攝影/洪政偉

在全球數位轉型浪潮襲捲下,資料的價值比過去更受到重視,被視為驅動經濟發展,催生創新服務良方,釋放原本鎖在政府機關或民間組織內的資料,讓資料能被更靈活的運用、流動,也被各國視為鼓勵創新服務、公私協同合作、深化數位經濟發展的重要手段。

然而資料的運用,特別是極具價值的個人資料,因涉及到個人隱私,在注重人權的西方先進國家,大多制定法律或設立專責機關,節制對個人資料的使用,以避免個人資料被濫用,而因應數位經濟的發展,西方國家更融入個人資料的自主運用控制的精神。

以歐盟在2016年制定,2018年5月上路施行的一般資料保護規範(General Data Protection Regulation,GDPR)為例,因為規範涵蓋歐盟成員國,只要業務往來中蒐集到歐盟民眾個資,就會受到GDPR的規範,若企業發生個資外洩事件,可能遭到全球營收4%或2千萬歐元的裁罰,對企業營運直接帶來衝擊,影響之大不只歐盟成員國境內的企業,境外的企業也連帶受影響。

然而,在外界關注GDPR對企業營運帶來的衝擊之外,另一項不容忽視的是GDPR彰顯在全球個資保護的一些重要原則,取回個人對資料的控制權,讓個資主體對資料擁有拒絕被使用的權利,進而可要求業者刪除其資料。

另一項權利則是資料可攜權,即業者必需容許用戶帶走自己的資料,在不同的服務中移動自己的個資,充分展現個人資料的自主運用權利。這意謂過去政府機關、民間企業及組織以「資產」為名鎖在公私部門組織內的用戶資料,可讓民眾或用戶帶著走。

相似的概念也出現在2018年上路的歐盟支付服務指令第二版(PSD2),為鼓勵新業者進入金融市場帶動創新,PSD2推動金融數據共享,要求銀行應提供Open API,讓第三方得以存取銀行的資料,並要求銀行採用更高的資安機制,控管可能的風險。

澳洲的消費者資料權法(Consumer Data Right)也保障了消費者資料的自主權,可要求業者調閱其資料、刪除資料、停止或限制機構使用其資料,或是將資料帶走提供他人使用等等。

不論是GDPR或是澳洲的消費者資料權法,對資料的使用權有更明確的保障,看似極大化限制企業對民眾個資的運用,但相對地訂下遊戲規則,讓遵守規定的企業能夠合理運用民眾的資料。

資料自主運用在各國興起

政大電子治理中心副主任蕭乃沂認為,善用個資創造價值,保護個資也是重要價值,兩者之間並不衝突,應找出有創意的方式平衡,既不相互衝突且互相幫助「個資保護愈好,相對地,善用個資的價值也愈高」。從過去消極的保管資料,到沒有犧牲、妥協個資保護的條件下去善用資料。

MyData資料自主運用即是找出個資保護、個資利用兩者間平衡的一種方法,在一些先進國家中推展,涵蓋政府、金融、健康醫療、電信、能源等領域。

美國政府蠻早開始推動資料自主的概念,由於美國沒有健保制度,民眾的健康資料散落在各機構,在2009年美國政府針對退伍軍人推出Blue Button,在退伍軍人事務部網站設計一個藍色按鈕,退伍軍人按下網站上的藍色按鈕,就能下載個人的健康資料,提供給醫生、醫療保險或照顧者。隨後美國在能源領域也推出Green Button。

澳洲政府除了推動開放資料、數位政府服務,2012年更制定法規,推動「我的健康紀錄」(My Health Records),讓澳洲民眾可自主管理個人的健康資料,並可和醫療服務者、代理人共享資料,這些資料包括藥物處方紀錄、醫師診療紀錄及其他健康相關的個人紀錄。2017年澳洲更提倡消費者資料權法,讓民眾自由控制個人資料,可要求資料的控管者提供可機讀的資料,提供給第三方使用,澳洲政府也加強對「我的健康紀錄」資料二次利用的監管。

英國在消費者資料賦權的概念下推動midata,倡議參與的企業提供可機讀、重覆使用的格式,提供消費者對其資料的訪問權,以及資料的可攜運用,後來指定金融、電信、能源產業配合釋出midata。其中在金融領域,英國推動開放銀行,要求9家銀行建立及採用開放銀行API標準,並透過API將顧客資料授權第三方使用,以提供創新的服務。英國推動開放銀行更運用沙盒實驗,解決現行法規不允許的問題,透過實驗評估創新的資料運用、服務效益及潛在的問題及風險,成為其他國家參考借鏡對象。

