金融機構作業委託他人處理內部作業制度及程序辦法（以下稱本辦法）

1

金融機構作業委託他人處理內部作業制度及程序辦 法部分條文修正總說明

金融機構作業委託他人處理內部作業制度及程序辦法（以下稱本辦法）

依據銀行法第四十五條之一第三項及信用合作社法第二十一條第四項規定 於九十五年九月十八日發布施行，業歷經二次修正。

本次修正係為因應金融科技發展趨勢，適當導入雲端服務可改善金融 機構作業處理效率及系統建置彈性，有助於金融機構經營效率之提升及節 省成本，惟相關資訊安全及風險管理等須審慎因應。各國金融主管機關已 陸續同意作業委託雲端服務業者處理，得視為銀行現行作業委外項目之一，

並依據現行委外規定予以監督管理，金融機構除應遵循委外規定外，並應 視雲端處理之特性，審慎規劃相關風險評估及管理機制、強化資料安全之 控管、緊急應變及退場機制，以維持金融機構持續提供服務之能力。

鑒於客戶權益保障之重要性及審慎監理考量，金融機構應確實評估作 業委外各項風險並能有效控管，始得循序漸進將作業委託雲端服務業者處 理，爰經參考各國作法，擬具本辦法部分條文修正案，以提升金融機構之 服務品質並強化對客戶權益之保障。

此外，為使金融控股公司或銀行投資設立具控制力之資產管理公司得 接受其母公司委託辦理應收債權催收作業，增訂金融機構百分百持股或具 控制力之資產管理公司得為受委託機構之一。

本次計修正五條，新增二條，修正重點如下：

一、刪除以默示方式取得客戶同意之相關規定，以及配合「電腦處理個人 資料保護法」之名稱修正，修正相關規定。（修正條文第七條、第二 十一條）

二、增訂金融機構直接或間接百分百持股之資產管理公司得為接受其母公 司委託辦理應收債權催收作業之受託機構。（修正條文第十三條）

三、增訂金融機構將作業委託他人處理涉及使用雲端服務之應遵循規定。

（新增條文第十九條之一）

2

四、增訂金融機構將作業委託他人處理涉及使用雲端服務，依重大性區分 為核准制、備查制及應檢附之書件，以及重大性之認定標準。（新增 條文第十九條之二）

五、第十二條及第十九條酌作文字修正。

3

金融機構作業委託他人處理內部作業制度及程序辦 法部分修正條文對照表

修正條文 現行條文 說 明 第七條 第四條第二項第三

款規定金融機構作業委 外，應就客戶權益保障訂 定內部作業及程序，其內 容應包括：

一 、 如 涉 及 客 戶 資 訊 者，應於契約簽訂 時訂定告知客戶之 條款；其未訂有告 知條款者，金融機 構應書面通知客戶 委外事項，並應依 個人資料保護法之 規定辦理。

二、客戶資訊提供之條 件範圍及其移轉之 程序方法。

三 、 對 受 委 託 機 構 使 用、處理、控管前 款客戶資訊之監督 方法。

四、訂定客戶糾紛處理 程序及時限，並設 置協調處理單位，

受理客戶之申訴。

五、其他客戶權益保障 之必要措施。

金融機構作業委外 如因受委託機構或其受 僱人員之故意或過失致 客戶權益受損，仍應對 客戶依法負同一責任。

第七條 第四條第二項第三 款規定金融機構作業委 外，應就客戶權益保障訂 定內部作業及程序，其內 容應包括：

一、作業委外如涉及客 戶資訊者，應於契 約簽訂時訂定告知 客戶之條款；其未 訂有告知條款者，

金融機構應書面通 知客戶委外事項，

並明定客戶於接獲 金融機構通知未於 一定合理期間以書 面表示反對者，視 為同意。但電腦處 理個人資料保護法 另有規定者，從其 規定。

二、客戶資訊提供之條 件範圍及其移轉之 程序方法。

三 、 對 受 委 託 機 構 使 用、處理、控管前 款客戶資訊之監督 方法。

四、金融機構作業委外 應訂定客戶糾紛處 理程序及時限，並 設 置 協 調 處 理 單 位，受理客戶之申 訴。

五、其他客戶權益保障 之必要措施。

一、現行第一項第一款係規定 委外事項 應告知 客戶及 取得客戶同意之作法，鑒 於「個人資料保護法」第 七條業明 定取得 客戶同 意之方式 ， 爰刪除 「客 戶…未於一定合理期間 以書面表示反對者，視為 同意」之規定，並修正為 應依個人 資料保 護法之 規定辦理。

