列印時間:110/10/21 10:36
:::

相關法條

法規名稱: 金融機構作業委託他人處理內部作業制度及程序辦法 EN
金融機構將作業委託他人處理涉及使用雲端服務,具重大性或依第十八條將作業委託至境外者,應檢具下列書件向主管機關申請核准始得辦理:
一、依第四條第二項訂定之委外內部作業規範。
二、董(理)事會決議之議事錄。但外國銀行在臺分行得由經總行授權人員出具同意書為之。
三、法規遵循聲明書。
四、作業委託雲端服務業者處理之必要性及適法性分析,其中應包括對雲端服務業者遵守我國客戶資料保護相關規定之評估。
五、作業委外計畫書,其內容應包括:
(一)風險評估及管理機制:
1.應對雲端服務業者進行審查以確保提供作業之可靠性、遵法性,包括對業務持續性、替代性及集中性之分析。
2.應具專業技術及資源監督雲端服務業者執行受託作業之說明。
(二)資訊安全及管理:
1.金融機構對於客戶資料之加密或代碼化、金鑰保管、資料傳輸及區隔,以及資料所有權說明。
2.資料儲存地之管理政策,包括資料處理及儲存於境外時,有關當地法律、政治、經濟安定性評估說明,資料備份及得隨時存取資料之說明。
(三)金融機構、主管機關及中央銀行,或其指定之人取得雲端服務業者處理受託作業資訊之範圍及方式,包括取得客戶資訊及相關系統之查核報告,及確保實地查核權力之說明。
(四)緊急應變計畫及退場機制,包括金融機構具有充分資源應變及退場之說明。
前項所稱具重大性之作業,係指下列情形之一:
一、受託作業如無法提供服務或有資訊安全疑慮,對金融機構之業務營運有重大影響者。
二、受託作業涉及客戶資料安全事件,對金融機構或客戶權益有重大影響者。
三、其他對金融機構或客戶權益有重大影響者。
金融機構將作業委託他人處理涉及使用雲端服務,不屬第一項具重大性或依第十八條將作業委託至境外者,應檢具第一項第三款至第五款之書件,報經主管機關備查。
外國銀行在臺分行及在臺子銀行作業委託總行、母行或所屬集團之分支機構及子公司,複委託雲端服務業者處理,應檢具第一項作業委外計畫書,併同第十八條規定書件向主管機關申請核准,並應依下列規定辦理:
一、總行、母行或所屬集團之分支機構及子公司所在地主管機關對作業委託雲端服務業者處理之監理規範不低於我國規定。
二、作業委外計畫書內容,得由其總行、母行或所屬集團之分支機構及子公司出具相當性之說明文件代之。
前條規定之委外事項範圍,信用卡發卡業務及車輛貸款以外之消費性貸款之行銷作業、應收債權催收作業之委外,應依第十一條、第十二條規定報經主管機關核准辦理,其餘委外事項範圍金融機構應在不影響健全經營、客戶權益及相關法令之原則下,依董(理)事會核准之委外內部作業規範辦理。但外國銀行在台分行之核准,得由經總行授權之人員為之。
前項所稱委外內部作業規範應載明下列事項:
一、指定專責單位及其職權規範。
二、委外事項範圍。
三、客戶權益保障之內部作業及程序。
四、風險管理原則及作業程序。
五、內部控制原則及作業程序。
六、其他委外作業事項及程序。
金融機構應檢具下列書件向主管機關申請核准後,始得將作業項目委託至境外處理:
一、受委託機構所在地金融主管機關書面確認文件,其內容應包括:
(一)該主管機關知悉並同意受委託機構執行受託事項。
(二)該主管機關同意我國主管機關得要求受委託機構提供受託事項相關資料。
(三)該主管機關允許我國主管機關及委託之金融機構得對受託事項進行必要之查核。
(四)該主管機關如有必要對受託事項進行查核,應事先通知我國主管機關。
