新的Bank 4.0時代累積及使用巨量金融資訊與數據,甚至即將迎向純網銀(無實體分行)的新里程,此龐大的資訊數據運算需求,在如今的科技環境下,上雲端確實能夠提供解決方案,但考量資訊外移至第三方儲存、處理及運用,其資訊安全能否確保,且在金融產業受到高度監管的架構下,金融機構能否將部分服務內容委託第三人處理,亦必須符合相關法令規定。而過往就金融資訊能否使用第三方的雲端運算服務(Cloud Computing)系統並無明文,也使得金融機構能否使用?如何使用?甚至能否使用境外/跨國雲端服務?均處於妾身未明的狀態,造成各家機構想衝、卻又裹足不前的窘境。
為回應產業界的需求及推進金融科技發展,金管會經過二場公聽會後,於日前(2019年6月27日)公告發佈「金融機構作業委託他人處理內部作業制度及程序辦法」(委外辦法)部分條文修正草案,針對金融服務使用雲端科技將制訂明確的法律權源及相關管理辦法,使金融機構得使用雲端科技提供金融服務,並兼顧消費者權益保障,於修法正式通過後即得正式上線。
委外辦法(修正草案)主要修正重點包括:
1.金融機構得委外使用境內/境外雲端服務
(1)風險控管:金融機構應妥善評估委託雲端服務的處理風險,並採取適當的風險控管機制,確保委外品質。
(2)最終監督義務:金融機構對委託雲端服務業者仍負有最終監督義務,並應建置專業資訊技術人員得隨時就雲端服務測試與監控,以確保使用雲端服務不減損消費者權益。
(3)實地查核權:由於金融產業受高度監管,故縱使將該部分業務委託第三方提供,金融機構仍應確保其自身、主管機關及中央銀行等,均可取得受託作業相關資訊及實地查核權力,雲端服務業者並應提出同意查核的同意函。
(4)委託專業查核:雲端服務具備高度科技專業性,金融機構亦得委託具備資訊專業的第三方進行查核,而此查核第三方的查核範圍及應具備資格能力,均應符合法令規定。
(5)資訊加密:傳輸及儲存客戶資料應採行加密或代碼化等有效保護措施,且金融機構並應有加密金鑰管理機制。
(6)資料所有權:金融機構對於委外處理的資料仍應保有所有權,且受託雲端服務業者不得有存取客戶資料的權限,且不得有超出委託範圍外的使用。
(7)境內雲端為原則:客戶資料處理地及儲存地,以位於我國境內為原則,並應訂定妥適的緊急應變計畫。
(8)境外雲端資格條件:如委託境外雲端服務業者,必須符合下列要件,包括境外當地資料保護法規不得低於我國要求,且金融機構應保有指定資料處理地及儲存地之權力,以利評估境外法律及政治等風險後選擇妥適地點,確保境外雲端服務功能需與境內服務相當,另考量金融機構即時處理業務的便利性及金融監理需要,除經主管機關核准者外,客戶重要資料應在我國留存備份。 (相關報導: 300家日商衝台灣!為什麼日本品牌衝刺海外市場,台灣都是第一站? | 更多文章 )
(9)緊急應變計畫:金融機構應就終止或結束委託的情況訂定作業移轉計畫,並應於契約終止時,確保受託雲端服務業者全數刪除或銷毀資料,並出具刪除紀錄,作為交易爭議處理依據,也就是所謂的「退場條件」。此外,在資安攻擊頻傳的現在,包括對於防止外部網路駭客入侵的應變對策、遇有非法或異常存取情形的即時監控與排除機制等,均應事前有所因應及準備。
