作者系：台湾金融研训院副研究员

台湾开放银行第一阶段顺利上路后，在筹划如何进入下一阶段的开放时，各界各种疑虑主要就围绕在如何做好个人信息保护，以及相关法律配套。事实上推动开放银行的前提就是做好个人信息保护，这也是为什么欧盟开放银行的法源PSD2于2018年1月生效后，接着又于同年5月开始执行有史以来最严格的个人信息保护法律GDPR。这两者看似不相关，甚至有点互相矛盾，事实上却是前者需要后者作为配套，才不会发生弊病。

消费者如何「同意」开放资料

不管是强制性或自愿性的开放银行，开放的大前提是消费者要同意，否则就是不能利用。在英国或欧盟国家，未经当事者同意授权就滥用其资料，这就违反GDPR的规定，其罚金最高可达其全球年营收的4％。那么消费者要如何行使其同意权呢？手续若是太过繁琐，一定影响消费者参加开放银行的意愿。同样的若是不够严谨，存在冒用造假的空间，相信也会乏人问津。

一般来说整个流程包括以下三个阶段：

一、同意表达：首先消费者向第三方服务公司表达同意分享资料要求，这个界面将明确的陈述要分享的帐户资料范围、使用时间与用途。

二、认证：第三方服务公司根据消费者同意的内容，向银行请求取得资料，银行再跟消费者进行认证。目前要求进行「强认证(strong customer authentication)」，也就是说至少要有两道认证程序。一般做法是银行请消费者先登录进入帐户，再以短信传送密码到消费者手机(OTP)，消费者输入密码后便可进入授权阶段。

三、授权：这个界面将显示某个第三方服务公司要求取得您的那些帐户资料，使用时间与用途。消费者可选择按下同意或不同意。消费者同意授权后，银行才能将资料分享给这个第三方服务公司。

同意后能否反悔？

根据GDPR第七条规定，消费者必须有改变主意的机会，并可撤销之前同意的授权。但之前已经授权释出给第三方服务公司的资料怎么办？消费者应该可依据GDPR第17条被遗忘权规定，一旦撤销其许可，之前开放的资料都应被删除。因此一旦消费者撤销其同意，第三服务提供者不但不能再取得新资料，已经收集的资料也应全部删除。第三方服务提供者若疏忽没删除，将损及民众对开放银行的信任。

此外GDPR不但禁止空白授权，也要求消费者同意释出资料不要超过必要的时间。因此PSD2跟英国开放银行要求每个第三方服务公司，每90天必须获得消费者重新许可一次，才能继续获得资料。当然这90天的期限届满之前，消费者可提前行使同意展延。

为了确保第三方服务提供者获取这些资料后，是否用于原先设定的用途，因此有「同意编码（consent codification）」设计，也就是说依消费者同意的内容用途编码，并加注到这些资料上。因此日后追踪这些资料的使用是否符合消费者开放的目的，就很容易稽查了。

除了开放银行帐户交易资料外，目前还有一些国家想逐步扩大资料范围，例如墨西哥想进一步纳入外汇账户、房贷与缴税资料，澳洲想进一步扩大到水电瓦斯与通讯费用帐单。但这都要大家对开放银有信心之后才会发挥其效果。

欧盟的开放银行与GDPR几乎同时上路，正可说明只有在个人信息有严密保护时，大家才会想尝试开放银行所带来的好处。因为在开放银行的过程中，只要其中一个小环节出现故意或过失，不但会严重损及银行或第三方服务公司的形象，也会打击大家参与开放银行的信心。