歷史背景
108年7月1日因銀行局研議修正「金融機構作業委託他人處理內部作業制度及程序辦法」雲端相關規範,主管機關函請本公司研議增訂證券商作業委託雲端服務業者處理之相關規定,本公司於109年1月8日將「證券商作業委託他人處理內部作業制度及程序辦法」暨相關規範修正草案函報主管機關。主管機關於109年6月30日函復,請本公司瞭解證券商委外需求及建議,評估擴大適用範圍及增訂「其他經主管機關核定得委外之作業項目」,期間歷經109年7月問卷調查證券商委外需求及建議提供主管機關,8月參加券商公會外資事務委員會議開會討論、再次問卷調查業者委外需求及建議,並提供主管機關,110年4月函請券商公會,徵詢所屬會員對委外草案提供意見,並依據券商公會回復建議修正草案內容,8月將修正委外草案提供給券商公會,9月參加美國商會資本市場委員會座談會,針對證券商提出之6項建議,主管機關請提案證券商洽券商公會綜合評估後提出修正建議,並請本公司持續與券商公會溝通。
112年3月8日銀行局公告「金融機構作業委託他人處理內部作業制度及程序辦法」修正草案,主管機關於3月23日請本公司依據「金融機構作業委託他人處理內部作業制度及程序辦法」修正草案,修正「證券商作業委託他人處理內部作業制度及程序辦法」草案,作為主管機關研議及訂定法規之參考依據,本公司於3月31日回復修正草案,主管機關復於4月26日函請本公司依據「金融機構作業委託他人處理內部作業制度及程序辦法」修正草案,訂定證券商作業委外草案,並於5月底前報局、6月底前邀集櫃買中心、券商公會及證券商召開「證券商作業委外規定說明會」,以瞭解並蒐集業者意見,本公司於5月31日將證券商作業委外草案函報主管機關,6月13日召開「證券商作業委外規定說明會」,於7月3日將修正後之條文、彙整業者意見及問答集提供主管機關參酌。
主管機關於8月15日修正「證券暨期貨市場各服務事業建立內部控制制度處理準則」第8條,將個人資料保護概念含括至法人客戶資料之保密,修正處理準則第8條第1項第15款「個人資料保護之管理」為「客戶資料保密」,規範證券商應建立「作業委託他人處理之管理」內部控制制度,新增處理準則第8條第1項第18款「作業委託他人處理之管理」,以強化服務事業將相關作業委託他人處理之風險管理;新增第19款「其他經主管機關指定之事項」,增加對服務事業內部控制制度監理之彈性。
主管機關依據修正後之「證券暨期貨市場各服務事業建立內部控制制度處理準則」,遂於112年8月31日訂定發布「證券商作業委託他人處理應注意事項」,以利證券商對委外作業建構完整風險管理框架,並併同發布問答集協助證券商參考辦理。
法規重點
一、證券商作業委託他人處理應注意事項條文:
證券商作業委託他人處理應注意事項計有十八點,第三點委外事項範圍包含:
1.資料處理:包括資訊系統之資料登錄、處理、輸出,資訊系統之開發、監控、維護,及辦理業務涉及資料處理之後勤作業。
2.表單、憑證等資料保存之作業。
3.電子通路客戶服務業務,包括電話自動語音系統服務、客戶電子郵件之回覆與處理作業、電子通路客戶之相關諮詢與協助,及電話客服專員服務。
4.內部稽核部分作業項目。但禁止委託其財務簽證會計師辦理。
5.其他經主管機關核定得委外之作業項目。
二、證券商作業委外應注意事項重點:
以風險為基礎(RBA)之作業委外管理架構:明定證券商應依重大性及風險基礎方法(RBA)管理委外風險、對於作業委外負最終責任、就作業委外建立妥適之政策及原則。強化委外前、中、後階段之風險控管機制,以作為證券商辦理所有作業委外事項之控管基礎。
法規相關重點列敘如下:
1.證券商治理架構:證券商應就委外事項之風險程度、重大性及對營運及客戶權益影響進行評估,依風險基礎方法採取適當之管理措施。
(1)董事會應認知作業委外風險,定期監督委外事項執行情形。
(2)應確保專責單位及相關單位對於控管委外事項具備充足之資源、專業及權限。
(3)辨識、評估及管理具重大性之作業委外,訂定相關程序及政策。
(4)應有適當盡職調查及定期審查程序以確認受委託機構合格合規。
(5)確保證券商、主管機關及周邊單位檢查權。
2.委外內部作業規範應載明事項:
(1)作業委外之政策及原則,包括委外之決策評估、風險管理機制、核決層級及治理架構。
(2)專責單位及相關單位對委外事項控管之權責分工。
(3)委外事項範圍及委外程序。
(4)客戶權益保障之內部作業及程序。
(5)風險管理原則及作業程序。