二、酌作文字修正。

4

金融機構作業委外 如因受委託機構或其受 僱人員之故意或過失致 客戶權益受損，仍應對 客戶依法負同一責任。

第十二條 金融機構申請 應收債權催收作業之委 外，應檢具下列文件向 主管機關申請核准：

一、依第四條第二項訂 定之委外內部作業 規範。

二、董（理）事會決議 之議事錄。但外國銀 行在臺分行得由經 總行授權人員出具 同意書為之。

三、法規遵循聲明書。

四、受委託機構資格條 件審核表。

金融機構經核准辦 理本條作業委外後，如有 新增受委託機構，應檢具 前項第三款及第四款文 件，向主管機關申請核 准。

金融機構所委託之 催收程序行為樣態、通知 書函等應依中華民國銀 行商業同業公會全國聯 合會(下稱銀行公會)範 本制定，該通知書函範本 並應經律師審閱無違反 本辦法及其他相關法令 之虞後，送主管機關備 查。

第十二條 金融機構申請 應收債權催收作業之委 外，應檢具下列文件向 主管機關申請核准：

一、依第四條第二項訂定 之 委 外 內 部 作 業 規 範。

二、董（理）事會決議之 議事錄。但外國銀行 在台分行得由經總行 授權人員出具同意書 為之。

三、法規遵循聲明書。

四、受委託機構資格條 件審核表。

金 融 機 構 經 核 准 辦 理本條作業委外後，如有 新增受委託機構，應檢具 前項第 三 款及第 四 款 文 件，向 主 管機關 申 請 核 准。

金 融 機 構 所 委 託 之 催收程序行為樣態、通知 書函等應依中華民國銀 行商業同業公會全國聯 合會範本制定，該通知書 函範本並應經律師審閱 無違反本辦法及其他相 關法令之虞後，送主管機 關備查。

酌作文字修正。

第十三條 金融機構申請 應收債權催收作業之委 外，應事先確認受委託

第十三條 金融機構申請 應收債權催收作業之委 外，應事先確認受委託

一、為使金融控股公司或銀行 投 資 設 立 具 控 制 力 之 資 產 管 理 公 司 得 接 受 其 母

5

機 構 具 備 下 列 資 格 條 件：

一、受委託機構應為下 列其中之一：

(一)依公司法或商業 登記法辦理登記 並取得主管機關 核發載有辦理金 融機構金錢債權 管理服務業務之 公司登記證明文 件或商業登記證 明文件之公司。

(二)所屬金融控股公 司或該銀行直接 或間接百分之百 持股，依金控公 司(銀行)轉投資 資產管理公司營 運原則第二點第 一款規定，接受 母公司委託辦理 應收債權催收之 資產管理公司。

(三)依法設立之律師 事務所。

(四)依法設立之會計 師事務所。

二、受委託機構虧損未 達實收資本額三分 之一者。但虧損超 過實收資本額三分 之一，如已依相關 規定完成增資程序 者，不在此限。

三、受委託機構之催收 人員應完成銀行公 會或其認可之機構 舉辦有關催收專業

機 構 具 備 下 列 資 格 條 件：

一、受委託機構應為下 列其中之一：

(一)依公司法或商業 登記法辦理登記 並取得主管機關 核發載有辦理金 融機構金錢債權 管理服務業務之 公司登記證明文 件或商業登記證 明文件之公司。

(二)依法設立之律師 事務所。

(三)依法設立之會計 師事務所。

二、受委託機構虧損未 達實收資本額三分 之一者。但虧損超 過實收資本額三分 之一，如已依相關 規定完成增資程序 者，不在此限。

三、受委託機構之催收 人員應完成中華民 國銀行商業同業公 會全國聯合會或其 認可之機構舉辦有 關催收專業訓練課 程或測驗並領有合 格證書者，且無下 列 情 事 之 一 之 人 員：

(一)曾犯刑法、組織 犯罪防制條例、

檢肅流氓條例、

槍砲彈藥刀械管 制條例等所定相

公 司 委 託 辦 理 金 錢 債 權 管理服務業務，於第一款 增列第二目規定，放寬受 委 託 機 構 應 具 備 之 資 格 條件，增訂金融機構百分 百 持 股 或 具 控 制 力 之 資 產 管 理 公 司 為 金 融 機 構 受 委 託 應 收 債 權 作 業 之 資格條件之一。

