第 2 條
- 1金融機構作業委託他人處理者(以下簡稱為委外),應簽訂書面契約,並依本辦法辦理,但涉及外匯作業事項並應依中央銀行有關規定辦理。
- 2本辦法適用之金融機構,包括本國銀行及其國外分行、外國銀行在台分行、信用合作社、票券金融公司及經營信用卡業務之機構。
- 3依據銀行法第一百三十九條所稱依其他法律設立之其他金融機構,除各該法律另有規定者外,適用本辦法之規定。
第 3 條
- 1金融機構對於涉及營業執照所載業務項目或客戶資訊之相關作業委外,以下列事項範圍為限:
- 一、資料處理:包括資訊系統之資料登錄、處理、輸出,資訊系統之開發、監控、維護,及辦理業務涉及資料處理之後勤作業。
- 二、表單、憑證等資料保存之作業。
- 三、代客開票作業,包括支票、匯票。
- 四、貿易金融業務之後勤處理作業。但以信用狀開發、讓購、及進出口託收為限。
- 五、代收消費性貸款、信用卡帳款作業,但受委託機構以經主管機關核准者為限。
- 六、提供信用額度之往來授信客戶之信用分析報告編製。
- 七、信用卡發卡業務之行銷業務、客戶資料輸入作業、表單列印作業、裝封作業、付交郵寄作業,及開卡、停用掛失、預借現金、緊急性服務等事項之電腦及人工授權作業。
- 八、電子通路客戶服務業務, 包括電話自動語音系統服務、電話行銷業務、客戶電子郵件之回覆與處理作業、電子銀行客戶及電子商務之相關諮詢及協助,及電話銀行專員服務。
- 九、車輛貸款業務之行銷、貸放作業管理及服務諮詢作業,但不含該項業務授信審核之准駁。
- 十、消費性貸款行銷,但不含該項業務授信審核之准駁。
- 十一、房屋貸款行銷業務,但不含該項業務授信審核之准駁。
- 十二、應收債權之催收作業。
- 十三、委託代書處理之事項,及委託其他機構處理因債權承受之擔保品等事項。
- 十四、車輛貸款逾期繳款之尋車及車輛拍賣,但不含拍賣底價之決定。
- 十五、鑑價作業。
- 十六、內部稽核作業,但禁止委託其財務簽證會計師辦理。
- 十七、不良債權之評價、分類、組合及銷售。但應於委外契約中訂定受委託機構參與作業合約之工作人員,於合約服務期間或合約終止後一定合理期間內,不得從事與委外事項有利益衝突之工作或提供有利益衝突之顧問或諮詢服務。
- 十八、有價證券、支票、表單及現鈔運送作業及自動櫃員機裝補鈔作業。
- 十九、金塊、銀塊、白金條塊等貴金屬之報關、存放、運送及交付。
- 二十、其他經主管機關核定得委外之作業項目。
- 2前項第七款信用卡發卡業務之行銷及第九款至第十二款之委外事項,不得複委託;第九款至第十一款有關貸款行銷作業委外,應由金融機構自行辦理客戶及關係人之對保簽章作業。
- 3金融機構應依主管機關規定方式,確實申報有關作業委外項目、內容及範圍等資料。
第 4 條
- 1前條規定之委外事項範圍,信用卡發卡業務及車輛貸款以外之消費性貸款之行銷作業、應收債權催收作業之委外,應依第十一條、第十二條規定報經主管機關核准辦理,其餘委外事項範圍金融機構應在不影響健全經營、客戶權益及相關法令之原則下,依董(理)事會核准之委外內部作業規範辦理。但外國銀行在台分行之核准,得由經總行授權之人員為之。
- 2前項所稱委外內部作業規範應載明下列事項:
- 一、指定專責單位及其職權規範。
- 二、委外事項範圍。
- 三、客戶權益保障之內部作業及程序。
- 四、風險管理原則及作業程序。
- 五、內部控制原則及作業程序。
- 六、其他委外作業事項及程序。
第 5 條