(6)內部控制原則及作業程序。
3.委外內部作業規範-專責單位應執行事項:
(1)就委外事項涉及客戶權益保障、風險管理及內部控制作業之監督,應定期評估檢討並將結果呈報董事會,若有重大異常應儘速通報主管機關。
(2)督導受委託機構內控及內稽制度之建立及執行。
(3)訂定並執行遴選受委託機構之作業辦法。
4.委外內部作業規範-客戶權益保障及程序:
(1)涉及客戶資訊者,應於契約簽訂時訂定告知客戶之條款;未定有告知條款者,應通知客戶委外事項,並應依個人資料保護法之規定辦理。
(2)客戶資訊提供之條件及移轉程序。
(3)對受委託機構使用、處理、控管客戶資訊之方法。
(4)訂定客戶糾紛處理程序並設置處理單位。
5.委外內部作業規範-風險管理原則及程序:
(1)建立委外風險與效益分析之制度。
(2)建立足以辨識、衡量、監督及控制委外風險之程序。
A.評估委外風險。
B.確保證券商及受委託機構具備足夠之專業知識與資源。
C.考量風險因素,進行風險等級之評估,及降低風險之適當措施。
D.定期評估風險等級,確保風險等級之更新。
E.具重大性之委外事項之風險情境進行定期或不定期測試或演練。
(3)訂定緊急應變計畫及終止委託之移轉機制。
6.委外內部作業規範-內部控制原則及程序:
(1)訂定並執行委外事項範圍之監督管理作業程序。
(2)前開作業程序應納入證券商整體內控及內稽制度。
(3)監督受委託機構內控及內稽制度之建立及執行。
7.委外契約應載事項:
(1)委外事項範圍及受託機構權責。
(2)受託機構應遵循證交法、個資法等相關法令。
(3)客戶權益保障,包括資料保密及客戶爭端解決機制。
(4)受託機構之義務。
(5)受託機構聘僱人員之管理。
(6)與受託機構終止契約之重大事由。
(7)受託機構就受託事項同意主管機關、周邊單位取得資料及查核權。
(8)受託機構對外不得以券商名義辦理受託事項。
(9)若有重大異常,受託機構應即通知券商。
8.複委託:
證券商應於契約中要求受委託機構非經證券商書面同意,不得將作業複委託。委外契約中應針對複委託情形,訂明複委託之範圍、限制或條件。複委託契約應準用契約應載明事項訂定之。
9.明定實施之緩衝期:
(1)委外契約或複委託契約與本注意事項規定不符者,得按原契約繼續 辦理至契約期限到期;未定有期限者,應於一年內補正,否則該契約自動終止。
(2)證券商作業委外,未符本注意事項者,應於一年內補正。
10.委託至境外處理之規範(跨境委外):
(1)提供予受託機構之客戶資訊僅限與受託事項直接相關之必要資訊。
(2)受託機構僅限由獲授權人員於受託事項範圍內使用客戶資訊、客戶資料應有明確區隔、資訊應能及時提供主管機關。
(3)應依風險基礎方法定期及不定期就受託機構對客戶資訊之使用、處理及控管進行查核及監督;相關查核得委由外部稽核辦理。
(4)受託機構所在地主管機關請求提供我國客戶資訊時,證券商應取得我國主管機關同意後始得提供。
11.重大性自然人客戶業務資訊系統委託至境外處理應事前申請核准:
(1)申請書件包括委外內部作業規範;董事會決議之議事錄、委外對營運之必要性及適法性分析;作業委外計畫書;受託機構出具之同意函或委外契約;受委託機構健全營運聲明書。
(2)證券商應就受託機構對客戶資訊之使用列為重點查核項目、定期評估成本效益、對資訊系統之安全檢測應不低於主管機關或周邊單位之規定。
(3)外國證券商在臺分公司因內部分工將作業交由總公司或國外分支機構處理者,僅需適用有關申請書件之規定。
12.重大性定義:
(1)無法提供服務或有資訊安全疑慮,對證券商之業務營運有重大影響者。
(2)涉及客戶資料安全事件,對證券商或客戶權益有重大影響者。
(3)其他對證券商或客戶權益有重大影響者。
13.涉及使用雲端服務之規範:
(1)應訂定使用雲端服務之政策及原則,採取適當風險管控措施,並應注意委託雲端服務業者之適度分散。
(2)證券商對雲端服務業者負有最終監督義務。
(3)得自行委託,或與委託同一雲端服務業者之其他證券商聯合委託具資訊專業之獨立第三人查核。
(4)傳輸及儲存客戶資料至雲端服務業者,應採行資料加密或代碼化等有效保護措施,並對資料應保有完整所有權。
(5)傳輸及儲存客戶資料至雲端服務業者,應採行資料加密或代碼化等有效保護措施,並對資料應保有完整所有權。
三、委外問答集重點說明如下:
(一)外國證券商在臺分(子)公司其涉及與總(母)公司及區域總部間之委託處理事項,如何適用委外注意事項?
