本辦法依銀行法第四十五條之一第三項及信用合作社法第二十一條第四項訂定之。
金融機構將作業委託他人處理(以下簡稱為委外),應簽訂書面契約,並依本辦法辦理,但涉及外匯作業事項並應依中央銀行有關規定辦理。
本辦法適用之金融機構,包括本國銀行及其國外分行、外國銀行在臺分行、信用合作社、票券金融公司及信用卡業務機構。
金融機構對於涉及營業執照所載業務項目或客戶資訊之相關作業委外,以下列事項範圍為限:
一、資料處理:包括資訊系統之資料登錄、處理、輸出,資訊系統之開發、監控、維護,及辦理業務涉及資料處理之後勤作業。
二、表單、憑證等資料保存之作業。
三、代客開票作業,包括支票、匯票。
四、貿易金融業務之後勤處理作業。但以信用狀開發、讓購、及進出口託收為限。
五、代收消費性貸款、信用卡帳款作業,但受委託機構以經主管機關核准者為限。
六、提供信用額度之往來授信客戶之信用分析報告編製。
七、信用卡發卡業務之行銷業務、客戶資料輸入作業、表單列印作業、裝封作業、付交郵寄作業,及開卡、停用掛失、預借現金、緊急性服務等事項之電腦及人工授權作業。
八、電子通路客戶服務業務,包括電話自動語音系統服務、電話行銷業務、客戶電子郵件之回覆與處理作業、電子銀行客戶及電子商務之相關諮詢及協助,及電話銀行專員服務。
九、車輛貸款業務之行銷、貸放作業管理及服務諮詢作業,但不含該項業務授信審核之准駁。
十、消費性貸款行銷,但不含該項業務授信審核之准駁。
十一、房屋貸款行銷業務,但不含該項業務授信審核之准駁。
十二、應收債權之催收作業。
十三、委託代書處理之事項,及委託其他機構處理因債權承受之擔保品等事項。
十四、車輛貸款逾期繳款之尋車及車輛拍賣,但不含拍賣底價之決定。
十五、鑑價作業。
十六、內部稽核作業,但禁止委託其財務簽證會計師辦理。
十七、不良債權之評價、分類、組合及銷售。但應於委外契約中訂定受委託機構參與作業合約之工作人員,於合約服務期間或合約終止後一定合理期間內,不得從事與委外事項有利益衝突之工作或提供有利益衝突之顧問或諮詢服務。
十八、有價證券、支票、表單及現鈔運送作業及自動櫃員機裝補鈔作業。
十九、金塊、銀塊、白金條塊等貴金屬之報關、存放、運送及交付。
二十、其他經主管機關核定得委外之作業項目。
前項第七款信用卡發卡業務之行銷及第九款至第十二款之委外事項,不得複委託;第九款至第十一款有關貸款行銷作業委外,應由金融機構自行辦理客戶及關係人之對保簽章作業。
金融機構應依主管機關規定方式,確實申報有關作業委外項目、內容及範圍等資料。
金融機構作業委外應在不影響健全經營、客戶權益及相關法令遵循之原則下,依董(理)事會核定之委外內部作業規範辦理。但外國金融機構在臺分支機構(包括外國銀行在臺分行及外國信用卡公司)之核定,得由經總機構授權之人員為之。
前項所稱委外內部作業規範應載明下列事項:
一、作業委外之政策及原則,包括委外之決策評估、風險管理機制、核決層級及治理架構。
二、專責單位及相關單位對委外事項控管之權責分工。
三、委外事項範圍及委外程序。
四、客戶權益保障之內部作業及程序。
五、風險管理原則及作業程序。
六、內部控制原則及作業程序。
七、其他委外作業事項及程序。
金融機構對於作業委外負最終責任,應就委外事項之風險程度、重大性及對營運及客戶權益影響進行評估,依風險基礎方法採取適當之控管措施,並依下列規定辦理:
一、董(理)事會應認知作業委外之風險,定期監督委外事項執行情形。
二、應確保專責單位及相關單位對於控管委外事項具備充足之資源、專業及權限。
三、應辨識、評估及管理具重大性之作業委外,訂定相關程序及政策,確保委外作業對金融機構正常營運或客戶權益有重大影響者,訂定強化之控管及緊急應變措施。