二、依「金控公司(銀行)轉投 資 資 產 管 理 公 司 營 運 原 則」(下稱營運原則)等規 定，金融機構百分百持股 或 具 控 制 力 之 資 產 管 理 公司(下稱 AMC)，其相關 治理、內部控制、人員管 理及財務狀況，均受母公 司 ( 金 融 控 股 公 司 或 銀 行)高度管理及監督。復 依 營 運 原 則 第 二 點 第 一 款 規 定 ， 金 融 控 股 公 司 (銀行)轉投資之 AMC 得從 事 與 不 良 債 權 相 關 之 業 務，包含接受委託辦理應 收債權之催收等業務，亦 即 該 營 運 原 則 未 禁 止 或 限制 AMC 接受母公司委託 辦 理 應 收 債 權 催 收 等 業 務，爰增列本條第一款第 二目規定，同意金融機構 得 將 應 收 債 權 催 收 作 業 委 託 其 本 身 或 所 屬 金 融 控 股 公 司 百 分 之 百 持 股 或具控制力之 AMC 處理。

三、現行條文第一款第二目及 第 三 目 規 定 配 合 第 二 目 之 增 訂 移 列 至 第 三 目 及 第四目規定。

6

訓練課程或測驗並 領有合格證書者，

且無下列情事之一 之人員：

(一)曾犯刑法、組織 犯罪防制條例、

檢肅流氓條例、

槍砲彈藥刀械管 制條例等所定相 關暴力犯罪，經 判刑確定或通緝 有 案 尚 未 結 案 者。

(二)受破產之宣告尚 未復權者。

(三)使用票據經拒絕 往來尚未恢復往 來或有其他債信 不良紀錄尚未了 結者。

(四)無行為能力、限 制行為能力或受 輔助宣告尚未撤 銷者。

(五）違反本辦法而離 職，並經金融機 構報送財團法人 金融聯合徵信中 心登錄者。

四、受委託機構之催收 人員未完成銀行公 會或其認可之機構 舉辦有關催收專業 訓練課程或測驗並 領有合格證書者，

應於任職後兩個月 內補正。

五、受委託機構之負責 人應無銀行負責人

關暴力犯罪，經 判刑確定或通緝 有 案 尚 未 結 案 者。

(二)受破產之宣告尚 未復權者。

(三)使用票據經拒絕 往來尚未恢復往 來或有其他債信 不良紀錄尚未了 結者。

(四)無行為能力、限 制行為能力或受 輔助宣告尚未撤 銷者。

(五)違反本辦法而離 職，並經金融機 構報送財團法人 金融聯合徵信中 心登錄者。

四、受委託機構之催收 人員未完成中華民 國銀行商業同業公 會全國聯合會或其 認可之機構舉辦有 關催收專業訓練課 程或測驗並領有合 格證書者，應於任 職 後 兩 個 月 內 補 正。

五、受委託機構之負責 人應無銀行負責人 應具備資格條件準 則第三條第一項除 第十三款外之各款 所述情形，並出具 相關之聲明書。

六、受委託機構具有為 承辦受託事務所需

7

應具備資格條件準 則第三條第一項除 第十三款外之各款 所述情形，並出具 相關之聲明書。

六、受委託機構具有為 承辦受託事務所需 之完備電腦作業處 理設備，相關作業 人員之電話須裝設 錄音系統，錄音系 統須與電腦系統配 合 可 即 時 調 閱 錄 音，以供稽核或遇 爭議時查證之用，