金融機構辦理第三條第一項第二十款經主管機關核定事項之委外,應檢具下列書件向主管機關申請核准:
- 一、依前條第二項訂定之委外內部作業規範。
- 二、董(理)事會決議之議事錄。但外國銀行在台分行得由經總行授權人員出具同意書為之。
- 三、委外對營運之必要性及適法性分析。
- 四、作業流程。
- 五、其他經主管機關指定事項。
第 6 條
- 1第四條第二項第一款規定之專責單位應執行之事項如下:
- 一、依第四條規定訂定之委外內部作業規範控管委外事項。
- 二、就委外事項涉及客戶權益保障、風險管理及內部控制作業之監督,並定期評估檢討將結果呈報董(理)事會或外國銀行在台分行之總行授權人員,若有重大異常或缺失亦應儘速通報主管機關及中央銀行。
- 三、督導受委託機構內部控制及內部稽核制度之建立及執行。
- 四、訂定並執行遴選受委託機構之作業辦法,且應注意委外事項係受委託機構合法得辦理之營業項目。
- 2專責單位應定期至財團法人金融聯合徵信中心所建置受委託機構暨員工登錄系統查詢相關資料,並留存查詢紀錄備查,以作為金融機構作業委外執行本身內部控制制度及管理督導受委託機構建立內部控制制度之一環。
第 7 條
- 1第四條第二項第三款規定金融機構作業委外,應就客戶權益保障訂定內部作業及程序,其內容應包括:
- 一、如涉及客戶資訊者,應於契約簽訂時訂定告知客戶之條款;其未訂有告知條款者,金融機構應書面通知客戶委外事項,並應依個人資料保護法之規定辦理。
- 二、客戶資訊提供之條件範圍及其移轉之程序方法。
- 三、對受委託機構使用、處理、控管前款客戶資訊之監督方法。
- 四、訂定客戶糾紛處理程序及時限,並設置協調處理單位,受理客戶之申訴。
- 五、其他客戶權益保障之必要措施。
- 2金融機構作業委外如因受委託機構或其受僱人員之故意或過失致客戶權益受損,仍應對客戶依法負同一責任。
第 8 條
第四條第二項第四款規定金融機構訂定之委外內部作業規範有關風險管理原則及作業程序,其內容應包括:
- 一、建立作業委外風險與效益分析之制度。
- 二、建立足以辨識、衡量、監督及控制委外相關風險之程序或管理措施。
- 三、訂定緊急應變計畫。
第 9 條
第四條第二項第五款規定金融機構訂定之委外內部作業規範有關內部控制原則及作業程序,其內容應包括:
- 一、訂定並執行委外事項範圍之監督管理作業程序。
- 二、前款作業程序應納入金融機構整體內部控制及內部稽核制度內執行。
- 三、監督受委託機構內部控制及內部稽核制度之建立及執行。
第 10 條
- 1金融機構作業委外契約應載明下列事項:
- 一、委外事項範圍及受委託機構之權責。
- 二、金融機構應要求受委託機構配合遵守第二十一條規定。
- 三、消費者權益保障,包括客戶資料保密及安全措施。
- 四、受委託機構應依金融機構監督訂定之標準作業程序,執行消費者權益保障、風險管理、內部控制及內部稽核制度。
- 五、消費者爭端解決機制,包括解決時程、程序及補救措施。
- 六、受委託機構聘僱人員之管理,包括人員晉用、考核及處分等情事。
- 七、與受委託機構終止委外契約之重大事由,包括主管機關通知依契約終止或解約之條款。
- 八、受委託機構就受託事項範圍,同意主管機關及中央銀行得取得相關資料或報告,及進行金融檢查,或得命令其於限期內提供相關資料或報告。
- 九、受委託機構對外不得以金融機構名義辦理受託處理事項,亦不得進行不實廣告或於辦理貸款行銷作業時向客戶收取任何費用。
- 十、受委託機構對委外事項若有重大異常或缺失應立即通知金融機構。