四、應有適當之盡職調查及定期審查程序以確認受委託機構具備執行受託作業之專業知識與資源、財務健全、內部控制及資安管理機制及符合法規要求。
五、應確保金融機構本身、主管機關及中央銀行,或其指定之人能取得受委託機構就受託事項範圍之相關資料或報告,及進行金融檢查或查核,或得命令受委託機構於限期內提供相關資料或報告。
前項規定於外國金融機構在臺分支機構之適用,得由總機構或經其授權之區域總部負責及辦理。但專責單位仍應由外國金融機構在臺分支機構人員辦理,並充分掌握總機構或經其授權之區域總部對在臺作業委外事項之控管情形。
本辦法所稱之重大性,係指下列情形之一:
一、委外作業無法提供服務或有資訊安全疑慮,對金融機構之業務營運有重大影響者。
二、委外作業涉及客戶資料安全事件,對金融機構或客戶權益有重大影響者。
三、其他委外作業對金融機構或客戶權益有重大影響者。
金融機構辦理第三條第一項第二十款其他經主管機關核定事項之委外,應檢具下列書件向主管機關申請核准:
一、依前條第二項訂定之委外內部作業規範。
二、董(理)事會決議之議事錄。但外國金融機構在臺分支機構得由經總機構授權人員出具同意書為之。
三、委外對營運之必要性及適法性分析、委外事項之風險程度、重大性及對營運及客戶影響之評估情形、對受委託機構盡職調查情形及委外風險控管措施。
四、作業流程。
五、其他經主管機關指定事項。
前項經主管機關核定為得委外之作業項目後,其他金融機構得逕依委外內部作業規範辦理。
第四條第二項第二款規定之專責單位應執行之事項如下:
一、依第四條規定訂定之委外內部作業規範控管委外事項。
二、就委外事項涉及客戶權益保障、風險管理及內部控制作業之監督,並定期評估檢討將結果呈報董(理)事會或外國金融機構在臺分支機構之總機構授權人員,若有重大異常或缺失亦應儘速通報主管機關及中央銀行。
三、督導受委託機構內部控制及內部稽核制度之建立及執行。
四、訂定並執行遴選受委託機構之作業辦法,且應注意委外事項係受委託機構合法得辦理之營業項目。
專責單位應定期至財團法人金融聯合徵信中心所建置受委託機構暨員工登錄系統查詢相關資料,並留存查詢紀錄備查,以作為金融機構作業委外執行本身內部控制制度及管理督導受委託機構建立內部控制制度之一環。
第四條第二項第四款規定金融機構訂定之委外內部作業規範有關客戶權益保障之內部作業及程序,其內容應包括:
一、如涉及客戶資訊者,應於契約簽訂時訂定告知客戶之條款;其未定有告知條款者,金融機構應書面通知客戶委外事項,並應依個人資料保護法之規定辦理。
二、客戶資訊提供之條件範圍及其移轉之程序方法。
三、對受委託機構使用、處理、控管前款客戶資訊之監督方法。
四、訂定客戶糾紛處理程序及時限,並設置協調處理單位,受理客戶之申訴。
五、其他客戶權益保障之必要措施。
金融機構作業委外如因受委託機構或其受僱人員之故意或過失致客戶權益受損,仍應對客戶依法負同一責任。
第四條第二項第五款規定金融機構訂定之委外內部作業規範有關風險管理原則及作業程序,其內容應包括:
一、建立作業委外風險與效益分析之制度。
二、建立足以辨識、衡量、監督及控制委外相關風險之程序或管理措施:
(一)評估委外事項之風險程度、重大性及對業務影響程度。
(二)確保金融機構及受委託機構具備足夠之專業知識與資源。
(三)考量相關風險因素,進行委外作業風險等級之評估,及降低風險之適當措施。
(四)定期評估風險等級,確保風險等級之更新。
(五)辦理具重大性之委外事項依風險情境進行定期或不定期測試或演練。
三、訂定緊急應變計畫及終止委託之移轉機制。
