法規資訊

1. 一

1. 本注意事項依證券暨期貨市場各服務事業建立內部控制制度處理準則第八條第一項第十八款訂定之。

1. 二

1. 證券商將作業委託他人處理(以下簡稱為委外)，應簽訂書面契約，並依本注意事項辦理。但涉及外匯作業事項並應依中央銀行有關規定辦理。
2. 本注意事項適用之證券商，包括本國證券商及其國外分公司、外國證券商在臺分公司。

1. 三

1. 證券商對於涉及營業執照所載業務項目或客戶資訊之相關作業委外，以下列事項範圍為限：

   1. (一)資料處理：包括資訊系統之資料登錄、處理、輸出，資訊系統之開發、監控、維護，及辦理業務涉及資料處理之後勤作業。
   2. (二)表單、憑證等資料保存之作業。
   3. (三)電子通路客戶服務業務，包括電話自動語音系統服務、客戶電子郵件之回覆與處理作業、電子通路客戶之相關諮詢與協助，及電話客服專員服務。
   4. (四)內部稽核部分作業項目。但禁止委託其財務簽證會計師辦理。
   5. (五)其他經主管機關核定得委外之作業項目。
2. 證券商應依主管機關、臺灣證券交易所股份有限公司(以下簡稱臺灣證券交易所)、財團法人中華民國證券櫃檯買賣中心(以下簡稱證券櫃檯買賣中心)或中華民國證券商業同業公會(以下簡稱證券商同業公會)規定方式，確實申報有關作業委外項目、內容及範圍等資料。

1. 四

1. 證券商作業委外應在不影響健全經營、客戶權益及相關法令遵循之原則下，依董事會核定之委外內部作業規範辦理。但外國證券商在臺分公司之核定，得由經總公司授權之人員為之。
2. 前項所稱委外內部作業規範應載明下列事項：

   1. (一)作業委外之政策及原則，包括委外之決策評估、風險管理機制、核決層級及治理架構。
   2. (二)專責單位及相關單位對委外事項控管之權責分工。
   3. (三)委外事項範圍及委外程序。
   4. (四)客戶權益保障之內部作業及程序。
   5. (五)風險管理原則及作業程序。
   6. (六)內部控制原則及作業程序。
   7. (七)其他委外作業事項及程序。
3. 證券商對於作業委外負最終責任，應就委外事項之風險程度、重大性及對營運與客戶權益影響進行評估，依風險基礎方法採取適當之控管措施，並依下列規定辦理：

   1. (一)董事會應認知作業委外之風險，定期監督委外事項執行情形。
   2. (二)應確保專責單位及相關單位對於控管委外事項具備充足之資源、專業及權限。
   3. (三)應辨識、評估及管理具重大性之作業委外，訂定相關程序及政策，確保委外作業對證券商正常營運或客戶權益有重大影響者，訂定強化之控管及緊急應變措施。
   4. (四)應有適當之盡職調查及定期審查程序以確認受委託機構具備執行受託作業之專業知識與資源、財務健全、內部控制及資安管理機制及符合法規要求。
   5. (五)應確保證券商本身、主管機關及中央銀行，或其指定之人、臺灣證券交易所、證券櫃檯買賣中心或證券商同業公會能取得受委託機構就受託事項範圍之相關資料或報告，及進行金融檢查或查核，或得命令受委託機構於限期內提供相關資料或報告。
4. 前項規定於外國證券商在臺分公司之適用，得由總公司或經其授權之區域總部負責及辦理。但專責單位仍應由外國證券商在臺分公司人員辦理，並充分掌握總公司或經其授權之區域總部對在臺作業委外事項之控管情形。
5. 本注意事項所稱之重大性，係指下列情形之一：

   1. (一)委外作業無法提供服務或有資訊安全疑慮，對證券商之業務營運有重大影響者。
   2. (二)委外作業涉及客戶資料安全事件，對證券商或客戶權益有重大影響者。
   3. (三)其他委外作業對證券商或客戶權益有重大影響者。

