2012-02-08
為保障民眾個資的安全及強化對金融機構作業跨境委外之規範,金管會於101年1月19日第390次委員會議決議通過修正「金融機構作業委託他人處理內部作業制度及程序辦法」(Regulations Governing Internal Operating Systems and Procedures for the Outsourcing of Financial Institution Operation),於發布實施後,本國銀行即不得將消費金融業務相關資訊系統的資料登錄、處理、輸出等事項委託至境外辦理。換言之,修正後本國銀行的消費金融資訊系統不得在境外設置,若有不符合規定者,應自修正施行後4年內調整至符合規定。
金管會表示,考量客戶的消費金融相關資訊系統若都建置在境外,在管理上有缺漏而致造成資訊洩漏時,監督上會有困難。此舉將對外國銀行在臺灣成立之子銀行造成較大的影響,因其客戶群之消費金融相關資訊將不得再委託境外公司處理,而須自行或委由國內相關公司處裡。
金管會本次修訂之金融機構作業委託他人處理內部作業制度及程序辦法第18條之內容如下,有下底線者為本次修定之部分。
金融機構作業委託他人處理內部作業制度及程序辦法第18條
金融機構應檢具下列書件向主管機關申請核准後,始得將作業項目委託至境外處理:
一、受託地金融主管機關書面確認文件,其內容應包括:
(一)該主管機關知悉並同意受委託機構執行受託事項。
(二)該主管機關同意我國主管機關得要求受委託機構提供受託事項相關資料。
(三)該主管機關允許我國主管機關及委託之金融機構得對受託事項進行必要之查核。
(四)該主管機關如有必要對受託事項進行查核,應事先通知我國主管機關。
(五)該主管機關承諾非經我國主管機關同意不得取得我國客戶資料。
二、依第四條第二項訂定之委外內部作業規範。
三、董(理)事會決議錄。但外國銀行在台分行得由經總行授權人員出具同意書為之。
四、委外對營運之必要性及適法性分析,其中應包含對受委託機構遵守我國客戶資料保護相關規定之評估。
五、客戶資訊保護措施及是否已取得客戶同意,以確保委外服務品質及客戶權益之說明。
六、外國銀行在台分行應取得總行出具有關資料取用、安全控管及配合我國監理要求之承諾書。
金融機構如無法取得前項第一款受託地金融主管機關之書面確認文件者,應檢附下列書件:
一、受委託機構出具之同意函,同意必要時得由金融機構指定之人,對受託事項進行查核。上開指定之人亦得由我國主管機關指派之,其費用由金融機構負擔。
二、對受委託機構之內部控制制度及相關作業程序之審查情形。
三、律師出具受託地對客戶資訊之保護相當於我國之意見書。
四、受委託機構最近期之經會計師查核簽證之財務報告。
五、受委託機構出具近三年內未發生人員舞弊及資通安全事件之聲明書。
外國銀行在台分行因內部分工將作業交由總行或國外分支機構處理者,應依前二項規定申請核准。
本國銀行不得將消費金融業務相關資訊系統之資料登錄、處理、輸出等事項委託至境外辦理。
本國銀行於本辦法修正施行前,不符前項規定者,應自本辦法修正施行後四年內調整至符合規定。