|
第 2 條
|
金融機構將作業委託他人處理(以下簡稱為委外),應簽訂書面契約,並
依本辦法辦理,但涉及外匯作業事項並應依中央銀行有關規定辦理。
本辦法適用之金融機構,包括本國銀行及其國外分行、外國銀行在臺分行
、信用合作社、票券金融公司及信用卡業務機構。
|
|
第 4 條
|
金融機構作業委外應在不影響健全經營、客戶權益及相關法令遵循之原則
下,依董(理)事會核定之委外內部作業規範辦理。但外國金融機構在臺
分支機構(包括外國銀行在臺分行及外國信用卡公司)之核定,得由經總
機構授權之人員為之。
前項所稱委外內部作業規範應載明下列事項:
一、作業委外之政策及原則,包括委外之決策評估、風險管理機制、核決
層級及治理架構。
二、專責單位及相關單位對委外事項控管之權責分工。
三、委外事項範圍及委外程序。
四、客戶權益保障之內部作業及程序。
五、風險管理原則及作業程序。
六、內部控制原則及作業程序。
七、其他委外作業事項及程序。
金融機構對於作業委外負最終責任,應就委外事項之風險程度、重大性及
對營運及客戶權益影響進行評估,依風險基礎方法採取適當之控管措施,
並依下列規定辦理:
一、董(理)事會應認知作業委外之風險,定期監督委外事項執行情形。
二、應確保專責單位及相關單位對於控管委外事項具備充足之資源、專業
及權限。
三、應辨識、評估及管理具重大性之作業委外,訂定相關程序及政策,確
保委外作業對金融機構正常營運或客戶權益有重大影響者,訂定強化
之控管及緊急應變措施。
四、應有適當之盡職調查及定期審查程序以確認受委託機構具備執行受託
作業之專業知識與資源、財務健全、內部控制及資安管理機制及符合
法規要求。
五、應確保金融機構本身、主管機關及中央銀行,或其指定之人能取得受
委託機構就受託事項範圍之相關資料或報告,及進行金融檢查或查核
,或得命令受委託機構於限期內提供相關資料或報告。
前項規定於外國金融機構在臺分支機構之適用,得由總機構或經其授權之
區域總部負責及辦理。但專責單位仍應由外國金融機構在臺分支機構人員
辦理,並充分掌握總機構或經其授權之區域總部對在臺作業委外事項之控
管情形。
本辦法所稱之重大性,係指下列情形之一:
一、委外作業無法提供服務或有資訊安全疑慮,對金融機構之業務營運有
重大影響者。
二、委外作業涉及客戶資料安全事件,對金融機構或客戶權益有重大影響
者。
三、其他委外作業對金融機構或客戶權益有重大影響者。
|
|
第 5 條
|
金融機構辦理第三條第一項第二十款其他經主管機關核定事項之委外,應
檢具下列書件向主管機關申請核准:
一、依前條第二項訂定之委外內部作業規範。
二、董(理)事會決議之議事錄。但外國金融機構在臺分支機構得由經總
機構授權人員出具同意書為之。
三、委外對營運之必要性及適法性分析、委外事項之風險程度、重大性及
對營運及客戶影響之評估情形、對受委託機構盡職調查情形及委外風
險控管措施。
四、作業流程。
五、其他經主管機關指定事項。
前項經主管機關核定為得委外之作業項目後,其他金融機構得逕依委外內
部作業規範辦理。
|
|
第 6 條
|
第四條第二項第二款規定之專責單位應執行之事項如下:
一、依第四條規定訂定之委外內部作業規範控管委外事項。
二、就委外事項涉及客戶權益保障、風險管理及內部控制作業之監督,並
定期評估檢討將結果呈報董(理)事會或外國金融機構在臺分支機構
之總機構授權人員,若有重大異常或缺失亦應儘速通報主管機關及中
央銀行。
三、督導受委託機構內部控制及內部稽核制度之建立及執行。
四、訂定並執行遴選受委託機構之作業辦法,且應注意委外事項係受委託
機構合法得辦理之營業項目。
專責單位應定期至財團法人金融聯合徵信中心所建置受委託機構暨員工登