答:放寬外國證券商在臺「子」公司其涉及與母公司及區域總部間之委託處理事項,得比照在臺「分」公司適用辦理。
1.外國證券商在臺分(子)公司如將涉及營業執照所載業務項目或客戶資訊之相關作業(包含資訊作業)委託國外總(母)公司、國外子公司、國外分公司或國外其他機構等屬相同集團辦理者,屬證券商作業委外事項,應依本注意事項相關規定辦理。但外國證券商在臺分(子)公司其總(母)公司或區域總部基於總公司對分支機構之管理目的所為之業務決策及風險管理,例如分層負責決策、內部控制及稽核、帳務監督管理、風險管理、業務監督等事項,非作業委外,無本注意事項之適用。
2.外國證券商在臺分(子)公司因其總(母)公司或區域總部基於總公司對分支機構之管理所為之業務決策及風險管理或當地法令之要求,而傳遞客戶資訊至境外,而不涉及外國證券商在臺分(子)公司辦理在臺業務相關作業目的者,非作業委外,無本注意事項之適用。但應取得客戶同意並依照證券交易法、個人資料保護法規定辦理。
3.資訊系統如係總(母)公司或區域總部為提供本身及海外分支機構使用而建置,外國證券商在臺分(子)公司利用該資訊系統進行在臺業務相關資料處理作業者,僅須依第1點就「資料處理」部分依本注意事項辦理,而該資訊系統之開發、監控、維護係屬總(母)公司或區域總部權責,非作業委外,無本注意事項之適用。
(二)注意事項所稱具「重大性」,其判斷是否具重大性之考量因素為何?
答:應依據個別機構及委外事項所面臨的情況綜合考量。
1.委外作業是否屬證券商之關鍵業務,例如所涉業務是否對證券商之營收與獲利有直接影響、所涉業務是否屬於證券商持續營運管理計畫所列的關鍵營運流程等。
2.委外作業對盈餘、償付能力、流動性、籌資能力、資本及風險之潛在影響。
3.委外作業倘未能提供服務或發生資料保護或資訊安全問題,將對證券商之聲譽、營運目標之達成、客戶權益、交易對手或整體證券市場造成重大影響等,例示如下:
(1)委外作業所涉業務是否具有時效關鍵性(例如證券商於發生業務中斷時,依據自身風險承受能力,判斷其所能容忍的業務恢復時間(RTO, Recovery Time Objective),並制定妥適的RTO)。
(2)委外作業中斷是否會直接影響客戶重大權益。
4.委外作業之成本。
5.委外作業失敗造成證券商將委外作業移回證券商本身、或尋找其他受託機構提供服務所衍生之成本,及該成本占證券商總營運成本之比率。
6.證券商如將不同委外作業委託同一家受託機構提供服務(受託機構為同集團成員者除外),證券商對該受託機構之總暴險。
7.受託機構面臨營運問題時,證券商仍可維持適當內控制度及符合法規要求之能力。
(三)注意事項第12點所稱「自然人客戶業務資訊系統」之範圍為何?
