(9)緊急應變計畫:金融機構應就終止或結束委託的情況訂定作業移轉計畫,並應於契約終止時,確保受託雲端服務業者全數刪除或銷毀資料,並出具刪除紀錄,作為交易爭議處理依據,也就是所謂的「退場條件」。此外,在資安攻擊頻傳的現在,包括對於防止外部網路駭客入侵的應變對策、遇有非法或異常存取情形的即時監控與排除機制等,均應事前有所因應及準備。
2.申請核准/備查
委託雲端服務業者處理時,如具有重大性或需委託境外處理時,需向主管機關事前申請核准,其餘事項得依備查制辦理。
惟在認定是否涉及境外服務時,可合理推論將採「實質認定」方式,也就是說如果金融機構委託境內業者提供雲端服務,但境內業者又再複委託予境外業者提供時(包括所謂的雲疊加(Cloud on Clouds)的情況),則不論直接或間接委託至境外,均應事前申請主管機關核准。
但何謂重大性的判斷標準,主要是針對如果受託雲端服務業者無法提供服務或有資安疑慮時,將對金融業務營運有重大影響者,其考量因素包括:委外作業對於營收與獲利的貢獻程度、其作業成本占整體總營運成本的比例,委外作業失敗或受託業者營運出狀況時將事務移回金融機構或尋找替代廠商之成本等等。
外商銀行在台分行或在台子行,甚至包括未來核准的純網銀,如需依循外國總行或境外的IT系統需使用委外雲端服務時,亦需申請事前核准,且該外商總行所在地的主管機關對於作業委託雲端服務業者處理的監理規範不低於我國規定。
3.必須明確取得客戶同意
過往,由於法規允許「默示同意」的態樣,故實務上在寄發通知後的一定合理期間內,如未收到消費者的反對意見,即得依法視為取得同意,但此作法是否能保障消費者權益確實有爭議,而修法草案刪除默示同意後,如果委外事項涉及消費者資訊時,金融機構就必須在一開始將委外事項(例如使用第三方雲端服務的方式)加入取得消費者同意的範圍內,如原先同意內容未包括時,則必須再次明確書面通知消費者及取得明示同意,此亦與歐盟GDPR的相關規範一致。
4.法規風險分析
在此修法草案架構下,似乎金融機構成為委託使用雲端服務的主體,亦即不論金融機構自行委託,或金融機構係委託第三方業者處理而第三方系統使用到雲端服務等不同情形,金融機構都承擔需事前申請核准(或備查)的法定義務,即金融機構於委託第三方時,縱使第三方業者本身並非雲端服務業者,亦需事先釐清或事後追蹤控管委託(含複委託)項目中有無涉及使用雲端服務,否則即有違法風險,不可不慎;再者,如果金融機構僅租賃雲端系統自行使用,而非委託第三方處理,是否需要依循委外辦法的規定辦理?甚至如金融機構並非將涉及「業務項目或客戶資訊相關作業」委外,而是銀行自身的管理資訊數據使用雲端,則是否也需要依循委外辦法辦理?此等法規適用的不明確性,亦可能對金融機構的法規遵循帶來適用風險,因此期待草案預告期過後能釐清法規適用範圍或後續透過明確的解釋函令釐清相關疑義。