錄系統查詢相關資料,並留存查詢紀錄備查,以作為金融機構作業委外執
行本身內部控制制度及管理督導受委託機構建立內部控制制度之一環。
|
|
第 7 條
|
第四條第二項第四款規定金融機構訂定之委外內部作業規範有關客戶權益
保障之內部作業及程序,其內容應包括:
一、如涉及客戶資訊者,應於契約簽訂時訂定告知客戶之條款;其未定有
告知條款者,金融機構應書面通知客戶委外事項,並應依個人資料保
護法之規定辦理。
二、客戶資訊提供之條件範圍及其移轉之程序方法。
三、對受委託機構使用、處理、控管前款客戶資訊之監督方法。
四、訂定客戶糾紛處理程序及時限,並設置協調處理單位,受理客戶之申
訴。
五、其他客戶權益保障之必要措施。
金融機構作業委外如因受委託機構或其受僱人員之故意或過失致客戶權益
受損,仍應對客戶依法負同一責任。
|
|
第 8 條
|
第四條第二項第五款規定金融機構訂定之委外內部作業規範有關風險管理
原則及作業程序,其內容應包括:
一、建立作業委外風險與效益分析之制度。
二、建立足以辨識、衡量、監督及控制委外相關風險之程序或管理措施:
(一)評估委外事項之風險程度、重大性及對業務影響程度。
(二)確保金融機構及受委託機構具備足夠之專業知識與資源。
(三)考量相關風險因素,進行委外作業風險等級之評估,及降低風險之
適當措施。
(四)定期評估風險等級,確保風險等級之更新。
(五)辦理具重大性之委外事項依風險情境進行定期或不定期測試或演練
。
三、訂定緊急應變計畫及終止委託之移轉機制。
|
|
第 9 條
|
第四條第二項第六款規定金融機構訂定之委外內部作業規範有關內部控制
原則及作業程序,其內容應包括:
一、訂定並執行委外事項範圍之監督管理作業程序。
二、前款作業程序應納入金融機構整體內部控制及內部稽核制度內執行。
三、監督受委託機構內部控制及內部稽核制度之建立及執行。
|
|
第 10 條
|
金融機構作業委外契約應載明下列事項:
一、委外事項範圍及受委託機構之權責。
二、金融機構應要求受委託機構配合遵守第二十一條規定。
三、消費者權益保障,包括客戶資料保密及安全措施。
四、受委託機構應依金融機構監督訂定之標準作業程序,執行消費者權益
保障、風險管理、內部控制及內部稽核制度。
五、消費者爭端解決機制,包括解決時程、程序及補救措施。
六、受委託機構聘僱人員之管理,包括人員晉用、考核及處分等情事。
七、與受委託機構終止委外契約之重大事由,包括主管機關通知依契約終
止或解約之條款。
八、受委託機構就受託事項範圍,同意主管機關及中央銀行得取得相關資
料或報告,及進行金融檢查,或得命令其於限期內提供相關資料或報
告。
九、受委託機構對外不得以金融機構名義辦理受託處理事項,亦不得進行
不實廣告或於辦理貸款行銷作業時向客戶收取任何費用。
十、受委託機構對委外事項若有重大異常或缺失應立即通知金融機構。
十一、其他約定事項。
金融機構應於契約中要求受委託機構非經金融機構書面同意,不得將作業
複委託。委外契約中應針對複委託情形,訂明複委託之範圍、限制或條件
。複委託契約應準用本條規定訂定之。
委外契約或複委託契約與本辦法規定不符者,金融機構得按原契約繼續辦
理至契約期限到期為止;惟契約未定有期限者,應於本辦法發布施行起六
個月內補正,否則該契約自動終止。
|
|
第 11 條
|
金融機構辦理信用卡發卡業務及車輛貸款以外之消費性貸款之行銷之委外
,應委託其持股百分之百或具百分之百控制力之行銷公司辦理。但金融機
構及行銷公司符合下列條件者,金融機構得委託持股非百分之百之行銷公
司辦理信用卡發卡業務之行銷作業:
一、該行銷公司僅單獨辦理信用卡行銷業務一項。
二、該行銷公司只接受一家發卡金融機構委託,且不得再委外或轉包其他
事業或個人。
