快速了解金融上雲鬆綁重點QA

今年8月，金管會正式發布了新版金融機構委外辦法，修正部分條文，大幅鬆綁金融上雲的規範，大大簡化了金融機構上雲的申請流程，但是，新版規範不僅僅是鬆綁，還增加了不少規範，我們整理出金融上雲規範大鬆綁的QA，讓你快速掌握新版辦法的重點。

 Q  這次金融上雲規範大鬆綁有哪些重點?

 A  共三大重點，第一，明定金融機構要以風險基礎方法管理委外作業，以風險高低採取適當管理措施。其次也簡化了委外流程，取消跨境委外一律須申請核准的規範，開放金融機構能以首案通過的方式，辦理金管會核定的其他委外項目，最後一項則是強化監理措施，金管會可視情節要求金融機構終止上雲委託。

 Q  上雲委外申請如何大鬆綁?只剩哪些項目必須申請?

 A  新版委外辦法區分出三種上雲申請流程，第一，金融機構將重大性消金系統委託至境外，須向金管會申請核准；第二，新型態委外項目若已有首案核定通過，其他金融機構就可逕行辦理，不用申請，反之，則須要經過核准；第三，金融機構辦理金管會明列的19項一般委外項目，包括資料處理和電子客戶服務等，不用申請。

新型態委外項目若尚無首案通過，金管會將以委外項目是否有重大風險或監理考量做為評估標準，因此，金融機構需要提出風險控管相關文件，例如，委外項目風險程度、重大性評估和對受委託機構盡職調查情形等。

這次修法針對上雲申請範圍進行大幅鬆綁，境內委外不再受重大性項目需申請核准的規範，跨境委外也僅剩重大性消金業務系統須經過申請核准。

 Q  如何界定重大性的消金業務系統？

 A  消金業務是金融機構為個人客戶提供的金融服務，包括存款、放款、匯款、信用卡、金融商品銷售等業務。而在處理前述業務的資訊系統中，委外作業若有服務中斷或資安疑慮，而對金融機構業務營運有重大影響，或有涉及客戶資料安全事件，而對金融機構或客戶權益有重大影響，亦或是其它對金融機構或客戶權益有重大影響的委外作業，都視為重大性。金管會未來將在問答集中增列金融機構判斷委外作業是否具重大性的舉例，供金融機構判斷。

 Q  消金系統採雲端備份或在境外雲端建置備援系統，須申請核准嗎？

 A  資料備份不須經過申請核准，但建置備援系統須要。新版辦法說明，金融機構將客戶資料或其程式、資料庫與作業系統的備份儲存在境外公有雲，進行冷備份加密儲存時，不須向金管會申請核准。意即，若客戶資料相關備份檔案儲存在境外公有雲時，無法直接在雲端中使用，而是要在特定系統中還原才可以使用，不影響系統正式、備援環境運行，就不需要經過金管會申請核准。反之，若是直接在境外雲端建置備援系統，具有雲端還原機制和回復業務運作的功能，就需要向金管會申請核准才可使用。

 Q  境外資料儲存、處理地變更時，金融機構如何辦理?

 A  委外作業內容和受託機構皆不變，僅變更境外資料儲存、處理地時，金融機構不再需要提供儲存地變更原因、資安及查核權力等說明文件，只要依規範更新作業委外項目的申報資訊，例如委外項目的內容及範圍等資料，並另行評估新增或變更的國家對客戶資訊的保護情形。

 Q  新版委外上雲增加哪些內控管理需求?

 A  規範金融機構要訂定使用雲端服務的政策及原則，並增訂第三方查核報告需符合國際隱私保護標準，要求金融機構落實個人資料保護。

 Q  金融機構是否能以雲端業者提供的資安國際標準認證辦理第三方查核報告？

 A  可以，但個別金融機構仍應就各自的委外作業項目及雲端應用情形，依風險基礎方法進行查核，並分別提供查核報告。

 Q  金融機構的內部委外辦法需要因應新辦法進行哪些調整？

 A  金融機構要在內部委外規範中建立有效的分層治理架構、風險評估架構和內控機制，例如，金融機構應在內部委外規範中載明風險管理措施，包括評估委外風險、降低風險的適當措施、訂定風險評估更新的機制、針對重大性委外風險情境進行測試或演練。

這次修法放寬了重大性委外項目上雲須經核准的規範，因此辦法中也明列，金融機構應辨識、評估及管理具重大性的委外作業。不只受委託機構，金融機構也要確保內部人員具有足夠的專業知識，能夠衡量、監督和控制委外風險。

金融機構也要訂定終止委託的移轉機制，確保能順利移轉至其他受委託機構，或移回自行處理，並確保原受委託機構留存的資料全數刪除或銷毀，留存刪除或銷毀的紀錄。

 Q  測試或演練是否可由受委託機構辦理並提供結果？

 A  可以，但考量委外風險管理屬金融機構和受委託機構共同負責，因此，金融機構仍要針對其管理的部分進行測試或演練。

 Q  上雲委外若發生事故，誰負全責?

 A  金融機構可在契約中與受委託機構明定責任分工，但金融機構對作業委外及客戶權益仍負最終責任，因此，金融機構應定期針對雲端業者進行審查，並以風險基礎方法採取適當的控管措施。此外，新版辦法也將委外監督的權責上升至董事會層級，特別點出董事會成員應認知到委外風險，定期監督委外執行情形。

 Q  金管會可以要求金融機構停止上雲委託嗎？

 A  可以，當雲端業者有違反委外辦法或其他法令時，金管會可以視情節輕重，通知金融機構依契約規定終止委託，並要求限期改善，或暫停委託直至受委託機構確認改善為止。過去，這條規範僅用來監理部分委外作業，如消金系統委託至境外，但這次修正改採一致性規定，將規範擴大涵蓋到所有委外作業，強化了監理措施。

 Q  新版上雲規範對外國金融機構有什麼影響？

 A  外國在臺分支的金融機構若要跨境委外重大性消金業務資訊系統，仍要向主管機關提出申請，不過，相較臺灣金融機構，有簡化部分辦理規定。此外，新版規範允許外國在臺金融機構將委外作業交由總機構或區域總部辦理，不過，外國在臺分支機構仍要擔任委外專責單位，掌握總機構或區域總部對委外風險的控管。

 Q  新版委外辦法適用哪些對象？

 A  適用的金融機構包括本國銀行及其國外分行、外國銀行在臺分行、信用合作社、票券金融公司及信用卡業務機構。由於金控公司並未辦理金融業務，因此不納入委外辦法的適用範疇。

此外，保險局和證期局也在8月發佈適用的新版委外規範，並跟進委外辦法的修正內容，採一致的上雲規範。

 Q  新版委外辦法的緩衝期有多長?

 A  考量這次修正辦法中，要求金融機構強化委外作業的風險管理框架，並全面檢視既有委外作業，再依規定向金管會申報相關資訊，因此，新版規範給予一年的緩衝期，金融機構可以在辦法發布一年內，也就是明年8月25日前進行補正。

 Q  上雲治理和管理是否會成為明年金檢重點之一？

 A  過去新政策和業務的監理，以場外監理優先，先確保業者落實相關法令遵循，針對上雲新開放的政策，金管會表示，金檢也會持續關注法律落實程度，另外也會協助金融業者導入相關的雲端治理。

 Q  委外的常見問題問答集預計何時公布？

 A  委外常見問題問答集預計在11月中公布，且會納入首例得委外項目清單。金管會後續會進行滾動式檢討，透過銀行公會蒐集意見，更新問答集內容。

 相關報導