Fintech(金融科技)興起帶動金融業大量導入雲端服務的潮流,金管會近期發布「金融機構作業委託他人處理內部作業制度及程序辦法」修正草案,於草案中明確揭示,
本次辦法的修正是為了因應金融科技發展趨勢,藉著適當導入雲端服務,加以改善金融機構作業處理效率及建置系統上的彈性,金融機構資料的雲端化有助於金融機構經營效率之提升及節省成本,但因委外處理涉及資訊安全及風險管理等問題,所以參考各國作法,擬定了部分修正草案,藉以平衡金融機構雲端服務的便利及資安方面權利的保障。
有鑑於雲端服務處理技術複雜,金融機構本身就有相關雲端服務的作業處理,除了可以自行直接委託雲端業者外,也可由受金融機構委託的第三人另行再委託雲端業者處理,以達到真正專業的需求。
但金融機構導入雲端的前提是,
金融機構自身應做足風險控管,並且須完整評估受託雲端業者內部的風控措施,以確保委外的處理品質;並於委託計畫結束後,確保受託雲端業者應刪除或銷毀相關紀錄,以防個資遭到不當使用或有事後外洩的風險。
金管會就金融業者雲端化的監管方式採取雙軌制,依照雲端作業委外的重大性與否,區分為 「核准制」 以及 「備查制」 。
無論是具有重大性的委外作業,或是將作業委託境外業者,都必須採取事先申請核准制,除此之外則是採取事後備查制。 而委外作業是否具有重大性必須綜合評估;包括該項雲端委外作業占總營收比例;對金融機構穩健營運潛在影響;如果發生資安問題,是否對金融機構本身、客戶或市場帶來影響;該委外作業成本佔比;以及委外作業失敗所需付出的成本比率等綜合評估。
筆者也認為,金融機構於雲端作業委外的態度上也應保持適度分散,以避免雞蛋放在同一籃子裡的系統性風險。 除此之外,金融機構具最終監督義務,不得因雲端作業委外而免責,但因監督上的作業也具有相當程度的專業性,該監督作業也可以由金融機構委託專業第三人輔助監督,以達成實質監督的效果。
為避免金融機構於雲端作業委外後脫免責任或是消極處理,此次草案增訂賦予金融機關在委外前必須確保自己及主管機關可以從受託的雲端業者取得客戶資訊及雲端處理的相關查核報告,並必須具有實地查核的權限,以確保雲端業者有在委託範圍內,以合法手段處理消費者的資料。該查核範圍包括雲端業者作業處理的重要系統與控制環結、雲端業者的專業及適格性等風控項目,金融機構必須就查核出具報告以避免爭端發生。
同時,為強化金融機構對客戶資料的保護,雲端傳輸及雲端儲存方式應採加密或代碼化的方式,以防個資外洩,並訂定加密金鑰管理機制。受委託的雲端業者不得利用職務之便,私自存取消費者的資料或為金融機構委託範圍外的利用。
此次修正最令人矚目的莫過於在符合條件下可採取「境外雲端處理」,但為保證消費者資料獲得足夠的保障,境外雲端處理應滿足下列要件:
- 其一,金融機構有指定資料處理或儲存地點的權利。
- 第二,境外當地資料保護法規,不得低於台灣法規。
- 其三,客戶重要資料要在台留存備份。
在滿足三項條件下,若有更為適宜的境外雲端業者,金融機構資料將允許放在雲端,甚至不限國內,還可以放在境外。
此次銀行上雲端已有明確的草案規定詳細辦法,這次的上雲端計畫最快預估約2個月後公告實施,如此一來,銀行上雲端就有一套明確規範的作業辦法,以便利金融業者龐雜資訊的歸納並兼顧資安與風控的顧慮,將金融業者逐步地送上雲端。
責任編輯:陳建鈞
《數位時代》長期徵稿,針對時事科技議題,需要您的獨特觀點,歡迎各類專業人士來稿一起交流。投稿請寄edit@bnext.com.tw,文長至少800字,請附上個人100字內簡介,文章若採用將經編輯潤飾,如需改標會與您討論。
(觀點文章呈現多元意見,不代表《數位時代》的立場。)
