【展望後疫2022新趨勢8】金融業跨機構資料共享新篇章，下一步連非金融業也能共享

2021年末，金管會發布一份金融機構間資料共享指引，訂定出一套金融機構間可執行的資料共享類型及相關辦理原則，讓現行金融法規沒有明確規定或沒有限制的資料共享範圍，有了一套可以共享的新作法。

這份指引幾乎適用所有金融機構，包括金控與銀行、保險、證券期貨3業別，及電子支付機構等，但不包括金融機構海外分公司、子公司。適用對象更區分3大類型，第一類是金控集團與旗下金融機構子公司，第二類是非金控公司的金融集團與旗下金融機構子公司，第三類則是非金控與非金融集團，不同金融機構間相互的資料共享。

金管會副主委邱淑貞表示：「該指引重視全市場的發展。」用意是讓現行金融市場各式各樣的金融機構，都能找到屬於自己的類型，來適用該份資料共享指引。

資料共享開放9項資料，限制2大適用範圍

該指引清楚訂定出9項金融機構可共享的資料範圍，包括客戶基本資料、身分核驗資料、帳戶資料、金融商品或服務的交易記錄、負面資訊、認識客戶（KYC）資料及金融機構加值過後的資料、電子通訊歷程記錄，或其他經客戶與合作金融機構同意共享的資料。邱淑貞表示，由於交易內容不同，金融機構間傳輸的資料也會不一樣，因此，採取客戶逐次同意，客戶可就不同資料來選擇是否共享。

不只顧客有權決定共享的資料項目，金管會也訂定了資料共享適用範圍與限制條件。其中，僅有第一類、第二類的金融機構，能基於辨識風險或進行風險控管的目的，來執行資料共享。取得客戶同意的前提下，可由金控公司或控股的金融機構統籌建置資料庫、管理資料共享，且能指定旗下子公司來建置資料庫。但是，第三類機構就不能以此目的來共享資料與建置資料庫。

彙整旗下各子公司客戶資料，來建立共用的客戶風險管理資料庫與風控模型，金融機構將能減少子公司重複建置的成本，更可交叉比對及利用以大數據建立的模型，估算客戶的風險等級，預先處理潛在風險。

不過，金融集團必須挹注更多IT資源來建置共同資料庫與風控模型，來強化內部大數據分析、AI建模的能力，才能夠處理龐大的資料來源，進一步發揮資料共享的綜效。甚至，金控或金融集團與旗下子公司，從客戶資料匯集到建模，以及運用模型分析出客戶風險等級的結果，如何進行資料拋轉都是未來可著重的方向。

另一項資料共享範圍則適用第一類、第二類、第三類金融機構，只要是基於減少客戶重複輸入資料等便利客戶作業，或金融機構間合作辦理業務的目的，取得客戶同意下，各金融機構間可採取簽訂合約方式，建立業務合作關係來共享資料。

舉例來說，民眾開立證券戶時需搭配銀行帳戶作為交割帳戶，當A證券公司與B銀行建立了業務合作關係，已在A證券公司完成開戶的民眾，就能授權將資料共享給B銀行，作為開立銀行交割帳戶的參考依據，不用再重複填寫開戶的申請資料。不過，這也帶來了新的挑戰，金融機構雙方共享資料的格式、欄位必須一致且為機器可讀，才能讓資料傳輸更快速。

還有另一項資料共享的應用情境，金融機構間透過建立業務合作關係，將自家加值過的資料共享給對方，如金融機構風險等級分析，一家金融機構判斷客戶風險屬性時，能取得另一家合作金融機構的參考資料時，對客戶的了解能更加清楚，可以減少重新從基礎資料調查分析所花的時間。

邱淑貞表示，這類加值或分析過的資料，以往對金融機構來說是營業秘密，如果金融機構間的合作較深，願意共享這類資料，就能促進雙方快速完成交易，以及共同的風險控管。例如可共享像IP位址這類電子通訊歷程記錄，來達到防詐欺的應用。未來，金融機構間基於客戶同意情況下，也可善用多項共享的資料，發展金融業務新模式。

無需向金管會申請核准辦理資料共享，金融機構間跨業合作新模式將更具獨創性

金管會綜合規劃處處長胡則華表示，金管會重視金融機構內控制度及落實執行，所以，資料共享案件不需特別向金管會申請核准。金管會只有針對第三類金融機構間資料共享，將對證券期貨業採取首案申請核准制。金管會僅要求，金融機構完備內控機制後，依循金融機構間資料共享指引、個人資料保護法，即可辦理資料共享，同時，也需對外揭露隱私權政策。

這意味著，金融機構間資料共享，無須採取逐案申請試辦的管道，對資料共享業務的推動，將能更快、更彈性的執行，也將促進金融機構間跨業合作的多元性。最大影響是，金融機構間發想的資料共享應用新模式，因無需經試辦流程而提前曝光，更能維持獨創性的優勢，不過，這也更考驗各金融機構發展創新應用的真本事。

金融機構辦理資料共享需建立的內部控制規範相當嚴謹，包括資料共享需有明確、妥適目的，且需合法及注意倫理道德，比如，運用人工智慧評估客戶風險時，需注意避免產生偏見，或像是運用人工智慧分析客戶資料後，不能對相同條件的客戶有不同差別待遇。對客戶權益影響較大的共享資料，像是身分核驗資料、負面資訊等非公開資料，金融機構須進行盡職調查。

甚至，金融機構對於資料共享、日常維護、留存、權限設定、報表管理、共享結束後的處理，都要有一套妥適的管理政策。更要按照合作對象及資料共享方式，以風險為基礎，訂定內部審核及分層負責機制，確保資訊系統及資料傳輸安全。還要訂出受理客戶申訴及處理爭議的內部標準程序。這些內部控制規範都需經過董事會或理事會通過。

這也意味著，未來金融機構對資料的管理政策將更嚴謹，且需直達董事會層級，資料治理的議題將更比過去更受到重視。金融機構不只要管理本身的資料，還需要了管理共享資料，甚至，得從金控端或金融集團端的高度來發展資料治理。

資料治理需內部業務單位與IT單位的協作，除了資料梳理，權限控管或資料維運機制，都得有一套嚴謹的簽核程序與管理辦法。IT面，從資料倉儲、資料分析到分析報表，甚至是報表生成服務上的資料讀取，皆需嚴格卡控與控管，來確保資料安全。

開放金融機構間資料共享只是第一步，邱淑貞表示，從金融業出發建立起信賴基礎，未來，開放資料共享才能順暢往前。她透露，第二步規畫，開放金融集團下非金融機構也能資料共享，甚至，第三步可能開放非集團金融機構與非金融機構間的資料共享，將依循累積的經驗逐步往前推進。

未來，一旦開放金融集團下非金融機構也能資料共享，對於擁有如IT、零售、醫療等非金融機構的金融集團來說，數據應用將有更多可能，比如，人壽與醫院間的資料共享，就有機會發展出跨子公司生態圈服務的新商業模式。文⊙李靜宜