為了讓金融機構能適當運用雲端科技,同時能兼顧消費者權益保護,金管會參考了各國對金融機構作業委託雲端業者處理應該遵循的規範,決定以循序漸進開放原則,擬具委外辦法修正草案。
為此,金管會於今年接連召開了二次公聽會,邀集央行、中華民國銀行商業同業公會全國聯合會、有限責任中華民國信用合作社聯合社、6 家科技業者、20 家金融業者,以及相關公協會代表,討論修正草案內容。
金管會釋出的修正條文中提到,金融機構作業委外,如果涉及客戶資訊,應於契約簽訂時訂定告知客戶的條款,未訂有告知條款的金融機構,得書面通知客戶委外事項,並依「個人資料保護法」規定辦理。
根據金管會新公布的辦法修正案草案,金融機構將作業委託他人處理,涉及使用雲端服務時,要遵循八大項規定。第一項,金融機構應確保作業風險控管,評估受託機構處理的風險,採取適當風險管控措施。
其次,在責任歸屬上,金融機構要對雲端服務業者負有最終監督義務,並具有專業技術與資源去監督雲端服務業者執行受託作業,並視情況需要委託專業第三人輔助監督作業。
對於雲端委外業者的監督,則有兩項規範。一是金融機構應確保本身、主管機關及中央銀行,或其指定的人能取得雲端服務業者執行受託作業的相關資訊,包括客戶資訊及相關系統的查核報告,以及實地查核權力。
再者,金融機構得自行委託,或是與其他委外同一家雲端服務業者的金融機構,聯合委託具備資訊專業的獨立第三人查核。
第五項上雲規範則是與資料傳輸有關。金管會要求,金融機構傳輸及儲存客戶資料到雲端服務業者,應採行客戶資料加密或代碼化等有效保護措施,並應訂定加密金鑰管理機制。
而銀行業者,對於對委外處理的資料應保有完整所有權,金融機構得確保,雲端服務業者除了執行受託作業之外,不得有存取客戶資料的權限,且不可在委託範圍以外利用。這是金管會的第六項要求。
如同銀行資安控管要求一項,金管會第七項要求是,金融機構應訂定緊急應變計畫,降低因作業委託而可能有服務中斷的風險。當金融機構終止或結束作業委託時,要確保能順利移轉至另一雲端服務業者,或者是移回自行處理,並且確保原受託雲端服務業者留存資料全數刪除或銷毀,還要留存刪除或銷毀記錄。
最後一項則是與資料儲存地點是境外或境內有關。顧立雄強調,委託雲端服務業者處理的客戶資料以及資料儲存地,要以我國境內為原則。若是資料儲存地位於境外,則還要遵守三項規定辦理。
這 3 項境外上雲要求,第一是,金融機構需保有指定資料處理及儲存地的權利。二是,境外當地資料保護法規不得低於我國要求。最後,除了經過金管會核准者之外,客戶重要資料應該要在我國留存備份。
另外,金管會還要求,遇到重大性委外作業或是將作業委託到境外,就都得事先向申請核准才行。
顧立雄指出,金管會將依照雲端作業委外的重大性與否,區分為「核准制」以及「備查制」。他指出,具有重大性的委外作業,或是要將作業委託到境外的金融業者,都得採取申請核准制,事先向金管會提出申請。而不是屬於此範圍的委外作業,則是採取備查制。
重大性作業如何界定?顧立雄解釋,金管會的規範是,受託作業一旦沒有辦法提供服務,則會有資訊安全疑慮,對金融機構的業務營運有重大影響。或是受託作業涉及客戶資料安全事件,對金融機構或客戶權益有重大影響。
另外,針對外國銀行的部分,顧立雄也特別提到,外國銀行資料境外儲存的需求較多,所以,外銀在臺分行,以及在臺子銀行作業委託總行、母行或所屬集團的分支機構及子公司,委託雲端服務業者處理,也得採取核准制。
新辦法中,也清楚地列出了金融機構向金管會申請時,所需準備的相關文件項目,包括了作業委外計畫書,內容包括了風險評估及管理機制、資訊安全及管理、取得客戶資訊與相關系統查核報告以及確保實地查核權力、緊急應變及退場機制等,金融機構都得進行說明。