三、金融機構經檢視過去委託該行銷公司辦理信用卡行銷收件之品質良好
。
四、金融機構應每季提出對該行銷公司之實地查核報告,並包括對該公司
送件品質之評估。
金融機構辦理本條作業委外,應要求受委託之行銷公司不得以給予贈品或
獎品或於街頭、騎樓設攤之方式行銷。
金融機構辦理信用卡發卡業務之行銷之委外者,應要求受委託之行銷公司
依信用卡業務機構管理辦法相關行銷規定辦理。
|
|
第 12 條
|
金融機構辦理應收債權催收作業之委外,所委託之催收程序行為樣態、通
知書函等應依中華民國銀行商業同業公會全國聯合會(下稱銀行公會)範
本制定,該通知書函範本並應經律師審閱無違反本辦法及其他相關法令之
虞後,送主管機關備查。
|
|
第 13 條
|
金融機構辦理應收債權催收作業之委外,應事先確認受委託機構具備下列
資格條件:
一、受委託機構應為下列其中之一:
(一)依公司法或商業登記法辦理登記並取得主管機關核發載有辦理金融
機構金錢債權管理服務業務之公司登記證明文件或商業登記證明文
件之公司。
(二)所屬金融控股公司或該銀行直接或間接百分之百持股,依金控公司
(銀行)轉投資資產管理公司營運原則第二點第一款規定,接受母
公司委託辦理應收債權催收之資產管理公司。
(三)依法設立之律師事務所。
(四)依法設立之會計師事務所。
二、受委託機構虧損未達實收資本額三分之一者。但虧損超過實收資本額
三分之一,如已依相關規定完成增資程序者,不在此限。
三、受委託機構之催收人員應完成銀行公會或其認可之機構舉辦有關催收
專業訓練課程或測驗並領有合格證書者,且無下列情事之一之人員:
(一)曾犯刑法、組織犯罪防制條例、槍砲彈藥刀械管制條例等所定相關
暴力犯罪,經判刑確定或通緝有案尚未結案者。
(二)受破產之宣告尚未復權者。
(三)使用票據經拒絕往來尚未期滿或有其他債信不良紀錄尚未了結者。
(四)無行為能力、限制行為能力或受輔助宣告尚未撤銷者。
(五)違反本辦法或其他法令而離職,並經金融機構報送財團法人金融聯
合徵信中心登錄者。
四、受委託機構之催收人員未完成銀行公會或其認可之機構舉辦有關催收
專業訓練課程或測驗並領有合格證書者,應於任職後兩個月內補正。
五、受委託機構之負責人應無銀行負責人應具備資格條件兼職限制及應遵
行事項準則第三條第一項第一款至第十一款所述情形,並出具相關之
聲明書。
六、受委託機構具有為承辦受託事務所需之完備電腦作業處理設備,相關
作業人員之電話須裝設錄音系統,錄音系統須與電腦系統配合可即時
調閱錄音,以供稽核或遇爭議時查證之用,需所有電話暨外訪時均予
以錄音並製作備份且至少保存六個月以上,其錄音紀錄不得有刪除或
竄改之情形。
|
|
第 15 條
|
金融機構與受委託催收機構訂定應收債權催收作業之委外契約除須符合第
十條規定外,契約中應包括下列事項:
一、訂定受委託機構之工作準則,其內容至少應包括不得有第十四條所列
各項禁止催收行為,受委託機構應明定解聘或懲罰違反相關規定員工
之標準。
二、禁止複委託他人代為處理債權催收。
三、受委託機構應定期或隨時向金融機構回報債權催收處理、客戶申訴處
理等情形;受委託機構及員工於內部管理或催收作業等有違反法規之
情形時,應將相關案情立即回報金融機構。
四、受委託機構於聘僱人員時,應取得該受僱人員書面同意金融機構及財
團法人金融聯合徵信中心得蒐集、處理及利用其個人資料。
五、受委託機構應將違反第十四條各款規定而離職之人員資料提供金融機
構報送財團法人金融聯合徵信中心予以登錄,登錄資料應包括:
(一)基本資料。
(二)離職日期。
(三)離職原因。
六、金融機構委任受委託機構時,應將受委託機構基本資料報送財團法人
金融聯合徵信中心,受委託機構如有違反本辦法或其他法令規定而終
止契約時,同意由金融機構報送財團法人金融聯合徵信中心予以登錄
