金融機構將作業項目委託至境外處理者,應依下列規定辦理: 一、金融機構應充分瞭解及掌握受委託機構對客戶資訊之使用、處理及控管情形。 二、金融機構提供予受委託機構之客戶資訊僅限與受託事項直接相關之必要資訊。 三、金融機構應要求受委託機構確實遵守以下事項: (一)金融機構之客戶資訊僅限由受委託機構之獲授權人員於受託事項範圍內使用及處理。 (二)金融機構之客戶資訊應與受委託機構及其處理他機構之資料有明確區隔。 (三)受託機構處理之金融機構客戶資訊應能及時提供予主管機關及金融機構。 四、金融機構應定期及不定期就受委託機構對客戶資訊之使用、處理及控管情形進行查核及監督;相關查核得委由外部稽核辦理,外國銀行在臺分行得交由總行或經總行授權之區域總部稽核單位辦理,相關單位並應提供相關查核報告予該外國銀行在臺分行。 外國銀行在臺分行因內部分工將作業交由總行或國外分支機構處理者,應依前項規定辦理。 本國銀行將消費金融業務相關資訊系統之資料登錄、處理、輸出等事項委託至境外辦理者,除應符合第一項第一款至第三款規定外,並應依下列規定辦理: 一、本國銀行應就受委託機構對客戶資訊之使用、處理及控管情形確認符合我國個人資料保護法相關規定,留存完整稽核紀錄,並列為重點查核項目。 二、本國銀行應定期評估成本效益與集團內費用分攤之合理性並報董事會通過。 三、本國銀行對資訊系統之安全檢測應不低於主管機關或銀行公會之規範。 四、本國銀行每年至少應辦理一次一般性查核及一次專案查核。前述查核之執行得委託具資訊專業之獨立第三人辦理。 五、本國銀行應於每年年度終了前將當年度辦理跨境委外查核報告提董事會報告後函報本會。 六、本國銀行於海外資訊系統發生無法提供服務情事,致客戶權益受損或影響機構健全經營時,應儘速通報中央銀行、中央存款保險公司及本會,並應於一週內函報詳細資料或後續處理情形。 七、本國銀行海外資訊系統發生系統中斷致銀行有無法以任何方式提供客戶辦理存款、提款及支付往來業務(國內跨行通匯業務、國內匯兌業務)服務之情事,每年累積不得超過四小時。 本國銀行將消費金融業務相關資訊系統之資料登錄、處理、輸出等事項委託至境外辦理者,受委託機構如有服務中斷事件、或違反第一項第三款規定或違反其他法令之情形時,主管機關得視情節輕重,通知本國銀行依契約規定終止委託、要求其限期改善,或暫停委託直至受委託機構確認改善為止。本國銀行並應於契約中載明受委託機構應配合委託機構之要求執行系統遷移之相關事項,及受委託機構服務中斷之賠償責任。 金融機構應檢具下列書件向主管機關申請核准後,始得將作業項目委託至境外處理: 一、受委託機構所在地金融主管機關書面確認文件,其內容應包括: (一)該主管機關知悉並同意受委託機構執行受託事項。 (二)該主管機關同意我國主管機關得要求受委託機構提供受託事項相關資料。 (三)該主管機關允許我國主管機關及委託之金融機構得對受託事項進行必要之查核。 (四)該主管機關如有必要對受託事項進行查核,應事先通知我國主管機關。 (五)該主管機關同意不會取得我國客戶資訊,如為執行其監理職權而須取得時,應事先通知我國主管機關。 二、依第四條第二項訂定之委外內部作業規範。 三、董(理)事會決議之議事錄。但外國銀行在台分行得由經總行授權人員出具同意書為之。 四、委外對營運之必要性及適法性分析,其中應包含對受委託機構遵守我國客戶資料保護相關規定之評估。 五、客戶資訊保護措施及是否已取得客戶同意,以確保委外服務品質及客戶權益之說明。 六、外國銀行在台分行應取得總行或經總行授權之區域總部出具有關資料取用、安全控管及配合我國監理要求之承諾書。 金融機構如無法取得前項第一款受委託機構所在地金融主管機關之書面確認文件者,應檢附下列書件: 一、受委託機構出具之同意函,同意必要時得由金融機構指定之人,對受託事項進行查核。上開指定之人亦得由我國主管機關指派之,其費用由金融機構負擔。 二、對受委託機構之內部控制制度及相關作業程序之審查情形。 三、受委託機構所在地對客戶資訊之保護不低於我國之法律意見書。 四、受委託機構最近期之經會計師查核簽證之財務報告。 五、受委託機構出具近三年內未發生造成客戶權益受損或影響機構健全營運之人員舞弊、資通安全及其他事件之聲明書。 外國銀行在台分行因內部分工將作業交由總行或國外分支機構處理者,應依前二項規定申請核准。 受委託機構所在地金融主管機關請求提供我國客戶資訊時,金融機構應先將事由通知我國主管機關並取得同意後始得提供。 本國銀行符合資格條件者,得檢附第一項、第二項規定書件連同下列書件,向本會申請核准後,將消費金融業務相關資訊系統之資料登錄、處理、輸出等事項委託至境外辦理: 一、委託具資訊專業之獨立第三人出具海外資訊系統不低於我國資訊安全標準之查核報告。 二、針對海外資訊系統發生無法提供服務情事,建立營運備援計畫,並由具資訊專業之獨立第三人出具該計畫符合以下要求之評估報告: (一)應確保於海外資訊系統發生無法提供服務情事後四小時內,恢復既有客戶之存款、提款及支付往來業務(國內跨行通匯業務及國內匯兌業務)之正常運作,同時維持對各項財務及業務風險之妥善管理。 (二)若評估海外資訊系統因天然災害致無法於短期內恢復提供服務,銀行應確保於事件發生後七日內,透過啟動備援系統、安裝(臨時)資訊主機或其他方式,恢復在我國包含授信在內之主要業務正常運作。 三、日常監督機制之計畫書,其內容應包括: (一)設立資訊委託境外專責監督管理單位或委員會,參與人員包括法規遵循、內部稽核、作業風險管理及資訊管理監督人員,以有效執行日常監督。 (二)日常委外作業機制,包括客戶資料存取情形、系統權限設定及非例行性作業等檢核項目,計畫應詳述管理作業內容、方式、流程及缺失處理機制。 四、報經董事會通過之成本效益與集團內費用分攤合理性之評估報告。 前項所稱資格條件係指符合下列規定之本國銀行: 一、最近一年內無因違反金融相關法令,受主管機關處分之情事,或有違反法令情事已具體改善,並經主管機關認可。 二、申請前一年底經主管機關或中央銀行糾正之缺失,均已切實改善。 三、最近一年內無重大資安事故未改善之情事。 本國銀行於本辦法修正施行前,已將消費金融業務相關資訊系統之資料登錄、處理、輸出等事項委託至境外辦理者,應自本辦法修正施行後一年內依前二項規定向本會提出申請。 本國銀行於前項期間內依本條第五項及第六項規定提出申請,經本會審查後予以否准者,應自前項期間屆滿後二年內,將消費金融業務相關資訊系統之資料登錄、處理、輸出等事項移回境內辦理。 法條內容
法條相關見解查詢(設條件)
法條內容
法條相關見解查詢(設條件)
|