由於個資運用相當敏感,許多數據的加值應用可能違法,蕭乃沂推崇英國沙盒實驗的機制,建立創新的實驗機制相當關鍵。「先透過創新實驗,瞭解效益及可能的風險在哪,才能評估是否推出創新服務,如果在法規不允許下,就什麼都不能做」,他說。

身處北歐的芬蘭在2014年提出了MyData架構,提倡個資的自主管理及運用,並從2016年開始每年舉辦MyData年會,讓個人、組織在MyData進行經驗交流。他們並將開放資料的精神落實到個資的蒐集和使用,確保民眾有知情、查閱、修正、使用、分享、出售、分享個人資料的權利。

芬蘭政府並將MyData的資料自主精神推向民眾的電子醫療紀錄,讓民眾得以取得自己的醫療紀錄、用藥處方、個人健康資訊,並可和醫療保健服務業者、藥局分享資料。

其他還有新加坡、日本、韓國等推動資料自主運用。其中日本發展出情報銀行的個資信託制度,建立資料授權機制,讓消費者和企業在安全環境中進行資料蒐集和利用,創造資料的附加價值。用戶將自己的資料信託給情報銀行保管、移轉,並可決定是否收費授權其他企業使用。

資料自主在臺灣

臺灣也趕上這股資料自主的趨勢,衛福部健保署在2014年9月,先在健保署官網推出「健康存摺」,民眾只要使用自然人憑證或已註冊的健保卡,完成線上身分驗證,就能查詢或下載個人的健康資料,包括在各個醫療院所的資料,手術、住院、用藥、檢驗資料、個人健保計費、繳納資料、預防接種、器捐意願等等。

健保署更推出健保快易通App,讓民眾可在手機上完成身分驗證,查詢或下載健康存摺的健康資料。

蕭乃沂認為,健康存摺就是一個臺灣MyData推動的成功案例,由健保署擔任營運者、資料提供者、身分驗證、資料授權等多種角色,為單純的MyData架構實例。

而主管國內金融市場的金管會也在2019年推動開放銀行政策,開放銀行的核心精神為消費者資料自主權,在消費者同意下,金融業者和第三方服務者TSP,透過Open API共享金融資料,刺激創新服務的推出。

不僅健康醫療、金融領域,今年政府機關資料也趕上這股My Data趨勢。

 學界觀點:政治大學金融科技研究中心副主任陳恭 

營造以人為本的資料運用才能促成資料經濟發展

過去曾參與MyData研究,並熟悉國內開放銀行發展的政治大學金融科技研究中心副主任陳恭表示,資料自主運用,可能西方國家對資料的重視有關,而逐漸發展出的理念,而這幾年有更進一步的發展。

以澳洲的消費者資料權法(Consumer Data Right,CDR)為例,就提出資料的雙向交流原則,也就是業者不能只有取得別人的資料,也必須貢獻自己的資料。

而芬蘭在2015年推動資料經濟時提倡以人為本的資料運用。過去資料被鎖在機關裡,以組織為導向,應改成以人為本位,讓資料跟著人,資料從組織中解放出來,這種以人為本位的資料運用概念,人們在各個組織、機關留下的數位足跡應該要有使用權,甚至授權給第三方使用。

陳恭認為,這是進步的地方,如此才能發展資料經濟,甚至可能發展出創新的應用,例如微型支付機制,當消費者購物時,第三方會徵求消費者同意,把購買商品這件事用於廣告或銷售,並提供消費者一些報酬。

歐洲更進一步提出公平的資料經濟(Fair Data Economy),主張民眾(資料提供者)應該獲得公平待遇,民眾提供資料讓第三方使用,隨時可以撤回或查詢資料使用情形,甚至能獲得微薄的各種形式利益或報酬,或是服務升級。公平的資料經濟也強調資料使用者相對的責任。

陳恭認為,如果資料共享不僅在個別產業內,還能跨產業共享,例如在民眾同意下,將醫療資料分享保險業,將催生出創新的服務。


Advertisement

更多 iThome相關內容