1. 五

1. 證券商辦理第三點第一項第五款其他經主管機關核定事項之委外，應檢具下列書件送臺灣證券交易所、證券櫃檯買賣中心或證券商同業公會審查後轉報主管機關核准：

   1. (一)依前點第二項訂定之委外內部作業規範。
   2. (二)董事會決議之議事錄。但外國證券商在臺分公司得由經總公司授權人員出具同意書為之。
   3. (三)委外對營運之必要性及適法性分析、委外事項之風險程度、重大性及對營運與客戶影響之評估情形、對受委託機構盡職調查情形及委外風險控管措施。
   4. (四)作業流程。
   5. (五)其他經主管機關指定事項。
2. 前項經主管機關核定為得委外之作業項目後，其他證券商得逕依委外內部作業規範辦理。

1. 六

1. 第四點第二項第二款規定之專責單位應執行之事項如下：
1. (一)依第四點規定訂定之委外內部作業規範控管委外事項。
2. (二)就委外事項涉及客戶權益保障、風險管理及內部控制作業之監督，並定期評估檢討將結果呈報董事會或外國證券商在臺分公司之總公司授權人員，若有重大異常或缺失亦應儘速通報主管機關、中央銀行、臺灣證券交易所、證券櫃檯買賣中心或證券商同業公會。
3. (三)督導受委託機構內部控制及內部稽核制度之建立及執行。
4. (四)訂定並執行遴選受委託機構之作業辦法，且應注意委外事項係受委託機構合法得辦理之營業項目。

1. 七

1. 第四點第二項第四款規定證券商訂定之委外內部作業規範有關客戶權益保障之內部作業及程序，其內容應包括：

   1. (一)如涉及客戶資訊者，應於契約簽訂時訂定告知客戶之條款；其未定有告知條款者，證券商應通知客戶委外事項，並應依個人資料保護法之規定辦理。
   2. (二)客戶資訊提供之條件範圍及其移轉之程序方法。
   3. (三)對受委託機構使用、處理、控管前款客戶資訊之監督方法。
   4. (四)訂定客戶糾紛處理程序及時限，並設置協調處理單位，受理客戶之申訴。
   5. (五)其他客戶權益保障之必要措施。
2. 證券商作業委外如因受委託機構或其受僱人員之故意或過失致客戶權益受損，仍應對客戶依法負同一責任。

1. 八

1. 第四點第二項第五款規定證券商訂定之委外內部作業規範有關風險管理原則及作業程序，其內容應包括：
1. (一)建立作業委外風險與效益分析之制度。
2. (二)建立足以辨識、衡量、監督及控制委外相關風險之程序或管理措施：

   1. 1、評估委外事項之風險程度、重大性及對業務影響程度。
   2. 2、確保證券商及受委託機構具備足夠之專業知識與資源。
   3. 3、考量相關風險因素，進行委外作業風險等級之評估，及降低風險之適當措施。
   4. 4、定期評估風險等級，確保風險等級之更新。
   5. 5、辦理具重大性之委外事項依風險情境進行定期或不定期測試或演練。
3. (三)訂定緊急應變計畫及終止委託之移轉機制。

1. 九

1. 第四點第二項第六款規定證券商訂定之委外內部作業規範有關內部控制原則及作業程序，其內容應包括：
1. (一)訂定並執行委外事項範圍之監督管理作業程序。
2. (二)前款作業程序應納入證券商整體內部控制及內部稽核制度內執行。
3. (三)監督受委託機構內部控制及內部稽核制度之建立及執行。

1. 十

1. 證券商作業委外契約應載明下列事項：

   1. (一)委外事項範圍及受委託機構之權責。
   2. (二)證券商應要求受委託機構配合遵守第十五點規定。
   3. (三)消費者權益保障，包括客戶資料保密及安全措施。
   4. (四)受委託機構應依證券商監督訂定之標準作業程序，執行客戶權益保障、風險管理、內部控制及內部稽核制度。
   5. (五)消費者爭端解決機制，包括解決時程、程序及補救措施。
   6. (六)受委託機構聘僱人員之管理，包括人員晉用、考核及處分等情事。
   7. (七)與受委託機構終止委外契約之重大事由，包括主管機關通知依契約終止或解約之條款。
   8. (八)受委託機構就受託事項範圍，同意主管機關、中央銀行、臺灣證券交易所、證券櫃檯買賣中心及證券商同業公會得取得相關資料或報告，及進行金融檢查或查核，或得命令其於限期內提供相關資料或報告。
   9. (九)受委託機構對外不得以證券商名義辦理受託處理事項，亦不得進行不實廣告或向客戶收取任何費用。
   10. (十)受委託機構對委外事項若有重大異常或缺失應立即通知證券商。
   11. (十一)其他約定事項。
2. 證券商應於契約中要求受委託機構非經證券商書面同意，不得將作業複委託。委外契約中應針對複委託情形，訂明複委託之範圍、限制或條件。複委託契約應準用本點規定訂定之。
3. 委外契約或複委託契約與本注意事項規定不符者，證券商得按原契約繼續辦理至契約期限到期為止；惟契約未定有期限者，應於本注意事項發布施行起一年內補正，否則該契約自動終止。

