自從金管會在2019年底修改《金融機構作業委託他人處理內部作業制度及程序辦法》、開放金融業者上雲後,要不要上雲?如何上雲?成為近二年金融業最關注的議題,而從國外金融業者使用雲服務的規模逐步成長的情況來看,上雲,已是台灣金融業必然的發展方向。
金融業為什麼要上雲?
「上雲才能加速數位轉型的腳步,建立未來競爭力。」對於台灣金融業要不要上雲的問題、台灣微軟顧問服務事業群總經理林義評給出肯定的答案,尤其COVID-19疫情後,消費者大量轉進虛擬世界使用金融服務,在雲端部署不到位的情況下,很可能造成顧客有不好的使用體驗,不只影響顧客觀感、甚至可能因此而流失顧客。
從雲端轉型:試用、基礎、整合到卓越四階段發展過程來看,台灣金融業者目前大多停留在試用階段,也就是將非敏感、非監理或與個資比較沒有關係的應用,放到公有雲上面。只有少數業者,將一些重量級的應用放在雲端,像某金控集團已經開始將企業入口網站和行動銀行服務上雲。
林義評認為,企業入口網站大多是靜態的訊息發佈,本身沒有顧客的個人資料,也沒有申請或交易類的服務,更沒有能不能上雲的法規考量,是金融上雲很好的起點。至於含有顧客個人資料的行動銀行,該金控集團的做法是將開發與測試放在雲端,維持營運在地端,亦即真正的客戶或交易資料還是放在地端資料中心,同時將地端的基礎架構改變成cloud-ready,以便日後可以彈性且快速地將服務搬上雲端,同時兼顧資料保護、合法合規與上雲轉型的需求。
金融上雲報部作業四問
而當金融業者決定上雲後,第一步要做的就是先思考可以將哪些場景、哪些應用放到雲端,確認好上雲範圍後,接下來則是進行報部作業,因應主管理機關的監理要求,提出相關文件送審並取得核淮。為此,《數位時代》整理出金融上雲報部作業四大問,協助金融業者做好報部準備。
第一問:主管機關的監理重點是什麼?
目前,金融業上雲時第一個要符合的法令要求,就是《金融機構作業委託他人處理內部作業制度及程序辦法》,尤其第3條、第19-1條及第19-2條更要仔細詳讀,才能確認自身是否已做好準備。另外,保險業者可參考《保險作業委託他人處理應注意事項》,第17-1條與第17-2條亦談到上雲應注意的事項。
從相關法令規範中可知,主管機關最重視二點:
第一、顧客權益保護,包括消費者能否持續主張個資法的權利?又或者發生爭議時,例如:雲端業者無法提供服務或發生服務中斷,銀行該如何因應?若服務中斷造成消費者權益受損,消費者又該如何求償?
第二、資料保護機制,金融業者有哪些資料放在雲端,這些資料是否涉及個資或敏感資訊,及雲端是否有完善的資安防禦機制。
第二問:可不可以使用境外雲服務?
許多金融業者都認為資料不能出境,但其實主管機關並沒有明令限制金融業不能使用境外雲服務,只是需要遵循的作業辦法不同。安侯法律事務所合夥律師鍾典晏指出,銀行把資料放在雲端,雲服務供應商就是受託人,當受託人及資料存放地不在台灣境內,會不會影響金融監理權的行使,這是主管機關最擔心的事,如果金融監理權不會因為資料放在境外而受到影響,那麼主管機關就會抱持樂見其成的態度。
而在使用境外雲服務前,金融業者必須將相關法令要求(如:可以實地查核⋯⋯等),及與雲服務業者的權責分工,清楚載明至委外合約裡,並落實監督管理責任。由於這需要雲服務供應商提供相應的文件及承諾,因此金融業者能否順利取得主管機關核淮,與雲服務供應商的配合程度息息相關,像微軟不只提供「法規遵循檢核表」,載列必須監管的問題,及因應該問題微軟所能提供的協助,還成立了「微軟信任中心網站」,提供了各式合規性認證的證書、稽核報告、合規自評表、資安與資料保護機制白皮書等文件,亦承諾會配合台灣法令和金融主管機關的要求,協助金融業順利完成報部程序。
勤業眾信風險諮詢服務協理廖柏侖表示,在選用境外雲服務時,金融業者必須注意幾個重點:第一、有哪些國家可以被主管機關接受?第二、金融機構要保有指定地點的權利,且要充分說明選擇存放在這個地點的原因,第三、儲存地的個資法不能低於台灣的要求,像歐盟GDPR嚴謹度非常高,如果存放在歐盟,對金融業使用境外服務可能還是加分選項,第四、在台灣建立資料備份機制,倘若日後發生重大事件,金融機構不會喪失資料自主權,消費者權益也不會受到影響。
第三問:是核准制?還是備查制?
金管會依照雲端作業委外的重大性與否,區分為「核淮制」與「備查制」,核淮制是報部文件送出後,需要經過主管機關核準才可以進行,備查制則是不需要等主管機關回函,金融業者就可以上雲。廖柏侖指出,依現行法規來看,使用境外雲服務,基本上一定走核淮制,而境內雲服務則依業務重大性來決定,如果企業上雲的資料或服務,與金融單位日常運作或客戶資料有很深的關係,就是重大性業務,必須走核準制,至於非重大性業務則走備查制即可。
第四問:如何準備報部文件?
在進行報部作業時,需要準備的文件相當繁雜,例如:委外內部作業規範、委外內部作業之必要性與適法性分析、委外計畫書、董事會議事錄等,因此需要跨單位的討論與合作,確認上雲後的管控方式,才能順利完成。廖柏侖特別提醒金融業,在制定委外計畫書時應包含五個重點:委外事項範圍與計畫說明、上雲後的風險評估與管理機制,資訊安全與管理機制緊急應變與退場機制、及客戶資訊保護措施。
整體而言,對於金融上雲,主管機關是抱持樂見其成的態度,金融業者只要能掌握主管機關的監理重點、做好上雲前的規劃及報部程序,就能順利完成上雲報部作業,利用雲端加速實現數位轉型目標。