金管會將銀行資料上雲端,列入委外作業辦法中規範。過去,早在 2017 年開業的王道銀行,就可說是第一家雲端銀行,但當時,還沒有明確的上雲端規範,王道花了一番功夫跟金管會「溝通」,才順利把自家資料放到境外雲端服務,不過,內部還是有一套本地端核心系統。
預估約 2 個月後,也就是 9、10 月之間,這次的上雲端委外辦法完成了法定的 2 個月草案預告期,一旦正式公告實施,銀行上雲端就有一套明確規範的作業辦法。
相較於過去,這次銀行委外作業辦法修正上,鬆綁了好幾項規定,大方向是在臺灣上雲端比過去更鬆綁,而境外上雲端則有明確的管控要求,等於是有條件上雲。
舉例來說,實務作法上,多數國外公有雲,多半是委託第三方共用平臺來管理這些金鑰。但是,過去,監理機關要求,用於加密資料傳輸或雲端資料儲存的加密金鑰,得由銀行自己保管,因此,過去,銀行要將資料上雲端,光是加密金鑰的管理就是一大衝突,另外,銀行自行保管金鑰另一個挑戰是,當 App 上雲要取得資料後,每次都得連線到銀行端取得金鑰來解碼,對銀行 IT 是一大負擔。
不過,這次條款中,放寬了可以第三方管理單位,不管是雲端業者或其他金鑰服務商都可以來保管加密金鑰,只要採用顧客資料加密或代碼化等有效保護措施,並且還應該訂定加密金鑰的管理機制。對銀行來說,則可以透過稽核機制來審視第三方管理機構的金鑰控管機制,而不一定要自行保管金鑰。
另外,在委外管理上最重要的改變是,對於委外服務業者的監督業務,也可以交給第三方專業機構來輔助監督。意思是說,過去,因為銀行負有最終的監督責任,過去的法規要求,銀行得自行監督所委託的業者,所以,要將資料放上公有雲,銀行得有能力監督公有雲業者,例如如何部署服務、如何管理機房、如何確保安全等相關作業。
尤其,在金管會金融檢查項目上,要求銀行必須對委外機構進行實地查核,公有雲業者機房,除了 Google 在臺灣,如 AWS 或 Azure 機房可能遠在新加坡、東京或香港,就算銀行派人實際到機房,但這些 IT 業務並非銀行的本業與專業,如何有效「檢查」公有雲業者的機房就是一大考驗。這也是過去,為何銀行不輕易上雲的原因之一,因為遇到需要高度專業知識才能監督的供應商,銀行難以落實監督,而無法輕易委外給他們。
國外常見監督委外機構的作法是,委託給第三方專業機構,例如四大會計師事務所來監督公有雲業者。尤其像是實地查核,包括稽核機制,已有第三方公正業者提供這類國際性的服務,可以遠赴各國執行。常見的實地查核項目,例如顧客資料管理方式,持續營運作法,作業手冊,事故通報作法、密碼管理作法等。
金管會也採取這種國際慣用的委外監督方式,納入這次委外辦法修正上,允許銀行業者,可以視情況需要委託專業第三人輔助監督作業。不只如此,多家使用同一個雲端供應商的銀行業者,還可以聯合委託具備資訊專業的獨立第三人查核,這也減輕了銀行業者的負擔。
銀行上雲端條款更大的意義是,這也是金管會今年兩大政策重點──「開放銀行」和「純網銀」發展的基礎。
金管會已經定調開放銀行(Open Banking)採取香港模式,由業者自願,分三階段先後開放銀行商品資料查詢、客戶資料查詢和交易資料。負責訂定 OpenAPI 共通標準的財金公司,在 7 月 3 日首度對外發表了初版標準,第一個使用 OpenAPI 的第三方應用也預計在 8 月登場。
而上雲端條款中,不只規定了本地銀行可以使用境外雲端服務,也規定了外國銀行來臺時,同樣可以上雲端來服務在臺灣的民眾,不一定非得在本地設機房才行,這也讓純網銀有更大的發揮空間。