各位领导、各位专家学者：

　　大家好！我今天报告的题目是欧盟通用隐私保障规则看金融创新科技之因应。因为我现在也在东吴大学大学兼任计算机中心主任，是台湾地区唯一一个用法律系老师的身份去做计算机的，我们要做数据保护。GDPR是从2016年通过，2018年5月25日正式实行，它直接在欧盟各会员国里面直接生效。里面重要的部分在于它的定义里面在科技的部分，包括IP位置、GPS位置等等部分都将认为是你的个人数据。而且针对这部分有特别设计所谓的数据保护关，还有针对数据有相关的部分，这里面有特别的要求。更重要的是违反的规定，在欧盟数据传输的时候，要罚你企业总营收的4%。适用的是只要你的数据经过欧盟的地域，你都可能会有GDPR的适用。所以台湾地区过去已经开始重视这个问题，真正开始追赶是今年才开始发酵，中国大陆目前也逐渐有很多企业在正式这个所谓的GDPR。

　　GDPR重点的部分，今天你的数据如果有外泄，必须要在72小时之内进行通报，而且它有数据保护关。而且对于数据处理者必须要符合GDPR的规定，而且针对数据有特殊的定义，它符合很多科技上的部分。还有是它的权责。另外是你从开始设计就应该尊重隐私的保障。你的处理活动记录，而且当事人同意这块非常要求必须要取得当事人的同事，这跟人大王利明老师昨天演讲的时候有提到一个案例，他也提到API在北京的一个案例，这也是开始重视数据的一部分。王老师提到的部分是用民法的部分去解决它，那是因为中国大陆目前可能并没有像台湾一样有所为的个人资料保护法正式出台，所以在数据保护这块或许没有单独的立法去做，台湾地区目前已经有。

　　另外一个是国际传输部分，只要你的数据经过了欧盟地区，影响了欧盟居民的情况，你都可能会被适用。如果包括你的互联网信息，或者商业广告等等部分，只要接触到欧盟的部分都可能会被适用。

　　2016年欧盟发布了另外一个东西，是针对于银行的部分，是叫PSDII。希望银行跟银行之间能够跟个人的消费者之间有数据互相的沟通，这样彼此就不需要个别保有资料，看似这两个东西有冲突，实际上他们两个同样在欧盟2016年发生。API兴起之后，逐渐影响到了金融的发展，目前包括在整个所谓监管科技也好，或者是在整个平台的建制也好，我们都朝向Open API的角度来看。在2016年欧盟公布之后，英国、韩国、澳大利亚、日本陆陆续续在这两年都已经建制了Open API，台湾也在做纯网银的部分，这个月7月12日大陆的浦发银行在北京已经正式推出了国内首个无界开放银行，这个影响非常大，因为它不单是银行跟银行间，它会跟金融跟医疗，金融跟制造，金融跟社交，金融跟教育，全部整合起来。换句话讲，今天一个个人数据进入银行开户之后，将来会影响你所有，包括医疗、教育保障、福利等等部分都会进来，这对于银行来讲是一个非常大的契机，但也是一个非常大的挑战和威胁。

　　在银保监会在今年4、5月的时候有出台了一个银行业金融机构数据治理指引，这个指引在去年意见稿就已经出来了，这里面已经汲取了所谓数据的观念。资料为王、数据为王。我们在把银保监会的指引跟GDPR看一下，发现它也有首席数据官，也重视了数据文化，也进行了所谓整体整改制度的建设，要求资料在质量上进行供给，还强调了数据的价值，最重要的是它加强了数据的加总能力，这个加总能力我们可以从7月12浦发银行的新闻稿里面看出来，它将来有释放的能力将可能会是其他各行各业的部分。

　　分析代结论，欧盟的GDPR和PSD2两者虽似有敌对性冲突，但实际上又向其相辅相成的。共同点，即监管机关加强对个人数据有效应用。在客户控制个人数据并保障数据安全的前提下，落实数据的共享与利用。两岸企业尽其在因应GDPR上各有不同发展，台湾在个人资料保护法下积极因应对策及修法，大陆则在网络安全法下进行数据在地化的调整。银行金融创新部分，台湾近期通过了金融科技创新发展及实验条例及其子法，但或许尚未对数据利用一节有所积极因应。中国银保监会的《指引》，似乎俨然已经在为监管科技进行布局，并部分参考了欧盟法令的发展轨迹，朝问责（Accountability）方向规划。

　　两岸对于金融数据保护与创新科技发展之研究，未来或可以进一步参考美国OCC在2016年其他金融创新的负责任原则为其共同努力方向，或许这是两岸未来在两到三年之内朝着Open API应该积极努力的方向，谢谢！