银行资料上云端哪些新规定实地查核怎么做金管会云端委外8大重点一次看

资料来源：金管会，iThome整理，2019年7月

金融业导入云端服务的相关规範有新进展，金管会主委顾立雄于6月底宣布，已拟具「金融机构作业委託他人处理内部作业制度及程序办法」（委外办法）部分条文修正草案，并于6月28日在金管会官网上预告，预告期为1个月，以徵求各方意见。

为了让金融机构能适当运用云端科技，同时能兼顾消费者权益保护，金管会参考了各国对金融机构作业委託云端业者处理应该遵循的规範，决定以循序渐进开放原则，拟具委外办法修正草案。

为此，金管会于今年接连召开了二次公听会，邀集央行、中华民国银行商业同业公会全国联合会、有限责任中华民国信用合作社联合社、6家科技业者、20家金融业者，以及相关公协会代表，讨论修正草案内容。

金管会释出的修正条文中提到，金融机构作业委外，如果涉及客户资讯，应于契约签订时订定告知客户的条款，未订有告知条款的金融机构，得书面通知客户委外事项，并依「个人资料保护法」规定办理。

金融业者云端委外服务八大项规定

根据金管会新公布的办法修正案草案，金融机构将作业委託他人处理，涉及使用云端服务时，要遵循八大项规定。第一项，金融机构应确保作业风险控管，评估受託机构处理的风险，採取适当风险管控措施。

其次，在责任归属上，金融机构要对云端服务业者负有最终监督义务，并具有专业技术与资源去监督云端服务业者执行受託作业，并视情况需要委託专业第三人辅助监督作业。

对于云端委外业者的监督，则有两项规範。一是金融机构应确保本身、主管机关及中央银行，或其指定的人能取得云端服务业者执行受託作业的相关资讯，包括客户资讯及相关系统的查核报告，以及实地查核权力。

再者，金融机构得自行委託，或是与其他委外同一家云端服务业者的金融机构，联合委託具备资讯专业的独立第三人查核。

第五项上云规範则是与资料传输有关。金管会要求，金融机构传输及储存客户资料到云端服务业者，应採行客户资料加密或代码化等有效保护措施，并应订定加密金钥管理机制。

而银行业者，对于对委外处理的资料应保有完整所有权，金融机构得确保，云端服务业者除了执行受託作业之外，不得有存取客户资料的权限，且不可在委託範围以外利用。这是金管会的第六项要求。

如同银行资安控管要求一项，金管会第七项要求是，金融机构应订定紧急应变计画，降低因作业委託而可能有服务中断的风险。当金融机构终止或结束作业委託时，要确保能顺利移转至另一云端服务业者，或者是移回自行处理，并且确保原受託云端服务业者留存资料全数删除或销毁，还要留存删除或销毁记录。

最后一项则是与资料储存地点是境外或境内有关。顾立雄强调，委託云端服务业者处理的客户资料以及资料储存地，要以我国境内为原则。若是资料储存地位于境外，则还要遵守三项规定办理。

这3项境外上云要求，第一是，金融机构需保有指定资料处理及储存地的权利。二是，境外当地资料保护法规不得低于我国要求。最后，除了经过金管会核准者之外，客户重要资料应该要在我国留存备份。

另外，金管会还要求，遇到重大性委外作业或是将作业委託到境外，就都得事先向申请核准才行。

顾立雄指出，金管会将依照云端作业委外的重大性与否，区分为「核准制」以及「备查制」。他指出，具有重大性的委外作业，或是要将作业委託到境外的金融业者，都得採取申请核准制，事先向金管会提出申请。而不是属于此範围的委外作业，则是採取备查制。

重大性作业如何界定？顾立雄解释，金管会的规範是，受託作业一旦没有办法提供服务，则会有资讯安全疑虑，对金融机构的业务营运有重大影响。或是受託作业涉及客户资料安全事件，对金融机构或客户权益有重大影响。

另外，针对外国银行的部分，顾立雄也特别提到，外国银行资料境外储存的需求较多，所以，外银在台分行，以及在台子银行作业委託总行、母行或所属集团的分支机构及子公司，委託云端服务业者处理，也得採取核准制。

