保險業辦理作業委外，涉及自然人客戶相關資料之重大性業務資訊系統委 託至境外處理，應檢具下列書件向主管機關申請核准： 一、依第四條第二項訂定之作業委外內部控制作業之處理程序。 二、董（理）事會決議之議事錄。但外國保險業在臺分支機構得由經國外 總機構授權人員出具同意書為之。 三、作業委外對營運之必要性及適法性分析，其中應包含對受委託機構遵 守我國消費者資料保護相關規定之評估。 四、作業委外計畫書，其內容應包含： （一）風險評估及管理機制： 1.委外事項之風險程度、重大性及對營運及客戶權益影響之評估情 形。 2.受委託機構盡職調查情形，確保提供作業之可靠性、遵法性，其 中可靠性應包括對業務持續性、替代性及集中性之分析。 3.應具專業技術及資源，監督受委託機構執行受託作業之說明。 4.日常監督機制之計畫及執行單位。 （二）客戶資訊保護措施及是否已取得客戶同意，以確保作業委外服務品 質及消費者權益保障之說明。 （三）資訊安全及管理： 1.資料安全管理措施、資料傳輸及區隔，以及資料所有權說明。 2.資料儲存地之管理政策，包括資料處理地及儲存地之法律、政治 、經濟安定性評估說明，資料備份及得隨時存取資料之說明。 （四）緊急應變計畫，包括受委託機構發生無法提供服務情事或服務中斷 之營運備援計畫。 五、受委託機構出具之同意函或委外契約，同意必要時得由保險業指定之 人，對受託事項進行查核。上開指定之人亦得由我國主管機關指派之 ，其費用由保險業負擔。 六、受委託機構出具近三年內未發生造成客戶權益受損或影響機構健全營 運之人員舞弊、資通安全及其他事件之聲明書。 保險業辦理前項委外，除應符合第十七條規定外，並應依下列規定辦 理： 一、就受委託機構對自然人客戶資訊之使用、處理及控管情形確認符合我 國個人資料保護法相關規定，留存完整稽核紀錄，並列為重點查核項 目。 二、定期評估成本效益與集團內費用分攤之合理性並報董（理）事會通過 。 三、對資訊系統之安全檢測應不低於主管機關及產壽險公會之規範。 四、每年至少應辦理一次一般性查核及一次專案查核，並應於每年年度終 了後四個月內將當年度辦理跨境委外查核報告提報董（理）事會報告 。前述查核之執行得委託具資訊專業之獨立第三人辦理。 五、建立受委託機構發生無法提供服務情事或服務中斷之營運備援計畫。 六、於契約中載明於委外作業移轉至其他受委託機構或移回保險業之情況 ，原受委託機構有關系統遷移、資料處理之義務，及受委託機構服務 中斷之賠償責任。 外國保險業在臺分支機構因內部分工將作業交由國外總機構或國外分支機 構處理者，應依第一項規定申請核准。

保險業將作業項目委託至境外處理者，應依下列規定辦理： 一、應充分瞭解及掌握受委託機構對客戶資訊之使用、處理及控管情形。 二、提供予受委託機構之客戶資訊僅限與受託事項直接相關之必要資訊。 三、應要求受委託機構確實遵守以下事項： （一）保險業之客戶資訊僅限由受委託機構之獲授權人員於受託事項範圍 內使用及處理。 （二）保險業之客戶資訊應與受委託機構及其處理他機構之資料有明確區 隔。 （三）受委託機構處理之保險業客戶資訊應能及時提供予主管機關及保險 業。 四、應依風險基礎方法定期及不定期就受委託機構對客戶資訊之使用、處 理及控管情形進行查核及監督；相關查核得委由外部稽核辦理，外國 保險業在臺分支機構得交由國外總機構或經國外總機構授權之區域總 部稽核單位辦理，相關單位並應提供相關查核報告予該外國保險業在 臺分支機構。 五、受委託機構所在地主管機關請求提供我國客戶資訊時，保險業應先將 事由通知我國主管機關並取得同意後始得提供。 外國保險業在臺分支機構因內部分工將作業交由國外總機構或國外分支機 構處理者，應依前項規定辦理。

保險業將作業委託他人處理涉及使用雲端服務，應依下列規定辦理： 一、應訂定使用雲端服務之政策及原則，採取適當風險管控措施，並應注 意作業委託雲端服務業者之適度分散。 二、保險業對雲端服務業者負有最終監督義務，並應具有專業技術及資源 監督雲端服務業者執行受託作業，並得視需要委託專業第三人以輔助 其監督作業。 三、保險業得自行委託，或與委託同一雲端服務業者之其他保險業及金融 機構聯合委託具資訊專業之獨立第三人查核，並應符合下列規定： （一）確認其查核範圍涵蓋雲端服務業者受託處理作業相關之重要系統及 控制環節。 （二）應評估第三人之適格性，以及其所出具查核報告內容之妥適性並符 合相關國際資訊安全及隱私保護標準。 （三）應針對保險業所委託作業範圍進行查核並出具報告。 四、保險業傳輸及儲存客戶資料至雲端服務業者，應採行客戶資料加密或 代碼化等有效保護措施，並應訂定妥適之加密金鑰管理機制。 五、對委託雲端服務業者處理之資料應保有完整所有權，除執行受託作業 外，保險業應確保雲端服務業者不得有存取客戶資料之權限，並不得 為委託範圍以外之利用。 六、委託雲端服務業者處理之客戶資料及其儲存地應依下列規定辦理： （一）保險業須保有其指定資料處理及儲存地之權利。 （二）境外當地資料保護法規不得低於我國要求。 （三）涉及重大性自然人客戶業務資訊系統之客戶資料儲存地以位於我國 境內為原則。如位於境外，除經主管機關核准外，客戶重要資料應 在我國留存備份。