電支機構是金管會轄下的「特許產業」,金管會去年金檢電支機構業者。(資料照)
記者王孟倫/專題報導
隨著電子支付在國內蓬勃發展,主管機關金管會也將專營電支機構業者納入金檢範圍內。其中,去年電子支付金檢共有五大缺失,包括:防制洗錢、打擊資恐及反武擴作業法令遵循、業務操作管理、個資保護及「資訊安全等。
2015年2月立法院三讀通過的「電子支付機構管理條列」,是電支機構的法源依據,主管機關為金管會。截至2023年9月底止,國內計有10家專營電支機構及20家兼營電支機構。
電支機構 是金管會監理特許產業
由於電支機構也是金管會轄下的「特許產業」,與其它銀行、保險及證券等同樣都屬於金融機構。近年來,專營電支納入金管會的金檢對象。
檢視金管會檢查局去年對專營電支機構的金檢結果,整體有五大缺失情況。
第一是防制洗錢、打擊資恐及反武擴作業。主要缺失是電支機構公司在辦理使用者風險等級評估,所訂風險評估項目之設計欠妥,有未納入特定高風險因子項目。
電支業者對法令遵循有缺失
第二項缺失是法令遵循制度之運作有欠妥適。缺失態樣是電支機構的法令遵循單位,未對各單位法令遵循作業之成效加以考核,並將考核結果作為單位考評之依據。另外,法令遵循單位未對各單位人員辦理相關法規訓練。
第三項缺失是「業務操作管理」之辦理委外作業有欠妥適。包括作業委託他人處理,未依規報金管會核准或備查。還有,委外作業未訂定相關內部作業制度及程序。
第四項是對個人資料檔案之安全維護作業有欠妥適。
主要又有三個細項缺失情節︰1.是電支機構在辦理個資盤點作業,部分部門及存有個資檔案之伺服器未納入清查,清查範圍欠完整;2.員工可透過內部管理系統進行客戶資料查詢,惟未建立資料外洩防護機制;3.辦理個資外洩演練作業,未就外部網路入侵及非法或異常使用行為所致個資外洩進行模擬,並就個資外洩後如何防止損害擴大及通知客戶等重要作業程序,納入定期演練及檢討改善。
資訊安全把關未落實
第五項為資訊安全缺失。包括特權帳號使用管理欠妥,如未建立最高權限帳號事前申請及事後覆核機制或未保留最高權限帳號使用紀錄。未落實帳號權限清查作業,如未列出帳號所擁有之權限並經使用者逐項確認、未刪除或停用已無使用需求之帳號。