簡易檢索 / 詳目顯示
| 研究生: |
李盈欣 Lee, Ying-Hsin |
|---|---|
| 論文名稱: |
金融機構作業委外涉及雲端服務之監理法制及相關議題研究 Regulatory and Supervisory Issues Relating to Cloud Adoption for the Outsourcing of Financial Institutions |
| 指導教授: |
臧正運
Tsang, Cheng-Yun |
| 口試委員: |
林國全
Lin, Guo-Chyuan 王文杰 Wang, Wen-Chieh |
| 學位類別: |
碩士
Master |
| 系所名稱: |
法學院 - 法學院碩士在職專班 Master of Laws Program for Excutivies |
| 論文出版年: | 2023 |
| 畢業學年度: | 111 |
| 語文別: | 中文 |
| 論文頁數: | 163 |
| 中文關鍵詞: | 雲端運算 、雲端服務提供商 、作業委外 、風險評估 、風險管理架構 、關鍵或具重大性委外 |
| 外文關鍵詞: | Cloud computing, Cloud service provider, Outsourcing, Risk assessment, Risk management framework, Critical/material/important of the outsourced function |
| 相關次數: | 點閱:37 下載:0 |
| 分享至: |
| 查詢本校圖書館目錄 查詢臺灣博碩士論文知識加值系統 勘誤回報 |
近年Covid-19疫情爆發,金融機構為推動數位化發展,同時也深化雲端計算來開發其現有基礎架構無法有效提供的產品或服務。我國金管會對金融機構委託他人處理作業涉及雲端服務,已於「金融機構作業委託他人處理內部作業制度及程序辦法」定有規範,惟金融機構將作業或服務委託雲端業者處理,應確保具備有效的資訊安全管理及風險管理流程與措施,以抵減產生的風險。本文將就各國金融融監理機關對金融機構委外使用雲端服務產生之風險、威脅及可採行之風險抵減措施進行分析,並就強化我國現行金融監理法制及可行作法提出建議。
With the outbreak of Covid-19 in recent years, financial institutions use cloud computing to develop products or services that their existing infrastructure cannot effectively provide to promote digital financial services. The Financial Supervisory Commission (FSC) had stipulated "Regulations Governing Internal Operating Systems and procedures for the outsourcing of Financial Institutions operation” for Financial Institutions using the cloud service. This thesis will analyze the supervisory mechanism of various competent authorities for the risks, threats and mitigation measures in outsourcing arrangements to cloud service providers and provide relevant suggestions for strengthening our country's current regulations and feasible practices.
第一章 緒論 1
第一節 研究動機及目的 1
第一項 研究動機 1
第二項 研究目的 2
第二節 研究範圍 4
第三節 研究方法 5
第二章 監理機關對金融機構委外涉及雲端服務之監理制度 7
第一節 雲端監理法制框架 7
第二節 金融穩定委員會(The Financial Stability Board, FSB) 10
第一項 訂定背景 10
第二項 雲端安全性及營運韌性 11
第三項 監理機關關切雲端服務的重要議題 12
第四項 小結 15
第三節 美國規定 15
第一項 美國貨幣監理署(OCC)所擬第三方關係之風險管理指引 17
第二項 美國聯邦金融機構檢查委員會(FFIEC)發布金融業使用雲端服務之安全風險管理原則 30
第一款 訂定背景 31
第二款 風險及管理 31
第三款 營運韌性和恢復能力 34
第四款 稽核與控制評估 35
第五款 小結 37
第三項 美國國家安全局(NSA)發布抵減雲端風險威脅之指引 39
第一款 雲端架構 39
第二款 雲端加密及金鑰管理 39
第三款 雲端安全責任係共同分攤 40
第四款 雲端漏洞及抵減雲端風險可採取之因應措施 40
第五款 小結 43
第四節 歐盟及英國 44
第一項 歐盟(EBA) 45
第一款 定義 46
第二款 金融機構須先評估委外作業功能是具關鍵性或重大性 46
第三款 EBA委外指引對雲端委外安排有特定的要求 47
第四款 委外前分析 50
第五款 契約階段 54
第六款 資料及系統安全性 56
第七款 接觸及查核權 56
第八款 管理及監督委外作業 59
第九款 訂定退出策略 60
第十款 終止權 61
第十一款 小結 62
第二項 英國 64
第一款 英國金融行為監理總署(FCA)於2019年更新(2016年訂定)金融機構委託雲端及第三方科技服務規範(FG 16/5) 64