- 十一、其他約定事項。
- 2金融機構應於契約中要求受委託機構非經金融機構書面同意,不得將作業複委託。委外契約中應針對複委託情形,訂明複委託之範圍、限制或條件。複委託契約應準用本條規定訂定之。
- 3委外契約或複委託契約與本辦法規定不符者,金融機構得按原契約繼續辦理至契約期限到期為止;惟契約未訂有期限者,應於本辦法發布施行起六個月內補正,否則該契約自動終止。
第 11 條
- 1金融機構申請信用卡發卡業務及車輛貸款以外之消費性貸款之行銷之委外,應檢具下列書件向主管機關申請核准:
- 一、依第四條第二項訂定之委外內部作業規範。
- 二、董(理)事會決議之議事錄。但外國銀行在台分行得由經總行授權人員出具同意書為之。
- 三、有關委外行銷公司區域分佈情形說明,及對該委外行銷公司之內部控制制度及相關作業程序之審查情形。
- 四、法規遵循聲明書。
- 2金融機構辦理本條作業委外應委託其持股百分之百或具百分之百控制力之行銷公司辦理。但金融機構及行銷公司符合下列條件者,金融機構得委託持股非百分之百之行銷公司辦理信用卡發卡業務之行銷作業:
- 一、金融機構之內部控制及內部稽核制度健全。
- 二、該行銷公司僅單獨辦理信用卡行銷業務一項。
- 三、該行銷公司只接受一家發卡金融機構委託,且不得再委外或轉包其他事業或個人。
- 四、金融機構經檢視過去委託該行銷公司辦理信用卡行銷收件之品質良好。
- 五、金融機構應每季提出對該行銷公司之實地查核報告,並包括對該公司送件品質之評估。
- 3金融機構辦理本條作業委外,應要求受委託之行銷公司不得以給予贈品或獎品或於街頭、騎樓設攤之方式行銷。
- 4金融機構辦理信用卡發卡業務之行銷之委外者,應要求受委託之行銷公司依信用卡業務機構管理辦法相關行銷規定辦理。
第 12 條
- 1金融機構申請應收債權催收作業之委外,應檢具下列文件向主管機關申請核准:
- 一、依第四條第二項訂定之委外內部作業規範。
- 二、董(理)事會決議之議事錄。但外國銀行在臺分行得由經總行授權人員出具同意書為之。
- 三、法規遵循聲明書。
- 四、受委託機構資格條件審核表。
- 2金融機構經核准辦理本條作業委外後,如有新增受委託機構,應檢具前項第三款及第四款文件,向主管機關申請核准。
- 3金融機構所委託之催收程序行為樣態、通知書函等應依中華民國銀行商業同業公會全國聯合會(下稱銀行公會)範本制定,該通知書函範本並應經律師審閱無違反本辦法及其他相關法令之虞後,送主管機關備查。
第 13 條
金融機構申請應收債權催收作業之委外,應事先確認受委託機構具備下列資格條件:
- 一、受委託機構應為下列其中之一:
- (一)依公司法或商業登記法辦理登記並取得主管機關核發載有辦理金融機構金錢債權管理服務業務之公司登記證明文件或商業登記證明文件之公司。
- (二)所屬金融控股公司或該銀行直接或間接百分之百持股,依金控公司(銀行)轉投資資產管理公司營運原則第二點第一款規定,接受母公司委託辦理應收債權催收之資產管理公司。
- (三)依法設立之律師事務所。
- (四)依法設立之會計師事務所。
- 二、受委託機構虧損未達實收資本額三分之一者。但虧損超過實收資本額三分之一,如已依相關規定完成增資程序者,不在此限。
- 三、受委託機構之催收人員應完成銀行公會或其認可之機構舉辦有關催收專業訓練課程或測驗並領有合格證書者,且無下列情事之一之人員:
- (一)曾犯刑法、組織犯罪防制條例、檢肅流氓條例、槍砲彈藥刀械管制條例等所定相關暴力犯罪,經判刑確定或通緝有案尚未結案者。