新办法中，也清楚地列出了金融机构向金管会申请时，所需準备的相关文件项目，包括了作业委外计画书，内容包括了风险评估及管理机制、资讯安全及管理、取得客户资讯与相关系统查核报告以及确保实地查核权力、紧急应变及退场机制等，金融机构都得进行说明。

金管会将银行资料上云端，列入委外作业办法中规範。过去，早在2017年开业的王道银行，就可说是第一家云端银行，但当时，还没有明确的上云端规範，王道花了一番功夫跟金管会「沟通」，才顺利把自家资料放到境外云端服务，不过，内部还是有一套本地端核心系统。

预估约2个月后，也就是9、10月之间，这次的上云端委外办法完成了法定的2个月草案预告期，一旦正式公告实施，银行上云端就有一套明确规範的作业办法。

公有云委外监督工作，也可委託第三方公正机构

相较于过去，这次银行委外作业办法修正上，鬆绑了好几项规定，大方向是在台湾上云端比过去更鬆绑，而境外上云端则有明确的管控要求，等于是有条件上云。

举例来说，实务作法上，多数国外公有云，多半是委託第三方共用平台来管理这些金钥。但是，过去，监理机关要求，用于加密资料传输或云端资料储存的加密金钥，得由银行自己保管，因此，过去，银行要将资料上云端，光是加密金钥的管理就是一大冲突，另外，银行自行保管金钥另一个挑战是，当App上云要取得资料后，每次都得连线到银行端取得金钥来解码，对银行IT是一大负担。

不过，这次条款中，放宽了可以第三方管理单位，不管是云端业者或其他金钥服务商都可以来保管加密金钥，只要採用顾客资料加密或代码化等有效保护措施，并且还应该订定加密金钥的管理机制。对银行来说，则可以透过稽核机制来审视第三方管理机构的金钥控管机制，而不一定要自行保管金钥。

另外，在委外管理上最重要的改变是，对于委外服务业者的监督业务，也可以交给第三方专业机构来辅助监督。意思是说，过去，因为银行负有最终的监督责任，过去的法规要求，银行得自行监督所委託的业者，所以，要将资料放上公有云，银行得有能力监督公有云业者，例如如何部署服务、如何管理机房、如何确保安全等相关作业。

尤其，在金管会金融检查项目上，要求银行必须对委外机构进行实地查核，公有云业者机房，除了Google在台湾，如AWS或Azure机房可能远在新加坡、东京或香港，就算银行派人实际到机房，但这些IT业务并非银行的本业与专业，如何有效「检查」公有云业者的机房就是一大考验。这也是过去，为何银行不轻易上云的原因之一，因为遇到需要高度专业知识才能监督的供应商，银行难以落实监督，而无法轻易委外给他们。

国外常见监督委外机构的作法是，委託给第三方专业机构，例如四大会计师事务所来监督公有云业者。尤其像是实地查核，包括稽核机制，已有第三方公正业者提供这类国际性的服务，可以远赴各国执行。常见的实地查核项目，例如顾客资料管理方式，持续营运作法，作业手册，事故通报作法、密码管理作法等。

金管会也採取这种国际惯用的委外监督方式，纳入这次委外办法修正上，允许银行业者，可以视情况需要委託专业第三人辅助监督作业。不只如此，多家使用同一个云端供应商的银行业者，还可以联合委託具备资讯专业的独立第三人查核，这也减轻了银行业者的负担。

银行上云端条款更大的意义是，这也是金管会今年两大政策重点──「开放银行」和「纯网银」发展的基础。

金管会已经定调开放银行（Open Banking）採取香港模式，由业者自愿，分三阶段先后开放银行商品资料查询、客户资料查询和交易资料。负责订定OpenAPI共通标準的财金公司，在7月3日首度对外发表了初版标準，第一个使用OpenAPI的第三方应用也预计在8月登场。

而上云端条款中，不只规定了本地银行可以使用境外云端服务，也规定了外国银行来台时，同样可以上云端来服务在台湾的民众，不一定非得在本地设机房才行，这也让纯网银有更大的发挥空间。文⊙李静宜、王宏仁