需所有電話暨外訪 時均予以錄音並製 作備份且至少保存 六個月以上，其錄 音紀錄不得有刪除 或竄改之情形。

之完備電腦作業處 理設備，相關作業 人員之電話須裝設 錄音系統，錄音系 統須與電腦系統配 合 可 即 時 調 閱 錄 音，以供稽核或遇 爭議時查證之用，

需所有電話暨外訪 時均予以錄音並製 作備份且至少保存 六個月以上，其錄 音紀錄不得有刪除 或竄改之情形。

第十九條 金融機構將作 業項目委託至境外處理 者，應依下列規定辦理：

一、金融機構應充分瞭解 及 掌 握 受 委 託 機 構 對 客 戶 資 訊 之 使 用 、 處 理 及 控 管 情 形。

二、金融機構提供予受委 託 機 構 之 客 戶 資 訊 僅 限 與 受 託 事 項 直 接相關之必要資訊。

三、金融機構應要求受委 託 機 構 確 實 遵 守 以 下事項：

（一）金融機構之客 戶資訊僅限由受 委託機構之獲授

第十九條 金融機構將作 業項目委託至境外處理 者，應依下列規定辦理：

一、金融機構應充分瞭解 及 掌 握 受 委 託 機 構 對 客 戶 資 訊 之 使 用 、 處 理 及 控 管 情 形。

二、金融機構提供予受委 託 機 構 之 客 戶 資 訊 僅 限 與 受 託 事 項 直 接相關之必要資訊。

三、金融機構應要求受委 託 機 構 確 實 遵 守 以 下事項：

（一）金融機構之客 戶資訊僅限由受 委託機構之獲授

酌作文字修正。

8

權人員於受託事 項範圍內使用及 處理。

(二)金融機構之客戶 資訊應與受委託 機構及其處理他 機構之資料有明 確區隔。

(三)受託機構處理之 金融機構客戶資 訊應能及時提供 予主管機關及金 融機構。

四、金融機構應定期及不 定 期 就 受 委 託 機 構 對 客 戶 資 訊 之 使 用、處理及控管情形 進行查核及監督；相 關 查 核 得 委 由 外 部 稽核辦理，外國銀行 在 臺 分 行 得 交 由 總 行 或 經 總 行 授 權 之 區 域 總 部 稽 核 單 位 辦理，相關單位並應 提 供 相 關 查 核 報 告 予 該 外 國 銀 行 在 臺 分行。

外 國 銀 行 在 臺 分 行 因內部分工將作業交由 總行或國外分支機構處 理者，應依前項規定辦 理。

本 國 銀 行 將 消 費 金 融業務相關資訊系統之 資料登錄、處理、輸出等 事 項 委 託 至 境 外 辦 理 者，除應符合第一項第一 款至第三款規定外，並應 依下列規定辦理：

權人員於受託事 項範圍內使用及 處理。

(二)金融機構之客戶 資訊應與受委託 機構及其處理他 機構之資料有明 確區隔。

(三)受託機構處理之 金融機構客戶資 訊應能及時提供 予主管機關及金 融機構。

四、金融機構應定期及不 定 期 就 受 委 託 機 構 對 客 戶 資 訊 之 使 用、處理及控管情形 進行查核及監督；相 關 查 核 得 委 由 外 部 稽核辦理，外國銀行 在 台 分 行 得 交 由 總 行 或 經 總 行 授 權 之 區 域 總 部 稽 核 單 位 辦理，相關單位並應 提 供 相 關 查 核 報 告 予 該 外 國 銀 行 在 台 分行。

外 國 銀 行 在 台 分 行 因內部分工將作業交由 總行或國外分支機構處 理者，應依前項規定辦 理。

本 國 銀 行 將 消 費 金 融業務相關資訊系統之 資料登錄、處理、輸出等 事 項 委 託 至 境 外 辦 理 者，除應符合第一項第一 款至第三款規定外，並應 依下列規定辦理：

9

一、本國銀行應就受委託 機 構 對 客 戶 資 訊 之 使用、處理及控管情 形 確 認 符 合 我 國 個 人 資 料 保 護 法 相 關 規定，留存完整稽核 紀錄，並列為重點查 核項目。

二、本國銀行應定期評估 成 本 效 益 與 集 團 內 費 用 分 攤 之 合 理 性 並報董事會通過。

三、本國銀行對資訊系統 之 安 全 檢 測 應 不 低 於 主 管 機 關 或 銀 行 公會之規範。

四、本國銀行每年至少應 辦 理 一 次 一 般 性 查 核 及 一 次 專 案 查 核。前述查核之執行 得 委 託 具 資 訊 專 業 之獨立第三人辦理。

五、本國銀行應於每年年 度 終 了 前 將 當 年 度 辦 理 跨 境 委 外 查 核 報 告 提 董 事 會 報 告 後函報本會。

六、本國銀行於海外資訊 系 統 發 生 無 法 提 供 服務情事，致客戶權 益 受 損 或 影 響 機 構 健全經營時，應儘速 通報中央銀行、中央 存 款 保 險 公 司 及 本 會，並應於一週內函 報 詳 細 資 料 或 後 續 處理情形。

