委外辦法已完成法規預告程序,將於近期發布。本次計修正19條、刪除2條,重點如下:
一、明定以風險為基礎之作業委外管理架構:
(一) 明定金融機構對於作業委外負最終責任、並依重大性及風險基礎方法(RBA)管理委外風險、就作業委外建立妥適之政策及原則,強化委外前、中、後階段之風險控管機制,以作為金融機構辦理所有作業委外事項之控管基礎。(修正條文第4條、第8條)
(二) 修正條文第4條第3項明訂「金融機構對於作業委外負最終責任,應就委外事項之風險程度、重大性及對營運及客戶權益影響進行評估,依風險基礎方法採取適當之管理措施」。對中小型且業務單純的金融機構,得依風險基礎方法就其本身之委外風險程度採取適當之管控措施,故本次修正已考量依金融機構業務規模及屬性給予法規遵循彈性。
二、簡化委外申請流程及文件:
(一) 第3條第1項明定金融機構得委外辦理之事項範圍,非屬該項委外範圍者,如已有金融機構申請經主管機關核定者,其他金融機構得逕依委外內部作業規範辦理。(修正條文第5條)
(二) 刪除信用卡發卡業務及車輛貸款以外之消費性貸款之行銷之委外作業、應收債權催收作業之委外應報經主管機關核准之規定。(修正條文第11條、第12條)
三、調整跨境委外及雲端委外作業應向主管機關申請之範圍,並明定強化規範:
(一) 衡酌對金融機構營運及客戶權益保護之影響性,應向主管機關申請核准之作業委外範圍修正為「重大性消費金融業務資訊系統委託至境外處理」,並簡化及整合現行跨境委外及雲端委外之申請書件。(修正條文第18條)
(二) 對於金融機構將作業委託至境外處理及涉及使用雲端服務,分別明定相關強化規範。(修正條文第17條、第19條)
金管會提醒,金融機構之業務係經主管機關核准辦理,經營業務之部分作業雖委外辦理,惟金融機構仍負擔最終之責任,故資安之防護、客戶資料之維護仍應依照相關之規定辦理,例如委外作業如涉及客戶資料處理,應依委外辦法規定於契約訂定告知客戶之條款,如未定有告知條款者,金融機構應書面通知客戶委外事項,並應依個人資料保護法規定及相關規範落實控管程序。2023-08-04 2023-07-13