银行资料上云端金管会准了符合条件境外公云也能用

图片来源:

摄影 / 李静宜

金融业导入云端服务的相关规範有新进展，金管会主委顾立雄今天（6/27）宣布，已拟具「金融机构作业委託他人处理内部作业制度及程序办法」（委外办法）部分条文修正草案，将依照行政程序法规定于近日预告，徵求各方意见。

为了让金融机构能适当运用云端科技，同时能兼顾消费者权益保护，金管会参考了各国对金融机构作业委託云端业者处理应该遵循的规範，决定以循序渐进开放原则，拟具委外办法修正草案。

为此，金管会于今年接连召开了二次公听会，邀集央行、中华民国银行商业同业公会全国联合会、有限责任中华民国信用合作社联合社、6家科技业者、20家金融业者，以及相关公协会代表，讨论修正草案内容。

金管会释出的修正条文中提到，金融机构作业委外，如果涉及客户资讯，应于契约签订时订定告知客户的条款，未订有告知条款的金融机构，得书面通知客户委外事项，并依「个人资料保护法」规定办理。

金融业者委外作业涉及云端服务，得遵循八大项规定

而金融机构将作业委託他人处理，涉及使用云端服务时，要遵循八大项规定。第一项，金融机构应确保作业风险控管，评估受託机构处理的风险，採取适当风险管控措施。

第二项，金融机构要对云端服务业者负有最终监督义务，并具有专业技术与资源去监督云端服务业者执行受託作业，并视情况需要委託专业第三人辅助监督作业。

第三项，金融机构应确保本身、主管机关及中央银行，或其指定的人能取得云端服务业者执行受託作业的相关资讯，包括客户资讯及相关系统的查核报告，以及实地查核权力。

第四项，金融机构得自行委託，或是与其他委外同一家云端服务业者的金融机构，联合委託具备资讯专业的独立第三人查核。

第五项，金融机构传输及储存客户资料到云端服务业者，应採行客户资料加密或代码化等有效保护措施，并应订定加密金钥管理机制。

第六项，对委外处理的资料应保有完整所有权，金融机构得确保，云端服务业者除了执行受託作业之外，不得有存取客户资料的权限，且不可在委託範围以外利用。

第七项，金融机构也应订定紧急应变计画，降低因作业委託而可能有服务中断的风险。当金融机构终止或结束作业委託时，要确保能顺利移转至另一云端服务业者，或者是移回自行处理，并且确保原受託云端服务业者留存资料全数删除或销毁，还要留存删除或销毁记录。

最后一项，则是关于资料储存于境外或境内。顾立雄强调，委託云端服务业者处理的客户资料以及资料储存地，要以我国境内为原则。若是资料储存地位于境外，得遵守三项规定办理。

一是，金融机构需保有指定资料处理及储存地的权利。二是，境外当地资料保护法规不得低于我国要求。三则是，除了经过金管会核准者之外，客户重要资料应该要在我国留存备份。

重大性委外作业或是将作业委託到境外，都得事先向金管会申请核准

顾立雄表示，金管会将依照云端作业委外的重大性与否，区分为「核准制」以及「备查制」。他指出，具有重大性的委外作业，或是要将作业委託到境外的金融业者，都得採取申请核准制，事先向金管会提出申请。而不是属于此範围的委外作业，则是採取备查制。

所谓具有重大性的作业，顾立雄解释，金管会的规範是，受託作业一旦没有办法提供服务，则会有资讯安全疑虑，对金融机构的业务营运有重大影响。或是受託作业涉及客户资料安全事件，对金融机构或客户权益有重大影响。

顾立雄也提到，外国银行放在境外的需求较多，所以外银在台分行，以及在台子银行作业委託总行、母行或所属集团的分支机构及子公司，委託云端服务业者处理，也得採取核准制。

而金融机构向金管会申请时，所需检具的相关书件中的作业委外计画书，内容包括了风险评估及管理机制、资讯安全及管理、取得客户资讯与相关系统查核报告以及确保实地查核权力、紧急应变及退场机制等，金融机构都得进行说明。

更多新闻分析：「银行开放上云端的冲击不只金融圈，而是将台湾云端产业做大了」延伸阅读 ：银行资料上云端哪些新规定？实地查核怎么做？金管会云端委外8大重点一次看