金融監督管理委員會銀行局金融法規全文檢索查詢系統

金融機構辦理作業委外，涉及重大性消費金融業務資訊系統委託至境外處
理，應檢具下列書件向主管機關申請核准：
一、依第四條第二項訂定之委外內部作業規範。
二、董（理）事會決議之議事錄。但外國金融機構在臺分支機構得由經總
    機構授權人員出具同意書為之。
三、委外對營運之必要性及適法性分析，其中應包含對受委託機構遵守我
    國客戶資料保護相關規定之評估。
四、作業委外計畫書，其內容應包括：
（一）風險評估及管理機制：
      1.委外事項之風險程度、重大性及對營運及客戶權益影響之評估情
        形。
      2.受委託機構盡職調查情形，確保提供作業之可靠性、遵法性，其
        中可靠性應包括對業務持續性、替代性及集中性之分析。
      3.應具專業技術及資源，監督受委託機構執行受託作業之說明。
      4.日常監督機制之計畫及執行單位。
（二）客戶資訊保護措施及是否已取得客戶同意，以確保委外服務品質及
      客戶權益保障之說明。
（三）資訊安全及管理：
      1.資料安全管理措施、資料傳輸及區隔，以及資料所有權說明。
      2.資料儲存地之管理政策，包括資料處理地及儲存地之法律、政治
        、經濟安定性評估說明，資料備份及得隨時存取資料之說明。
（四）緊急應變計畫，包括受委託機構發生無法提供服務情事或服務中斷
      之營運備援計畫。
五、受委託機構出具之同意函或委外契約，同意必要時得由金融機構指定
    之人，對受託事項進行查核。上開指定之人亦得由我國主管機關指派
    之，其費用由金融機構負擔。
六、受委託機構出具近三年內未發生造成客戶權益受損或影響機構健全營
    運之人員舞弊、資通安全及其他事件之聲明書。
金融機構辦理前項委外，除應符合前條規定外，並應依下列規定辦理：
一、應就受委託機構對客戶資訊之使用、處理及控管情形確認符合我國個
    人資料保護法相關規定，留存完整稽核紀錄，並列為重點查核項目。
二、應定期評估成本效益與集團內費用分攤之合理性並報董（理）事會通
    過。
三、對資訊系統之安全檢測應不低於主管機關或銀行公會之規範。
四、每年至少應辦理一次一般性查核及一次專案查核，並應於每年年度終
    了後四個月內將當年度辦理跨境委外查核報告提報董（理）事會報告
    。前述查核之執行得委託具資訊專業之獨立第三人辦理。
五、應建立受委託機構發生無法提供服務情事或服務中斷之營運備援計畫
    。
六、應於契約中載明於委外作業移轉至其他受委託機構或移回金融機構之
    情況，原受委託機構有關系統遷移、資料處理之義務，及受委託機構
    服務中斷之賠償責任。
外國金融機構在臺分支機構因內部分工將作業交由總機構或國外分支機構
處理者，應依第一項規定辦理。

095.09.18
一、鑒於目前金融機構作業委外項目，實務上確有將部分作業委託其海外總機構、分
    支機構或其他海外機構辦理者，基於金融監理及確保客戶權益考量前提下，參酌
    以往本會核准金融機構作業委託至海外申請案核准函之加註條件，訂明金融機構
    作業委託國外機構辦理之相關配套措施。
二、另考量我國尚未正式與其他國家簽署合作備忘錄（MOU ），就外交關係及金融合
    作監理，確有其實務執行上之困難，而金融機構為提升其競爭力，降低作業成本
    ，作業委外儼然為未來國際分工之發展趨勢。準此，為確立本國之監理權限並兼
    具考量金融機構業務發展需要之彈性考量，爰於第二項規定得由受委託機構出具
    同意函，同意必要時由金融機構或主管機關指定之人，例如會計師、律師等，對
    其進行受託事項範圍內查核之彈性條款。

