電子支付機構業務管理規則第 六 章 電子支付機構之監督及管理

1. 電子支付機構經營電子支付業務之相關作業流程及業務規範，應遵守本條例第四十五條第一項第二款所定之業務規章及自律公約。
2. 電子支付機構業務之會計處理準則，由本條例第四十五條第一項所稱之同業公會或銀行公會電子支付業務委員會報請主管機關核定之。
3. 電子支付機構應依前項會計處理準則辦理。

本條例第二十二條第四項所稱其他主管機關規定用途，指下列情事： 一、依本條例相關法令規定，將儲值款項扣除應提列準備金之餘額，併同代理收付款項之金額交付信託或取得履約保證之費用。 二、依本條例相關法令規定，委託會計師查核之費用。 三、依所得稅法第三十六條規定得列為費用或損失之捐贈金額。 四、依電子支付機構清償基金組織及管理辦法規定，提撥電子支付機構清償基金之金額。

專營電子支付機構增設營業據點，應於設立日起五個營業日內將設立日期、地址及營業範圍報請主管機關備查；遷移或裁撤時，亦同。

1. 專營電子支付機構開始營業屆滿三年者，得申請設置境外分支機構，包括境外分公司及代表人辦事處。
2. 電子支付機構申請設立境外分支機構，應檢具下列書件向主管機關申請核准： 一、申請書。 二、董事會議事錄。 三、營業計畫書：如屬設置分公司者，須載明業務經營之原則、內部組織分工、人員招募、場地設備概況及未來三年之財務預測；如屬設置代表人辦事處，須載明代表人辦事處之組織、處理事項。 四、設置分公司者應檢具可行性評估報告：載明前往設立國家（或地區）之選定因素；當地適用於外國電子支付機構有關申請程序及審核標準、業務經營限制、我國金融主管機關得否蒐集及檢查該分公司財務、經營狀況等資料、自評本設立案符合當地法令規定之說明、經營風險評估及效益分析。 五、其他經主管機關規定應提出之文件。
3. 電子支付機構於境外分支機構設立後，應依下列規定辦理： 一、境外分支機構發生重大偶發及舞弊事件，應依主管機關規定處理及通報。 二、應於主管機關網際網路申報系統填報境外分支機構相關資料，如有異動應確實更新。 三、電子支付機構擬裁撤境外分支機構，應事先報主管機關核准。 四、境外分支機構設立後，營業地址或營業項目之變動，得事後報主管機關備查。 五、電子支付機構設立境外分公司，另應辦理事項如下： （一）應依電子支付機構內部控制及稽核制度實施辦法辦理內部查核。業務稽核報告、會計師查核報告及所在地金融主管機關之檢查報告等資料，應送主管機關備查。 （二）每季應於主管機關網際網路申報系統填報營運狀況基本資料。 （三）每年度應連同境外分支機構編製合併財務報表，依本條例第三十五條規定報主管機關備查。

1. 電子支付機構辦理電子支付機構業務之資訊系統及其備援系統，應設置於我國境內。但符合主管機關可立刻、直接、完整、持續取得相關資訊之情形，並經主管機關核准者，不在此限。
2. 電子支付機構依前項但書規定向主管機關申請核准時，應檢具下列書件： 一、所在地政府機關書面確認文件，其內容應包括： （一）該政府機關允許我國主管機關及電子支付機構得進行必要之查核。 （二）該政府機關同意不會取得我國客戶資訊。 二、委託具資訊專業之獨立第三人出具境外資訊系統不低於我國資訊安全標準之查核報告。 三、針對境外資訊系統發生無法提供服務情事，建立營運備援計畫，並由具資訊專業之獨立第三人出具該計畫符合以下要求之評估報告： （一）應確保於境外資訊系統發生無法提供服務情事後四小時內，恢復既有客戶之業務正常運作，同時維持對各項財務及業務風險之妥善管理。 （二）若評估境外資訊系統因天然災害致無法於短期內恢復提供服務，電子支付機構應確保於事件發生後七日內，透過啟動備援系統、安裝（臨時）資訊主機或其他方式，恢復在我國之主要業務正常運作。 四、日常監督機制之計畫書，其內容應包括： （一）設立資訊系統設置於境外之監督管理單位或委員會，參與人員包括法規遵循、內部稽核、作業風險管理及資訊管理監督人員，以有效執行日常監督。 （二）日常作業機制，包括客戶資料存取情形、系統權限設定及非例行性作業等檢核項目，計畫應詳述管理作業內容、方式、流程及缺失處理機制。 五、報經董事會通過之成本效益與集團內費用分攤合理性之評估報告。
3. 電子支付機構依前二項申請核准，應符合下列條件： 一、最近一年內無因違反金融相關法令，受主管機關處分之情事，或有違反法令情事已具體改善，並經主管機關認可。 二、申請前一年底經主管機關或中央銀行糾正之缺失，均已切實改善。 三、最近一年內無重大資安事故未改善之情事。