- (二)受破產之宣告尚未復權者。
- (三)使用票據經拒絕往來尚未恢復往來或有其他債信不良紀錄尚未了結者。
- (四)無行為能力、限制行為能力或受輔助宣告尚未撤銷者。
- (五)違反本辦法而離職,並經金融機構報送財團法人金融聯合徵信中心登錄者。
- 四、受委託機構之催收人員未完成銀行公會或其認可之機構舉辦有關催收專業訓練課程或測驗並領有合格證書者,應於任職後兩個月內補正。
- 五、受委託機構之負責人應無銀行負責人應具備資格條件準則第三條第一項除第十三款外之各款所述情形,並出具相關之聲明書。
- 六、受委託機構具有為承辦受託事務所需之完備電腦作業處理設備,相關作業人員之電話須裝設錄音系統,錄音系統須與電腦系統配合可即時調閱錄音,以供稽核或遇爭議時查證之用,需所有電話暨外訪時均予以錄音並製作備份且至少保存六個月以上,其錄音紀錄不得有刪除或竄改之情形。
第 14 條
- 1金融機構應定期及不定期對受委託辦理應收債權催收作業之機構進行查核及監督,確保無違反下列各款規定:
- 一、不得有暴力、恐嚇、脅迫、辱罵、騷擾、虛偽、詐欺或誤導債務人或第三人或造成債務人隱私受侵害之其他不當之債務催收行為。
- 二、不得以影響他人正常居住、就學、工作、營業或生活之騷擾方法催收債務。
- 三、催收時間為上午七時至晚上十時止。但經債務人同意者,不在此限。
- 四、不得以任何方式透過對第三人之干擾或催討為之。
- 五、為取得債務人之聯繫資訊,而與第三人聯繫時,應表明身分及其目的係為取得債務人之聯繫資訊。如經第三人請求,應表明係接受特定金融機構之委託,受委託機構之名稱,外訪時並應出具授權書。
- 六、受委託機構及員工不得向債務人或第三人收取債款或任何費用。但如係法院執行扣薪需要,受委託機構為金融機構訴訟代理人並經該金融機構同意代收該扣薪款時,不在此限。
- 七、受委託機構之外訪人員需配帶員工識別證,並應將外訪過程中與客戶或其相關人之談話內容全程錄音。未經債務人同意,不可擅自以任何形式進入其居住處所。
- 2有下列情形之一者,視為前項第一款虛偽、詐欺或誤導之方法:
- 一、虛偽陳述或暗示債務人不清償債務將受逮捕、羈押等刑事處分。
- 二、告知債務人將查封依法不得查封之財產。
- 三、向債務人催收債權金額以外或法律禁止請求之費用。
- 四、虛偽陳述債務人不清償債務,法院將實施拘提、管收、查封或拍賣等執行行為。
- 3有下列情形之一者,視為第一項第二款影響他人正常居住、就學、工作、營業或生活之騷擾方法:
- 一、持續或於非催收時間內,以電話、傳真、簡訊、電子郵件等通訊方法或訪問債務人居住所、學校、工作、營業地點或其他場所,向債務人催收。
- 二、以明信片進行催收,或於信封上使用任何文字、符號及其他方式,足使第三人知悉債務人負有債務或其他有關債務人私生活之資訊。但公司名稱,不在此限。
- 三、以佈告、招牌或其他類似方法,致第三人知悉債務人負有債務或其他有關債務人私生活之資訊。
第 15 條
金融機構與受委託催收機構訂定應收債權催收作業之委外契約除須符合第十條規定外,契約中應包括下列事項:
- 一、訂定受委託機構之工作準則,其內容至少應包括不得有第十四條所列各項禁止催收行為,受委託機構應明定解聘或懲罰違反相關規定員工之標準。
- 二、禁止複委託他人代為處理債權催收。
- 三、受委託機構應定期或隨時向金融機構回報債權催收處理、客戶申訴處理等情形;受委託機構及員工於內部管理或催收作業等有違反法規之情形時,應將相關案情立即回報金融機構。
