您的瀏覽器不支援JavaScript功能,若網頁功能無法正常使用時,請開啟瀏覽器JavaScript狀態
跳到主要內容區塊
:::

金融監督管理委員會公告:預告「金融機構作業委託他人處理內部作業制度及程序辦法」部分條文修正草案

公告日期: 108.06.25
預告日期: 108.06.28 ~ 108.07.29
發文字號: 金管銀外字第10802720220號 公告
內容連結: 金融監督管理委員會公告:預告「金融機構作業委託他人處理內部作業制度及程序辦法」部分條文修正草案
圖表附件:
發表建議區
無任何建議。

建請考量雲端運算特性,就後續實際應用、監督與稽核預為調適,以為全面 (續2)

發表人:KPMG 安侯企管  發表時間:2019.07.29 23:06:56
前於公聽會與銀行公會討論階段已有著墨,建議條文可具體闡述如下,「金融機構使用雲端服務業者所提供加密服務者,應確保該加密金鑰係由金融機構所獨有,雲端服務業者本身或業者之其他客戶無法存取該加密金鑰。金融機構對該金鑰應有完全控制權,並就相關金鑰安全管理列為重點查核事項。」
10. 第19-2條立法說明有關重大性部分,查新加坡、澳洲、南非、香港等地對重大委外之定義,除貴會所援引質化部分外,亦有直接明文闡述核心銀行系統、或涉及法令遵循、風險管理與內部稽核職能者,均屬重大委外,似可參酌訂定,以避免法規套利。
11. 第19-2條有關非屬重大委外之備查制部分,按備查制應屬觀念通知之概念,貴會應無庸函覆金融機構。然目前規範下,備查制與申請核准制差異甚小,為確保貴會得有一定空間調整金融機構作業委外規劃,並完善法制度,建議參酌證交法與衍生性金融商品規範,調整為「檢具書件並載明該案不具重大性或非屬作業委託境外之說明函報主管機關,主管機關於送達後七日為表示反對意見者,視為已核准。」

建請考量雲端運算特性,就後續實際應用、監督與稽核預為調適,以為全面 (續)

發表人:KPMG 安侯企管  發表時間:2019.07.29 23:04:42
訊作業及資訊安全標準進行」。
7. 承上,雲端運算服務之本質係「共用資訊資源池」與「多租戶架構」,倘所有機融機構均要求對雲端運算服務商進行完整之稽核,或將造成業者過度負擔,然考量金融機構既對委外事項須負最終責任,雲端服務提供商亦不宜限制金融機構踐行監督義務之方式,爰參酌歐洲中央銀行(European Central Bank)對雲端委外之建議規範(Recommendations on Cloud Outsourcing)第4.3段對資料存取與稽核權限之規定、及美國財政部貨幣監理署(Office of the Comptroller of the Currency)對資訊委外所發布Bulletin 2013-29及2017-19暨新加坡金融管理局《委外指引(Guidelines on Outsourcing)》第5.9段對稽核與檢查權之等國外立法例,規範金融機構對所使用雲端服務進行查核得採行之方式。此外,我國「資通安全管理法」第9條,委外辦理資通系統之建置、維運或資通服務之提供,應考量受託者之專業能力與經驗、委外項目之性質及資通安全需求,選任適當之受託者,並監督其資通安全維護情形。同法施行細則第4條第9款載明「以稽核或其他適當方式確認受託業務之執行情形」,其問答集已肯認受託者應具備完善的資通安全管理措施,或通過第三方驗證,兩者取其一。建議如下:「金融機構應採取以風險基礎方法決定所使用雲端服務之查核方式、頻率與時間,如使用雲端運算服務商所提供報告,應評估範圍、方式、信度與效度是否足資替代實地查核,並評估是否採行額外之查核程式。
8. 第19-2條第1項第5款有關作業委外計畫書部分,按貴會過去已責成銀行公會於「金融機構運用新興科技作業規範」第2條訂有雲端運算相關規範,金融機構運用雲端服務,應訂定完善作業規範並進行風險評估,似不宜採取一次性的計畫書,建議修正為「五、使用雲端運算服務之安全管理規範,其中應至少包含資料儲存與傳輸至雲端運算環境之安全防護措施、監督所使用雲端運算服務之機密性、完整性與可用性機制、雲端運算環境之查核原則、與雲端運算服務環境之最低安全標準」,原第5款內容仍得視情況納入規範。
9. 就「加密金鑰」保管一節,考量軟體即服務(SaaS)模式,使用者係以網路連線方式連接雲端服務業者,資料均於雲端平台上進行處理,就金融機構「保管」加密金鑰之方式倘限制於金融機構內部,將令金融機構無法使用SaaS服務,此節

