一、認為荷蘭交易監控平台(TMNL)侵害人權之聲浪
承「歐洲洗錢防制新發展:聚焦交易監控與個資保護之兩難(上)」之介紹,荷蘭交易監控平台(TMNL)自2020年成立,透過銀行間資料共享監控大量金融交易,於發現異常時通報參與銀行,並持續營運中。但此種資料共享模式亦受到荷蘭人權團體的質疑,例如成立於2023年8月歐盟金融人權基金會1(Human Rights in Finance.EU,簡稱HRIF.EU),於2024年4月6日與其他投資人權益組織,代表近15,000名銀行客戶向荷蘭議會提交請願書,要求荷蘭議會干預TMNL之營運,停止受託處理五大銀行之交易資訊,並銷毀所有相關資料,同時亦向荷蘭銀行業主管機關:荷蘭中央銀行(De Nederlandsche Bank,DNB)提出依「防制洗錢和反恐怖主義融資法」(WWFT)規定,荷蘭央行應要求五大銀行各自辦理洗錢防制作業。
1 HRIF.EU成立目的在保護金融領域的人權,尤其是在金融和反洗錢法規的複雜領域,糾正及預防因不當的監管規定或行為而導致的人權侵害,以停止金融機構及主管機關過度侵害人權之行為。
荷蘭議會並未具體回應該基金會之請願,另外荷蘭央行主張經形式審查,HRIF.EU不具請願之資格。HRIF.EU並不滿意議會及央行之態度,擬進一步訴請法院確認荷蘭央行承認其資格,並稱根據荷蘭支付協會之研究顯示,荷蘭所有銀行每年大約有19.5億筆交易,假設其中大多數涉及五大銀行,TMNL處理的交易和資料規模,每日大約有500萬筆。且TMNL並未依HRIF.EU之要求,揭露其如何處理大量交易資訊,透明度不足,故HRIF.EU反對TMNL進一步處理交易資料並要求銷毀所有數據,並主張其侵害GDPR所保障之自動化決策近用權。
二、即將施行之反洗錢法案對荷蘭TMNL之影響:
2024年5月30日,歐盟通過了新的反洗錢法案(EU AML package),並將於2027年施行,包含AMLR及第六洗錢防制指令(the Sixth Anti-Money Laundering Directive),其中AMLR為歐盟法體系之「Regulation」(規則),具有能直接普遍適用於歐盟會員國之效力,將對會員國政府與人民產生直接拘束力之法律效果。
AMLR為公私部門之間的合作提供了清楚的框架,但在資料共享方面,該規定僅設限於高風險客戶或需要收集額外資訊之情形,俾判斷是否應將其歸類或持續歸類為高風險類別的客戶,此時同業機構始得建立資料共享。荷蘭政府在2024年5月回應AMLR規範時,表示在新規則(AMLR)下,仍有TMNL監控可疑交易之運作空間,因該規則規範於涉及高風險客戶或需要收集額外資訊以進行風險分類的客戶資料時,金融機構可以進行資料交換。此外,在回應近期議會問題時,荷蘭官員亦引用FATF進行之防制洗錢及打擊資恐評鑑時之評鑑內容,認為TMNL之設立,為荷蘭反洗錢之重要成功原因之一。
五大銀行原提出修正WWFT之倡議內容為允許金融機構將交易監控委託一個共同建立之實體,且委託範圍僅涉及警報的生成。但現因AMLR之制定並預定於2027年施行,此將涵蓋大部分原倡議修正之內容,且兼顧保障投資人之隱私權,為因應此一規則將在荷蘭直接產生內國法效力,目前TMNL正在規劃將來監控交易及合作的新方式,TMNL官方網站已於2024年7月1日發表正式聲明,表示將縮減現有之業務並重新設計TMNL之工作重點,同時樂見AMLR對銀行間的合作和透過公私夥伴關係的整合提供法律基礎,TMNL將持續密切與荷蘭及歐盟之公務機關合作。
三、代結論:我國有關金融機構間資料共享規定與荷蘭模式之比較
(一)金融機構間資料共享指引
金融監督管理委員會於112年1月4日發布「金融機構間資料共享指引」並公布問答集,將適用對象區分為三種:金融控股公司集團(第一類)、非屬金融控股公司之金融集團(第二類)及非屬上述二類之金融機構間(第三類),僅有金融集團內(第一類及第二類)得為辨識風險或進行風險控管而共享資料並得建置資料庫。第三類金融機構間得基於便利客戶作業或為合作辦理業務之目的而共享資料,但不得建置資料庫。且無論屬何類適用對象,均應取得客戶同意,落實客戶權益之保障,並且須明確約定共享目的、資料範圍,共享參與者之者權責分工及責任歸屬與法令遵循事宜等。
荷蘭TMNL之架構,係不同金融機構合作成立獨立公司,各金融機構資料共享並應用AI偵測可疑交易。如依我國本指引規範,此種合作模式屬金融機構間(第三類)之合作,於第三類情形,禁止建立資料庫,且目的僅限於便利客戶作業及合作辦理業務。故我國目前各金融機構間,依現行規定,尚無法依照荷蘭TMNL模式分享客戶資料,合作辦理交易監控及AI偵測。
(二)跨市場資料共享的資料治理諮詢文件
又金管會於本年5月16日進一步訂出跨機構資料共享的實務運作指引,公布諮詢文件並徵詢金融機構意見,此將作為年底前擬定「跨市場資料共享的資料治理」指引的參考依據。金管會於諮詢文件中將客戶資料依保密及是否可還原識別分為四級,區分運用程度及範圍並分級治理。
第一級屬原始客戶資料如姓名、生日等個資,未經任何處理;第二級屬經隱私權保護處理後,仍易遭還原而識別客戶之資料,如要運用第一級、第二級之客戶資料,得運用於辦理分析比對及風險控管,需逐項取得客戶同意,且只限金融機構間使用。
第三級資料經新興隱私強化技術處理,例如同態加密、差分隱私、安全多方運算、合成資料、聯合學習等,雖較不易被還原而識別出客戶資料,但在簡易取得客戶同意下,得基於辦理業務發展及行銷策略之目的,分享給金融機構及非金融機構使用。
第四級則不屬於個別客戶的資料,如金融機構的統計數據,採低度保護,不適用個資法,得提供非金融機構使用於辦理AI及機器學習之訓練模型、產業市場調研或與學術研究。
如對照荷蘭TMNL模式之資料共享態樣,應屬我國金管會指引之第二級資料之共享,此類資料共享仍須嚴格遵守個人資料保護法之相關規定,於逐項取得客戶同意於防制洗錢目的之利用後,始可於金融機構間分享該資料。
金管會已就前述各種分級治理之使用情境、有關實務上何種保護及處理個人資料之方式,究屬第二級或第三級等相關問題,刻正徵詢外界意見,年底應可期待「跨市場資料共享的資料治理」指引公布。