七、本國銀行海外資訊系 統 發 生 系 統 中 斷 致

一、本國銀行應就受委託 機構對客戶資訊之使 用、處理及控管情形 確認符合我國個人資 料保護法相關規定，

留存完整稽核紀錄，

並 列 為 重 點 查 核 項 目。

二、本國銀行應定期評估 成本效益與集團內費 用分攤之合理性並報 董事會通過。

三、本國銀行對資訊系統 之安全檢測應不低於 主管機關或中華民國 銀行商業同業公會全 國聯合會之規範。

四、本國銀行每年至少應 辦理一次一般性查核 及一次專案查核。前 述查核之執行得委託 具資訊專業之獨立第 三人辦理。

五、本國銀行應於每年年 度終了前將當年度辦 理跨境委外查核報告 提董事會報告後函報 本會。

六、本國銀行於海外資訊 系統發生無法提供服 務情事，致客戶權益 受損或影響機構健全 經營時，應儘速通報 中央銀行、中央存款 保 險 公 司 及 本 會，並應於一週內函 報詳細資料或後續處 理情形。

七、本國銀行海外資訊系

10

銀 行 有 無 法 以 任 何 方 式 提 供 客 戶 辦 理 存款、提款及支付往 來業務（國內跨行通 匯業務、國內匯兌業 務）服務之情事，每

年 累 積 不 得 超 過 四 小時。

本 國 銀 行 將 消 費 金 融業務相關資訊系統之 資料登錄、處理、輸出等 事 項 委 託 至 境 外 辦 理 者，受委託機構如有服務 中斷事件、或違反第一項 第三款規定或違反其他 法令之情形時，主管機關 得視情節輕重，通知本國 銀行依契約規定終止委 託、要求其限期改善，或 暫停委託直至受委託機 構確認改善為止。本國銀 行並應於契約中載明受 委託機構應配合委託機 構之要求執行系統遷移 之相關事項，及受委託機 構服務中斷之賠償責任。

統發生系統中斷致銀 行有無法以任何方式 提供客戶辦理存款、

提款及支付往來業務

（ 國 內 跨 行 通 匯 業 務、國內匯兌業 務）服務之情事，每

年累積不得超過四小 時。

本 國 銀 行 將 消 費 金 融業務相關資訊系統之 資料登錄、處理、輸出等 事 項 委 託 至 境 外 辦 理 者，受委託機構如有服務 中斷事件、或違反第一項 第三款規定或違反其他 法令之情形時，主管機關 得視情節輕重，通知本國 銀行依契約規定終止委 託、要求其限期改善，或 暫停委託直至受委託機 構確認改善為止。本國銀 行並應於契約中載明受 委託機構應配合委託機 構之要求執行系統遷移 之相關事項，及受委託機 構服務中斷之賠償責任。

第十九條之一 金融機構 將作業委託他人處理涉 及使用雲端服務，應依 下列規定辦理：

一、金融機構應確保作 業風險控管，充分 評估受託機構處理 之風險，採取適當 風險管控措施，確 保作業委外處理之 品質，並應注意作 業委託雲端服務業

一、本條新增。

二、金融機構 將作業委託他 人處理涉 及使用 雲端服 務情形，係以第三條所定 之事項範圍為限，其委外 模式除 金融機構直接委 託雲端服務業者，亦包括 金融機構 之受託 機 構複 委託予雲 端服務 業者處 理之情形。

三、鑑 於 雲 端 科 技 之 複 雜 度，金融機構作業委外涉

11

者之適度分散。

二、金融機構對雲端服 務業者負有最終監 督義務，並應具有 專業技術及資源監 督雲端服務業者執 行受託作業，並得 視需要委託專業第 三人以輔助其監督 作業。

三、金融機構應確保其 本身、主管機關及 中央銀行，或其指 定之人能取得雲端 服務業者執行受託 作業之相關資訊，

包括客戶資訊及相 關 系 統 之 查 核 報 告，及實地查核權 力。

四、金融機構得自行委 託，或與委託同一 雲端服務業者之其 他金融機構聯合委 託具資訊專業之獨 立第三人查核，並 應符合下列規定：

(一)確認其查核範圍 涵蓋雲端服務業 者受託處理作業 相關之重要系統 及控制環節。

(二)應評估第三人之 適格性，以及其 所出具查核報告 內容之妥適性並 符合相關國際資 訊安全標準。

(三)應針對金融機構

及使用雲端服務者，應充 分評估資 訊安全 與保護 等風險，以及將多項作業 委託同一 雲端業 服 務者 處理所衍生之集中處理 等各項風險，爰於第一款 明定金融 機構應 充分評 估 受 託 機 構 處 理 之 風 險，採取適當風險管控措 施，以確保作業委外處理 之品質。