- 四、受委託機構於聘僱人員時,應取得該受僱人員書面同意金融機構及財團法人金融聯合徵信中心得蒐集、處理及利用其個人資料。
- 五、受委託機構應將違反第十四條各款規定而離職之人員資料提供金融機構報送財團法人金融聯合徵信中心予以登錄,登錄資料應包括:
- (一)基本資料。
- (二)離職日期。
- (三)離職原因。
- 六、金融機構委任受委託機構時,應將受委託機構基本資料報送財團法人金融聯合徵信中心,受委託機構如有違反本辦法規定而終止契約時,同意由金融機構報送財團法人金融聯合徵信中心予以登錄,登錄資料應包括:
- (一)受委託機構基本資料。
- (二)簽訂契約及終止契約日期。
- (三)違反本辦法事由。
第 16 條
金融機構辦理應收債權催收作業之委外,應符合下列各款規定:
- 一、金融機構應注意受催收債務人或第三人申訴情形,應定期、適時向財團法人金融聯合徵信中心所建置受委託機構暨員工登錄系統查詢相關資料,如有達依委外契約規定受委託機構應解聘不適任員工標準,及金融機構應終止與受委託機構契約之重大事由時,應依本辦法及委外契約規定辦理。
- 二、金融機構所委託之受委託機構及員工,經其他金融機構依據第十五條第五、六款情形報送聯徵中心登錄在案者,如未構成解約重大事由時,金融機構應加強對該受委託機構之查核頻率及範圍。
- 三、受委託機構因有違反第十四條各款情事,致債務人無法接受受委託機構對其債務之催收,而直接向金融機構洽商債務之清償事宜時,金融機構應受理並積極處理。
- 四、金融機構如發現受委託機構或其受僱人員,於所委託之業務涉有暴力、脅迫、恐嚇討債等情事時,應報請治安單位處理。
- 五、金融機構不得提供對債務履行無法律上義務者之資料與受委託機構。
- 六、金融機構債權委外催收前應書面通知債務人,通知內容包含受委託機構名稱、催收金額、催收錄音紀錄保存期限、金融機構申訴電話,及第十四條各款之行為。
- 七、金融機構應將其受委託機構基本資料公佈於金融機構營業場所及網站,以利債務人核對催收機構之相關資料。
第 17 條
- 1金融機構辦理應收債權催收作業之委外受委託機構之催收行為,如涉有暴力情事經移送檢調機關者,金融機構得視情節輕重終止委託;經起訴者,應立即終止委託。
- 2受委託機構如有不符第十三條所定資格條件、或違反第十四條規定或違反其他法令之情形時,主管機關得視情節輕重,通知委託金融機構依契約規定終止委託、要求其限期改善,或暫停委託直至受委託機構相關機關(構)確認改善為止。
- 3金融機構辦理應收債權催收作業之委外,如有違反本辦法規定,主管機關得視情節輕重,命金融機構限期改善、暫停或撤銷金融機構應收債權催收作業委託他人處理之許可。
第 18 條
- 1金融機構應檢具下列書件向主管機關申請核准後,始得將作業項目委託至境外處理:
- 一、受委託機構所在地金融主管機關書面確認文件,其內容應包括:
- (一)該主管機關知悉並同意受委託機構執行受託事項。
- (二)該主管機關同意我國主管機關得要求受委託機構提供受託事項相關資料。
- (三)該主管機關允許我國主管機關及委託之金融機構得對受託事項進行必要之查核。
- (四)該主管機關如有必要對受託事項進行查核,應事先通知我國主管機關。
- (五)該主管機關同意不會取得我國客戶資訊,如為執行其監理職權而須取得時,應事先通知我國主管機關。
- 二、依第四條第二項訂定之委外內部作業規範。
