzy recognition)運用。近年來深度造假(deep fake)及去識別化資料的「重新識別」(reidentification)破解技術愈來愈強大,駭客不需竊取完整個資,只要利用數位隱私碎片進行拼湊甚至合成造假,產生難辨真僞的聲音、圖片、影像紀錄破解遠端身分認證及交易,金融業資安加密及防僞維護成本就大幅提高。
近年歐盟積極推動GDPR放寬個資定義,今年1月更針對電子通訊類資料與設備,推出耗時4年籌備更具威力的新型態數位隱私保護規範「電子通訊隱私條例」(ePrivacy Regulation, ePR)最新版本修正草案;美國去年1月也正式實施國內首創的加州消費者隱私法(CCPA),包括生物特徵、衛星定位、電子信箱、IP網路識別碼、cookie等足以識別個人的「資料的資料」都納入管理,科技業也開始設置「隱私長」(Chief Privacy Officer ,CPO)來因應變局,預估對未來金融業數位轉型亦將產生重大影響。
國內金融業近年推動雲端應用,發展新資料傳輸、運用及管理方式,如保護客戶資料能力降低易產生新的隱私風險及信任危機,對經營數位金融業務衝擊會很大,建議金融業應優先思考簡化跨域、跨平臺包括支付、投資、轉帳、匯兌與資料存取的流程,有效控管數位足跡強化客戶信心。
從政策面向來看,兼顧大數據應用產業發展及數位隱私保障一直是兩難問題,其中規範資料有秩序的運用是大關鍵。建議我國參考歐美國家近年研擬較高層級的資料治理(data governance)政策以及資料策略(strategy for data),透過上位的資料治理框架,從研擬跨產業資料治理及運用策略,包括權責、控制、分享、整合、安全與仲裁六大重點來規範;另建議個資法研議訂定資料所有者、提供者、管理者、處理者、平臺參與者等角色的安全認證、保護責任及強制法遵機制,讓後疫情時代催化金融業數位轉型加速的同時,也能增加更多風險意識及安全思維。