四、考量金融 機構作 業委託 他人處理 雖可提 升其效 率，然對客戶應盡義務不 應因作業 委外而 有 所降 低，爰於第二款規定金融 機構對雲 端服務 業者執 行受託業 務負有 最終監 督義務，且應具備相當專 業技術人員及技能，以對 雲端作業 進行測 試及監 控，惟因雲端科技進展快 速且具相當複雜性，允許 金 融 機 構 得 視 實 務 需 要，委託專業第三人輔助 其監督雲端作業。

五、金融機構 將作業 委託他 人處理，實為本身作業之 延伸，爰為確保金融機構 健全經營，委外作業仍應 與其本身辦理受相當監 督標準，爰於第三款規定 金融機構、主管機關及中 央銀行或 其指定 之人對 受託作 業 具取得資料及 實地查核權力。如涉及委 託至境外，金融機構應依 本辦法第 十八條 第一項 及第二項規定，取得受託

12

所委託作業範圍 進行查核並出具 報告。

五、金融機構傳輸及儲 存客戶資料至雲端 服務業者，應採行 客戶資料加密或代 碼化等有效保護措 施，並應訂定妥適 之加密金鑰管理機 制。

六、對委託雲端服務業 者處理之資料應保 有完整所有權，除 執行受託作業外，

金融機構應確保雲 端服務業者不得有 存取客戶資料之權 限，並不得為委託 範圍以外之利用。

七、委託雲端服務業者 處理之客戶資料及 其儲存地以位於我 國境內為原則，如 位於境外，應依下 列規定辦理：

(一)金融機構須保有 其指定資料處理 及 儲 存 地 之 權 力。

(二)境外當地資料保 護法規不得低於 我國要求。

(三)除經主管機關核 准者外，客戶重 要資料應在我國 留存備份。

八、金融機構應訂定妥 適 之 緊 急 應 變 計

機構所在 地金融 主管機 關同意主 管機關 查核之 書面文件，或由受託機構 出具同意 主管機 關查核 之同意函。

六、鑒於雲端 科技具 相當專 業複雜度，金融機構對受 託機構進行查核，得自行 或與其他 金融機 構 聯合 委託具資 訊專業 之獨立 第三人查核，爰為第四款 規定。另為確保委託第三 人查核之品質，於第一目 至第三 目 規 定第三 人查 核範圍及 第三人 適格性 等相關規定。

七、為強化金 融機構 對客戶 資料之保護，於第五款明 定，傳輸及儲存客戶資料 至雲端服務業者，應將客 戶資料以 加密或 代碼化 等有效保護措施處理，且 金融機構 應有妥適之加 密金鑰管理機制，以利金 融機構與 雲端服 務業者 審慎規劃 資 料保護 及加 密金鑰 等 強化客戶權益 保障措施。

八、金融機構 對客戶 資訊應 有妥適之保護措施，不因 作業委託 他 人處理而影 響金融機 構 對資料之所 有權，且應確保雲端服務 業 者 除 執 行 受 託 業 務 外，不得有存取客戶資料 之權限，以及不得為委託 範圍以外之運用，爰於第 六款規定。

九、為確保金 融監理 權有效

13

畫，降低因作業委 託而可能有服務中 斷之風險。金融機 構終止或結束作業 委託，應確保能順 利移轉至另一雲端 服務業者或移回自 行處理，並確保原 受託雲端服務業者 留存資料全數刪除 或銷毀，並留存刪 除或銷毀之紀錄。

行使，及迅速有效處理客 戶爭議 ， 爰於第 七 款規 定，金融機構委託雲端處 理之客戶 資料及 其儲存 地以位於 我國境 內為原 則。客戶資料處理地及儲 存地如位於境外，境外當 地資料保 護法規 應 不得 低於我國要求，且金融機 構應保有 指定資 料處理 地及儲存地之權力，以利 評估境外 法律及 政治等 風險後選擇妥適地點，確 保境外雲 端服務 功能能 與境內服務相當。此外，