答:
1.係指直接提供自然人客戶交易或對支持交易業務持續運作必要之系統,包括交易系統(含委託下單、成交回報)、報價系統(行情傳輸)、中台風控(含風控、下單線路管理作業)、盤後結算系統(款券結算)、帳務系統(出入金作業)、金融商品買賣業務系統(各項投資理財業務、客戶關係管理、客戶分級管理)、徵信授信管理系統及信託業務管理系統等維持交易業務之必要系統。
2.證券商將涉及重大性之自然人客戶業務資訊系統委託至境外處理,係指證券商依據第三點第一項第一款將自然人客戶業務資訊系統之資料登錄、處理、輸出委託至境外處理,如經評估具重大性之委外事項,應向主管機關申請核准。
(四)涉及自然人客戶之核心資料保全如採境外雲端備份或於境外雲端建置備援系統,需申請核准之委外事項範圍?
答:
1.若客戶資料相關備份檔案儲存在境外公有雲時,無法在雲端中直接使用,須在特定系統中還原方可應用,並不涉及「資訊系統」之運作或還原資料運用,對於系統之正式、備援環境的運行並無影響,無需向主管機關申請核准。
2.若在境外雲端建置備援系統,且該備援系統可於雲端中還原及回復客戶資料及業務運作功能,已涉及第三點第一項第一款之資料處理範疇,屬「重大性自然人客戶業務資訊系統委託至境外處理」,仍應依第十二點規定向主管機關申請核准。
(五)注意事項第11點及第12點,所稱「境外」應如何認定?
答:依第11點規定,證券商將內部作業委託至境外處理,應充分掌握受託機構對客戶資料使用之情形、確保受託機構處理之證券商客戶資訊應能及時提供予主管機關及證券商等,爰第11點及第12點所稱「境外」應以受託機構實際辦理受託作業之地點為準,尚非以受託機構公司註冊地為判斷。
(六)有關銀行兼營證券業務者,是否適用委外注意事項相關規定?
答:有關銀行兼營證券業務,應回歸「金融機構作業委託他人處理內部作業制度及程序辦法」辦理,至其他業別兼營證券業務部分,亦應回歸其本業規定辦理。
(七)受託作業委託第三方業者處理,涉及雲端服務之範圍為何?
答:證券商將作業委託他人處理涉及雲端服務之範圍,除證券商直接委託雲端服務業者,亦包括證券商之受委託機構複委託予雲端服務業者處理之情形。
(八)第13點第1項第3款第2目:有關應評估第三人之適格性,以及其所出具查核報告內容之妥適性並符合相關國際資訊安全及隱私保護標準,應如何執行?
答:
1.委託具資訊專業之獨立第三人查核,其出具之查核報告除需評估妥適性外,相關作業程序仍需符合相關國際資訊安全及隱私保護標準。鑒於雲端科技具相當專業複雜度,證券商對受託機構進行查核,得委託具資訊專業之獨立第三人、集團所委託之獨立第三人辦理,惟證券商仍需就受委託人之適格性及評估報告之內容是否符合國際資訊安全及隱私保護標準等事項,負確認之責任。
2.所稱符合相關國際資訊安全及隱私保護標準,應就證券商委外業務及受委託人所提供之服務內容、範圍及性質等評估,採用適合之國際資訊安全標準,如國際標準組織之 ISO27001、ISO27002、ISO27017、ISO27018、ISO27701 及雲端安全聯盟(CSA)STAR驗證等。
(九)證券商是否可透過由雲端服務業者委託專業獨立第三人進行查核出具之報告行使其查核權力?
答:鑒於雲端科技具相當專業複雜度,證券商對受託機構進行查核,得自行或與其他金融機構(不限業別、不限同一家金控下之金融機構)聯合委託具資訊專業之獨立第三人查核為之。
(十)第13點第1項第3款:雲端業者是否可就聯合查核事項出具一份查核報告?
答:
1.雲端服務模型大致可區分為基礎架構即服務(IaaS)、平台即服務(PaaS)、軟體即服務(SaaS)三種。
2.對於由雲端業者所負責資訊底層架構之查核,可依雲端業者出具之資訊安全國際標準認證報告辦理。惟個別證券商仍應就其各自之委外項目及雲端服務應用情形,依風險基礎方法進行查核並分別出具查核報告。
(十一)證券商之受委託機構複委託予雲端服務業者,此複委託情形下,證券商就第12點第1項第5款所定應檢附「受委託機構出具之同意函」,是否有彈性作法?