第四條第二項第六款規定金融機構訂定之委外內部作業規範有關內部控制原則及作業程序,其內容應包括:
一、訂定並執行委外事項範圍之監督管理作業程序。
二、前款作業程序應納入金融機構整體內部控制及內部稽核制度內執行。
三、監督受委託機構內部控制及內部稽核制度之建立及執行。
金融機構作業委外契約應載明下列事項:
一、委外事項範圍及受委託機構之權責。
二、金融機構應要求受委託機構配合遵守第二十一條規定。
三、消費者權益保障,包括客戶資料保密及安全措施。
四、受委託機構應依金融機構監督訂定之標準作業程序,執行消費者權益保障、風險管理、內部控制及內部稽核制度。
五、消費者爭端解決機制,包括解決時程、程序及補救措施。
六、受委託機構聘僱人員之管理,包括人員晉用、考核及處分等情事。
七、與受委託機構終止委外契約之重大事由,包括主管機關通知依契約終止或解約之條款。
八、受委託機構就受託事項範圍,同意主管機關及中央銀行得取得相關資料或報告,及進行金融檢查,或得命令其於限期內提供相關資料或報告。
九、受委託機構對外不得以金融機構名義辦理受託處理事項,亦不得進行不實廣告或於辦理貸款行銷作業時向客戶收取任何費用。
十、受委託機構對委外事項若有重大異常或缺失應立即通知金融機構。
十一、其他約定事項。
金融機構應於契約中要求受委託機構非經金融機構書面同意,不得將作業複委託。委外契約中應針對複委託情形,訂明複委託之範圍、限制或條件。複委託契約應準用本條規定訂定之。
委外契約或複委託契約與本辦法規定不符者,金融機構得按原契約繼續辦理至契約期限到期為止;惟契約未定有期限者,應於本辦法發布施行起六個月內補正,否則該契約自動終止。
金融機構辦理信用卡發卡業務及車輛貸款以外之消費性貸款之行銷之委外,應委託其持股百分之百或具百分之百控制力之行銷公司辦理。但金融機構及行銷公司符合下列條件者,金融機構得委託持股非百分之百之行銷公司辦理信用卡發卡業務之行銷作業:
一、該行銷公司僅單獨辦理信用卡行銷業務一項。
二、該行銷公司只接受一家發卡金融機構委託,且不得再委外或轉包其他事業或個人。
三、金融機構經檢視過去委託該行銷公司辦理信用卡行銷收件之品質良好。
四、金融機構應每季提出對該行銷公司之實地查核報告,並包括對該公司送件品質之評估。
金融機構辦理本條作業委外,應要求受委託之行銷公司不得以給予贈品或獎品或於街頭、騎樓設攤之方式行銷。
金融機構辦理信用卡發卡業務之行銷之委外者,應要求受委託之行銷公司依信用卡業務機構管理辦法相關行銷規定辦理。
金融機構辦理應收債權催收作業之委外,所委託之催收程序行為樣態、通知書函等應依中華民國銀行商業同業公會全國聯合會(下稱銀行公會)範本制定,該通知書函範本並應經律師審閱無違反本辦法及其他相關法令之虞後,送主管機關備查。
金融機構辦理應收債權催收作業之委外,應事先確認受委託機構具備下列資格條件:
一、受委託機構應為下列其中之一:
(一)依公司法或商業登記法辦理登記並取得主管機關核發載有辦理金融機構金錢債權管理服務業務之公司登記證明文件或商業登記證明文件之公司。
(二)所屬金融控股公司或該銀行直接或間接百分之百持股,依金控公司(銀行)轉投資資產管理公司營運原則第二點第一款規定,接受母公司委託辦理應收債權催收之資產管理公司。
(三)依法設立之律師事務所。
(四)依法設立之會計師事務所。
二、受委託機構虧損未達實收資本額三分之一者。但虧損超過實收資本額三分之一,如已依相關規定完成增資程序者,不在此限。
三、受委託機構之催收人員應完成銀行公會或其認可之機構舉辦有關催收專業訓練課程或測驗並領有合格證書者,且無下列情事之一之人員:
(一)曾犯刑法、組織犯罪防制條例、槍砲彈藥刀械管制條例等所定相關暴力犯罪,經判刑確定或通緝有案尚未結案者。