考量金融 機構即 時處理 業務之便 利性 及金融監 理之需要，除經主管機關 核准者外，客戶重要資料 應在我國留存備份。客戶 重 要 資 料 係 指 涉 及 存 款、授信、信用卡、匯款 及投資等客戶重要資料。

十、為確保金 融機構 不因雲 端服務業 者發生 無法處 理受委託作業，導致中斷 客戶服務情事，爰於第八 款規定，金融機構應訂定 妥適之緊急應變計畫。此 外，金融機構亦應就終止 或結束委 託之情 況 訂定 作業移轉計畫，並應於契 約終止時，確保受託機構 全數刪除或銷毀資料，要 求雲端服 務業者 出具刪 除紀錄並予以留存，作為 交易爭議處理依據。

第十九條之二 金融機構 將作業委託他人處理涉

一、本條新增。

二、本項作業 委外 係以風險

14

及使用雲端服務，具重 大性或依第十八條將作 業委託至境外者，應檢 具下列書件向主管機關 申請核准始得辦理：

一、依第四條第二項訂 定之委外內部作業 規範。

二、董（理）事會決議 之議事錄。但外國 銀行在臺分行得由 經總行授權人員出 具同意書為之。

三、法規遵循聲明書。

四、作業委託雲端服務 業者處理之必要性 及適法性分析，其 中應包括對雲端服 務業者遵守我國客 戶資料保護相關規 定之評估。

五、作業委外計畫書，

其內容應包括：

(一)風險評估及管理 機制：

1.應對雲端服務業 者進行審查以確 保提供作業之可 靠性、遵法性，

包括對業務持續 性、替代性及集 中性之分析。

2.應具專業技術及 資源監督雲端服 務業者執行受託 作業之說明。

( 二 ) 資 訊 安 全 及 管 理：

1.金融機構對於客

為基礎之監理，以簡化業 者申請程序、增進金融監 理效率 ， 爰 於第一項規 定，作業委託雲端服務業 者處理，如具重大性或依 第十八條 將 委託至境外 處理者，需向主管機關申 請核准，其餘雲端委外事 項 依 第 三 項 備 查 制 辦 理，並於第一項第一款至 第五款規 定金融 機構採 申請核准 制 應檢附 之書 件。

三、本條之作 業委託 如同時 涉及第十 八條規 定委託 至境外處理者，為避免書 件重複，得檢附第十八條 規定之 申請書件及本條 第一項 第 三 款至第 五款 規定之書件，向主管機關 申請核准，並應依第十八 條 第 一 項 及 第 二 項 規 定，取得受託機構所在地 金融主管 機關同 意主管 機關查核 之書面 文件或 由受託機 構出具 同意主 管機關查核之同意函。

四、為利業者遵循，參考各國 規範，於第二項明定具重 大性作業 委外之 判斷準 則，其中第一款係受託機 構無法提 供服務 或有資 訊安全疑慮，第二款係受 託機構發生資料被竊、遺 失等資料外洩情況，對金 融機構 或客戶權益有重 大影響者，均屬具重大性 之委外作業。茲說明金融 機構於判 斷委外 作業是

15

戶資料之加密或 代碼化、金鑰保 管、資料傳輸及 區隔，以及資料 所有權說明。

2.資料儲存地之管 理政策，包括資 料處理及儲存於 境外時，有關當 地法律、政治、

經濟安定性評估 說明，資料備份 及得隨時存取資 料之說明。

(三)金融機構、主管 機 關 及 中 央 銀 行，或其指定之 人取得雲端服務 業者處理受託作 業資訊之範圍及 方式，包括取得 客戶資訊及相關 系 統 之 查 核 報 告，及確保實地 查 核 權 力 之 說 明。

