金融業因應歐盟個人資料保護規則研討會

  906

照片由聯徵中心提供

有鑑於歐盟個人資料保護規則(General Data Protection Regulation,簡稱GDPR)」於今(107)年5月25日施行後,在歐盟地區設有據點、或對歐盟境內主體提供商品或服務之金融業均受其規範。相較於台灣個資法,GDPR課予資料控管者或處理者較高之義務,對當事人之個資保護甚為嚴謹,若有違反,金融業除將面臨高額裁罰,亦恐影響其國際信譽。為協助金融業瞭解GDPR相關規定以擬定因應措施,並促進金融同業間法令遵循資訊之交流,財團法人金融聯合徵信中心及銀行公會於本(107年5月7日)日共同舉辦「金融業因應歐盟個人資料保護規則研討會」,金管會顧立雄主任委員、銀行公會呂桔誠理事長均出席致詞。

本次研討會邀請勤業眾信風險管理諮詢公司總經理萬幼筠、建業法律事務所主持律師葉建廷等專家,就「GDPR對台灣金融業之影響」進行專題演講,以利金融業瞭解GDPR相關規範。而「銀行業因應GDPR之措施」之議題,則邀請兆豐銀行業務管理處副處長簡英釗、合作金庫銀行董事會稽核部副理蔡禎燿、渣打銀行法遵長黃燕枝,就其銀行內部為因應GDPR所採取之相關措施,與金融同業進行分享及交流。

金管會顧立雄主任委員表示,GDPR即將在107年5月25日實施,同時適用在歐盟設立據點的企業及在歐盟地區未設立或註冊,但有蒐集、處理及利用歐盟居民個資的境外企業。規範內容強化當事人的權利,違反GDPR規定將可能受到高額裁罰。為評估GDPR對國內金融業者可能之風險並研擬因應措施,金管會已於107年3月23日邀集聯徵中心、銀行公會及銀行業者會商,除督促金融業應於GDPR實施前妥為因應外,亦請銀行公會協助建置所屬會員適用GDPR規範資訊交流平臺,提供所屬會員遵循GDPR規範之參考。顧主委最後則期勉金融業者,由GDPR可見國際間對隱私權保護提升的趨勢,同時也增加涉外金融業務法令遵循的風險,期望金融同業落實GDPR規範的遵循。

銀行公會呂桔誠理事長表示,在過去兩年我國的金融業面臨了很大的衝擊,花費了很大的能量在法遵的事務,法遵的範圍也逐漸擴張,從內稽內控、洗錢防制、打擊資恐到隱私權保護,每一件都非常重要,銀行公會也站在協助的立場,讓會員銀行在面對這些挑戰時候可站立得住。銀行公會最近在國外進行了多場法遵研討會,過程中尤其是在美國這個重要地區,也重新獲得當地主管機關很高的信賴,所以對於整體金融業的信賴,可以成為金融業的資產及品牌,法遵作好自然贏得信賴,品牌價值就提高。所以如何遵循個資保護法規,以保護當事人的隱私權利與利益,符合法律規範要求並贏得客戶的信任,是金融業者時時刻刻應該關心之議題。故期望在GDPR即將施行之際,金融業都能熟悉相關規範,作好法遵及內控上之相關因應措施。

與會專家及金融業者表示,GDPR課予業者對個人資料保護之高度義務,惟並非全體台灣金融業者均會受其影響,建議業者應依GDPR相關規定先行檢視是否有適用。若於歐盟境內設置分公司、子公司之金融業者,有GDPR之適用;若未於歐盟境內設有據點者,據GDPR第三條規定,僅在符合「對歐盟境內之資料主體提供商品或服務」、或「對資料主體於歐盟內所為之行為為監控」的條件下,才會適用到GDPR。若金融業者於檢視後發現將受到GDPR規範,則需研擬相關措施因應。

兆豐銀行、合作金庫銀行以及渣打銀行代表則分享其銀行內部之因應措施。兆豐銀行於歐盟地區設有倫敦、巴黎及阿姆斯特丹三家分行,兆豐銀行表示:經評估三家歐盟分行均有設置資料保護官(DPO)及代表(Representatives)之必要,另因歐盟分行之資訊系統均設置於台灣總行,在跨境傳輸上為符合GDPR規定,擬由資料輸出方與接收方簽定歐盟核發之「標準契約條款」或申請「企業自我約束規則」,同時兆豐銀行之台灣總行亦增修符合GDPR規範之政策及程序。合庫銀行在比利時布魯塞爾設有子行─台灣聯合銀行,該子行已完成諸多因應措施,包括增修內部規章、進行個資盤點及個資保護說明、與台灣母行簽訂標準契約條款以符合國際傳輸規定要求、進行員工訓練等。總部設於英國倫敦之渣打銀行則表示,其集團內部於2017年即開始就因應GDPR之重要工作事項制定時間表,經評估GDPR對渣打集團之影響業務後,已著手針對設置資料保護長、客戶主張被遺忘權、對自動化決策之拒絕權、資料可攜權等相關事項擬定因應措施。

本研討會之指導單位金管會期勉經由本次研討會宣示我國金融業保護客戶個人資料之決心,並使外界瞭解金融業對於隱私權保障及法令遵循投注的資源及努力,強化大眾對於金融業之信任。同時,金融同業間亦得藉此一平台進行交流,獲取隱私權發展之國際趨勢以及他行在保護客戶個人資料之具體措施,相互學習、截長補短,共同建構我國金融業對客戶個人資料保護之方針,並善盡臺灣身為國際社會一分子的責任。