1. 十一

1. 證券商將作業項目委託至境外處理者，應依下列規定辦理：

   1. (一)應充分瞭解及掌握受委託機構對客戶資訊之使用、處理及控管情形。
   2. (二)提供予受委託機構之客戶資訊僅限與受託事項直接相關之必要資訊。
   3. (三)應要求受委託機構確實遵守以下事項：

      1. 1、證券商之客戶資訊僅限由受委託機構之獲授權人員於受託事項範圍內使用及處理。
      2. 2、證券商之客戶資訊應與受委託機構及其處理他機構之資料有明確區隔。
      3. 3、受委託機構處理之證券商客戶資訊應能及時提供予主管機關、臺灣證券交易所、證券櫃檯買賣中心、證券商同業公會及證券商。
   4. (四)應依風險基礎方法定期及不定期就受委託機構對客戶資訊之使用、處理及控管情形進行查核及監督；相關查核得委由外部稽核辦理，外國證券商在臺分公司得交由總公司或經總公司授權之區域總部稽核單位辦理，相關單位並應提供相關查核報告予該外國證券商在臺分公司。
   5. (五)受委託機構所在地證券主管機關請求提供我國客戶資訊時，證券商應先將事由通知我國主管機關並取得同意後始得提供。
2. 外國證券商在臺分公司因內部分工將作業交由總公司或國外分支機構處理者，應依前項規定辦理。

1. 十二

1. 證券商辦理作業委外，涉及重大性自然人客戶業務資訊系統委託至境外處理，應檢具下列書件送臺灣證券交易所、證券櫃檯買賣中心或證券商同業公會審查後轉報主管機關核准：

   1. (一)依第四點第二項訂定之委外內部作業規範。
   2. (二)董事會決議之議事錄。但外國證券商在臺分公司得由經總公司授權人員出具同意書為之。
   3. (三)委外對營運之必要性及適法性分析，其中應包含對受委託機構遵守我國客戶資料保護相關規定之評估。
   4. (四)作業委外計畫書，其內容應包括：

      1. 1、風險評估及管理機制：

         1. (1)委外事項之風險程度、重大性及對營運與客戶權益影響之評估情形。
         2. (2)受委託機構盡職調查情形，確保提供作業之可靠性、遵法性，其中可靠性應包括對業務持續性、替代性及集中性之分析。
         3. (3)應具專業技術及資源，監督受委託機構執行受託作業之說明。
         4. (4)日常監督機制之計畫及執行單位。
      2. 2、客戶資訊保護措施及是否已取得客戶同意，以確保委外服務品質及客戶權益保障之說明。
      3. 3、資訊安全及管理：

         1. (1)資料安全管理措施、資料傳輸與區隔，及資料所有權說明。
         2. (2)資料儲存地之管理政策，包括資料處理地及儲存地之法律、政治、經濟安定性評估說明，資料備份及得隨時存取資料之說明。
      4. 4、緊急應變計畫，包括受委託機構發生無法提供服務情事或服務中斷之營運備援計畫。
   5. (五)受委託機構出具之同意函或委外契約，同意必要時得由證券商指定之人，對受託事項進行查核。上開指定之人亦得由我國主管機關指派之，其費用由證券商負擔。
   6. (六)受委託機構出具近三年內未發生造成客戶權益受損或影響機構健全營運之人員舞弊、資通安全及其他事件之聲明書。
2. 證券商辦理前項委外，除應符合前點規定外，並應依下列規定辦理：