- 三、董(理)事會決議之議事錄。但外國銀行在台分行得由經總行授權人員出具同意書為之。
- 四、委外對營運之必要性及適法性分析,其中應包含對受委託機構遵守我國客戶資料保護相關規定之評估。
- 五、客戶資訊保護措施及是否已取得客戶同意,以確保委外服務品質及客戶權益之說明。
- 六、外國銀行在台分行應取得總行或經總行授權之區域總部出具有關資料取用、安全控管及配合我國監理要求之承諾書。
- 一、受委託機構所在地金融主管機關書面確認文件,其內容應包括:
- 2金融機構如無法取得前項第一款受委託機構所在地金融主管機關之書面確認文件者,應檢附下列書件:
- 一、受委託機構出具之同意函,同意必要時得由金融機構指定之人,對受託事項進行查核。上開指定之人亦得由我國主管機關指派之,其費用由金融機構負擔。
- 二、對受委託機構之內部控制制度及相關作業程序之審查情形。
- 三、受委託機構所在地對客戶資訊之保護不低於我國之法律意見書。
- 四、受委託機構最近期之經會計師查核簽證之財務報告。
- 五、受委託機構出具近三年內未發生造成客戶權益受損或影響機構健全營運之人員舞弊、資通安全及其他事件之聲明書。
- 3外國銀行在台分行因內部分工將作業交由總行或國外分支機構處理者,應依前二項規定申請核准。
- 4受委託機構所在地金融主管機關請求提供我國客戶資訊時,金融機構應先將事由通知我國主管機關並取得同意後始得提供。
- 5本國銀行符合資格條件者,得檢附第一項、第二項規定書件連同下列書件,向本會申請核准後,將消費金融業務相關資訊系統之資料登錄、處理、輸出等事項委託至境外辦理:
- 一、委託具資訊專業之獨立第三人出具海外資訊系統不低於我國資訊安全標準之查核報告。
- 二、針對海外資訊系統發生無法提供服務情事,建立營運備援計畫,並由具資訊專業之獨立第三人出具該計畫符合以下要求之評估報告:
- (一)應確保於海外資訊系統發生無法提供服務情事後四小時內,恢復既有客戶之存款、提款及支付往來業務(國內跨行通匯業務及國內匯兌業務)之正常運作,同時維持對各項財務及業務風險之妥善管理。
- (二)若評估海外資訊系統因天然災害致無法於短期內恢復提供服務,銀行應確保於事件發生後七日內,透過啟動備援系統、安裝(臨時)資訊主機或其他方式,恢復在我國包含授信在內之主要業務正常運作。
- 三、日常監督機制之計畫書,其內容應包括:
- (一)設立資訊委託境外專責監督管理單位或委員會,參與人員包括法規遵循、內部稽核、作業風險管理及資訊管理監督人員,以有效執行日常監督。
- (二)日常委外作業機制,包括客戶資料存取情形、系統權限設定及非例行性作業等檢核項目,計畫應詳述管理作業內容、方式、流程及缺失處理機制。
- 四、報經董事會通過之成本效益與集團內費用分攤合理性之評估報告。
- 6前項所稱資格條件係指符合下列規定之本國銀行:
- 一、最近一年內無因違反金融相關法令,受主管機關處分之情事,或有違反法令情事已具體改善,並經主管機關認可。
- 二、申請前一年底經主管機關或中央銀行糾正之缺失,均已切實改善。
- 三、最近一年內無重大資安事故未改善之情事。
- 7本國銀行於本辦法修正施行前,已將消費金融業務相關資訊系統之資料登錄、處理、輸出等事項委託至境外辦理者,應自本辦法修正施行後一年內依前二項規定向本會提出申請。
- 8本國銀行於前項期間內依本條第五項及第六項規定提出申請,經本會審查後予以否准者,應自前項期間屆滿後二年內,將消費金融業務相關資訊系統之資料登錄、處理、輸出等事項移回境內辦理。
