金融監督管理委員會銀行局金融法規全文檢索查詢系統

第四條第二項第三款規定金融機構作業委外，應就客戶權益保障訂定內部
作業及程序，其內容應包括：
一、如涉及客戶資訊者，應於契約簽訂時訂定告知客戶之條款；其未訂有
    告知條款者，金融機構應書面通知客戶委外事項，並應依個人資料保
    護法之規定辦理。
二、客戶資訊提供之條件範圍及其移轉之程序方法。
三、對受委託機構使用、處理、控管前款客戶資訊之監督方法。
四、訂定客戶糾紛處理程序及時限，並設置協調處理單位，受理客戶之申
    訴。
五、其他客戶權益保障之必要措施。
金融機構作業委外如因受委託機構或其受僱人員之故意或過失致客戶權益
受損，仍應對客戶依法負同一責任。

金融機構申請應收債權催收作業之委外，應檢具下列文件向主管機關申請
核准：
一、依第四條第二項訂定之委外內部作業規範。
二、董（理）事會決議之議事錄。但外國銀行在臺分行得由經總行授權人
    員出具同意書為之。
三、法規遵循聲明書。
四、受委託機構資格條件審核表。
金融機構經核准辦理本條作業委外後，如有新增受委託機構，應檢具前項
第三款及第四款文件，向主管機關申請核准。
金融機構所委託之催收程序行為樣態、通知書函等應依中華民國銀行商業
同業公會全國聯合會（下稱銀行公會）範本制定，該通知書函範本並應經
律師審閱無違反本辦法及其他相關法令之虞後，送主管機關備查。

金融機構申請應收債權催收作業之委外，應事先確認受委託機構具備下列
資格條件：
一、受委託機構應為下列其中之一：
（一）依公司法或商業登記法辦理登記並取得主管機關核發載有辦理金融
      機構金錢債權管理服務業務之公司登記證明文件或商業登記證明文
      件之公司。
（二）所屬金融控股公司或該銀行直接或間接百分之百持股，依金控公司
      （銀行）轉投資資產管理公司營運原則第二點第一款規定，接受母
      公司委託辦理應收債權催收之資產管理公司。
（三）依法設立之律師事務所。
（四）依法設立之會計師事務所。
二、受委託機構虧損未達實收資本額三分之一者。但虧損超過實收資本額
    三分之一，如已依相關規定完成增資程序者，不在此限。
三、受委託機構之催收人員應完成銀行公會或其認可之機構舉辦有關催收
    專業訓練課程或測驗並領有合格證書者，且無下列情事之一之人員：
（一）曾犯刑法、組織犯罪防制條例、檢肅流氓條例、槍砲彈藥刀械管制
      條例等所定相關暴力犯罪，經判刑確定或通緝有案尚未結案者。
（二）受破產之宣告尚未復權者。
（三）使用票據經拒絕往來尚未恢復往來或有其他債信不良紀錄尚未了結
      者。
（四）無行為能力、限制行為能力或受輔助宣告尚未撤銷者。
（五）違反本辦法而離職，並經金融機構報送財團法人金融聯合徵信中心
      登錄者。
四、受委託機構之催收人員未完成銀行公會或其認可之機構舉辦有關催收
    專業訓練課程或測驗並領有合格證書者，應於任職後兩個月內補正。
五、受委託機構之負責人應無銀行負責人應具備資格條件準則第三條第一
    項除第十三款外之各款所述情形，並出具相關之聲明書。
六、受委託機構具有為承辦受託事務所需之完備電腦作業處理設備，相關
    作業人員之電話須裝設錄音系統，錄音系統須與電腦系統配合可即時
    調閱錄音，以供稽核或遇爭議時查證之用，需所有電話暨外訪時均予
    以錄音並製作備份且至少保存六個月以上，其錄音紀錄不得有刪除或
    竄改之情形。

