資訊安全以及消費者保護一直都是金融監理的重要核心。最近Facebook有5000萬用戶的個人數據被一家英國「劍橋分析」(Cambridge Analytica)政治諮詢公司濫用,造成軒然大波,使Facebook聲譽受損。美國知名零售商Target與Home Depot,在2014年因為支付系統遭駭客攻擊,造成信用卡資料外洩,也導致公司損失超過4億美元。今年初日本發生歷史上最大規模的數位貨幣盜竊案,Coincheck因遭遇駭客攻擊,平台上全部(5.26億個)的NEM幣(新經幣)被非法轉移,估算損失5.23億美元(約為台幣152億元)。可見,監理機關如何保障消費者的權益,將是相當重要的議題。
金融科技創新為金融業帶來新機會,也同時帶來新風險。隨著金融科技發展,資安議題將不斷擴大影響範圍。根據勤業眾信針對金融科技下的資安防護所提出因應對策,其中最重要的思惟就是全面資安控管的理念。金融科技對金融業帶來的資安衝擊,不能只單靠IT部門透過流程控管或技術提升做好風險管理而已,必須提高到董事會和經營管理委員會中進行更全面的資安控管。這也是美國國家標準暨技術研究院(NIST)和美國聯邦金融機構檢查委員會(FFIEC)的安全風險治理邏輯。此外,未來在數位金融的時代,資訊將大量透過網路傳輸,而且大數據分析是金融科技的重要應用,如何處理個人資訊也將與消費者資料保護息息相關。因此,傳統金融業者的資安管理運作必須要轉型,才能符合金融科技的特性,不論是金融科技服務下的身分識別與存取控制、資料隱私保護、法遵合規與風險治理、監控與預警,以及確保金融科技服務平台與基礎設施的安全性等,都必須要能夠與時俱進,盡快做適當的轉型調整。
GDPR上路之際 反思台灣資安法規
台灣要發展金融科技,必須同時強化資訊安全與消費者保護。因此,金管會也要求所有提出創新服務業者在進入沙盒前,要有適當的輔導諮詢與模擬機制,可明確規範必須透過「模擬監理沙盒」機制在資訊安全、風險控管、消費者保護與法令遵循上測試創新服務的可行性。此外,號稱歐洲最嚴格個資法「歐盟通用資料保護規則」(EU General Data Protection Regulation, GDPR)將在今年5月25日實施,在此規範不但加重罰款,未來在網站對使用者的行為追蹤與大數據分析,以及透過穿戴式裝置的健康資訊分析等都會受到GDPR的規範與限制。台灣剛好可以利用GDPR實施的同時,重新檢視現行的資安保護系統和制度,在金融科技的衝擊下,目前台灣的個資法實有修改之必要,未來的法規除了必須明確規範個資使用安全的規範外,也需能因應金融科技下應用人工智慧與大數據分析之需求,這樣才能讓金融業在擁抱金融科技的同時,可以和資訊安全並存。
(作者為前金管會主委、現任政大金融科技研究中心主任)