第 19 條
- 1金融機構將作業項目委託至境外處理者,應依下列規定辦理:
- 一、金融機構應充分瞭解及掌握受委託機構對客戶資訊之使用、處理及控管情形。
- 二、金融機構提供予受委託機構之客戶資訊僅限與受託事項直接相關之必要資訊。
- 三、金融機構應要求受委託機構確實遵守以下事項:
- (一)金融機構之客戶資訊僅限由受委託機構之獲授權人員於受託事項範圍內使用及處理。
- (二)金融機構之客戶資訊應與受委託機構及其處理他機構之資料有明確區隔。
- (三)受託機構處理之金融機構客戶資訊應能及時提供予主管機關及金融機構。
- 四、金融機構應定期及不定期就受委託機構對客戶資訊之使用、處理及控管情形進行查核及監督;相關查核得委由外部稽核辦理,外國銀行在臺分行得交由總行或經總行授權之區域總部稽核單位辦理,相關單位並應提供相關查核報告予該外國銀行在臺分行。
- 2外國銀行在臺分行因內部分工將作業交由總行或國外分支機構處理者,應依前項規定辦理。
- 3本國銀行將消費金融業務相關資訊系統之資料登錄、處理、輸出等事項委託至境外辦理者,除應符合第一項第一款至第三款規定外,並應依下列規定辦理:
- 一、本國銀行應就受委託機構對客戶資訊之使用、處理及控管情形確認符合我國個人資料保護法相關規定,留存完整稽核紀錄,並列為重點查核項目。
- 二、本國銀行應定期評估成本效益與集團內費用分攤之合理性並報董事會通過。
- 三、本國銀行對資訊系統之安全檢測應不低於主管機關或銀行公會之規範。
- 四、本國銀行每年至少應辦理一次一般性查核及一次專案查核。前述查核之執行得委託具資訊專業之獨立第三人辦理。
- 五、本國銀行應於每年年度終了前將當年度辦理跨境委外查核報告提董事會報告後函報本會。
- 六、本國銀行於海外資訊系統發生無法提供服務情事,致客戶權益受損或影響機構健全經營時,應儘速通報中央銀行、中央存款保險公司及本會,並應於一週內函報詳細資料或後續處理情形。
- 七、本國銀行海外資訊系統發生系統中斷致銀行有無法以任何方式提供客戶辦理存款、提款及支付往來業務(國內跨行通匯業務、國內匯兌業務)服務之情事,每年累積不得超過四小時。
- 4本國銀行將消費金融業務相關資訊系統之資料登錄、處理、輸出等事項委託至境外辦理者,受委託機構如有服務中斷事件、或違反第一項第三款規定或違反其他法令之情形時,主管機關得視情節輕重,通知本國銀行依契約規定終止委託、要求其限期改善,或暫停委託直至受委託機構確認改善為止。本國銀行並應於契約中載明受委託機構應配合委託機構之要求執行系統遷移之相關事項,及受委託機構服務中斷之賠償責任。
第 19-1 條
金融機構將作業委託他人處理涉及使用雲端服務,應依下列規定辦理:
- 一、金融機構應確保作業風險控管,充分評估受託機構處理之風險,採取適當風險管控措施,確保作業委外處理之品質,並應注意作業委託雲端服務業者之適度分散。
- 二、金融機構對雲端服務業者負有最終監督義務,並應具有專業技術及資源監督雲端服務業者執行受託作業,並得視需要委託專業第三人以輔助其監督作業。
- 三、金融機構應確保其本身、主管機關及中央銀行,或其指定之人能取得雲端服務業者執行受託作業之相關資訊,包括客戶資訊及相關系統之查核報告,及實地查核權力。
- 四、金融機構得自行委託,或與委託同一雲端服務業者之其他金融機構聯合委託具資訊專業之獨立第三人查核,並應符合下列規定:
- (一)確認其查核範圍涵蓋雲端服務業者受託處理作業相關之重要系統及控制環節。