(二)受破產之宣告尚未復權者。
(三)使用票據經拒絕往來尚未期滿或有其他債信不良紀錄尚未了結者。
(四)無行為能力、限制行為能力或受輔助宣告尚未撤銷者。
(五)違反本辦法或其他法令而離職,並經金融機構報送財團法人金融聯合徵信中心登錄者。
四、受委託機構之催收人員未完成銀行公會或其認可之機構舉辦有關催收專業訓練課程或測驗並領有合格證書者,應於任職後兩個月內補正。
五、受委託機構之負責人應無銀行負責人應具備資格條件兼職限制及應遵行事項準則第三條第一項第一款至第十一款所述情形,並出具相關之聲明書。
六、受委託機構具有為承辦受託事務所需之完備電腦作業處理設備,相關作業人員之電話須裝設錄音系統,錄音系統須與電腦系統配合可即時調閱錄音,以供稽核或遇爭議時查證之用,需所有電話暨外訪時均予以錄音並製作備份且至少保存六個月以上,其錄音紀錄不得有刪除或竄改之情形。
金融機構應定期及不定期對受委託辦理應收債權催收作業之機構進行查核及監督,確保無違反下列各款規定:
一、不得有暴力、恐嚇、脅迫、辱罵、騷擾、虛偽、詐欺或誤導債務人或第三人或造成債務人隱私受侵害之其他不當之債務催收行為。
二、不得以影響他人正常居住、就學、工作、營業或生活之騷擾方法催收債務。
三、催收時間為上午七時至晚上十時止。但經債務人同意者,不在此限。
四、不得以任何方式透過對第三人之干擾或催討為之。
五、為取得債務人之聯繫資訊,而與第三人聯繫時,應表明身分及其目的係為取得債務人之聯繫資訊。如經第三人請求,應表明係接受特定金融機構之委託,受委託機構之名稱,外訪時並應出具授權書。
六、受委託機構及員工不得向債務人或第三人收取債款或任何費用。但如係法院執行扣薪需要,受委託機構為金融機構訴訟代理人並經該金融機構同意代收該扣薪款時,不在此限。
七、受委託機構之外訪人員需配帶員工識別證,並應將外訪過程中與客戶或其相關人之談話內容全程錄音。未經債務人同意,不可擅自以任何形式進入其居住處所。
有下列情形之一者,視為前項第一款虛偽、詐欺或誤導之方法:
一、虛偽陳述或暗示債務人不清償債務將受逮捕、羈押等刑事處分。
二、告知債務人將查封依法不得查封之財產。
三、向債務人催收債權金額以外或法律禁止請求之費用。
四、虛偽陳述債務人不清償債務,法院將實施拘提、管收、查封或拍賣等執行行為。
有下列情形之一者,視為第一項第二款影響他人正常居住、就學、工作、營業或生活之騷擾方法:
一、持續或於非催收時間內,以電話、傳真、簡訊、電子郵件等通訊方法或訪問債務人居住所、學校、工作、營業地點或其他場所,向債務人催收。
二、以明信片進行催收,或於信封上使用任何文字、符號及其他方式,足使第三人知悉債務人負有債務或其他有關債務人私生活之資訊。但公司名稱,不在此限。
三、以佈告、招牌或其他類似方法,致第三人知悉債務人負有債務或其他有關債務人私生活之資訊。
金融機構與受委託催收機構訂定應收債權催收作業之委外契約除須符合第十條規定外,契約中應包括下列事項:
一、訂定受委託機構之工作準則,其內容至少應包括不得有第十四條所列各項禁止催收行為,受委託機構應明定解聘或懲罰違反相關規定員工之標準。
二、禁止複委託他人代為處理債權催收。
三、受委託機構應定期或隨時向金融機構回報債權催收處理、客戶申訴處理等情形;受委託機構及員工於內部管理或催收作業等有違反法規之情形時,應將相關案情立即回報金融機構。
四、受委託機構於聘僱人員時,應取得該受僱人員書面同意金融機構及財團法人金融聯合徵信中心得蒐集、處理及利用其個人資料。
五、受委託機構應將違反第十四條各款規定而離職之人員資料提供金融機構報送財團法人金融聯合徵信中心予以登錄,登錄資料應包括:
(一)基本資料。
(二)離職日期。
(三)離職原因。
六、金融機構委任受委託機構時,應將受委託機構基本資料報送財團法人金融聯合徵信中心,受委託機構如有違反本辦法或其他法令規定而終止契約時,同意由金融機構報送財團法人金融聯合徵信中心予以登錄,登錄資料應包括:
(一)受委託機構基本資料。
(二)簽訂契約及終止契約日期。
(三)違反本辦法或其他法令事由。
金融機構辦理應收債權催收作業之委外,應符合下列各款規定:
一、應注意受催收債務人或第三人申訴情形,應定期、適時向財團法人金融聯合徵信中心所建置受委託機構暨員工登錄系統查詢相關資料,如有達依委外契約規定受委託機構應解聘不適任員工標準,及金融機構應終止與受委託機構契約之重大事由時,應依本辦法及委外契約規定辦理。
二、所委託之受委託機構及員工,經其他金融機構依據前條第五款及第六款情形報送財團法人金融聯合徵信中心登錄在案者,如未構成解約重大事由時,金融機構應加強對該受委託機構之查核頻率及範圍。
三、受委託機構因有違反第十四條各款情事,致債務人無法接受受委託機構對其債務之催收,而直接向金融機構洽商債務之清償事宜時,金融機構應受理並積極處理。
四、如發現受委託機構或其受僱人員,於所委託之業務涉有暴力、脅迫、恐嚇討債等情事時,應報請治安單位處理。
五、不得提供對債務履行無法律上義務者之資料予受委託機構。
六、債權委外催收前應書面通知債務人,通知內容包含受委託機構名稱、催收金額、催收錄音紀錄保存期限、金融機構申訴電話,及第十四條各款之行為。
七、應將其受委託機構基本資料公佈於金融機構營業場所及網站,以利債務人核對催收機構之相關資料。
八、受委託機構之催收行為,如涉有暴力情事經移送檢調機關者,金融機構得視情節輕重終止委託;經起訴者,應立即終止委託。
金融機構將作業項目委託至境外處理者,應依下列規定辦理:
一、應充分瞭解及掌握受委託機構對客戶資訊之使用、處理及控管情形。
二、提供予受委託機構之客戶資訊僅限與受託事項直接相關之必要資訊。
三、應要求受委託機構確實遵守以下事項:
(一)金融機構之客戶資訊僅限由受委託機構之獲授權人員於受託事項範圍內使用及處理。
(二)金融機構之客戶資訊應與受委託機構及其處理他機構之資料有明確區隔。
(三)受委託機構處理之金融機構客戶資訊應能及時提供予主管機關及金融機構。
四、應依風險基礎方法定期及不定期就受委託機構對客戶資訊之使用、處理及控管情形進行查核及監督;相關查核得委由外部稽核辦理,外國金融機構在臺分支機構得交由總機構或經總機構授權之區域總部稽核單位辦理,相關單位並應提供相關查核報告予該外國金融機構在臺分支機構。
五、受委託機構所在地金融主管機關請求提供我國客戶資訊時,金融機構應先將事由通知我國主管機關並取得同意後始得提供。
外國金融機構在臺分支機構因內部分工將作業交由總機構或國外分支機構處理者,應依前項規定辦理。
金融機構辦理作業委外,涉及重大性消費金融業務資訊系統委託至境外處理,應檢具下列書件向主管機關申請核准:
一、依第四條第二項訂定之委外內部作業規範。
二、董(理)事會決議之議事錄。但外國金融機構在臺分支機構得由經總機構授權人員出具同意書為之。
三、委外對營運之必要性及適法性分析,其中應包含對受委託機構遵守我國客戶資料保護相關規定之評估。
四、作業委外計畫書,其內容應包括:
(一)風險評估及管理機制:
(二)客戶資訊保護措施及是否已取得客戶同意,以確保委外服務品質及客戶權益保障之說明。
(三)資訊安全及管理:
(四)緊急應變計畫,包括受委託機構發生無法提供服務情事或服務中斷之營運備援計畫。