第二款 英國央行(BoE)及英國審慎監理總署(PRA)於2021年3月發布委外及營業韌性期待之聲明(Outsourcing and operational resilience,簡稱「SS」): 68
第五節 新加坡 73
第一項 委外作業指引(Guideline on Outsourcing) 74
第二項 問答集 78
第三項 MAS科技技術風險管理指引 79
第四項 公有雲之技術與資安風險建議文件 87
第一款 訂定背景 87
第二款 訂定內容 87
第五項 小結 93
第三章 我國金融機構作業委外涉及雲端服務規範 95
第一節 法規規範 95
第一項 訂定背景 95
第二項 我國雲端監理法制框架 95
第三項 我國對雲端委外主要規範內容 96
第二節 金融機構作業委外涉及使用雲端服務之例外適用範圍 102
第四章 雲端委外相關裁罰之啟示:以美國貨幣監理局The Office of the Comptroller of the Currency (OCC)涉及雲端委外及第三方服務供應商之裁罰案例為例 104
第一節 OCC於2020年對Capital One Bank裁罰案 104
第一項 案情說明 104
第二項 OCC 對Capital One Bank (USA)合意令(Consent Order)之內容 104
第一款 OCC之發現 104
第二款 OCC對銀行之要求 105
第二節 OCC對Morgan Stanley Bank裁罰案 107
第一項 案情說明 107
第二項 OCC之發現 108
第三節 小結 108
第五章 金融機構作業委外涉及雲端服務之監理議題盤點與比較法之啟示 112
第一節 監理困難度 112
第二節 監理挑戰 113
第三節 雲端服務跨境議題 113
第一項 跨境服務不利金融機構對客戶資料之控制能力 113
第二項 跨境及個資保護議題 114
第四節 雲端服務獨特風險及可採行風險抵減措施 118
第一項 集中風險 118
第二項 資料在地化 118
第三項 建立雲端資料可遷移性之標準 119
第四項 金融機構業者與雲端業者風險責任分擔 120
第五項 雙方訂定委外契約約定彼此責任歸屬及權責認定之原則 121
第六項 金融機構間合作 122
第七項 國際監理合作重要性 122
第八項 監理關鍵第三方雲端業者產生之系統性風險 123
第六章 雲端委外監理法制再強化建構 128
第一節 目前委外辦法對雲端委外僅有原則性規範 128
第二節 雲端科技運用與監理法制之調適 128
第一項 簡化核准條件 128
第二項 宜建立完整登記冊制度 129
第三節 金融機構就委外事項應建立相關公司治理架構 130
第四節 建立風險指引或運用雲端技術指引 131
第五節 建議應訂定相關金融機構與雲端業者簽訂服務契約應包含事項之問答集 133
第七章 結論 139
參考文獻 144
附錄 149
一、書籍
1. Brett King著,林凱雄、周羣英與孫一仕譯,Bank4.0:金融常在,銀行不再?,2018年12月。
2. 王文宇等,金融法,10版,2019年3月。
3. 王志誠,現代金融法,3版,2017年10月。
4. 王服清等,行政組織∕行政執行∕訴願制度∕食品安全∕金融監理,2016年3月。
5. 谷湘儀、臧正運,變革中的金融科技法制,2019年6月。
6. 莊植寧、張陳弘,新時代之個人資料保護法制:歐盟GDPR與臺灣個人資料保護法的比較說明,2019年6月。
二、期刊論文
1. 李治安,當法律漫步在雲端,法學新論,第25期,頁49-65,2010年8月。
2. 許銘瑋,雲端服務之個人資料保護問題,刑事法雜誌,第62卷第2期,頁93-61,2018年4月。
3. 張乃文,雲端運算產業發展之策略規劃與法制因應,科技法律透析,第22卷第12期,頁23-40,2010年12月。
4. 張乃文,雲端運算環境之法規遵循議題剖析,科技法律透析,第25卷第7期,頁21-40,2013年7月。
5. 程法彰,我國資通訊產業的個資去識別化運用爭議。萬國法律,第230期,頁73-81,2020年4月。
6. 臧正運,金融科技創新與監理的平衡,哈佛商業評論,2017年1月號,頁126-129。
7. 臧正運,區塊鏈運用對金融監理之啟示及挑戰,月旦法學雜誌,第267期,頁136-151,2017年8月。
8. 臧正運,開放銀行的關鍵挑戰 第三方服務提供者之治理模式選擇,財金資訊月刊,第97期,頁8-15,2020年5月。
9. 臧正運,論金融科技發展的監理難題與法制策略=以我國的規範與實踐為核心,政大法學評論,第163期,2020年10月
10. 劉定基,雲端運算與個人資料保謢—以台灣個人資料保護法與歐盟個人資料保護指令的比較為中心,東海大學法學研究,第43期,頁53-106,2014年8月。
11. 劉靜怡,雲端運算趨勢與個人資訊隱私保護。全國律師,第14卷第2期,頁39-52,2010年2月。
12. 羅進明,談跨領域科技治理與管理之未來展望(一),法務通訊,第2783期,頁3-6,2016年1月15日。
13. 羅進明,談跨領域科技治理與管理之未來展望(二),法務通訊,第2784期,頁3-5,2016年1月22日。
三、政府出版品
1. 法務部,歐盟資料保護一般規則(General Data Protection Regulation,GDPR)與我國個人資料保護法之重點比較分析,2018年。
英文資料(按作者姓氏字母排序)
一、期刊論文
1. Lerner, A.P., The Concept of Monopoly and the Measurement of Monopoly Power, 1 THE REVIEW OF ECONOMICS STUDIES 157 (1934).
