金融業資訊儲存在地化初探

2018-09-12

源自近幾年於全球興起的「資料在地主義」,亦即各國政府以公權力要求外商或本地商,須將業務資料存放於該國境內,以達「資料在地化」的目標。但此種思維實與促進當代數位科技經濟的「資料自由流動」思想,有所衝突,以下將從「資料在地化」的定義及目的談起,並進一步探究,若「資料在地化」的成本及實益不高的話,有哪些可能的替代手段可供選擇。

蔡朝安 主持律師/張馨云 副總經理/林勇麒 律師 

何謂資料在地化?此種政策措施乃是源自近幾年於全球興起的「資料在地主義」,亦即各國政府以公權力要求外商或本地商,須將業務資料存放於該國境內,以達「資料在地化」的目標。但此種思維實與促進當代數位科技經濟的「資料自由流動」思想,有所衝突,以下將從「資料在地化」的定義及目的談起,並進一步探究,若「資料在地化」的成本及實益不高的話,有哪些可能的替代手段可供選擇。

什麼是「資料在地化」?為何要執行「資料在地化」措施?

所謂「資料在地化」通常是一國政府以法令、行政手段等公權力措施,要求企業所蒐集、處理或利用的該國公民或居民相關資料,皆僅得存放於該國境內(無論是實體地理環境或資料庫伺服器)。一般多是藉由要求業者在該國境內設立伺服器,並限制該等資料跨境傳輸的資格及程序,提高其跨境傳輸的成本,以達「資料在地化」的目的。

「資料在地化」雖然常為單一的具體性措施,但其目的可能有多種面向。一者可能是為了保護該國公民或居民的個人資料相關權利,此目的的具體釋例,即係今年五月甫施行的歐盟個資法(GDPR),該部法規針對歐盟居民個資的跨境傳輸,採取原則禁止、例外允許的規範形式,惟其並未要求資料必須在歐盟境內進行儲存。此外,除了為維護國家或資訊安全外,亦有可能係為避免遭外國勢力監控或取得該等資料。不過,金融產業的「資料在地化」目的,多是為了讓金融主管機關在執法時(無論是防洗錢、反資恐,乃至降低詐欺犯罪之發生率),可易於取得相關資料,不致因資料分片化地儲存在不同國家或區域,而受管轄權等主權因素影響,產生額外付出的行政成本。舉例而言,於2008年雷曼兄弟宣告破產導致一連串金融風暴時,因為全球各地的雷曼兄弟子公司,皆有在當地設置伺服器儲存金融資料,而非統一儲存於美國母公司的資料庫中,此造成相關金融主管機關在破產清算、調取資料上的煩擾與阻礙,迫使美國聯準會重新思考金融服務資料在地化的必要性。

「資料在地化」所將面臨的成本與風險

然而,「資料在地化」措施的要求,恐將提高經營成本。如外資等企業即須於當地購置伺服器並建立管理制度,再加上如傳送資料亦受限制,則無法任意並即時地跨境傳輸商業上所須資訊,此將形成某程度進入門檻,造成外來企業無法與本土企業競爭,大幅削減了外資的投資意願。

此外,若強制要求「資料在地化」並配合限制資料跨境傳輸等措施的話,將與當代工業4.0根基於資料流通的理念與趨勢相違背,此不僅將阻礙與資訊相關經濟領域的成長,亦將抑制整體經濟的發展。

從安全性的層面來看,「資料在地化」不僅無法達到更完善的資訊安全,要求伺服器在地化恐係創造了易於駭客集中攻擊的目標,且於重大天然災害發生時,亦可能產生資料一鍋砸的情形,反而增添額外的資安風險。實則,伺服器設置於何處與其內所存資訊本身的安全性間,並無直接的正相關連性,主要還是有賴資訊服務提供者所實施的管理技術完整性與制度健全性與落實的程度。

在執行層面,縱使僅係要求國內金融產業落實「機敏性」業務資料在地化,則如何區分什麼是「機敏性資料」、區分後如何落實分類存放等問題,仍有待解決。

綜上,衡量「資料在地化」的目的與其上述所產生的成本與風險,在台灣已飽和的金融市場型態,以及特別需要外部投資的產業結構下,是否適合強行推行「資料在地化」等相關措施,頗值深慮。實則,前述「資料在地化」所為達成的目的,並非必以「資料在地化」為手段始得達成,而似亦可考量其他替代方法。

其他可能達成「資料在地化」目的的替代手段

從個人資料保護的目的以觀,將資料存放於何處,從來就不是個資保護的首要思考要點,毋寧應探究該等資料保存的安全防護措施及管理制度;從上位的觀點來看,則更應看重國家個資保護相關法令規範的縝密度,以及其執法的落實情況。

從國家安全保護的目的以觀,重點應係在所利用的科技技術、人民此方面的教育意識,以及民間產業與國家機關的良好實務運行,只有要求改變資料的存放地理位置,並無法防止外國駭客甚至外國政府利用木馬等惡意軟體進行資料監控。當然,如果所謂的國家「安全」,是從掌握人民及民間企業動態的觀點來看的話,則「資料在地化」法制或有其必要性,但此種思維通常是在較未民主化的集權式國家與政府中,始會產生。

從國家政府等執法機構的資料接近權以觀,若資料被強制在地化儲存於境內,對於諸如司法管轄權的行使、證據等資料的取得與統合而言,的確有其便利性。然而,若衡量上述「資料在地化」的風險與成本,此目的亦得有其他可能的替代方案,例如,與其他國家、區域就此部分資料簽訂互助協定或是資料分享、交換協議,亦可效法美國雲端法(The Clarifying Lawful Overseas Use of  Data Act,CLOUD Act)的規定,允許執法機構在遵循法律保留原則及令狀原則的前提下,為了合法的執法權益,向法院申請存取民間業者於境外所儲存的資料,業者如拒不提供,則會有相應的罰則。

結語

在國際上,已確定執行一般資料(亦即不分產業的資料)在地化的國家主要分為三類,一是向來強調網路主權的共產國家如中國與越南,二是執政者具一定程度爭議性的「民主」國家如俄羅斯,三則是在民主政治體制與其他政治體制間搖擺的國家如印尼。這些國家有兩種特質,一種是內需市場大,不擔心企業不配合。另一種則是國家經濟特重管制及維安。台灣的內需市場不大,經濟上高度依賴金融、貿易與科技發展,推行「資料在地化」等政策措施對於台灣金融及科技發展是否最適,頗值深思。

Contact us

蔡 朝安
普華商務法律事務所 主持律師, PwC Taiwan
Tel: +886 2 27295200
Email

張 馨云
副總經理 / 資深律師, PwC Taiwan
Tel: +886 2 27295200, x23613
Email

關注我們