建請考量雲端運算特性,就後續實際應用、監督與稽核預為調適,以為全面

發表人:KPMG 安侯企管  發表時間:2019.07.29 22:55:14
1. 案經兩次公聽會及銀行公會討論,本辦法修正條文草案仍未定義雲端服務,考量國際間主管機關將不同雲端服務模式視為不同程度的作業委外,區分軟體即服務(SaaS)、平台即服務(PaaS)及基礎設施即服務(IaaS)等各種服務模式仍有實益。
2. 第7條第1項第1款通知客戶部分,鑑於現行個資法針對通知客戶之要求已臻完備,現行委外另訂通知方式有疊床架屋之虞,建議修正為「作業委外如涉及客戶資訊者,應依個人資料保護法告知客戶。非屬自然人部分,應於契約簽訂時訂定告知客戶之條款」。
3. 第7條第1項第4款客戶糾紛處理部分,部分作業並不直接直接對應金融機構之客戶,糾紛處理用字略有消費爭議之指涉,建議修正為「作業委外應設置協調單位、訂定委外問題排除與解決程序及時限,處理作業委外之問題解決」。
4. 第19-1條之第1項第1款「適度分散」為抽象不確定之概念,金融機構使用大型雲端廠商(如 Microsoft Azure、Google Cloud Platform、Amazon WebServices等),平臺本身多已備有災後備援機制,強制分散雲端運算急中度,未必能直接收降低風險之效,反增加營運成本(除使用之租賃費用外,尚須涵蓋法遵稽核之成本),建議於立法說明闡述適度分散應考量業務重大性、雲端服務業者與金融機構已建置之備援與業務持續能力。
5. 第19-1條雲端服務之射程,依立法說明包含「受託機構複委託予雲端服務業者處理之情形」,敬表同意。然而,在此情形下金融機構並未直接與雲端服務業者簽約,所能採取之監督、查核等措施,應僅及於受託機構而已。建議於立法說明適度調整文字,即金融機構應善盡善良管理人之注意義務,確保雲端服務之供應鏈不影響作業委外品質,亦不妨礙金融機構本身與主管機關之資料取得權與查核權。此間參酌第4項規定,假使某本國銀行之受託機構使用雲端服務(例如委外行銷公司本身使用雲端CRM系統,但不涉及金融機構資料),此時作業鏈應並無延伸至雲端上。
6. 第19-1條有關對雲端服務之查核,貴會僅於第三人查核部分載明應評估「所出具查核報告內容之妥適性並符合相關國際資訊安全標準」,然無論是金融機構本身或委託第三方進行,金融機構依同項第2款均有最終監督義務,應確保具備適當技術與資源;又,雲端運算為一種資訊作業,其安全管理上非僅限於資訊安全,應仍包含資訊作業維運,故建議修正為「應評估查核人員之適格性,以及所出具查核報告內容是否已參酌國際資

有關第十九條之一之建議如下,呈請 卓參。

發表人:法國興業銀行  發表時間:2019.07.26 16:55:59
建議第十九條之一第七款有關客戶資料及儲存地如位於境外,應在我國留存備份之規定,宜採用 貴會108年5月27日第二次委外辦法修正草案公聽會之條文,即「(三) 除金融機構能確保雲端服務業者可依其要求隨時存取相關資料者外,客戶重要資料應在我國留存備份。」或於問答集中明示金融機構已依循委外辦法第18條規定取得主管機關核准將資訊系統作業委託至境外集團資訊中心者,可視為業經主管機關核准而不須在我國留存重要客戶資料備份。

上述建議之主要理由為外銀分行所使用之資訊系統,多為總行或區域總部共用之全球資訊系統,故資料亦儲存於總行或區域總部之境外資訊中心,且前已獲核准委託至總行或區域總部之境外資訊中心。其資料既已獲核准儲存於境外,應得視為符合第七款第三目「經主管機關核准者」之要件,而無境內備份資料之必要性。
國際金融機構之資訊系統建置及風險控管機制,多已集中化方式處理,以利其集團能對集團整體相關資訊風險管理有全面性之控管,於採用雲端服務時,亦同。如在台分行已能確保資料備份存取之權利,應無在台重複建置資料備份之需求。

