金融機構應檢具下列書件向主管機關申請核准後,始得將作業項目委託至境外處理:
一、受委託機構所在地金融主管機關書面確認文件,其內容應包括:
(一)該主管機關知悉並同意受委託機構執行受託事項。
(二)該主管機關同意我國主管機關得要求受委託機構提供受託事項相關資料。
(三)該主管機關允許我國主管機關及委託之金融機構得對受託事項進行必要之查核。
(四)該主管機關如有必要對受託事項進行查核,應事先通知我國主管機關。
(五)該主管機關同意不會取得我國客戶資訊,如為執行其監理職權而須取得時,應事先通知我國主管機關。
二、依第四條第二項訂定之委外內部作業規範。
三、董(理)事會決議之議事錄。但外國銀行在台分行得由經總行授權人員出具同意書為之。
四、委外對營運之必要性及適法性分析,其中應包含對受委託機構遵守我國客戶資料保護相關規定之評估。
五、客戶資訊保護措施及是否已取得客戶同意,以確保委外服務品質及客戶權益之說明。
六、外國銀行在台分行應取得總行或經總行授權之區域總部出具有關資料取用、安全控管及配合我國監理要求之承諾書。
金融機構如無法取得前項第一款受委託機構所在地金融主管機關之書面確認文件者,應檢附下列書件:
一、受委託機構出具之同意函,同意必要時得由金融機構指定之人,對受託事項進行查核。上開指定之人亦得由我國主管機關指派之,其費用由金融機構負擔。
二、對受委託機構之內部控制制度及相關作業程序之審查情形。
三、受委託機構所在地對客戶資訊之保護不低於我國之法律意見書。
四、受委託機構最近期之經會計師查核簽證之財務報告。
五、受委託機構出具近三年內未發生造成客戶權益受損或影響機構健全營運之人員舞弊、資通安全及其他事件之聲明書。
外國銀行在台分行因內部分工將作業交由總行或國外分支機構處理者,應依前二項規定申請核准。
受委託機構所在地金融主管機關請求提供我國客戶資訊時,金融機構應先將事由通知我國主管機關並取得同意後始得提供。
本國銀行符合資格條件者,得檢附第一項、第二項規定書件連同下列書件,向本會申請核准後,將消費金融業務相關資訊系統之資料登錄、處理、輸出等事項委託至境外辦理:
一、委託具資訊專業之獨立第三人出具海外資訊系統不低於我國資訊安全標準之查核報告。
二、針對海外資訊系統發生無法提供服務情事,建立營運備援計畫,並由具資訊專業之獨立第三人出具該計畫符合以下要求之評估報告:
(一)應確保於海外資訊系統發生無法提供服務情事後四小時內,恢復既有客戶之存款、提款及支付往來業務(國內跨行通匯業務及國內匯兌業務)之正常運作,同時維持對各項財務及業務風險之妥善管理。
(二)若評估海外資訊系統因天然災害致無法於短期內恢復提供服務,銀行應確保於事件發生後七日內,透過啟動備援系統、安裝(臨時)資訊主機或其他方式,恢復在我國包含授信在內之主要業務正常運作。
三、日常監督機制之計畫書,其內容應包括:
(一)設立資訊委託境外專責監督管理單位或委員會,參與人員包括法規遵循、內部稽核、作業風險管理及資訊管理監督人員,以有效執行日常監督。
(二)日常委外作業機制,包括客戶資料存取情形、系統權限設定及非例行性作業等檢核項目,計畫應詳述管理作業內容、方式、流程及缺失處理機制。
四、報經董事會通過之成本效益與集團內費用分攤合理性之評估報告。
前項所稱資格條件係指符合下列規定之本國銀行:
一、最近一年內無因違反金融相關法令,受主管機關處分之情事,或有違反法令情事已具體改善,並經主管機關認可。
二、申請前一年底經主管機關或中央銀行糾正之缺失,均已切實改善。
三、最近一年內無重大資安事故未改善之情事。
本國銀行於本辦法修正施行前,已將消費金融業務相關資訊系統之資料登錄、處理、輸出等事項委託至境外辦理者,應自本辦法修正施行後一年內依前二項規定向本會提出申請。
本國銀行於前項期間內依本條第五項及第六項規定提出申請,經本會審查後予以否准者,應自前項期間屆滿後二年內,將消費金融業務相關資訊系統之資料登錄、處理、輸出等事項移回境內辦理。