跳至主要內容
:::

法條

法規名稱: 金融機構作業委託他人處理內部作業制度及程序辦法 EN
金融機構辦理作業委外,涉及重大性消費金融業務資訊系統委託至境外處理,應檢具下列書件向主管機關申請核准:
一、依第四條第二項訂定之委外內部作業規範。
二、董(理)事會決議之議事錄。但外國金融機構在臺分支機構得由經總機構授權人員出具同意書為之。
三、委外對營運之必要性及適法性分析,其中應包含對受委託機構遵守我國客戶資料保護相關規定之評估。
四、作業委外計畫書,其內容應包括:
(一)風險評估及管理機制:
1.委外事項之風險程度、重大性及對營運及客戶權益影響之評估情形。
2.受委託機構盡職調查情形,確保提供作業之可靠性、遵法性,其中可靠性應包括對業務持續性、替代性及集中性之分析。
3.應具專業技術及資源,監督受委託機構執行受託作業之說明。
4.日常監督機制之計畫及執行單位。
(二)客戶資訊保護措施及是否已取得客戶同意,以確保委外服務品質及客戶權益保障之說明。
(三)資訊安全及管理:
1.資料安全管理措施、資料傳輸及區隔,以及資料所有權說明。
2.資料儲存地之管理政策,包括資料處理地及儲存地之法律、政治、經濟安定性評估說明,資料備份及得隨時存取資料之說明。
(四)緊急應變計畫,包括受委託機構發生無法提供服務情事或服務中斷之營運備援計畫。
五、受委託機構出具之同意函或委外契約,同意必要時得由金融機構指定之人,對受託事項進行查核。上開指定之人亦得由我國主管機關指派之,其費用由金融機構負擔。
六、受委託機構出具近三年內未發生造成客戶權益受損或影響機構健全營運之人員舞弊、資通安全及其他事件之聲明書。
金融機構辦理前項委外,除應符合前條規定外,並應依下列規定辦理:
一、應就受委託機構對客戶資訊之使用、處理及控管情形確認符合我國個人資料保護法相關規定,留存完整稽核紀錄,並列為重點查核項目。
二、應定期評估成本效益與集團內費用分攤之合理性並報董(理)事會通過。
三、對資訊系統之安全檢測應不低於主管機關或銀行公會之規範。
四、每年至少應辦理一次一般性查核及一次專案查核,並應於每年年度終了後四個月內將當年度辦理跨境委外查核報告提報董(理)事會報告。前述查核之執行得委託具資訊專業之獨立第三人辦理。
五、應建立受委託機構發生無法提供服務情事或服務中斷之營運備援計畫。
六、應於契約中載明於委外作業移轉至其他受委託機構或移回金融機構之情況,原受委託機構有關系統遷移、資料處理之義務,及受委託機構服務中斷之賠償責任。
外國金融機構在臺分支機構因內部分工將作業交由總機構或國外分支機構處理者,應依第一項規定辦理。
金融機構作業委外應在不影響健全經營、客戶權益及相關法令遵循之原則下,依董(理)事會核定之委外內部作業規範辦理。但外國金融機構在臺分支機構(包括外國銀行在臺分行及外國信用卡公司)之核定,得由經總機構授權之人員為之。
前項所稱委外內部作業規範應載明下列事項:
一、作業委外之政策及原則,包括委外之決策評估、風險管理機制、核決層級及治理架構。
二、專責單位及相關單位對委外事項控管之權責分工。
三、委外事項範圍及委外程序。
四、客戶權益保障之內部作業及程序。
五、風險管理原則及作業程序。
六、內部控制原則及作業程序。
七、其他委外作業事項及程序。
金融機構對於作業委外負最終責任,應就委外事項之風險程度、重大性及對營運及客戶權益影響進行評估,依風險基礎方法採取適當之控管措施,並依下列規定辦理:
一、董(理)事會應認知作業委外之風險,定期監督委外事項執行情形。
二、應確保專責單位及相關單位對於控管委外事項具備充足之資源、專業及權限。
三、應辨識、評估及管理具重大性之作業委外,訂定相關程序及政策,確保委外作業對金融機構正常營運或客戶權益有重大影響者,訂定強化之控管及緊急應變措施。
四、應有適當之盡職調查及定期審查程序以確認受委託機構具備執行受託作業之專業知識與資源、財務健全、內部控制及資安管理機制及符合法規要求。
五、應確保金融機構本身、主管機關及中央銀行,或其指定之人能取得受委託機構就受託事項範圍之相關資料或報告,及進行金融檢查或查核,或得命令受委託機構於限期內提供相關資料或報告。
前項規定於外國金融機構在臺分支機構之適用,得由總機構或經其授權之區域總部負責及辦理。但專責單位仍應由外國金融機構在臺分支機構人員辦理,並充分掌握總機構或經其授權之區域總部對在臺作業委外事項之控管情形。
本辦法所稱之重大性,係指下列情形之一:
一、委外作業無法提供服務或有資訊安全疑慮,對金融機構之業務營運有重大影響者。
二、委外作業涉及客戶資料安全事件,對金融機構或客戶權益有重大影響者。
三、其他委外作業對金融機構或客戶權益有重大影響者。
金融機構將作業項目委託至境外處理者,應依下列規定辦理:
一、應充分瞭解及掌握受委託機構對客戶資訊之使用、處理及控管情形。
二、提供予受委託機構之客戶資訊僅限與受託事項直接相關之必要資訊。
三、應要求受委託機構確實遵守以下事項:
(一)金融機構之客戶資訊僅限由受委託機構之獲授權人員於受託事項範圍內使用及處理。
(二)金融機構之客戶資訊應與受委託機構及其處理他機構之資料有明確區隔。
(三)受委託機構處理之金融機構客戶資訊應能及時提供予主管機關及金融機構。
四、應依風險基礎方法定期及不定期就受委託機構對客戶資訊之使用、處理及控管情形進行查核及監督;相關查核得委由外部稽核辦理,外國金融機構在臺分支機構得交由總機構或經總機構授權之區域總部稽核單位辦理,相關單位並應提供相關查核報告予該外國金融機構在臺分支機構。
五、受委託機構所在地金融主管機關請求提供我國客戶資訊時,金融機構應先將事由通知我國主管機關並取得同意後始得提供。
外國金融機構在臺分支機構因內部分工將作業交由總機構或國外分支機構處理者,應依前項規定辦理。