就第十九條之一、十九條之二之建議如下,請卓參。

發表人:台北市美國商會科技委員會  發表時間:2019.07.25 11:34:17
第19條之一建議修正內容如下:
一、金融機構應確保作業風險控管,充分評估受託機構處理之風險,採取適當風險管控措施,確保作業委外處理之品質,並應注意作業委託雲端服務業者之適度分散。
二、金融機構對雲端服務業者負有最終監督義務,並應具有專業技術及資源監督雲端服務業者執行受託作業,並得視需要委託專業第三人以輔助其監督作業。
三、金融機構應確保其本身、主管機關及中央銀行,或其指定之人能取得雲端服務業者執行受託作業之相關資訊,包括客戶資訊及相關系統之查核報告,及實地查核權力。
四、金融機構得自行委託,或與委託同一雲端服務業者之其他金融機構聯合委託具資訊專業之獨立第三人查核,並應符合下列規定:
(一)確認其查核範圍涵蓋雲端服務業者受託處理作業相關之重要系統及控制環節。
(二)應評估第三人之適格性,以及其所出具查核報告內容之妥適性並符合相關國際資訊安全標準。如雲端服務業者已委託獨立第三人就提供委外服務所涉及之工具、系統、網路及設備出具相關查核報告,且該等查核報告根據相關國際資訊安全標準作出,該等獨立第三人之查核報告可作為本條所要求之「查核報告」之替代。
(三)應針對金融機構所委託作業範圍進行查核並出具報告。
五、金融機構傳輸及儲存客戶資訊至雲端服務業者,應採行客戶資訊加密或代碼化等有效保護措施,並應訂定妥適之加密金鑰管理機制。
六、對委託雲端服務業者處理之資料應保有完整所有權,除執行受託作業外,金融機構應確保雲端服務業者不得有存取客戶資訊之權限,並不得為委託範圍以外之利用。
七、委託雲端服務業者處理之客戶資訊及其儲存地以位於我國境內為原則,如位於境外,應依下列規定辦理:
(一)金融機構須保有其指定資料處理及儲存地之權力。
(二)境外當地資料保護法規不得低於我國要求。
(三)除金融機構能確保雲端服務業者可依其要求隨時存取相關資料者外,客戶重要資訊應在我國留存備份。
八、金融機構應訂定妥適之緊急應變計畫,降低因作業委託而可能有服務中斷之風險。金融機構終止或結束作業委託,應確保能順利移轉至另一雲端服務業者或移回自行處理,並確保原受託雲端服務業者留存資料全數刪除或銷毀,並留存刪除或銷毀之紀錄。

說明:查本次法規預告版本第七條、第十九條之一第一款第三項及本法第三條等均採用「客戶資訊」之用語,為免爭議,建議本條使用同一名詞,故建擬將本條所述及之「客戶資料」調整為「客戶資訊」;本條第一款第七項之「客戶重要

就第十九條之一第一項第七款第三目「(三) 除經主管機關核准者,客戶重要資料應在我國留存備份。」之建議如下,呈請 卓參。倘蒙俯允,無任感荷。

發表人:花旗(台灣)商業銀行  發表時間:2019.07.24 09:48:01
建議條文內容:沿用 貴會於108年5月27日第二次委外辦法修正草案公聽會之條文:「(三) 除金融機構能確保雲端服務業者可依其要求隨時存取相關資料者外,客戶重要資料應在我國留存備份。」或於問答集中明示金融機構已依循委外辦法第18條規定取得主管機關核准將資訊系統作業委託至境外集團資訊中心者,可視為業經主管機關核准而不須在我國留存重要客戶資料備份。