- (二)應評估第三人之適格性,以及其所出具查核報告內容之妥適性並符合相關國際資訊安全標準。
- (三)應針對金融機構所委託作業範圍進行查核並出具報告。
- 五、金融機構傳輸及儲存客戶資料至雲端服務業者,應採行客戶資料加密或代碼化等有效保護措施,並應訂定妥適之加密金鑰管理機制。
- 六、對委託雲端服務業者處理之資料應保有完整所有權,除執行受託作業外,金融機構應確保雲端服務業者不得有存取客戶資料之權限,並不得為委託範圍以外之利用。
- 七、委託雲端服務業者處理之客戶資料及其儲存地以位於我國境內為原則,如位於境外,應依下列規定辦理:
- (一)金融機構須保有其指定資料處理及儲存地之權力。
- (二)境外當地資料保護法規不得低於我國要求。
- (三)除經主管機關核准者外,客戶重要資料應在我國留存備份。
- 八、金融機構應訂定妥適之緊急應變計畫,降低因作業委託而可能有服務中斷之風險。金融機構終止或結束作業委託,應確保能順利移轉至另一雲端服務業者或移回自行處理,並確保原受託雲端服務業者留存資料全數刪除或銷毀,並留存刪除或銷毀之紀錄。
第 19-2 條
- 1金融機構將作業委託他人處理涉及使用雲端服務,具重大性或依第十八條將作業委託至境外者,應檢具下列書件向主管機關申請核准始得辦理:
- 一、依第四條第二項訂定之委外內部作業規範。
- 二、董(理)事會決議之議事錄。但外國銀行在臺分行得由經總行授權人員出具同意書為之。
- 三、法規遵循聲明書。
- 四、作業委託雲端服務業者處理之必要性及適法性分析,其中應包括對雲端服務業者遵守我國客戶資料保護相關規定之評估。
- 五、作業委外計畫書,其內容應包括:
- (一)風險評估及管理機制:
- 21.應對雲端服務業者進行審查以確保提供作業之可靠性、遵法性,包括對業務持續性、替代性及集中性之分析。
- 32.應具專業技術及資源監督雲端服務業者執行受託作業之說明。
- (二)資訊安全及管理:
- 41.金融機構對於客戶資料之加密或代碼化、金鑰保管、資料傳輸及區隔,以及資料所有權說明。
- 52.資料儲存地之管理政策,包括資料處理及儲存於境外時,有關當地法律、政治、經濟安定性評估說明,資料備份及得隨時存取資料之說明。
- (三)金融機構、主管機關及中央銀行,或其指定之人取得雲端服務業者處理受託作業資訊之範圍及方式,包括取得客戶資訊及相關系統之查核報告,及確保實地查核權力之說明。
- (四)緊急應變計畫及退場機制,包括金融機構具有充分資源應變及退場之說明。
- 6前項所稱具重大性之作業,係指下列情形之一:
- 一、受託作業如無法提供服務或有資訊安全疑慮,對金融機構之業務營運有重大影響者。
- 二、受託作業涉及客戶資料安全事件,對金融機構或客戶權益有重大影響者。
- 三、其他對金融機構或客戶權益有重大影響者。
- 7金融機構將作業委託他人處理涉及使用雲端服務,不屬第一項具重大性或依第十八條將作業委託至境外者,應檢具第一項第三款至第五款之書件,報經主管機關備查。
- 8外國銀行在臺分行及在臺子銀行作業委託總行、母行或所屬集團之分支機構及子公司,複委託雲端服務業者處理,應檢具第一項作業委外計畫書,併同第十八條規定書件向主管機關申請核准,並應依下列規定辦理:
- 一、總行、母行或所屬集團之分支機構及子公司所在地主管機關對作業委託雲端服務業者處理之監理規範不低於我國規定。
- 二、作業委外計畫書內容,得由其總行、母行或所屬集團之分支機構及子公司出具相當性之說明文件代之。