101.02.08
一、文字修正。
二、考量各國監理實務做法不一，各國主管機關所出具之文件名稱亦有所不同，爰將
    第一項第一款有關金融機構應取得之「國外主管機關同意監理合作之同意函」，
    修正為「受委託機構所在地金融主管機關書面確認文件」，以增加彈性，俾利金
    融機構遵循。
三、為確保金融機構將作業委託至境外後，主管機關仍可取得金融監理所需相關資料
    ，爰增加第一項第一款第二目之「該主管機關同意我國主管機關得要求受委託機
    構提供與受託事項相關之資料」項目；原第一項第一款第二目及第三目則配合前
    項修正分別調整至第三目及第四目。
四、為保障我國客戶權益，爰增加第一項第一款第五目之「該主管機關同意不會取得
    我國客戶資訊，如為執行其監理職權而須取得時，應事先通知我國主管機關」項
    目。
五、為強化對作業跨境委外之審查及管理，於第一項增訂「委外內部作業規範」、「
    董（理）事會決議之議事錄」及「委外對營運之必要性及適法性分析」等作業跨
    境委外應檢附之申請書件，並於該項第六款額外要求外國銀行在台分行應取得總
    行或經總行授權之區域總部出具之承諾書；原第一項第二款順移至第五款。
六、金融機構如因受委託機構非屬金融機構而無法取得受委託機構所在地金融主管機
    關之書面確認文件者，我國主管機關有必要進一步強化對相關委外案件之審查及
    管理，爰於第二項增加金融機構應檢附相關書件內容，以確實掌握受委託機構所
    在地對客戶資訊之保護程度及受委託機構營運之健全情形。
七、第二項第二款對受委託機構之內部控制制度及相關作業程序之審查，其內容至少
    應包括法令規範之遵循、軟硬體設施管理、組織架構、人員管理、作業流程、稽
    核作業、安控作業及備援機制等。
八、第二項第三款受委託機構所在地對客戶資訊之保護不低於我國之法律意見書，係
    考量委外之我國客戶資料仍屬我國客戶及金融機構所有，受委託機構應遵守我國
    客戶資料保護相關法律之規定，故該法律意見書之評估重點在於檢視受委託機構
    所在地之法律環境對我國客戶資料之保護程度是否不低於我國，以確保作業跨境
    委外後，相對於作業於境內辦理，對於客戶權益之保障並無減損。
九、外國銀行在台分行因內部分工而將作業交由總行或國外分支機構處理者，因涉及
    銀行跨境資料傳輸、跨境金融監理合作等監理議題，應依本辦法相關規定辦理，
    爰新增第三項規定明定外國銀行在台分行如有相關作業委外亦應依第一項及第二
    項規定申請。
十、為強化客戶權益保障，爰新增本條第四項，規定受委託機構所在地金融主管機關
    請求提供我國客戶資訊時，金融機構應先將事由通知我國主管機關並取得同意後
    始得提供，以確保我國客戶資料之安全性。
十一、本國銀行係依據我國法律組織登記之國內銀行，應具有在境內提供客戶即時、
      完整、正確服務之能力；銀行消費金融業務服務對象係我國一般社會大眾，對
      我國客戶權益及財產權影響重大，為降低資訊系統集中境外及資料國際傳輸所
      衍生之風險，並強化對客戶個人資料之保護，爰於第五項明定本國銀行不得將
      消費金融業務相關資訊系統之資料登錄、處理、輸出等事項委託至境外辦理，
      應在境內建置相關資訊系統。
十二、第五項所稱消費金融業務相關系統包含消金核心業務系統（個人客戶之存款、
      放款、匯款業務、相關會計及帳務處理）、信用卡業務系統（發卡、收單、帳
      務處理、風險管理）、金融商品銷售業務系統（各項投資理財業務、客戶關係
      管理、客戶分級管理）、消金授信管理系統、電話銀行服務、催收作業管理系
      統及信託業務管理系統等資訊系統。
十三、部分本國銀行目前並未在境內建置相關資訊系統，考量相關資訊系統建置須相
      當之規劃及作業時間，爰於本條第六項規定不符第五項規定者之法規調整期，
      要求相關銀行應於四年內調整至符合規定。