說明理由:
一、 爰參酌修正說明所述,本條款立法原意旨在考量金融機構即時處理業務之便利性及金融監理之需要,因此要求除經主管機關核准者外,客戶重要資料應在我國留存備份。然,現行市場上提供之雲端服務多採跨國備援方法(如:新加坡與香港互為備援)來降低因單一區域發生災難導致雲端服務無法繼續運作的情況發生,故雲端服務業者可依金融機構要求隨時滿足存取相關資料之要求;此外,鑒於 貴會已於第十九條之一第一項第三款要求金融機構應確保其本身、主管機關及中央銀行,或其指定之人能取得雲端服務業者執行受託作業之相關資訊,包括客戶資訊及相關系統之查核報告,及實地查核權力,該條款要求應足以滿足金融監理之需要。
二、 依據現行委外辦法第18條規定,金融機構將作業項目委託至境外處理者,須提供受委託機構所在地金融主管機關書面確認文件,允許我國主管機關及委託之金融機構得對受託事項進行必要之查核;另涉及消費金融業務尚需由資訊專業之獨立第三人出具海外資訊系統發生無法提供服務情事後四小時內,恢復既有客戶之存款、提款及支付往來業務(國內跨行通匯業務及國內匯兌業務)之正常運作確信報告,足見經第18條核准之金融機構將客戶資料放置於我國或已核准之境外國家實無太大之差異。
三、復查,多數外銀子分行之資訊系統作業均已獲核准委託至集團境外資訊中心,其資料既已儲存於境外獲核准委外且受主管機關金融檢查權限所及之境外資訊作業中心,應得視為符合第七款第三目「經主管機關核准者」之要件,而無境內備份資料之必要性。如經主管機關考量後,第七款第三目仍維持預告版之條文內容,建請主管機關於問答集中明示金融機構已依循委外辦法第18條規定取得主管機管核准將資訊系統作業委託至境外集團資訊中心者,可視為業經主管機關核准而不須在我國留存重要客戶資料備份。

就第十九條之一第一項第七款第三目「(三) 除經主管機關核准者,客戶重要資料應在我國留存備份。」之建議如下,呈請 卓參。倘蒙俯允,無任感荷。

發表人:洪秀如  發表時間:2019.07.23 17:54:24
建議條文內容:沿用 貴會於108年5月27日第二次委外辦法修正草案公聽會之條文:「(三) 除金融機構能確保雲端服務業者可依其要求隨時存取相關資料者外,客戶重要資料應在我國留存備份。」或於問答集中明示金融機構已依循委外辦法第18條規定取得主管機關核准將資訊系統作業委託至境外集團資訊中心者,可視為業經主管機關核准而不須在我國留存重要客戶資料備份。

說明理由:
一、 爰參酌修正說明所述,本條款立法原意旨在考量金融機構即時處理業務之便利性及金融監理之需要,因此要求除經主管機關核准者外,客戶重要資料應在我國留存備份。然,現行市場上提供之雲端服務多採跨國備援方法(如:新加坡與香港互為備援)來降低因單一區域發生災難導致雲端服務無法繼續運作的情況發生,故雲端服務業者可依金融機構要求隨時滿足存取相關資料之要求;此外,鑒於 貴會已於第十九條之一第一項第三款要求金融機構應確保其本身、主管機關及中央銀行,或其指定之人能取得雲端服務業者執行受託作業之相關資訊,包括客戶資訊及相關系統之查核報告,及實地查核權力,該條款要求應足以滿足金融監理之需要。
二、 依據現行委外辦法第18條規定,金融機構將作業項目委託至境外處理者,須提供受委託機構所在地金融主管機關書面確認文件,允許我國主管機關及委託之金融機構得對受託事項進行必要之查核;另涉及消費金融業務尚需由資訊專業之獨立第三人出具海外資訊系統發生無法提供服務情事後四小時內,恢復既有客戶之存款、提款及支付往來業務(國內跨行通匯業務及國內匯兌業務)之正常運作確信報告,足見經第18條核准之金融機構將客戶資料放置於我國或已核准之境外國家實無太大之差異。
三、復查,多數外銀子分行之資訊系統作業均已獲核准委託至集團境外資訊中心,其資料既已儲存於境外獲核准委外且受主管機關金融檢查權限所及之境外資訊作業中心,應得視為符合第七款第三目「經主管機關核准者」之要件,而無境內備份資料之必要性。如經主管機關考量後,第七款第三目仍維持預告版之條文內容,建請主管機關於問答集中明示金融機構已依循委外辦法第18條規定取得主管機管核准將資訊系統作業委託至境外集團資訊中心者,可視為業經主管機關核准而不須在我國留存重要客戶資料備份。