(四)緊急應變計畫及 退場機制，包括 金融機構具有充 分資源應變及退 場之說明。

前項所稱具重大性 之作業，係指下列情形 之一：

一、受託作業如無法提 供服務或有資訊安 全疑慮，對金融機 構之業務營運有重 大影響者。

否具重大 性之考 量因素 如下列：

(一)委外作業對業務之重 要性(例如對營收與獲 利之貢獻度)。

(二)委外作業對盈餘、償付 能力、流動性、籌資能 力、資本及風險之潛在 影響。

(三)受託機構如未能提供 服務或發生資料保護 或資訊安全問題，對於 下列事項之影響：

1. 對 於 金 融 機 構 之 聲 譽，以及金融機構達 成其營運目標、策略 及計畫之能力所產生 之影響。

2.對金融機構客戶所造 成之影響。

3.對金融機構之交易對 手及對金融市場之影 響。

(四)委外作業之成本占金 融機構總營運成本之 比率。

(五)委外作業失敗造成金 融機構將委外作業移 回金融機構本身、或尋 找其他受託機構提供 服務所衍生之成本，及 該成本占金融機構總 營運成本之比率。

(六)金融機構如將不同委 外作業委託同一家受 託機構提供服務，金融 機構對該受託機構之 總暴險。

(七)受託機構面臨營運問

16

二、受託作業涉及客戶 資料安全事件，對 金融機構或客戶權 益有重大影響者。

三、其他對金融機構或 客戶權益有重大影 響者。

金融機構將作業委 託他人處理涉及使用雲 端服務，不屬第一項具 重大性或依第十八條將 作業委託至境外者，應 檢具第一項第三款至第 五款之書件，報經主管 機關備查。

外國銀行在臺分行 及在臺子銀行作業委託 總行、母行或所屬集團 之分支機構及子公司，

複委託雲端服務業者處 理，應檢具第一項作業 委外計畫書，併同第十 八條規定書件向主管機 關申請核准，並應依下 列規定辦理：

一、總行、母行或所屬 集團之分支機構及 子公司所在地主管 機關對作業委託雲 端服務業者處理之 監理規範不低於我 國規定。

二、作業委外計畫書內 容，得由其總行、

母行或所屬集團之 分支機構及子公司 出具相當性之說明 文件代之。

題時，金融機構仍可維 持適當內控制度及符 合法規要求之能力。

五、第三項係 規定非 屬 重大 性或非依 第 十八條 委託 至境外者，得採取備查制 之相關程 序及簡 化應備 書件。

六、第四項規 定， 考量 外銀 分、子行之總行或母集團 為集中處 理委託 作業之 效率，其資訊系統作業多 係委託 集團所屬及其分 支機構或子公司，再委託 雲端業者處理。總、母行 等機構 將受託作業委託 雲端服務業者處理，自應 符合所在 地作 業委 託雲 端 服 務 業 者 處 理 之 規 範，為監理標準之一致，

金融機構 說明內 容 應包 括該所在 地規範 之 風險 評估及管理機制、資訊安 全及管理、取得資訊及實 地查核、緊急應變及退場 等。此外，雲端服務業者 接受總、母行等機構處理 受託作業，亦屬委外辦法 第十八條 規定之 跨境委 外，雲端服務業者為實際 處理受託事務者，依該條 第二項規定，應檢附雲端 服務業者 出具同 意查核 函及其所 在地對 客戶資 訊之保護 不低於 我國之 法律意見書等書件。至於 作業委外計畫書內容，得 由其總行 或母行 等機構 出具相當 性之說 明文件

17

代之，以利實務運作。

第二十一條 金融機構作 業委外不得違反法令強 制或禁止規定、公共秩 序 及 善 良 風 俗 ， 對 經 營、管理及客戶權益，

不得有不利之影響，並 應確保遵循銀行法、洗 錢防制法、個人資料保 護法、消費者保護法及 其他法令之規定。

金融機構辦理作業 委外應確實遵守相關法 令及銀行公會訂定之相 關業務規章或自律公約 及中華民國信用合作社 聯 合 社 發 布 之 相 關 規 定。

第二十一條 金融機構作 業委外不得違反法令強 制或禁止規定、公共秩 序 及 善 良 風 俗 ， 對 經 營、管理及客戶權益，

不得有不利之影響，並 應確保遵循銀行法、洗 錢防制法、電腦處理個 人資料保護法、消費者 保護法及其他法令之規 定。

金融機構辦理作業 委外應確實遵守相關法 令及中華民國銀行商業 同業公會全國聯合會訂 定之相關業務規章或自 律公約及中華民國信用 合作社聯合社發布之相 關規定。

一、查「電腦處理個人資料保 護法」已於九十九年五月 二十七日修正公布為「個 人資料保護法」，並於一 百零一年間施行，爰配合 修正所引法規名稱。

二、酌作文字修正。