   1. (一)應就受委託機構對客戶資訊之使用、處理及控管情形確認符合我國個人資料保護法相關規定，留存完整稽核紀錄，並列為重點查核項目。
   2. (二)應定期評估成本效益與集團內費用分攤之合理性並報董事會通過。
   3. (三)對資訊系統之安全檢測應不低於主管機關、臺灣證券交易所、證券櫃檯買賣中心或證券商同業公會之規範。
   4. (四)每年至少應辦理一次一般性查核及一次專案查核，並應於每年年度終了後四個月內將當年度辦理跨境委外查核報告提報董事會報告。前述查核之執行得委託具資訊專業之獨立第三人辦理。
   5. (五)應建立受委託機構發生無法提供服務情事或服務中斷之營運備援計畫。
   6. (六)應於契約中載明於委外作業移轉至其他受委託機構或移回證券商之情況，原受委託機構有關系統遷移、資料處理之義務，及受委託機構服務中斷之賠償責任。
3. 外國證券商在臺分公司因內部分工將作業交由總公司或國外分支機構處理者，應依第一項規定辦理。

1. 十三

1. 證券商將作業委託他人處理涉及使用雲端服務，應依下列規定辦理：
1. (一)應訂定使用雲端服務之政策及原則，採取適當風險管控措施，並應注意作業委託雲端服務業者之適度分散。
2. (二)證券商對雲端服務業者負有最終監督義務，並應具有專業技術及資源，監督雲端服務業者執行受託作業，並得視需要委託專業第三人以輔助其監督作業。
3. (三)證券商得自行委託，或與委託同一雲端服務業者之其他證券商聯合委託具資訊專業之獨立第三人查核，並應符合下列規定：

   1. 1、確認其查核範圍涵蓋雲端服務業者受託處理作業相關之重要系統及控制環節。
   2. 2、應評估第三人之適格性，及其所出具查核報告內容之妥適性並符合相關國際資訊安全及隱私保護標準。
   3. 3、應針對證券商所委託作業範圍進行查核並出具報告。
4. (四)證券商傳輸及儲存客戶資料至雲端服務業者，應採行客戶資料加密或代碼化等有效保護措施，並應訂定妥適之加密金鑰管理機制。
5. (五)對委託雲端服務業者處理之資料應保有完整所有權，除執行受託作業外，證券商應確保雲端服務業者不得有存取客戶資料之權限，並不得為委託範圍以外之利用。
6. (六)委託雲端服務業者處理之客戶資料及其儲存地應依下列規定辦理：

   1. 1、證券商須保有其指定資料處理及儲存地之權利。
   2. 2、境外當地資料保護法規不得低於我國要求。
   3. 3、涉及重大性自然人客戶業務資訊系統之客戶資料儲存地以位於我國境內為原則。如位於境外，除經主管機關核准者外，客戶重要資料應在我國留存備份。

1. 十四

1. 證券商辦理下列委外事項，不適用前三點規定：
1. (一)將其國外分支機構之作業項目委外辦理者。
2. (二)委託境外機構辦理位於境內資訊系統之開發及維護者。

1. 十五

1. 證券商作業委外不得違反法令強制或禁止規定、公共秩序及善良風俗，對經營、管理及客戶權益，不得有不利之影響，並應確保遵循證券交易法、洗錢防制法、個人資料保護法、金融消費者保護法及其他法令之規定。
2. 證券商辦理作業委外應確實遵守相關法令及臺灣證券交易所、證券櫃檯買賣中心及證券商同業公會相關業務規章或自律公約。

1. 十六

1. 證券商作業委外，主管機關、中央銀行、臺灣證券交易所、證券櫃檯買賣中心及證券商同業公會得取得相關資料或報告，並進行金融檢查或查核。
2. 受委託機構如有違反本注意事項或其他法令之情形時，主管機關得視情節輕重，通知委託證券商依契約規定終止委託、要求其限期改善，或暫停委託直至受委託機構確認改善為止。

1. 十七

1. 第五點第一項及第十二點第一項所列應報經主管機關核准之事項，與臺灣證券交易所訂立有價證券集中交易市場使用契約之證券商，先送臺灣證券交易所；僅與證券櫃檯買賣中心訂立證券商經營櫃檯買賣有價證券契約者，先送證券櫃檯買賣中心；均未訂立者，先送證券商同業公會審查後轉報主管機關核准。

1. 十八

1. 證券商作業委外，如有未符本注意事項規定事項，除本注意事項另有規定外，應於本注意事項發布施行起一年內補正。