綜合上述,在委外辦法修正草案正式通過後,金融機構即取得開通金融服務上雲端的金鑰,而後續金融服務雲端化將涉及的監理重點勢必將著重於:採用雲端運算的風險控管,第三方服務供應商的管理機制、資料跨境傳輸相關的安全控管、如何監督與查核等方式,以確保第三方確實有效執行各項安全控管措施及保障金融機構與消費者資訊權等。
而委託境外雲端服務業者與跨境傳輸資料時,除應事前申請核准外,亦應留意「個人資料保護法」第21條對個人資料國際傳輸之規範,如果有涉及國家重大利益、國際條約或協定有特別規定、接受國對於個人資料之保護未有完善之法規、以迂迴方法向第三國(地區)傳輸個人資料規避個資法規定者,主管機關仍得予以限制。
此外,配合前述金融機構委外辦法的修正,後續「保險業作業委託他人處理應注意事項」亦可預期將比照類似的方向與規範予以調整。而面臨上述全新的資安(Cyber Security)挑戰,除事前的謹慎評估與資訊系統的妥善建置外,再多的事前預防對策仍然難以完全阻絕資料不當外洩的風險與可能性,也是為了因應此種新型態的資安風險需求,近來保險業的資安保險亦應運而生,除了涵蓋金錢賠償責任的部分外,亦有保險業預先建置專業顧問團隊,供投保廠商在發生資安危機時,得隨時向專業團隊求援,獲得第一時間的緊急應變建議,亦可有效降低其衝擊及維護公司商譽。
在此修法方向之下,既然遊戲規則已即將正式頒佈,為開闢新的戰場,提供更全方位的即時金融服務,金融機構多已摩拳擦掌引領邁向雲端服務的新領域,除IT技術層面的評估可能早已規劃多時之外,由於目前主要的雲端服務提供者大多為跨境大型科技公司,包括Google, AWS及Microsoft Azure等,都很可能會涉及委託境外雲端服務,因此,相關法令遵循、申請委外作業核准及取得同意的書面通知函、同意函等內容,在修法草案的方向較為明確後,亦可先行著手擬定,待法規正式通過後即可立即送件啟用,搶得市場先機。
更多內容請參閱「金融科技時代下的資安風險-金融服務雲端化的挑戰」(收錄於「變革中的金融科技法制」)。
*作者為協合國際法律事務所合夥律師。