金融機構將作業項目委託至境外處理者，應依下列規定辦理：
一、金融機構應充分瞭解及掌握受委託機構對客戶資訊之使用、處理及控
    管情形。
二、金融機構提供予受委託機構之客戶資訊僅限與受託事項直接相關之必
    要資訊。
三、金融機構應要求受委託機構確實遵守以下事項：
（一）金融機構之客戶資訊僅限由受委託機構之獲授權人員於受託事項範
      圍內使用及處理。
（二）金融機構之客戶資訊應與受委託機構及其處理他機構之資料有明確
      區隔。
（三）受託機構處理之金融機構客戶資訊應能及時提供予主管機關及金融
      機構。
四、金融機構應定期及不定期就受委託機構對客戶資訊之使用、處理及控
    管情形進行查核及監督；相關查核得委由外部稽核辦理，外國銀行在
    臺分行得交由總行或經總行授權之區域總部稽核單位辦理，相關單位
    並應提供相關查核報告予該外國銀行在臺分行。
外國銀行在臺分行因內部分工將作業交由總行或國外分支機構處理者，應
依前項規定辦理。
本國銀行將消費金融業務相關資訊系統之資料登錄、處理、輸出等事項委
託至境外辦理者，除應符合第一項第一款至第三款規定外，並應依下列規
定辦理：
一、本國銀行應就受委託機構對客戶資訊之使用、處理及控管情形確認符
    合我國個人資料保護法相關規定，留存完整稽核紀錄，並列為重點查
    核項目。
二、本國銀行應定期評估成本效益與集團內費用分攤之合理性並報董事會
    通過。
三、本國銀行對資訊系統之安全檢測應不低於主管機關或銀行公會之規範
    。
四、本國銀行每年至少應辦理一次一般性查核及一次專案查核。前述查核
    之執行得委託具資訊專業之獨立第三人辦理。
五、本國銀行應於每年年度終了前將當年度辦理跨境委外查核報告提董事
    會報告後函報本會。
六、本國銀行於海外資訊系統發生無法提供服務情事，致客戶權益受損或
    影響機構健全經營時，應儘速通報中央銀行、中央存款保險公司及本
    會，並應於一週內函報詳細資料或後續處理情形。
七、本國銀行海外資訊系統發生系統中斷致銀行有無法以任何方式提供客
    戶辦理存款、提款及支付往來業務（國內跨行通匯業務、國內匯兌業
    務）服務之情事，每年累積不得超過四小時。
本國銀行將消費金融業務相關資訊系統之資料登錄、處理、輸出等事項委
託至境外辦理者，受委託機構如有服務中斷事件、或違反第一項第三款規
定或違反其他法令之情形時，主管機關得視情節輕重，通知本國銀行依契
約規定終止委託、要求其限期改善，或暫停委託直至受委託機構確認改善
為止。本國銀行並應於契約中載明受委託機構應配合委託機構之要求執行
系統遷移之相關事項，及受委託機構服務中斷之賠償責任。

金融機構將作業委託他人處理涉及使用雲端服務，應依下列規定辦理：
一、金融機構應確保作業風險控管，充分評估受託機構處理之風險，採取
    適當風險管控措施，確保作業委外處理之品質，並應注意作業委託雲
    端服務業者之適度分散。
二、金融機構對雲端服務業者負有最終監督義務，並應具有專業技術及資
    源監督雲端服務業者執行受託作業，並得視需要委託專業第三人以輔
    助其監督作業。
三、金融機構應確保其本身、主管機關及中央銀行，或其指定之人能取得
    雲端服務業者執行受託作業之相關資訊，包括客戶資訊及相關系統之
    查核報告，及實地查核權力。
四、金融機構得自行委託，或與委託同一雲端服務業者之其他金融機構聯
    合委託具資訊專業之獨立第三人查核，並應符合下列規定：
（一）確認其查核範圍涵蓋雲端服務業者受託處理作業相關之重要系統及
      控制環節。
（二）應評估第三人之適格性，以及其所出具查核報告內容之妥適性並符
      合相關國際資訊安全標準。
（三）應針對金融機構所委託作業範圍進行查核並出具報告。
五、金融機構傳輸及儲存客戶資料至雲端服務業者，應採行客戶資料加密
    或代碼化等有效保護措施，並應訂定妥適之加密金鑰管理機制。
六、對委託雲端服務業者處理之資料應保有完整所有權，除執行受託作業
    外，金融機構應確保雲端服務業者不得有存取客戶資料之權限，並不
    得為委託範圍以外之利用。
七、委託雲端服務業者處理之客戶資料及其儲存地以位於我國境內為原則
    ，如位於境外，應依下列規定辦理：
（一）金融機構須保有其指定資料處理及儲存地之權力。
（二）境外當地資料保護法規不得低於我國要求。
（三）除經主管機關核准者外，客戶重要資料應在我國留存備份。
八、金融機構應訂定妥適之緊急應變計畫，降低因作業委託而可能有服務
    中斷之風險。金融機構終止或結束作業委託，應確保能順利移轉至另
    一雲端服務業者或移回自行處理，並確保原受託雲端服務業者留存資
    料全數刪除或銷毀，並留存刪除或銷毀之紀錄。