1. 專營電子支付機構對於涉及營業執照所載業務項目或使用者資訊之相關作業委託他人處理，以下列事項範圍為限： 一、代收以新臺幣現金繳納支付款項作業。 二、支付款項現金及儲值卡之保管及運送作業。 三、委託他人辦理無記名式儲值卡之販售、退卡作業。 四、儲值卡儲值作業。 五、資料處理：包括資訊系統之資料登錄、處理、輸出，資訊系統之開發、監控、維護，及辦理業務涉及資料處理之後勤作業。 六、表單、憑證等資料保存之作業。 七、使用者服務作業，包括電話自動語音系統服務、使用者電子郵件之回覆與處理作業、電子支付機構業務之相關諮詢及協助。 八、委託受委託機構辦理使用者及特約機構之身分確認作業。 九、收付訊息處理作業，包括透過其他電子支付機構、信用卡收單機構、特約機構或儲值機構之端末設備或應用程式，而整合傳遞收付訊息。 十、端末設備之安裝測試、維護、訓練及查核作業。 十一、共用其他電子支付機構、信用卡收單機構、特約機構或儲值機構端末設備。 十二、儲值卡製卡及錄碼作業。 十三、透過信任服務管理平臺空中下載發行儲值卡作業。 十四、電子支付帳戶或儲值卡收單業務之推廣，及由銀行、其他電子支付機構及信用卡收單機構辦理電子支付帳戶或儲值卡特約機構之查核。但電子支付機構仍應自行與特約機構簽訂契約。 十五、由提供共用端末設備之其他電子支付機構及信用卡收單機構辦理交易清分作業。 十六、其他經主管機關核定得委託他人處理之作業項目。
2. 前項規定之委外事項範圍，除第八款及第十六款之作業委外，應先報經主管機關核准外，其餘委外事項範圍，應於首次辦理後五個營業日內，報主管機關備查。
3. 專營電子支付機構將第一項第一款作業委託他人處理，應依下列規定辦理： 一、與受委託機構研訂安全控管計畫，並建立支付款項帳務核對機制，於受委託機構收受使用者支付款項時，即時傳遞、確認及核對收款訊息，且除財政部就便利商店代收繳稅限額另有規定者外，受委託機構每筆代收金額上限為等值新臺幣二萬元。 二、受委託機構代收使用者支付款項之繳款資料，不得完整列示使用者身分證字號及帳號等個人資料。 三、確保受委託機構及其人員無法藉由繳款資料取得或辨識使用者之身分證字號、帳號及其他相關個人資料，以避免使用者資料外洩。
4. 專營電子支付機構辦理作業委託他人處理，應符合下列規定： 一、就委託事項範圍、使用者權益保障、風險管理及內部控制原則，訂定內部作業制度及程序，並經董事會通過；修正時，亦同。 二、確認受委託機構符合電子支付機構作業安全及風險管理之要求。 三、要求受委託機構不得違反法令強制或禁止規定。 四、要求受委託機構就受託事項範圍，同意主管機關及中央銀行得取得相關資料或報告，及進行金融檢查。 五、如因受委託機構或其受僱人員之故意或過失致使用者權益受損，仍應對使用者依法負同一責任。
5. 兼營電子支付機構對於涉及電子支付機構業務項目或使用者資訊之相關作業委託他人處理，其範圍適用第一項規定，並應依本業有關作業委託他人處理之規定辦理。

專營電子支付機構依前條將作業委託他人處理涉及使用雲端服務，應依下列規定辦理： 一、應訂定使用雲端服務之政策及原則，採取適當風險管控措施，並應注意作業委託雲端服務業者之適度分散。 二、電子支付機構對雲端服務業者負有最終監督義務，並應具有專業技術及資源，監督雲端服務業者執行受託作業，並得視需要委託專業第三人以輔助其監督作業。 三、電子支付機構得自行委託，或與委託同一雲端服務業者之其他金融機構聯合委託具資訊專業之獨立第三人查核，並應符合下列規定： （一）確認其查核範圍涵蓋雲端服務業者受託處理作業相關之重要系統及控制環節。 （二）應評估第三人之適格性，以及其所出具查核報告內容之妥適性並符合相關國際資訊安全標準。 （三）應針對電子支付機構所委託作業範圍進行查核並出具報告。 四、電子支付機構傳輸及儲存客戶資料至雲端服務業者，應採行客戶資料加密或代碼化等有效保護措施，並應訂定妥適之加密金鑰管理機制。 五、對委託雲端服務業者處理之資料應保有完整所有權，除執行受託作業外，電子支付機構應確保雲端服務業者不得有存取客戶資料之權限，並不得為委託範圍以外之利用。 六、委託雲端服務業者處理之客戶資料及其儲存地以位於我國境內為原則，如位於境外，應依下列規定辦理： （一）電子支付機構須保有其指定資料處理及儲存地之權利。 （二）境外當地資料保護法規不得低於我國要求。 （三）除經主管機關核准者外，客戶重要資料應在我國留存備份。