(五)該主管機關同意不會取得我國客戶資訊,如為執行其監理職權而須取得時,應事先通知我國主管機關。
二、依第四條第二項訂定之委外內部作業規範。
三、董(理)事會決議之議事錄。但外國銀行在台分行得由經總行授權人員出具同意書為之。
四、委外對營運之必要性及適法性分析,其中應包含對受委託機構遵守我國客戶資料保護相關規定之評估。
五、客戶資訊保護措施及是否已取得客戶同意,以確保委外服務品質及客戶權益之說明。
六、外國銀行在台分行應取得總行或經總行授權之區域總部出具有關資料取用、安全控管及配合我國監理要求之承諾書。
金融機構如無法取得前項第一款受委託機構所在地金融主管機關之書面確認文件者,應檢附下列書件:
一、受委託機構出具之同意函,同意必要時得由金融機構指定之人,對受託事項進行查核。上開指定之人亦得由我國主管機關指派之,其費用由金融機構負擔。
二、對受委託機構之內部控制制度及相關作業程序之審查情形。
三、受委託機構所在地對客戶資訊之保護不低於我國之法律意見書。
四、受委託機構最近期之經會計師查核簽證之財務報告。
五、受委託機構出具近三年內未發生造成客戶權益受損或影響機構健全營運之人員舞弊、資通安全及其他事件之聲明書。
外國銀行在台分行因內部分工將作業交由總行或國外分支機構處理者,應依前二項規定申請核准。
受委託機構所在地金融主管機關請求提供我國客戶資訊時,金融機構應先將事由通知我國主管機關並取得同意後始得提供。
本國銀行符合資格條件者,得檢附第一項、第二項規定書件連同下列書件,向本會申請核准後,將消費金融業務相關資訊系統之資料登錄、處理、輸出等事項委託至境外辦理:
一、委託具資訊專業之獨立第三人出具海外資訊系統不低於我國資訊安全標準之查核報告。
二、針對海外資訊系統發生無法提供服務情事,建立營運備援計畫,並由具資訊專業之獨立第三人出具該計畫符合以下要求之評估報告:
(一)應確保於海外資訊系統發生無法提供服務情事後四小時內,恢復既有客戶之存款、提款及支付往來業務(國內跨行通匯業務及國內匯兌業務)之正常運作,同時維持對各項財務及業務風險之妥善管理。
(二)若評估海外資訊系統因天然災害致無法於短期內恢復提供服務,銀行應確保於事件發生後七日內,透過啟動備援系統、安裝(臨時)資訊主機或其他方式,恢復在我國包含授信在內之主要業務正常運作。
三、日常監督機制之計畫書,其內容應包括:
(一)設立資訊委託境外專責監督管理單位或委員會,參與人員包括法規遵循、內部稽核、作業風險管理及資訊管理監督人員,以有效執行日常監督。
(二)日常委外作業機制,包括客戶資料存取情形、系統權限設定及非例行性作業等檢核項目,計畫應詳述管理作業內容、方式、流程及缺失處理機制。
四、報經董事會通過之成本效益與集團內費用分攤合理性之評估報告。
前項所稱資格條件係指符合下列規定之本國銀行:
一、最近一年內無因違反金融相關法令,受主管機關處分之情事,或有違反法令情事已具體改善,並經主管機關認可。
二、申請前一年底經主管機關或中央銀行糾正之缺失,均已切實改善。
三、最近一年內無重大資安事故未改善之情事。
本國銀行於本辦法修正施行前,已將消費金融業務相關資訊系統之資料登錄、處理、輸出等事項委託至境外辦理者,應自本辦法修正施行後一年內依前二項規定向本會提出申請。
本國銀行於前項期間內依本條第五項及第六項規定提出申請,經本會審查後予以否准者,應自前項期間屆滿後二年內,將消費金融業務相關資訊系統之資料登錄、處理、輸出等事項移回境內辦理。
資料來源:全國法規資料庫