草案第19條之第一項第一款「......委託雲端服務業者之適度分散。」之意見。

發表人:安泰銀行  發表時間:2019.07.23 14:15:14
草案第19條之第一項第一款「......委託雲端服務業者之適度分散。」,所謂"適度分散"之定義為何,請 貴會惠予說明或釋例,如同一業務由2家以上雲端業者承作或僅部分業務由同一雲端業者承作之情形是否屬之。

就第十九條之一第第一項第七款第三目「(三) 除經主管機關核准者,客戶重要資料應在我國留存備份。」之建議如下,呈請 卓參。如蒙惠允,不勝感荷。

發表人:滙豐(台灣)  發表時間:2019.07.19 17:48:39
建議條文內容:採用 貴會於108年5月27日第二次委外辦法修正草案公聽會之條文:「(三) 除金融機構能確保雲端服務業者可依其要求隨時存取相關資料者外,客戶重要資料應在我國留存備份。」。

說明理由:
一、 爰參酌修正說明所述,主管機關為本條文之立意,主係考量(1)金融機構即時處理業務之便利性及(2)金融監理之需要,而要求金融機構將位於境外雲端儲存地之重要客戶資料備份於台灣境內。然境內備份並非主要或唯一可達到此兩項目的之方式,說明如下:
(一) 金融機構使用雲端服務之主要因素之一,即為考量雲端服務業者(CSP)具備專業化的集中管理與資料備援解決方案,降低金融機構自建備援設備或資料庫之成本。亦即,銀行得透過要求CSP建立適當之系統備援機制,若某地之雲端設備發生無法正常運作時,得立即或於一定時間啟動備援系統或應用程式,達維持金融機構業務或服務不中斷之目的。再者,金融機構自身亦會訂有緊急應變計畫與退場機制,包含先行與多家雲端業者建立服務契約,確保於需要時,能順利移轉至另一雲端服務業者或移回金融機構或其集團成員處理。鑒於 貴會已於第十九條之一第一項第八款要求金融機構應訂定妥適之緊急應變計畫,降低因作業委託雲端服務業者而可能有服務中斷之風險,其應可達此項服務不中斷之目的,實毋須另行要求境內備份。
(二) 就金融監理部份,貴會於第十九條之一第一項第三款及第四款中,業已清楚要求金融機構應確保自身或金融主管機關對於雲端服務相關之金融檢查權執行,無論雲端儲存地或其資料備份地位於境內或境外,金融檢查權均應得適當執行。

二、 再者,若除服務不中斷外, 貴會期待金融機構能對於重要客戶資料或核心業務資料有更高之掌控度,金融機構應得透過合約規範或作業流程設計等程序,確保金融機構得依需求隨時存取雲端之資料,而不以境內備份為唯一手段。

三、 對於多數外國銀行在台分行或子行而言,基於集團資源整合與一致性控管標準之遵循目的,業已在符合本地法規允許之範圍內,將多數資訊系統與其備份資料委託至境外集團資訊中心;未來就雲端策略之推展與運用,亦會依據集團內部風險控管原則,或視各地集團成員之需要,委託具專業技術或資源之集團資訊中心統一為雲端資料之備份處理。比照第十九條之一第一項第二款之原則,雖金融機構對於作業委託雲端服務業者處理負有最終監督義務,但應得委託具有專業技術及資源監督雲端服務業者,如總行或區域總部之集團資訊中心,執行或輔助其監督作

草案第19條之第一項第七款(三) 改為(三)除經主管機關核准者外,客戶重要資料應在我國留存備份。尚請 貴會釋示下列提問:

發表人:法國巴黎銀行  發表時間:2019.07.16 14:51:29
草案第19條之第一項第七款(三) 改為(三)除經主管機關核准者外,客戶重要資料應在我國留存備份。尚請 貴會釋示下列提問:
(1) 本條所指之「客戶重要資料」可否請 貴會於委外Q&A內舉例說明,俾利業者遵循。
(2) 本條所指之主管機關核准是否已有涵括於雲端委外申請案內敘明基於外銀集團整體政策考量,外銀在台分行之伺服器多位於總行或區域總行之資料處理中心,故將來該等資料導入雲端服務後,如金融機構能確保雲端服務業者可依其要求隨時存取相關資料,則實無要求外國銀行在臺分行之客戶重要資料須於我國留存備份之必要。