金融監督管理委員會銀行局金融法規全文檢索查詢系統

金融機構將作業委託他人處理涉及使用雲端服務，應依下列規定辦理：
一、應訂定使用雲端服務之政策及原則，採取適當風險管控措施，並應注
    意作業委託雲端服務業者之適度分散。
二、金融機構對雲端服務業者負有最終監督義務，並應具有專業技術及資
    源，監督雲端服務業者執行受託作業，並得視需要委託專業第三人以
    輔助其監督作業。
三、金融機構得自行委託，或與委託同一雲端服務業者之其他金融機構聯
    合委託具資訊專業之獨立第三人查核，並應符合下列規定：
（一）確認其查核範圍涵蓋雲端服務業者受託處理作業相關之重要系統及
      控制環節。
（二）應評估第三人之適格性，以及其所出具查核報告內容之妥適性並符
      合相關國際資訊安全及隱私保護標準。
（三）應針對金融機構所委託作業範圍進行查核並出具報告。
四、金融機構傳輸及儲存客戶資料至雲端服務業者，應採行客戶資料加密
    或代碼化等有效保護措施，並應訂定妥適之加密金鑰管理機制。
五、對委託雲端服務業者處理之資料應保有完整所有權，除執行受託作業
    外，金融機構應確保雲端服務業者不得有存取客戶資料之權限，並不
    得為委託範圍以外之利用。
六、委託雲端服務業者處理之客戶資料及其儲存地應依下列規定辦理：
（一）金融機構須保有其指定資料處理及儲存地之權利。
（二）境外當地資料保護法規不得低於我國要求。
（三）涉及重大性消費金融業務資訊系統之客戶資料儲存地以位於我國境
      內為原則。如位於境外，除經主管機關核准者外，客戶重要資料應
      在我國留存備份。

108.09.30
一、本條新增。
二、金融機構將作業委託他人處理涉及使用雲端服務情形，係以第三條所定之事項範
    圍為限，其委外模式除金融機構直接委託雲端服務業者，亦包括金融機構之受託
    機構複委託予雲端服務業者處理之情形。
三、鑑於雲端科技之複雜度，金融機構作業委外涉及使用雲端服務者，應充分評估資
    訊安全與保護等風險，以及將多項作業委託同一雲端業服務者處理所衍生之集中
    處理等各項風險，爰於第一款明定金融機構應充分評估受託機構處理之風險，採
    取適當風險管控措施，以確保作業委外處理之品質。
四、考量金融機構作業委託他人處理雖可提升其效率，然對客戶應盡義務不應因作業
    委外而有所降低，爰於第二款規定金融機構對雲端服務業者執行受託業務負有最
    終監督義務，且應具備相當專業技術人員及技能，以對雲端作業進行測試及監控
    ，惟因雲端科技進展快速且具相當複雜性，允許金融機構得視實務需要，委託專
    業第三人輔助其監督雲端作業。
五、金融機構將作業委託他人處理，實為本身作業之延伸，爰為確保金融機構健全經
    營，委外作業仍應與其本身辦理受相當監督標準，爰於第三款規定金融機構、主
    管機關及中央銀行或其指定之人對受託作業具取得資料及實地查核權力。如涉及
    委託至境外，金融機構應依本辦法第十八條第一項及第二項規定，取得受託機構
    所在地金融主管機關同意主管機關查核之書面文件，或由受託機構出具同意主管
    機關查核之同意函。
六、鑒於雲端科技具相當專業複雜度，金融機構對受託機構進行查核，得自行或與其
    他金融機構聯合委託具資訊專業之獨立第三人查核，爰為第四款規定。另為確保
    委託第三人查核之品質，於第一目至第三目規定第三人查核範圍及第三人適格性
    等相關規定。
七、為強化金融機構對客戶資料之保護，於第五款明定，傳輸及儲存客戶資料至雲端
    服務業者，應將客戶資料以加密或代碼化等有效保護措施處理，且金融機構應有
    妥適之加密金鑰管理機制，以利金融機構與雲端服務業者審慎規劃資料保護及加
    密金鑰等強化客戶權益保障措施。
八、金融機構對客戶資訊應有妥適之保護措施，不因作業委託他人處理而影響金融機
    構對資料之所有權，且應確保雲端服務業者除執行受託業務外，不得有存取客戶
    資料之權限，以及不得為委託範圍以外之運用，爰於第六款規定。
九、為確保金融監理權有效行使，及迅速有效處理客戶爭議，爰於第七款規定，金融
    機構委託雲端處理之客戶資料及其儲存地以位於我國境內為原則。客戶資料處理
    地及儲存地如位於境外，境外當地資料保護法規應不得低於我國要求，且金融機
    構應保有指定資料處理地及儲存地之權力，以利評估境外法律及政治等風險後選
    擇妥適地點，確保境外雲端服務功能能與境內服務相當。此外，考量金融機構即
    時處理業務之便利性及金融監理之需要，除經主管機關核准者外，客戶重要資料
    應在我國留存備份。客戶重要資料係指涉及存款、授信、信用卡、匯款及投資等
    客戶重要資料。
十、為確保金融機構不因雲端服務業者發生無法處理受委託作業，導致中斷客戶服務
    情事，爰於第八款規定，金融機構應訂定妥適之緊急應變計畫。此外，金融機構
    亦應就終止或結束委託之情況訂定作業移轉計畫，並應於契約終止時，確保受託
    機構全數刪除或銷毀資料，要求雲端服務業者出具刪除紀錄並予以留存，作為交
    易爭議處理依據。

112.08.25
一、條次變更。
二、第一款酌修文字並增訂金融機構應訂定使用雲端服務之政策及原則。
三、現行條文第三款已於第四條第三項第五款明定，爰予刪除，並配合修正款次。
四、金融機構使用雲端服務處理個人資料，應落實個人資料保護，為確保委託第三人
    查核之品質，於第三款第二目增訂應遵循國際隱私保護標準之規定。
五、考量本次修法採取依風險基礎方法管理整體委外風險，調整雲端委外須申請核准
    之範圍為重大性消費金融業務資訊系統委託至境外之情形，爰修正第六款，俾與
    第十八條應申請核准之範圍，作一致性之規範。
六、金融機構將客戶資料或其程式、資料庫與作業系統之備份檔案儲存於境外公有雲
    進行冷備份加密儲存，已於前條立法說明八釐清，無須依第十八條第一項規定向
    主管機關申請核准，亦不適用第六款第三目規定。
七、現行條文第八款之內容已於第八條第三款明定，爰予刪除。