2023.10
周靖媛
近年來,金融機構朝向數位化轉型發展為強勁趨勢,對於雲端技術等第三方服務以及位於境外的受託機構之需求提升,例如,在資料處理或儲存的過程中,便經常可能涉及雲端供應商或是境外資訊業者。雖然金融機構作業委外早已行之有年,對於作業委外已累積有相當的管理經驗,然而,上述新型態的作業委外在許多方面為實務及監理帶來了不同的挑戰與風險,致使主管機關對舊有的規範不得不進行調整與反思,主要呈現在兩個面向上:其一,為提升金融機構的服務效率與品質,需求更為簡化與彈性的行政管制措施;其二,由於雲端技術的特性,與過去其他作業委外項目存在不同的考量,例如對於消費者權益保障、資訊安全、客戶個人資料隱私保護,甚至是地緣政治的風險,以及各地區資訊安全與個人資料保護等法規範的差異等。
有鑑於此,金融監督管理委員會(下稱金管會)於2023年8月25日公告修正「金融機構作業委託他人處理內部作業制度及程序辦法」(下稱本辦法),針對委外內部作業規範、跨境委外及雲端委外作業等規範進行多項修訂。除了縮小須經金管會核准的範圍,並簡化申請作業程序,本次修訂最核心的改變,即是將現行的作業委外監理架構調整為「以風險為基礎(RBA)」的監理方式,以精進金融機構的風險治理能力。
由於金融機構作業分工細密,並非所有業務的作業委外均有相同的風險,為了有效分配資源,並強化風險管理,本辦法此次修訂明定金融機構必須建立妥適的政策及原則以管理委外風險,包括委外的決策評估、風險管理機制、核決層級及治理架構等,並且引入「重大性」的概念,要求金融機構必須建立足以辨識、衡量、監督及控制委外相關風險的程序或管理措施。此外,更要求金融機構對於作業委外及客戶權益保障負最終責任,以促使風險治理機制能有效發揮。另一方面,對於涉及使用雲端服務的情形,為了落實個人資料保護,此次修訂將國際資訊安全及隱私保護標準納入相關規範,同時也要求涉及重大性消費金融業務資訊系統的客戶資料儲存地應以我國境內為原則。
本次增修規定的補正時間為本辦法發布實施起一年內,也就是2024年8月25日前,必須完成委外作業框架的全面檢視、調整與申報。由於本次修正涉及金融機構整體委外作業風險管理框架的強化,涉及範圍廣泛並且相關權責分工必須訂入與委外受託機構的契約,因此,請已經實施相關作業委外的金融機構特別留意上述補正期間,而規劃於未來實施相關作業委外或執行導入雲端技術計畫者,也請注意應依本辦法建構完整風險管理框架。
本網站上所有資料內容(「內容」)均屬理慈國際科技法律事務所所有。本所保留所有權利,除非獲得本所事前許可外,均不得以任何形式或以任何方式重製、下載、散布、發行或移轉本網站上之內容。
所有內容僅供作參考且非為特定議題或具體個案之法律或專業建議。所有內容未必為最新法律及法規之發展,本所及其編輯群不保證內容之正確性,並明示聲明不須對任何人就信賴使用本網站上全部或部分之內容,而據此所為或經許可而為或略而未為之結果負擔任何及全部之責任。撰稿作者之觀點不代表本所之立場。如有任何建議或疑義,請與本所聯繫。