,登錄資料應包括:
(一)受委託機構基本資料。
(二)簽訂契約及終止契約日期。
(三)違反本辦法或其他法令事由。
|
|
第 16 條
|
金融機構辦理應收債權催收作業之委外,應符合下列各款規定:
一、應注意受催收債務人或第三人申訴情形,應定期、適時向財團法人金
融聯合徵信中心所建置受委託機構暨員工登錄系統查詢相關資料,如
有達依委外契約規定受委託機構應解聘不適任員工標準,及金融機構
應終止與受委託機構契約之重大事由時,應依本辦法及委外契約規定
辦理。
二、所委託之受委託機構及員工,經其他金融機構依據前條第五款及第六
款情形報送財團法人金融聯合徵信中心登錄在案者,如未構成解約重
大事由時,金融機構應加強對該受委託機構之查核頻率及範圍。
三、受委託機構因有違反第十四條各款情事,致債務人無法接受受委託機
構對其債務之催收,而直接向金融機構洽商債務之清償事宜時,金融
機構應受理並積極處理。
四、如發現受委託機構或其受僱人員,於所委託之業務涉有暴力、脅迫、
恐嚇討債等情事時,應報請治安單位處理。
五、不得提供對債務履行無法律上義務者之資料予受委託機構。
六、債權委外催收前應書面通知債務人,通知內容包含受委託機構名稱、
催收金額、催收錄音紀錄保存期限、金融機構申訴電話,及第十四條
各款之行為。
七、應將其受委託機構基本資料公佈於金融機構營業場所及網站,以利債
務人核對催收機構之相關資料。
八、受委託機構之催收行為,如涉有暴力情事經移送檢調機關者,金融機
構得視情節輕重終止委託;經起訴者,應立即終止委託。
|
|
第 17 條
|
金融機構將作業項目委託至境外處理者,應依下列規定辦理:
一、應充分瞭解及掌握受委託機構對客戶資訊之使用、處理及控管情形。
二、提供予受委託機構之客戶資訊僅限與受託事項直接相關之必要資訊。
三、應要求受委託機構確實遵守以下事項:
(一)金融機構之客戶資訊僅限由受委託機構之獲授權人員於受託事項範
圍內使用及處理。
(二)金融機構之客戶資訊應與受委託機構及其處理他機構之資料有明確
區隔。
(三)受委託機構處理之金融機構客戶資訊應能及時提供予主管機關及金
融機構。
四、應依風險基礎方法定期及不定期就受委託機構對客戶資訊之使用、處
理及控管情形進行查核及監督;相關查核得委由外部稽核辦理,外國
金融機構在臺分支機構得交由總機構或經總機構授權之區域總部稽核
單位辦理,相關單位並應提供相關查核報告予該外國金融機構在臺分
支機構。
五、受委託機構所在地金融主管機關請求提供我國客戶資訊時,金融機構
應先將事由通知我國主管機關並取得同意後始得提供。
外國金融機構在臺分支機構因內部分工將作業交由總機構或國外分支機構
處理者,應依前項規定辦理。
|
|
第 18 條
|
金融機構辦理作業委外,涉及重大性消費金融業務資訊系統委託至境外處
理,應檢具下列書件向主管機關申請核准:
一、依第四條第二項訂定之委外內部作業規範。
二、董(理)事會決議之議事錄。但外國金融機構在臺分支機構得由經總
機構授權人員出具同意書為之。
三、委外對營運之必要性及適法性分析,其中應包含對受委託機構遵守我
國客戶資料保護相關規定之評估。
四、作業委外計畫書,其內容應包括:
(一)風險評估及管理機制:
1.委外事項之風險程度、重大性及對營運及客戶權益影響之評估情
形。
2.受委託機構盡職調查情形,確保提供作業之可靠性、遵法性,其
中可靠性應包括對業務持續性、替代性及集中性之分析。
3.應具專業技術及資源,監督受委託機構執行受託作業之說明。
4.日常監督機制之計畫及執行單位。
(二)客戶資訊保護措施及是否已取得客戶同意,以確保委外服務品質及
客戶權益保障之說明。
(三)資訊安全及管理:
1.資料安全管理措施、資料傳輸及區隔,以及資料所有權說明。
