台灣金融研訓院發表報告指出,我國發展開放銀行,對於消費者同意開放其銀行資料的方式,應有更明確的規定。建議參考歐盟作法,把消費者每次同意的效期定為三個月;當消費者反悔,第三方服務提供者已經蒐集的資料,應全部刪除。
金融研訓院指出,資料權最早源自歐盟的法令規範,認為客戶對於自身的資料擁有權利,甚至對於授權使用的對象也必須每90天取得客戶的同意,才得以繼續使用。
台灣若要發展開放銀行制度,對於消費者同意開放其銀行資料的方式,應有更明確的規定。
例如,第三方服務機構取得消費者同意的效期有多久?效期過了之後,已取得之資料應如何處理?甚至這些資料應該用於哪些範疇?
這些重要議題應在未來資料保護相關法令明確界定,才能有助於銀行與第三方業者之間資料的流通使用。
研訓院建議,我國可參考歐盟GDPR(一般資料保護規範)作法,把消費者每次同意的效期定為三個月,屆時需再經消費者同意才能展延,每次徵求消費者同意開放資料的範圍、期限與最終處置,都應說明清楚。
為確保第三方服務提供者獲取這些資料後,都用於原先設定的用途,最好有「同意編碼(consent codification)」的設計,也就是說,依消費者同意的內容用途編碼,並加註到這些資料上,以利日後追蹤。
根據GDPR第7條規定,消費者必須有改變主意的機會,並可撤銷之前同意的授權。但之前已經授權釋出給第三方服務公司的資料怎麼辦?
消費者應可依據GDPR第17條被遺忘權規定,一旦撤銷其許可,之前開放的資料都應被刪除。