答:為確保證券商及主管機關就委外作業具有查核權,且考量部分委外作業有複委託情形,主管機關就此複委託情形訂有彈性方式,即由受委託機構出具確保複委託之受託機構(雲端服務業者)同意主管機關查核權並檢附相關契約條款之彈性作法。
(十二)證券商於雲端建置開發或測試環境、公開資訊網站,是否屬作業委外規範之範疇?
答:
1.證券商於雲端建置開發或測試環境、公開資訊網站,如不涉及重大性自然人客戶業務資訊系統,毋須依本注意事項提出申請。
2.證券商於雲端建置開發或測試環境、公開資訊網站,如無涉及客戶資訊之儲存或處理,非屬委外規範之範疇;如將客戶資訊於雲端環境儲存或處理者,應屬委外規範之範疇,仍須依委外應注意事項規定辦理,並應依個人資料保護法規定及相關規範落實控管程序。
(十三)證券商涉及利用雲端服務辦理數位廣告投放作業,是否屬作業委外規範之範疇?
答:
1.證券商涉及利用雲端服務辦理數位廣告投放作業,如不涉及重大性自然人客戶業務資訊系統,毋須依本注意事項提出申請。
2.證券商涉及營業執照所載業務項目或客戶資訊之相關作業委外,若能直接或間接識別客戶身分者,應屬證券商作業委外規範之範疇,仍須依本注意事項規定辦理,並應依個人資料保護法規定及相關規範落實控管程序。
(十四)第13點第1項第3款關於聯合查核,金融控股公司(下稱金控)所屬之證券子公司/外國金融集團(下稱母集團)所屬之在臺證券商,是否得由金控/母集團統籌委託獨立第三人辦理查核相關作業?
答:
1.金控統籌其證券子公司委託獨立第三人辦理本款之查核:證券子公司已依第13點第1項第3款規定,訂定查核範圍及獨立第三人適格性之遴選標準,供金控統籌據以擇定獨立第三人,就所屬證券子公司委託之雲端服務業者進行查核,所出具之查核報告可供所屬證券子公司援用。
2.外國金融集團統籌其在臺分(子)公司委託獨立第三人辦理本款之查核:如該雲端服務係同所屬母集團之關係企業或使用母集團統一選定之雲端服務業者,在臺證券商得與其所屬集團企業共同委託獨立第三人或參酌母集團統籌辦理並提供之獨立第三人查核報告。
辦理情形
主管機關於112年8月31日發函請本公司邀集櫃買中心及券商公會研議「證券商作業委託他人處理應注意事項」相關申報資料方式、清查盤點業者目前委外辦理狀況、規劃業者申請程序及案件檢查表,並將注意事項重點納入內部控制制度標準規範及例行查核項目。本公司於9月18日邀集櫃買中心及券商公會研議「證券商作業委託他人處理應注意事項」相關證券商申報委外項目、內容及範圍之申報委外項目及委外業務相關申請之案件檢查表、清查盤點業者目前委外辦理狀況、並將注意事項重點納入內部控制制度標準規範及例行查核項目。
本公司於10月3日赴主管機關券商管理組,就主管機關8月31日函囑有關委外事項作業之辦理情形報告進度,會議中指示本公司舉辦3場宣導會,協助證券商辦理委外申報,本公司遂於10月20日、11月28日、113年1月30日辦理三場「證券商作業委外處理宣導說明會」,就委外事項規範及應申報內容辦理說明,並邀請證券商進行案例分享,俾利本業務順利推動。
並於113年1月24日將本公司辦理情形函復主管機關,包含訂定相關申報格式及申報資料方式,並定期依證券商申報內容進行分析、清查盤點證券商目前委外辦理狀況,瞭解證券商作業調整情形並定期控管、規劃證券商申請程序及案件檢查表、將證券商作業委外納入內部控制制度標準規範及例行查核項目及辦理宣導說明會。 並於2月1日參加券商公會舉辦之「證券暨期貨業者委託他人處理應注意事項委託專案」專案小組會議,討論顧問草擬之「委外內部作業參考規範」、「風險基礎方法之委外管理架構」、「委外契約範本」三份初稿內容。
結語
主管機關於112年8月31日訂定發布「證券商作業委託他人處理應注意事項」,並要求證券商如有未符應注意事項規定情形,應於本注意事項發布施行起一年內補正。本公司將持續輔導證券商完成證券商作業委外處理相關規定,若於補正期限內發現有未符規定情事將協助證券商改善,後續並將視實際情況持續加強宣導,俾利本業務順利推動。