專營電子支付機構實收資本額達新臺幣五億元者，應於開業一年內補辦為公開發行公司；本條例中華民國一百十年一月二十七日修正公布，同年七月一日施行前已開始營業之專營電子支付機構及兼營電子支付機構業務之電子票證發行機構，應於本條例中華民國一百十年七月一日修正施行之日起一年內補辦為公開發行公司。

1. 專營電子支付機構不得投資其他企業。但經主管機關核准投資於與其業務密切關聯且持股比率百分之五十以上之子公司，不在此限。
2. 專營電子支付機構轉投資總額不得超過其投資時實收資本額扣除本條例規定之最低實收資本額及累積虧損後之百分之十。
3. 專營電子支付機構就自有資金之運用，應訂定內部作業準則報董事會核准，修正時亦同。
4. 專營電子支付機構不得對外辦理保證。
5. 主管機關於必要時，得就專營電子支付機構各項負債之比率，予以限制。

1. 電子支付機構應定期向聯徵中心報送電子支付機構業務相關資料。
2. 電子支付機構報送與查詢資料之範圍、建檔與查詢方式、收費標準、作業管理、資料揭露期限、資訊安全控管及查核程序等相關規範，由聯徵中心擬訂，報請主管機關核定之。
3. 聯徵中心蒐集、處理或利用電子支付機構依第一項規定報送之資料，屬個人資料保護法第八條第二項第二款為履行法定義務所必要，得免為個人資料保護法第九條第一項之告知。
4. 電子支付機構依第一項規定報送及揭露之資料，不得有虛偽不實之情事，以確保資料之正確性。

1. 電子支付機構增加經營本條例第四條第一項業務，應檢具營業計畫書二份向主管機關申請許可。
2. 電子支付機構增加經營本條例第四條第二項第六款業務，應於首次開辦前檢具營業計畫書向主管機關申請許可。經許可事項如有變動者，應於變動後之次日起十五個營業日內，檢具原許可函及變動事項之說明，函報主管機關備查。
3. 主管機關為前二項許可前，應會商中央銀行意見；涉及外匯業務者，應經中央銀行同意後為之。
4. 第一項及第二項營業計畫書應載明下列事項： 一、經營業務緣起。 二、各關係人間權利義務關係約定書或其範本。 三、業務章則、業務流程及風險控管。 四、市場展望及風險、效益評估。
5. 電子支付機構增加經營本條例第四條第二項第一款至第五款及第七款至第九款業務，應於首次開辦後五個營業日內，報請主管機關備查。但於中華民國一百十年七月一日前已開辦之業務，不在此限。

1. 電子支付機構終止經營部分業務，應檢具計畫書，向主管機關申請核准。
2. 電子支付機構暫停經營部分業務，應檢具計畫書及敘明擬暫停之期間等資料，向主管機關申請核准；未來如再繼續經營業務，應函報主管機關備查。
3. 前二項計畫書應載明下列事項： 一、擬終止或暫停經營之理由。 二、具體說明對原有使用者權利義務之處理或其他替代服務方式。

專營電子支付機構有下列情事之一者，應先報請主管機關核准： 一、變更公司章程。 二、合併。 三、讓與全部或主要部分之營業或財產。 四、受讓他人全部或主要部分之營業或財產。 五、變更資本額。 六、變更公司營業處所。 七、其他經主管機關規定應經核准之事項。

專營電子支付機構有下列情事之一者，應於知悉後一日內檢具事由及資料向主管機關申報並副知中央銀行： 一、自行或經利害關係人向法院聲請重整或宣告破產。 二、於我國境外經營相當於本條例第四條第一項各款業務，或與境外機構合作經營該等業務，經當地政府為下列行為之一者： （一）撤銷、中止或終止電子支付機構或該境外機構之經營業務許可。 （二）禁止、暫停電子支付機構或該境外機構繼續經營業務。 三、依本條例第二十二條第二項規定運用支付款項，所持有之有價證券或其他金融商品遭註銷或價值嚴重減損。 四、發生百分之十以上之股權讓與、股權結構變動。 五、發生存款不足之退票、拒絕往來或其他喪失債信情事。 六、因訴訟、非訟、行政處分或行政爭訟事件，對公司財務或業務有重大影響。 七、有公司法第一百八十五條第一項第一款規定之情事。 八、發生舞弊案或內部控制發生重大缺失情事。 九、發生資通安全事件，且其結果造成使用者權益受損或影響公司健全營運。 十、董事、監察人或經理人有下列情形之一者： （一）觸犯偽造文書、偽造貨幣、偽造有價證券、侵占、詐欺、背信罪而受有期徒刑以上宣告。 （二）觸犯本條例、銀行法、金融控股公司法、信託業法、票券金融管理法、金融資產證券化條例、不動產證券化條例、保險法、證券交易法、期貨交易法、證券投資信託及顧問法、管理外匯條例、信用合作社法、農業金融法、農會法、漁會法、洗錢防制法或其他金融管理法規，而受刑之宣告。 十一、其他足以影響營運、股東權益或使用者權益之重大情事。