廖婉君觀點:金融科技服務躍上雲端的資安挑戰

2019-07-15 05:50

? 人氣

作者指出,新的Bank 4.0時代累積及使用巨量金融資訊與數據,甚至即將迎向純網銀(無實體分行)的新里程。(示意圖非本人,方詠騰攝)

作者指出,新的Bank 4.0時代累積及使用巨量金融資訊與數據,甚至即將迎向純網銀(無實體分行)的新里程。(示意圖非本人,方詠騰攝)

新的Bank 4.0時代累積及使用巨量金融資訊與數據,甚至即將迎向純網銀(無實體分行)的新里程,此龐大的資訊數據運算需求,在如今的科技環境下,上雲端確實能夠提供解決方案,但考量資訊外移至第三方儲存、處理及運用,其資訊安全能否確保,且在金融產業受到高度監管的架構下,金融機構能否將部分服務內容委託第三人處理,亦必須符合相關法令規定。而過往就金融資訊能否使用第三方的雲端運算服務(Cloud Computing)系統並無明文,也使得金融機構能否使用?如何使用?甚至能否使用境外/跨國雲端服務?均處於妾身未明的狀態,造成各家機構想衝、卻又裹足不前的窘境。

[啟動LINE推播] 每日重大新聞通知

為回應產業界的需求及推進金融科技發展,金管會經過二場公聽會後,於日前(2019年6月27日)公告發佈「金融機構作業委託他人處理內部作業制度及程序辦法」(委外辦法)部分條文修正草案,針對金融服務使用雲端科技將制訂明確的法律權源及相關管理辦法,使金融機構得使用雲端科技提供金融服務,並兼顧消費者權益保障,於修法正式通過後即得正式上線。

委外辦法(修正草案)主要修正重點包括:

1.金融機構得委外使用境內/境外雲端服務

(1)風險控管:金融機構應妥善評估委託雲端服務的處理風險,並採取適當的風險控管機制,確保委外品質。

(2)最終監督義務:金融機構對委託雲端服務業者仍負有最終監督義務,並應建置專業資訊技術人員得隨時就雲端服務測試與監控,以確保使用雲端服務不減損消費者權益。

(3)實地查核權:由於金融產業受高度監管,故縱使將該部分業務委託第三方提供,金融機構仍應確保其自身、主管機關及中央銀行等,均可取得受託作業相關資訊及實地查核權力,雲端服務業者並應提出同意查核的同意函。

IBM結合一通科技,串聯使用者的行動裝置、線上影音串流平台以及企業管理雲端系統。(圖/kaboompics@pixabay)
作者認為,針對金融服務使用雲端科技將制訂明確的法律權源及相關管理辦法。(圖/kaboompics@pixabay)

(4)委託專業查核:雲端服務具備高度科技專業性,金融機構亦得委託具備資訊專業的第三方進行查核,而此查核第三方的查核範圍及應具備資格能力,均應符合法令規定。

(5)資訊加密:傳輸及儲存客戶資料應採行加密或代碼化等有效保護措施,且金融機構並應有加密金鑰管理機制。

(6)資料所有權:金融機構對於委外處理的資料仍應保有所有權,且受託雲端服務業者不得有存取客戶資料的權限,且不得有超出委託範圍外的使用。

(7)境內雲端為原則:客戶資料處理地及儲存地,以位於我國境內為原則,並應訂定妥適的緊急應變計畫。

(8)境外雲端資格條件:如委託境外雲端服務業者,必須符合下列要件,包括境外當地資料保護法規不得低於我國要求,且金融機構應保有指定資料處理地及儲存地之權力,以利評估境外法律及政治等風險後選擇妥適地點,確保境外雲端服務功能需與境內服務相當,另考量金融機構即時處理業務的便利性及金融監理需要,除經主管機關核准者外,客戶重要資料應在我國留存備份。

(9)緊急應變計畫:金融機構應就終止或結束委託的情況訂定作業移轉計畫,並應於契約終止時,確保受託雲端服務業者全數刪除或銷毀資料,並出具刪除紀錄,作為交易爭議處理依據,也就是所謂的「退場條件」。此外,在資安攻擊頻傳的現在,包括對於防止外部網路駭客入侵的應變對策、遇有非法或異常存取情形的即時監控與排除機制等,均應事前有所因應及準備。

2.申請核准/備查

委託雲端服務業者處理時,如具有重大性或需委託境外處理時,需向主管機關事前申請核准,其餘事項得依備查制辦理。

惟在認定是否涉及境外服務時,可合理推論將採「實質認定」方式,也就是說如果金融機構委託境內業者提供雲端服務,但境內業者又再複委託予境外業者提供時(包括所謂的雲疊加(Cloud on Clouds)的情況),則不論直接或間接委託至境外,均應事前申請主管機關核准。

