十八、保險業將作業委託他人處理涉及使用雲端服務，應依下列規定辦理 ： （一）應訂定使用雲端服務之政策及原則，採取適當風險管控措施，並 應注意作業委託雲端服務業者之適度分散。 （二）保險業對雲端服務業者負有最終監督義務，並應具有專業技術及 資源監督雲端服務業者執行受託作業，並得視需要委託專業第三 人以輔助其監督作業。 （三）保險業得自行委託，或與委託同一雲端服務業者之其他保險業及 金融機構聯合委託具資訊專業之獨立第三人查核，並應符合下列 規定： 1.確認其查核範圍涵蓋雲端服務業者受託處理作業相關之重要系 統及控制環節。 2.應評估第三人之適格性，以及其所出具查核報告內容之妥適性 並符合相關國際資訊安全及隱私保護標準。 3.應針對保險業所委託作業範圍進行查核並出具報告。 （四）保險業傳輸及儲存客戶資料至雲端服務業者，應採行客戶資料加 密或代碼化等有效保護措施，並應訂定妥適之加密金鑰管理機制 。 （五）對委託雲端服務業者處理之資料應保有完整所有權，除執行受託 作業外，保險業應確保雲端服務業者不得有存取客戶資料之權限 ，並不得為委託範圍以外之利用。 （六）委託雲端服務業者處理之客戶資料及其儲存地應依下列規定辦理 ： 1.保險業須保有其指定資料處理及儲存地之權利。 2.境外當地資料保護法規不得低於我國要求。 3.涉及重大性自然人客戶業務資訊系統之客戶資料儲存地以位於 我國境內為原則。如位於境外，除經主管機關核准外，客戶重 要資料應在我國留存備份。