2. Tsang, Cheng-Yun, From Industry Sandbox to Supervisory Control Box: Rethinking the Role of Regulators in the Era of FinTech, 2019 J. TECH. L. & POL'Y 355 (2019).
二、政府與國際組織出版品
1. The Association of Banks in Singapore (ABS), ABS Cloud Computing Implementation Guide 2.0 (Aug. 2, 2019), https://abs.org.sg/docs/library/abs-cloud-computing-implementation-guide.pdf .
2. ABS, Guidelines on Control Objectives and Procedures Outsourced Service Providers (2017).
3. Board of Governors of the Federal Reserve System, Guidance on Managing Outsourcing Risk (2013).
4. Board of Governors of the Federal Reserve System, Guidance on Managing Outsourcing Risk (2021).
5. BOE, Operational Resilience: Critical Third Parties to The UK Financial Sector (2022).
6. EBA, Final Report on EBA Guidelines on Outsourcing Arrangements (2019).
7. FCA, FG 16/5 Guidance for Firms Outsourcing to the ‘Cloud’ and Other Third-Party IT Services (2016).
8. Federal Bureau of Investigation, FBI Flash: Malicious Cyber Activity of Iran-based Mabna Institute (2018).
9. FFIEC, FFIEC Joint Statement on Risk Management for Cloud Computing Services (2020).
10. FRS, FDIC, OCC, Proposed Interagency Guidance on Third-Party Relationships: Risk Management (2021).
11. FRS, FDIC, DOT, Proposed Interagency Guidance on Third-Party Relationships: Risk Management (2021).
12. FSB, Financial Stability Implications from FinTech: Supervisory and Regulatory Issues that Merit Authorities’ Attention (2017).
13. FSB, FinTech and Market Structure in Financial Services: Market Developments and Potential Financial Stability Implications (2019).
14. FSB, Third-Party Dependencies in Cloud Services Considerations on Financial Stability Implications (2019).
15. FSI, Regulating and Supervising the Clouds: Emerging Prudential Approaches for Insurance Companies (2018).
16. FSI, Big Tech Interdependencies – A Key Policy Blind Spot (2022).
17. FTC and DOJ, Antitrust Guidelines for Collaborations Among Competitors (2000).
18. House of Commons Treasury Committee, IT Failures in the Financial Services Sector (2019).
19. IAIS, Cloud Computing: Regulatory and Supervisory Approaches (2019).
20. MAS, Guidelines on Outsourcing (2016).
21. MAS, FAQ on MAS Guidelines on Outsourcing (2016).
22. MAS, Technology Risk Management Guidelines (2021).
23. MAS, Advisory on Addressing the Technology and Security Associated with Public Cloud Adoption (2021).
24. NSA, Mitigating Cloud Vulnerabilities (2020).
25. IIF, Cloud Computing in the Financial Sector Part 3: Could Service Provides (CPSs) (2019).
26. OCC, Consent Order (2020).
27. OCC, FRS, FDIC, Sound Practices to Strengthen Operational Resilience (2020).
28. OCC, OCC Reports on Risks, Effects of COVID-19 Pandemic on Federal Banking System (2021).
29. OCC, OCC Semiannual Risk Perspective for Fall 2021 (2021).
30. OCC, OCC Reports on Key Risks Facing Federal Banking System (2022).
31. OCC, Semiannual risk perspective for Spring 2022 (2022).
32. PRA, Reports by Skilled Persons (2014).
33. PRA, Outsourcing and Third Party Risk Management (2021).
全文公開日期 2028/02/11