1.中華民國一百十年十二月二十三日金融監督管理委員會訂定全文 7 點
一、為提升金融機構客戶便利性、強化金融機構之風險控管及促進金融機
構間跨業合作,特訂定本指引。
金融機構間資料之共享,除其他法令得共享者從其規定外,依個人資
料保護法及本指引辦理。
前項得共享資料之其他法令規定彙整揭露於金融監督管理委員會網站
。
二、本指引用詞定義如下:
(一)金融機構:係指金融控股公司、銀行、信用合作社、票券金融公司
、信託業、電子支付機構、辦理郵政儲金匯兌業務或簡易人壽保險
業務之郵政機構、證券商、證券投資信託事業、證券金融事業、證
券投資顧問事業、期貨商、槓桿交易商、期貨信託事業、期貨經理
事業、期貨顧問事業及保險公司。惟不包括在國外之分公司。
(二)金融機構子公司:係指前款金融機構依公司法第三百六十九條之二
規定所控制且符合前款金融機構定義之從屬公司。但不包括在國外
之從屬公司或在國外之分公司。
三、金融機構間依本指引辦理資料共享,依下列原則建立內部控制規範:
(一)資料共享須有明確、妥適目的,並應合法及注意倫理道德。
(二)共享之資料如屬身分核驗資料、負面資訊等,對客戶權益有較大影
響性者,金融機構應進行必要之查證,或提供其他強化客戶資料保
護措施。
(三)資料共享過程中之參與者及其員工須經授權,並對相關法令、內部
控制規範及資料共享約定條件等有充足之認識。
(四)對於資料共享、日常維護、留存、權限設定、報表管理、共享結束
後之處理等事宜,應訂定妥適之管理政策。
(五)應按合作對象及資料共享方式,以風險為基礎,明定內部審核及分
層負責機制。
(六)應確保資訊系統及資料傳輸之安全性。
(七)應針對資料共享作業,明定受理客戶申訴及處理爭議之內部標準程
序。
前項之內部控制規範應經董(理)事會通過。
四、金融機構間資料共享,應於公司網站揭露隱私權政策,其內容應至少
包括共享資料之公司名稱、共享目的、客戶資料保護措施及客戶權益
維護之救濟方式等。
五、本指引所定資料共享之適用對象,區分為以下三類型:
(一)第一類:金融控股公司與所屬金融機構子公司間,及金融控股公司
所屬之各金融機構子公司間。
(二)第二類:非屬金融控股公司之金融機構與所屬金融機構子公司間,
及非屬金融控股公司之金融機構所屬各金融機構子公司間。
(三)第三類:非屬上述二類之金融機構與金融機構間。
六、第一類及第二類金融機構得為辨識風險、進行風險控管而共享資料,
並應注意以下事項:
(一)應事先取得客戶同意。
(二)可共享之資料包括客戶基本資料、身分核驗資料、帳戶資料、金融
商品或服務之交易紀錄、負面資訊、認識客戶(KYC) 資料及金融
機構加值之資料、電子通訊歷程紀錄(如 IP 位址)或其他經客戶
及合作金融機構同意共享之資料等。
(三)應落實客戶權益之保障,確保個人資料之保護、資料傳輸之安全。
(四)應明確約定至少下列內容,並確實執行:
1.資料共享目的、資料範圍、資料之蒐集、處理、利用頻率及方式
。如須取得客戶同意者,告知客戶及取得其同意之方式。
2.資料共享參與者之描述、各參與者權責分工及責任歸屬。
3.依據資料屬性所採行之維護作業、資料治理、風險管理及使用限
制。
4.資料共享相關法令遵循事宜。
依第一點第二項及前項規定辦理之資料共享,得由金融控股公司或控
股之金融機構統籌建置資料庫、管理資料共享,並得由金融控股公司
、控股之金融機構指定其所屬之金融機構子公司辦理。
七、第一類、第二類及第三類金融機構得為減少客戶重複輸入資料等便利
客戶作業或為合作辦理業務而共享資料,並應注意以下事項:
(一)應事先取得客戶同意。
(二)可共享之資料包括客戶基本資料、身分核驗資料、帳戶資料、金融
商品或服務之交易紀錄、負面資訊、認識客戶(KYC) 資料及金融
機構加值之資料、電子通訊歷程紀錄(如 IP 位址)或其他經客戶
及合作金融機構同意共享之資料等。
(三)應落實客戶權益之保障,確保個人資料之保護、資料傳輸之安全。
(四)金融機構間應建立業務合作關係,明確約定至少下列內容,並確實
執行:
1.資料共享目的、資料範圍、資料之蒐集、處理、利用頻率及方式
。如須取得客戶同意者,告知客戶及取得其同意之方式。
2.資料共享參與者之描述、各參與者權責分工及責任歸屬。
3.依據資料屬性所採行之維護作業、資料治理、風險管理及使用限
制。
4.資料共享相關法令遵循事宜。
5.業務合作關係起訖時間及合作關係結束時客戶資料之處理方式。