但何謂重大性的判斷標準,主要是針對如果受託雲端服務業者無法提供服務或有資安疑慮時,將對金融業務營運有重大影響者,其考量因素包括:委外作業對於營收與獲利的貢獻程度、其作業成本占整體總營運成本的比例,委外作業失敗或受託業者營運出狀況時將事務移回金融機構或尋找替代廠商之成本等等。

外商銀行在台分行或在台子行,甚至包括未來核准的純網銀,如需依循外國總行或境外的IT系統需使用委外雲端服務時,亦需申請事前核准,且該外商總行所在地的主管機關對於作業委託雲端服務業者處理的監理規範不低於我國規定。

3.必須明確取得客戶同意

過往,由於法規允許「默示同意」的態樣,故實務上在寄發通知後的一定合理期間內,如未收到消費者的反對意見,即得依法視為取得同意,但此作法是否能保障消費者權益確實有爭議,而修法草案刪除默示同意後,如果委外事項涉及消費者資訊時,金融機構就必須在一開始將委外事項(例如使用第三方雲端服務的方式)加入取得消費者同意的範圍內,如原先同意內容未包括時,則必須再次明確書面通知消費者及取得明示同意,此亦與歐盟GDPR的相關規範一致。

4.法規風險分析

在此修法草案架構下,似乎金融機構成為委託使用雲端服務的主體,亦即不論金融機構自行委託,或金融機構係委託第三方業者處理而第三方系統使用到雲端服務等不同情形,金融機構都承擔需事前申請核准(或備查)的法定義務,即金融機構於委託第三方時,縱使第三方業者本身並非雲端服務業者,亦需事先釐清或事後追蹤控管委託(含複委託)項目中有無涉及使用雲端服務,否則即有違法風險,不可不慎;再者,如果金融機構僅租賃雲端系統自行使用,而非委託第三方處理,是否需要依循委外辦法的規定辦理?甚至如金融機構並非將涉及「業務項目或客戶資訊相關作業」委外,而是銀行自身的管理資訊數據使用雲端,則是否也需要依循委外辦法辦理?此等法規適用的不明確性,亦可能對金融機構的法規遵循帶來適用風險,因此期待草案預告期過後能釐清法規適用範圍或後續透過明確的解釋函令釐清相關疑義。

乍看之下,刷卡銀行送的旅平險似乎經濟又實惠,但實際的保障內容有哪些?(圖取自Pixel)
作者表示,在此修法草案架構下,似乎金融機構成為委託使用雲端服務的主體。(圖取自Pixel)

綜合上述,在委外辦法修正草案正式通過後,金融機構即取得開通金融服務上雲端的金鑰,而後續金融服務雲端化將涉及的監理重點勢必將著重於:採用雲端運算的風險控管,第三方服務供應商的管理機制、資料跨境傳輸相關的安全控管、如何監督與查核等方式,以確保第三方確實有效執行各項安全控管措施及保障金融機構與消費者資訊權等。

而委託境外雲端服務業者與跨境傳輸資料時,除應事前申請核准外,亦應留意「個人資料保護法」第21條對個人資料國際傳輸之規範,如果有涉及國家重大利益、國際條約或協定有特別規定、接受國對於個人資料之保護未有完善之法規、以迂迴方法向第三國(地區)傳輸個人資料規避個資法規定者,主管機關仍得予以限制。

此外,配合前述金融機構委外辦法的修正,後續「保險業作業委託他人處理應注意事項」亦可預期將比照類似的方向與規範予以調整。而面臨上述全新的資安(Cyber Security)挑戰,除事前的謹慎評估與資訊系統的妥善建置外,再多的事前預防對策仍然難以完全阻絕資料不當外洩的風險與可能性,也是為了因應此種新型態的資安風險需求,近來保險業的資安保險亦應運而生,除了涵蓋金錢賠償責任的部分外,亦有保險業預先建置專業顧問團隊,供投保廠商在發生資安危機時,得隨時向專業團隊求援,獲得第一時間的緊急應變建議,亦可有效降低其衝擊及維護公司商譽。

在此修法方向之下,既然遊戲規則已即將正式頒佈,為開闢新的戰場,提供更全方位的即時金融服務,金融機構多已摩拳擦掌引領邁向雲端服務的新領域,除IT技術層面的評估可能早已規劃多時之外,由於目前主要的雲端服務提供者大多為跨境大型科技公司,包括Google, AWS及Microsoft Azure等,都很可能會涉及委託境外雲端服務,因此,相關法令遵循、申請委外作業核准及取得同意的書面通知函、同意函等內容,在修法草案的方向較為明確後,亦可先行著手擬定,待法規正式通過後即可立即送件啟用,搶得市場先機。

更多內容請參閱「金融科技時代下的資安風險-金融服務雲端化的挑戰」(收錄於「變革中的金融科技法制」)。

*作者為協合國際法律事務所合夥律師。

關鍵字:
風傳媒歡迎各界分享發聲,來稿請寄至 opinion@storm.mg

本週最多人贊助文章