跳至主要內容
:::

法條

法規名稱: 金融機構作業委託他人處理內部作業制度及程序辦法 EN
金融機構辦理下列委外事項者,不適用第十七條至前條規定:
一、將其國外分支機構之作業項目委外辦理者。
二、委託境外機構辦理位於境內資訊系統之開發及維護者。
金融機構將作業項目委託至境外處理者,應依下列規定辦理:
一、應充分瞭解及掌握受委託機構對客戶資訊之使用、處理及控管情形。
二、提供予受委託機構之客戶資訊僅限與受託事項直接相關之必要資訊。
三、應要求受委託機構確實遵守以下事項:
(一)金融機構之客戶資訊僅限由受委託機構之獲授權人員於受託事項範圍內使用及處理。
(二)金融機構之客戶資訊應與受委託機構及其處理他機構之資料有明確區隔。
(三)受委託機構處理之金融機構客戶資訊應能及時提供予主管機關及金融機構。
四、應依風險基礎方法定期及不定期就受委託機構對客戶資訊之使用、處理及控管情形進行查核及監督;相關查核得委由外部稽核辦理,外國金融機構在臺分支機構得交由總機構或經總機構授權之區域總部稽核單位辦理,相關單位並應提供相關查核報告予該外國金融機構在臺分支機構。
五、受委託機構所在地金融主管機關請求提供我國客戶資訊時,金融機構應先將事由通知我國主管機關並取得同意後始得提供。
外國金融機構在臺分支機構因內部分工將作業交由總機構或國外分支機構處理者,應依前項規定辦理。
金融機構辦理作業委外,涉及重大性消費金融業務資訊系統委託至境外處理,應檢具下列書件向主管機關申請核准:
一、依第四條第二項訂定之委外內部作業規範。
二、董(理)事會決議之議事錄。但外國金融機構在臺分支機構得由經總機構授權人員出具同意書為之。
三、委外對營運之必要性及適法性分析,其中應包含對受委託機構遵守我國客戶資料保護相關規定之評估。
四、作業委外計畫書,其內容應包括:
(一)風險評估及管理機制:
1.委外事項之風險程度、重大性及對營運及客戶權益影響之評估情形。
2.受委託機構盡職調查情形,確保提供作業之可靠性、遵法性,其中可靠性應包括對業務持續性、替代性及集中性之分析。
3.應具專業技術及資源,監督受委託機構執行受託作業之說明。
4.日常監督機制之計畫及執行單位。
(二)客戶資訊保護措施及是否已取得客戶同意,以確保委外服務品質及客戶權益保障之說明。
(三)資訊安全及管理:
1.資料安全管理措施、資料傳輸及區隔,以及資料所有權說明。
2.資料儲存地之管理政策,包括資料處理地及儲存地之法律、政治、經濟安定性評估說明,資料備份及得隨時存取資料之說明。
(四)緊急應變計畫,包括受委託機構發生無法提供服務情事或服務中斷之營運備援計畫。
五、受委託機構出具之同意函或委外契約,同意必要時得由金融機構指定之人,對受託事項進行查核。上開指定之人亦得由我國主管機關指派之,其費用由金融機構負擔。
六、受委託機構出具近三年內未發生造成客戶權益受損或影響機構健全營運之人員舞弊、資通安全及其他事件之聲明書。
金融機構辦理前項委外,除應符合前條規定外,並應依下列規定辦理:
一、應就受委託機構對客戶資訊之使用、處理及控管情形確認符合我國個人資料保護法相關規定,留存完整稽核紀錄,並列為重點查核項目。
二、應定期評估成本效益與集團內費用分攤之合理性並報董(理)事會通過。
三、對資訊系統之安全檢測應不低於主管機關或銀行公會之規範。
四、每年至少應辦理一次一般性查核及一次專案查核,並應於每年年度終了後四個月內將當年度辦理跨境委外查核報告提報董(理)事會報告。前述查核之執行得委託具資訊專業之獨立第三人辦理。
五、應建立受委託機構發生無法提供服務情事或服務中斷之營運備援計畫。
六、應於契約中載明於委外作業移轉至其他受委託機構或移回金融機構之情況,原受委託機構有關系統遷移、資料處理之義務,及受委託機構服務中斷之賠償責任。
外國金融機構在臺分支機構因內部分工將作業交由總機構或國外分支機構處理者,應依第一項規定辦理。
金融機構將作業委託他人處理涉及使用雲端服務,應依下列規定辦理:
一、應訂定使用雲端服務之政策及原則,採取適當風險管控措施,並應注意作業委託雲端服務業者之適度分散。
二、金融機構對雲端服務業者負有最終監督義務,並應具有專業技術及資源,監督雲端服務業者執行受託作業,並得視需要委託專業第三人以輔助其監督作業。
三、金融機構得自行委託,或與委託同一雲端服務業者之其他金融機構聯合委託具資訊專業之獨立第三人查核,並應符合下列規定:
(一)確認其查核範圍涵蓋雲端服務業者受託處理作業相關之重要系統及控制環節。
(二)應評估第三人之適格性,以及其所出具查核報告內容之妥適性並符合相關國際資訊安全及隱私保護標準。
(三)應針對金融機構所委託作業範圍進行查核並出具報告。
四、金融機構傳輸及儲存客戶資料至雲端服務業者,應採行客戶資料加密或代碼化等有效保護措施,並應訂定妥適之加密金鑰管理機制。
五、對委託雲端服務業者處理之資料應保有完整所有權,除執行受託作業外,金融機構應確保雲端服務業者不得有存取客戶資料之權限,並不得為委託範圍以外之利用。
六、委託雲端服務業者處理之客戶資料及其儲存地應依下列規定辦理:
(一)金融機構須保有其指定資料處理及儲存地之權利。
(二)境外當地資料保護法規不得低於我國要求。
(三)涉及重大性消費金融業務資訊系統之客戶資料儲存地以位於我國境內為原則。如位於境外,除經主管機關核准者外,客戶重要資料應在我國留存備份。