金管會重視全市場的發展,發布的金融機構間資料共享指引,讓現行金融市場各類金融機構,全都能適用該份指引進行資料共享。(圖片來源/金管會)

2021年末,金管會發布一份金融機構間資料共享指引,訂定出一套金融機構間可執行的資料共享類型及相關辦理原則,讓現行金融法規沒有明確規定或沒有限制的資料共享範圍,有了一套可以共享的新作法。

這份指引幾乎適用所有金融機構,包括金控與銀行、保險、證券期貨3業別,及電子支付機構等,但不包括金融機構海外分公司、子公司。適用對象更區分3大類型,第一類是金控集團與旗下金融機構子公司,第二類是非金控公司的金融集團與旗下金融機構子公司,第三類則是非金控與非金融集團,不同金融機構間相互的資料共享。

金管會副主委邱淑貞表示:「該指引重視全市場的發展。」用意是讓現行金融市場各式各樣的金融機構,都能找到屬於自己的類型,來適用該份資料共享指引。

資料共享開放9項資料,限制2大適用範圍

該指引清楚訂定出9項金融機構可共享的資料範圍,包括客戶基本資料、身分核驗資料、帳戶資料、金融商品或服務的交易記錄、負面資訊、認識客戶(KYC)資料及金融機構加值過後的資料、電子通訊歷程記錄,或其他經客戶與合作金融機構同意共享的資料。邱淑貞表示,由於交易內容不同,金融機構間傳輸的資料也會不一樣,因此,採取客戶逐次同意,客戶可就不同資料來選擇是否共享。

不只顧客有權決定共享的資料項目,金管會也訂定了資料共享適用範圍與限制條件。其中,僅有第一類、第二類的金融機構,能基於辨識風險或進行風險控管的目的,來執行資料共享。取得客戶同意的前提下,可由金控公司或控股的金融機構統籌建置資料庫、管理資料共享,且能指定旗下子公司來建置資料庫。但是,第三類機構就不能以此目的來共享資料與建置資料庫。

彙整旗下各子公司客戶資料,來建立共用的客戶風險管理資料庫與風控模型,金融機構將能減少子公司重複建置的成本,更可交叉比對及利用以大數據建立的模型,估算客戶的風險等級,預先處理潛在風險。

不過,金融集團必須挹注更多IT資源來建置共同資料庫與風控模型,來強化內部大數據分析、AI建模的能力,才能夠處理龐大的資料來源,進一步發揮資料共享的綜效。甚至,金控或金融集團與旗下子公司,從客戶資料匯集到建模,以及運用模型分析出客戶風險等級的結果,如何進行資料拋轉都是未來可著重的方向。

另一項資料共享範圍則適用第一類、第二類、第三類金融機構,只要是基於減少客戶重複輸入資料等便利客戶作業,或金融機構間合作辦理業務的目的,取得客戶同意下,各金融機構間可採取簽訂合約方式,建立業務合作關係來共享資料。

舉例來說,民眾開立證券戶時需搭配銀行帳戶作為交割帳戶,當A證券公司與B銀行建立了業務合作關係,已在A證券公司完成開戶的民眾,就能授權將資料共享給B銀行,作為開立銀行交割帳戶的參考依據,不用再重複填寫開戶的申請資料。不過,這也帶來了新的挑戰,金融機構雙方共享資料的格式、欄位必須一致且為機器可讀,才能讓資料傳輸更快速。

還有另一項資料共享的應用情境,金融機構間透過建立業務合作關係,將自家加值過的資料共享給對方,如金融機構風險等級分析,一家金融機構判斷客戶風險屬性時,能取得另一家合作金融機構的參考資料時,對客戶的了解能更加清楚,可以減少重新從基礎資料調查分析所花的時間。

邱淑貞表示,這類加值或分析過的資料,以往對金融機構來說是營業秘密,如果金融機構間的合作較深,願意共享這類資料,就能促進雙方快速完成交易,以及共同的風險控管。例如可共享像IP位址這類電子通訊歷程記錄,來達到防詐欺的應用。未來,金融機構間基於客戶同意情況下,也可善用多項共享的資料,發展金融業務新模式。

無需向金管會申請核准辦理資料共享,金融機構間跨業合作新模式將更具獨創性

金管會綜合規劃處處長胡則華表示,金管會重視金融機構內控制度及落實執行,所以,資料共享案件不需特別向金管會申請核准。金管會只有針對第三類金融機構間資料共享,將對證券期貨業採取首案申請核准制。金管會僅要求,金融機構完備內控機制後,依循金融機構間資料共享指引、個人資料保護法,即可辦理資料共享,同時,也需對外揭露隱私權政策。

這意味著,金融機構間資料共享,無須採取逐案申請試辦的管道,對資料共享業務的推動,將能更快、更彈性的執行,也將促進金融機構間跨業合作的多元性。最大影響是,金融機構間發想的資料共享應用新模式,因無需經試辦流程而提前曝光,更能維持獨創性的優勢,不過,這也更考驗各金融機構發展創新應用的真本事。

金融機構辦理資料共享需建立的內部控制規範相當嚴謹,包括資料共享需有明確、妥適目的,且需合法及注意倫理道德,比如,運用人工智慧評估客戶風險時,需注意避免產生偏見,或像是運用人工智慧分析客戶資料後,不能對相同條件的客戶有不同差別待遇。對客戶權益影響較大的共享資料,像是身分核驗資料、負面資訊等非公開資料,金融機構須進行盡職調查。

甚至,金融機構對於資料共享、日常維護、留存、權限設定、報表管理、共享結束後的處理,都要有一套妥適的管理政策。更要按照合作對象及資料共享方式,以風險為基礎,訂定內部審核及分層負責機制,確保資訊系統及資料傳輸安全。還要訂出受理客戶申訴及處理爭議的內部標準程序。這些內部控制規範都需經過董事會或理事會通過。

這也意味著,未來金融機構對資料的管理政策將更嚴謹,且需直達董事會層級,資料治理的議題將更比過去更受到重視。金融機構不只要管理本身的資料,還需要了管理共享資料,甚至,得從金控端或金融集團端的高度來發展資料治理。

資料治理需內部業務單位與IT單位的協作,除了資料梳理,權限控管或資料維運機制,都得有一套嚴謹的簽核程序與管理辦法。IT面,從資料倉儲、資料分析到分析報表,甚至是報表生成服務上的資料讀取,皆需嚴格卡控與控管,來確保資料安全。

開放金融機構間資料共享只是第一步,邱淑貞表示,從金融業出發建立起信賴基礎,未來,開放資料共享才能順暢往前。她透露,第二步規畫,開放金融集團下非金融機構也能資料共享,甚至,第三步可能開放非集團金融機構與非金融機構間的資料共享,將依循累積的經驗逐步往前推進。

未來,一旦開放金融集團下非金融機構也能資料共享,對於擁有如IT、零售、醫療等非金融機構的金融集團來說,數據應用將有更多可能,比如,人壽與醫院間的資料共享,就有機會發展出跨子公司生態圈服務的新商業模式。文⊙李靜宜


熱門新聞

Advertisement