五、受委託機構出具之同意函或委外契約,同意必要時得由金融機構指定之人,對受託事項進行查核。上開指定之人亦得由我國主管機關指派之,其費用由金融機構負擔。
六、受委託機構出具近三年內未發生造成客戶權益受損或影響機構健全營運之人員舞弊、資通安全及其他事件之聲明書。
金融機構辦理前項委外,除應符合前條規定外,並應依下列規定辦理:
一、應就受委託機構對客戶資訊之使用、處理及控管情形確認符合我國個人資料保護法相關規定,留存完整稽核紀錄,並列為重點查核項目。
二、應定期評估成本效益與集團內費用分攤之合理性並報董(理)事會通過。
三、對資訊系統之安全檢測應不低於主管機關或銀行公會之規範。
四、每年至少應辦理一次一般性查核及一次專案查核,並應於每年年度終了後四個月內將當年度辦理跨境委外查核報告提報董(理)事會報告。前述查核之執行得委託具資訊專業之獨立第三人辦理。
五、應建立受委託機構發生無法提供服務情事或服務中斷之營運備援計畫。
六、應於契約中載明於委外作業移轉至其他受委託機構或移回金融機構之情況,原受委託機構有關系統遷移、資料處理之義務,及受委託機構服務中斷之賠償責任。
外國金融機構在臺分支機構因內部分工將作業交由總機構或國外分支機構處理者,應依第一項規定辦理。
金融機構將作業委託他人處理涉及使用雲端服務,應依下列規定辦理:
一、應訂定使用雲端服務之政策及原則,採取適當風險管控措施,並應注意作業委託雲端服務業者之適度分散。
二、金融機構對雲端服務業者負有最終監督義務,並應具有專業技術及資源,監督雲端服務業者執行受託作業,並得視需要委託專業第三人以輔助其監督作業。
三、金融機構得自行委託,或與委託同一雲端服務業者之其他金融機構聯合委託具資訊專業之獨立第三人查核,並應符合下列規定:
(一)確認其查核範圍涵蓋雲端服務業者受託處理作業相關之重要系統及控制環節。
(二)應評估第三人之適格性,以及其所出具查核報告內容之妥適性並符合相關國際資訊安全及隱私保護標準。
(三)應針對金融機構所委託作業範圍進行查核並出具報告。
四、金融機構傳輸及儲存客戶資料至雲端服務業者,應採行客戶資料加密或代碼化等有效保護措施,並應訂定妥適之加密金鑰管理機制。
五、對委託雲端服務業者處理之資料應保有完整所有權,除執行受託作業外,金融機構應確保雲端服務業者不得有存取客戶資料之權限,並不得為委託範圍以外之利用。
六、委託雲端服務業者處理之客戶資料及其儲存地應依下列規定辦理:
(一)金融機構須保有其指定資料處理及儲存地之權利。
(二)境外當地資料保護法規不得低於我國要求。
(三)涉及重大性消費金融業務資訊系統之客戶資料儲存地以位於我國境內為原則。如位於境外,除經主管機關核准者外,客戶重要資料應在我國留存備份。
金融機構辦理下列委外事項者,不適用第十七條至前條規定:
一、將其國外分支機構之作業項目委外辦理者。
二、委託境外機構辦理位於境內資訊系統之開發及維護者。
金融機構作業委外不得違反法令強制或禁止規定、公共秩序及善良風俗,對經營、管理及客戶權益,不得有不利之影響,並應確保遵循銀行法、洗錢防制法、個人資料保護法、消費者保護法及其他法令之規定。
金融機構辦理作業委外應確實遵守相關法令及銀行公會訂定之相關業務規章或自律公約及中華民國信用合作社聯合社發布之相關規定。
金融機構作業委外,主管機關及中央銀行得取得相關資料或報告,並進行金融檢查。
受委託機構如有違反本辦法或其他法令之情形時,主管機關得視情節輕重,通知委託金融機構依契約規定終止委託、要求其限期改善,或暫停委託直至受委託機構確認改善為止。
金融機構作業委外,如有未符本辦法規定事項,除本辦法另有規定外,應於本辦法發布施行起一年內補正。
本辦法自發布日施行。