圖片來源: 

攝影 / 李靜宜

金融業導入雲端服務的相關規範有新進展,金管會主委顧立雄今天(6/27)宣布,已擬具「金融機構作業委託他人處理內部作業制度及程序辦法」(委外辦法)部分條文修正草案,將依照行政程序法規定於近日預告,徵求各方意見。

為了讓金融機構能適當運用雲端科技,同時能兼顧消費者權益保護,金管會參考了各國對金融機構作業委託雲端業者處理應該遵循的規範,決定以循序漸進開放原則,擬具委外辦法修正草案。

為此,金管會於今年接連召開了二次公聽會,邀集央行、中華民國銀行商業同業公會全國聯合會、有限責任中華民國信用合作社聯合社、6家科技業者、20家金融業者,以及相關公協會代表,討論修正草案內容。

金管會釋出的修正條文中提到,金融機構作業委外,如果涉及客戶資訊,應於契約簽訂時訂定告知客戶的條款,未訂有告知條款的金融機構,得書面通知客戶委外事項,並依「個人資料保護法」規定辦理。

金融業者委外作業涉及雲端服務,得遵循八大項規定

而金融機構將作業委託他人處理,涉及使用雲端服務時,要遵循八大項規定。第一項,金融機構應確保作業風險控管,評估受託機構處理的風險,採取適當風險管控措施。

第二項,金融機構要對雲端服務業者負有最終監督義務,並具有專業技術與資源去監督雲端服務業者執行受託作業,並視情況需要委託專業第三人輔助監督作業。

第三項,金融機構應確保本身、主管機關及中央銀行,或其指定的人能取得雲端服務業者執行受託作業的相關資訊,包括客戶資訊及相關系統的查核報告,以及實地查核權力。

第四項,金融機構得自行委託,或是與其他委外同一家雲端服務業者的金融機構,聯合委託具備資訊專業的獨立第三人查核。

第五項,金融機構傳輸及儲存客戶資料到雲端服務業者,應採行客戶資料加密或代碼化等有效保護措施,並應訂定加密金鑰管理機制。

第六項,對委外處理的資料應保有完整所有權,金融機構得確保,雲端服務業者除了執行受託作業之外,不得有存取客戶資料的權限,且不可在委託範圍以外利用。

第七項,金融機構也應訂定緊急應變計畫,降低因作業委託而可能有服務中斷的風險。當金融機構終止或結束作業委託時,要確保能順利移轉至另一雲端服務業者,或者是移回自行處理,並且確保原受託雲端服務業者留存資料全數刪除或銷毀,還要留存刪除或銷毀記錄。

最後一項,則是關於資料儲存於境外或境內。顧立雄強調,委託雲端服務業者處理的客戶資料以及資料儲存地,要以我國境內為原則。若是資料儲存地位於境外,得遵守三項規定辦理。

一是,金融機構需保有指定資料處理及儲存地的權利。二是,境外當地資料保護法規不得低於我國要求。三則是,除了經過金管會核准者之外,客戶重要資料應該要在我國留存備份。

重大性委外作業或是將作業委託到境外,都得事先向金管會申請核准

顧立雄表示,金管會將依照雲端作業委外的重大性與否,區分為「核准制」以及「備查制」。他指出,具有重大性的委外作業,或是要將作業委託到境外的金融業者,都得採取申請核准制,事先向金管會提出申請。而不是屬於此範圍的委外作業,則是採取備查制。

所謂具有重大性的作業,顧立雄解釋,金管會的規範是,受託作業一旦沒有辦法提供服務,則會有資訊安全疑慮,對金融機構的業務營運有重大影響。或是受託作業涉及客戶資料安全事件,對金融機構或客戶權益有重大影響。

顧立雄也提到,外國銀行放在境外的需求較多,所以外銀在臺分行,以及在臺子銀行作業委託總行、母行或所屬集團的分支機構及子公司,委託雲端服務業者處理,也得採取核准制。

而金融機構向金管會申請時,所需檢具的相關書件中的作業委外計畫書,內容包括了風險評估及管理機制、資訊安全及管理、取得客戶資訊與相關系統查核報告以及確保實地查核權力、緊急應變及退場機制等,金融機構都得進行說明。

更多新聞分析:「銀行開放上雲端的衝擊不只金融圈,而是將臺灣雲端產業做大了」

延伸閱讀 :銀行資料上雲端哪些新規定?實地查核怎麼做?金管會雲端委外8大重點一次看


Advertisement

更多 iThome相關內容