金融機構將作業委託他人處理涉及使用雲端服務，具重大性或依第十八條
將作業委託至境外者，應檢具下列書件向主管機關申請核准始得辦理：
一、依第四條第二項訂定之委外內部作業規範。
二、董（理）事會決議之議事錄。但外國銀行在臺分行得由經總行授權人
    員出具同意書為之。
三、法規遵循聲明書。
四、作業委託雲端服務業者處理之必要性及適法性分析，其中應包括對雲
    端服務業者遵守我國客戶資料保護相關規定之評估。
五、作業委外計畫書，其內容應包括：
（一）風險評估及管理機制：
      1.應對雲端服務業者進行審查以確保提供作業之可靠性、遵法性，
        包括對業務持續性、替代性及集中性之分析。
      2.應具專業技術及資源監督雲端服務業者執行受託作業之說明。
（二）資訊安全及管理：
      1.金融機構對於客戶資料之加密或代碼化、金鑰保管、資料傳輸及
        區隔，以及資料所有權說明。
      2.資料儲存地之管理政策，包括資料處理及儲存於境外時，有關當
        地法律、政治、經濟安定性評估說明，資料備份及得隨時存取資
        料之說明。
（三）金融機構、主管機關及中央銀行，或其指定之人取得雲端服務業者
      處理受託作業資訊之範圍及方式，包括取得客戶資訊及相關系統之
      查核報告，及確保實地查核權力之說明。
（四）緊急應變計畫及退場機制，包括金融機構具有充分資源應變及退場
      之說明。
前項所稱具重大性之作業，係指下列情形之一：
一、受託作業如無法提供服務或有資訊安全疑慮，對金融機構之業務營運
    有重大影響者。
二、受託作業涉及客戶資料安全事件，對金融機構或客戶權益有重大影響
    者。
三、其他對金融機構或客戶權益有重大影響者。
金融機構將作業委託他人處理涉及使用雲端服務，不屬第一項具重大性或
依第十八條將作業委託至境外者，應檢具第一項第三款至第五款之書件，
報經主管機關備查。
外國銀行在臺分行及在臺子銀行作業委託總行、母行或所屬集團之分支機
構及子公司，複委託雲端服務業者處理，應檢具第一項作業委外計畫書，
併同第十八條規定書件向主管機關申請核准，並應依下列規定辦理：
一、總行、母行或所屬集團之分支機構及子公司所在地主管機關對作業委
    託雲端服務業者處理之監理規範不低於我國規定。
二、作業委外計畫書內容，得由其總行、母行或所屬集團之分支機構及子
    公司出具相當性之說明文件代之。

金融機構作業委外不得違反法令強制或禁止規定、公共秩序及善良風俗，
對經營、管理及客戶權益，不得有不利之影響，並應確保遵循銀行法、洗
錢防制法、個人資料保護法、消費者保護法及其他法令之規定。
金融機構辦理作業委外應確實遵守相關法令及銀行公會訂定之相關業務規
章或自律公約及中華民國信用合作社聯合社發布之相關規定。