2.資料儲存地之管理政策,包括資料處理地及儲存地之法律、政治
、經濟安定性評估說明,資料備份及得隨時存取資料之說明。
(四)緊急應變計畫,包括受委託機構發生無法提供服務情事或服務中斷
之營運備援計畫。
五、受委託機構出具之同意函或委外契約,同意必要時得由金融機構指定
之人,對受託事項進行查核。上開指定之人亦得由我國主管機關指派
之,其費用由金融機構負擔。
六、受委託機構出具近三年內未發生造成客戶權益受損或影響機構健全營
運之人員舞弊、資通安全及其他事件之聲明書。
金融機構辦理前項委外,除應符合前條規定外,並應依下列規定辦理:
一、應就受委託機構對客戶資訊之使用、處理及控管情形確認符合我國個
人資料保護法相關規定,留存完整稽核紀錄,並列為重點查核項目。
二、應定期評估成本效益與集團內費用分攤之合理性並報董(理)事會通
過。
三、對資訊系統之安全檢測應不低於主管機關或銀行公會之規範。
四、每年至少應辦理一次一般性查核及一次專案查核,並應於每年年度終
了後四個月內將當年度辦理跨境委外查核報告提報董(理)事會報告
。前述查核之執行得委託具資訊專業之獨立第三人辦理。
五、應建立受委託機構發生無法提供服務情事或服務中斷之營運備援計畫
。
六、應於契約中載明於委外作業移轉至其他受委託機構或移回金融機構之
情況,原受委託機構有關系統遷移、資料處理之義務,及受委託機構
服務中斷之賠償責任。
外國金融機構在臺分支機構因內部分工將作業交由總機構或國外分支機構
處理者,應依第一項規定辦理。
|
|
第 19 條
|
金融機構將作業委託他人處理涉及使用雲端服務,應依下列規定辦理:
一、應訂定使用雲端服務之政策及原則,採取適當風險管控措施,並應注
意作業委託雲端服務業者之適度分散。
二、金融機構對雲端服務業者負有最終監督義務,並應具有專業技術及資
源,監督雲端服務業者執行受託作業,並得視需要委託專業第三人以
輔助其監督作業。
三、金融機構得自行委託,或與委託同一雲端服務業者之其他金融機構聯
合委託具資訊專業之獨立第三人查核,並應符合下列規定:
(一)確認其查核範圍涵蓋雲端服務業者受託處理作業相關之重要系統及
控制環節。
(二)應評估第三人之適格性,以及其所出具查核報告內容之妥適性並符
合相關國際資訊安全及隱私保護標準。
(三)應針對金融機構所委託作業範圍進行查核並出具報告。
四、金融機構傳輸及儲存客戶資料至雲端服務業者,應採行客戶資料加密
或代碼化等有效保護措施,並應訂定妥適之加密金鑰管理機制。
五、對委託雲端服務業者處理之資料應保有完整所有權,除執行受託作業
外,金融機構應確保雲端服務業者不得有存取客戶資料之權限,並不
得為委託範圍以外之利用。
六、委託雲端服務業者處理之客戶資料及其儲存地應依下列規定辦理:
(一)金融機構須保有其指定資料處理及儲存地之權利。
(二)境外當地資料保護法規不得低於我國要求。
(三)涉及重大性消費金融業務資訊系統之客戶資料儲存地以位於我國境
內為原則。如位於境外,除經主管機關核准者外,客戶重要資料應
在我國留存備份。
|
|
第 20 條
|
金融機構辦理下列委外事項者,不適用第十七條至前條規定:
一、將其國外分支機構之作業項目委外辦理者。
二、委託境外機構辦理位於境內資訊系統之開發及維護者。
|
|
第 22 條
|
金融機構作業委外,主管機關及中央銀行得取得相關資料或報告,並進行
金融檢查。
受委託機構如有違反本辦法或其他法令之情形時,主管機關得視情節輕重
,通知委託金融機構依契約規定終止委託、要求其限期改善,或暫停委託
直至受委託機構確認改善為止。
|
|
第 23 條
|
金融機構作業委外,如有未符本辦法規定事項,除本辦法另有規定外,應
於本辦法發布施行起一年內補正。
|