103.05.09
一、為配合我國積極與其他國家洽簽雙邊自由貿易協定，暨推動加入跨太平洋夥伴協
    議與區域全面經濟夥伴關係等國際區域整合之重大政策，並在確保資訊安全有效
    控管之原則下，爰參考各國規範及銀行實務情形，研議檢討相關規定。
二、修正第五項：
（一）明定本國銀行符合一定資格條件，得檢具相關書件，向本會申請核准後，將消
      費金融業務相關資訊系統委託至境外辦理，爰新增第五項第一款至第四款規定
      之書件。
（二）第五項第一款所稱我國資訊安全標準係指中華民國銀行商業同業公會全國聯合
      會修訂之「金融機構資訊系統安全基準」。
（三）第五項第一、二款所稱之獨立第三人係指除外國銀行在臺子行之國外母行或其
      所屬集團以外之獨立第三人（如會計師事務所）。
（四）第五項第二款第二目所稱天然災害係指如：地震、水災、火災、風災等。
（五）為達到有效監督委外作業之目的，並強化銀行內部對消費金融業務相關資訊系
      統之監督管理責任，爰於第五項第三款規定金融機構應建置日常監督機制。
（六）第五項第三款第二目所稱非例行性作業檢核項目，係指本國銀行除訂定客戶資
      料存取情形、系統權限設定等一般查核作業外，應另就各種情境（例如參考國
      外或其他銀行案例發生舞弊或控管缺失之情形等），擬訂非例行性作業之監督
      及控管機制。
（七）主管機關檢查曾發現部分本國銀行委外前，未能落實辦理事前與定期成本效益
      評估，爰於第五項第四款規定銀行應將詳細成本效益與集團內費用分攤合理性
      之評估報告提報董事會通過。
三、新增第六項第一款至第三款，明定本國銀行將消費金融資訊系統委託至境外辦理
    所應具備之資格條件。
四、原第六項則配合調整至第七項並修正，明定本辦法修正施行前已將消費金融資訊
    系統委託至境外者，應依本條規定辦理之調整期限。
五、新增第八項：明定本國銀行若未能取得本會核准，則應於調整期屆滿二年內將消
    費金融資訊系統移回境內辦理。

112.08.25
一、金融機構將作業項目委託至境外處理，應依委外內部作業規範經金融機構內部程
    序核決後辦理。考量消費金融業務資訊系統如委託至境外處理，對金融機構營運
    及客戶權益有重大影響，須採較審慎之控管標準。另考量金融機構作業分工細密
    ，非所有消費金融業務資訊系統之委外均有相同風險，而須採取相同控管標準，
    爰增加重大性之要件，作為金融機構應向主管機關申請核准之標準。參考現行條
    文第五項規定，修正第一項應向主管機關申請之範圍。
二、消費金融業務一般係指金融機構為個人客戶提供的金融服務，包括存款、放款、
    匯款、信用卡、金融商品銷售等業務。爰第一項所稱之消費金融業務資訊系統係
    為處理前揭消費金融業務相關作業流程之資訊系統。
三、有關調整申請文件部分，部分申請書件經金融機構反映在實務上取得有困難，爰
    整合現行條文第十九條之二第一項第五款所定委外計畫書之內容，明定於第一項
    第四款，並配合刪除現行條文第一項及第二項相關應備書件。
四、參考現行條文第十九條第三項規定，於第二項訂定「涉及重大性消費金融業務資
    訊系統委託至境外處理」之強化規定，要求金融機構妥適控管前揭作業委外之客
    戶資訊、成本效益之合理性、資料控管、查核頻率、備援計劃及契約應記載事項
    等。
五、外國金融機構在臺分支機構如涉及重大性消費金融業務資訊系統委託至境外處理
    ，應依第一項規定提出申請。但考量外國金融機構在臺分支機構之營運架構及規
    模與本國金融機構有別，其對相關資訊系統之管理多由其海外總行或國外分支機
    構處理，故外國金融機構在臺分支機構尚無第二項之適用。
六、現行條文第四項規定移列至第十七條第一項第五款，爰予刪除。
七、有關現行條文第五項至第八項規定，主係一百零三年修正本辦法時，為處理外國
    銀行在臺子銀行得將消費金融系統委託至境外辦理之相關規定，該等外國銀行在
    臺子銀行就消費金融系統相關委外事項之申請程序均已完成，並已整合於第一項
    規定，爰予刪除。
八、如金融機構僅將客戶資料或其程式、資料庫與作業系統之備份檔案儲存於境外公
    有雲進行冷備份加密儲存（無法在雲端中直接使用，須在特定系統環境中還原方
    可應用），並不涉及「資訊系統」之運作或資料還原運用，對於系統之正式、備
    援環境的運行並無影響，無須依第一項規定向主管機關申請核准。惟金融機構仍
    應依該資料境外備份事項是否具重大性，採適當管控措施。如係於境外雲端建置
    備援系統，具有雲端還原機制及回復業務運作功能，尚屬「重大性消費金融業務
    資訊系統委託至境外處理」，應依第一項規定申請核准。