PSD2

什麼是 PSD2？

支付服務指示 2 (PSD2 – 2015/2366/EU) 是一項監管歐洲經濟區 (EEA) 支付服務和提供者的法規。它旨在促進支付行業的競爭、創新和安全。它建立在原始的支付服務指令（PSD）的基礎上，並引入了新的規則和要求，以提高電子支付的效率和安全性。

PSD2 概述

• 法： 支付服務指示 2
• 地區： 歐洲經濟區 (EEA)
• 簽署日期： 08-10-2015
• 生效日期： 13-01-2018
• 行業： 歐洲經濟區的支付服務提供者

PSD2 下的個人數據

儘管它的重點是規範支付服務，但它也會影響這些交易期間收集和處理的個人資料。以下是 PSD2 中通常涉及的個人資料類型的細分：

• 帳戶信息： 與使用者支付帳戶相關的數據，例如帳號、IBAN（國際銀行帳號）和帳戶持有人姓名。
• 交易數據： 有關特定支付交易的詳細信息，包括金額、日期、收款人/付款人資訊以及商家詳細資訊（如果有）。
• 認證數據： 用於 PSD2 強制執行的強客戶身份驗證 (SCA) 的資訊。這可能包括登入憑證、一次性密碼或生物識別資料（取決於身份驗證方法）。

它不是直接定義“個人資料”，而是依賴現有的 GDPR 框架。這意味著受 PSD2 約束的組織在處理支付服務中的個人資料時也必須遵守 GDPR 原則。這確保了個人資料的透明度、使用者控制和合法處理。

PSD2 的關鍵元件

• 更強的認證： 線上支付的強制多重身份驗證 (MFA) 可提高安全性。
• 開放銀行： PSD2 強調「開放銀行」的概念。這允許授權的第三方提供者 (TPP) 在明確同意的情況下存取使用者的帳戶資訊。
• 增強的資料保護： 強制執行強大的資料安全措施和消費者對資料共享的控制。

PSD2 下的權利

PSD2 與 《一般資料保護規範》 (GDPR)，強調資料最小化、目的限制和使用者同意。消費者可以存取和糾正他們的支付數據，反對數據處理和可移植性，並獲得有關數據使用和第三方存取的清晰資訊。

誰需要遵守 PSD2？

• 支付服務提供者 (PSP)：銀行、電子貨幣機構、支付啟動服務提供者 (PISP)​​ 和帳戶資訊服務提供者 (AISP)。
• 商戶：接受歐洲經濟區的線上支付。

例外

交易量非常低的微型企業的義務有限，特定的豁免適用於特定的支付方式，例如功能有限的預付卡。

違規罰款

PSD2 法規對違規行為實施嚴厲處罰。這些罰款根據違規嚴重程度和具體成員國而有所不同，最高可達 5 萬歐元或全球年營業額的 3%，以較高者為準。

合規機構

歐洲經濟區 (EEA) 內的每個成員國都有指定的國家主管機關 (NCA)，負責監督和執行其管轄範圍內的 PSD2 合規性。

總之，理解並遵守 PSD2 要求對於金融服務組織至關重要。透過利用資料脫敏等資料安全解決方案和其他進階安全措施，企業可以降低合規風險並維護最高的資料安全和隱私標準。資料脫敏可以幫助組織滿足監管要求，同時透過用虛構或模糊的值替換可識別的數據，保留資料用於合法商業目的的效用。

常見問題