立法院第9屆第4會期財政委員會第7次全體委員會議紀錄

立法院第9屆第4會期財政委員會第7次全體委員會議紀錄
時　　間　中華民國106年10月18日（星期三）9時至13時35分
地　　點　本院群賢樓9樓大禮堂
主　　席　費委員鴻泰
主席：出席委員已足法定人數，現在開會。進行報告事項。

報告事項

宣讀上次會議議事錄。

議事錄：立法院第9屆第4會期財政委員會第6次全體委員會議議事錄
立法院第9屆第4會期財政委員會第6次全體委員會議議事錄
時間：中華民國106年10月16日（星期一）上午9時2分至13時17分
地點：本院群賢樓9樓大禮堂
出席委員：黃國昌吳秉叡林德福盧秀燕賴士葆王榮璋費鴻泰郭正亮施義芳江永昌陳賴素美余宛如羅明才
委員出席13人
列席委員：林昶佐鍾佳濱陳歐珀曾銘宗黃昭順黃偉哲林俊憲鄭運鵬蕭美琴高金素梅黃昭順王惠美何欣純邱志偉蔣乃辛徐榛蔚鍾孔炤周陳秀霞許毓仁姚文智劉世芳
委員列席21人
主席費召集委員鴻泰
專門委員黃素琴
主任秘書林上民
紀錄秘書郭錦貴編審汪治國科長蔡明哲
專員黃珮瑜
報告事項
宣讀上次會議議事錄決定：議事錄確定。邀請財政部許部長虞哲就「行政院所提稅制改革是否造成劫貧濟富加大貧富差距」進行專題報告，並備質詢。
（經財政部許部長提出報告後，計有委員黃國昌、吳秉叡、林德福、盧秀燕、賴士葆、王榮璋、費鴻泰、郭正亮、施義芳、江永昌、陳賴素美、余宛如、曾銘宗、林昶佐、羅明才、鍾佳濱等16人提出質詢，均經財政部許部長、行政院主計總處朱主計長及相關人員予以答復。）

決定

項目

一、報告及詢答完畢。

項目

二、委員陳賴素美另提書面補充資料，列入紀錄，刊登公報，並請財政部及相關機關以書面答復。

項目

三、委員質詢未及答復部分，請財政部及相關機關於1週內以書面答復。

項目

四、委員質詢中要求提供之相關資料，亦請於期限內送交各相關委員。

通過臨時提案3案

一、有鑑於財政部推動稅改方案，有擴大貧富差距之可能，爰請財政部於1週內，提供104年度繳稅戶之收入前20%與最後20%的平均收入金額，送行政院主計總處；並請於1週內運用104年度家戶調查資料計算出5等分所得分配情況。

提案人

賴士葆　　盧秀燕　　費鴻泰　　羅明才
二、此次稅改方案擬將股利所得稅由40%調降為26%，引起輿論批評為「圖利富人、為富人減稅」及「施惠小股民、圖利大富豪」。可見齊頭式降稅方案，違反「越富者稅率應越高」之現代租稅累進之公平正義精神。
建議股利所得稅調降稅率不應齊一為26%，而應按26、30、36稅率分級安排，於1週內試算其稅收或稅損，以供立法院財政委員會參考。

提案人

盧秀燕　　賴士葆　　費鴻泰　　羅明才
三、為扶植逐漸衰退出版業，讓具消費能力消費者將消費支出挪至購書；另因應少子化及減輕納稅義務人生養子女財務負擔，請財政部研議將國人購書支出及嬰幼兒托育費用、幼兒園註冊費及月費納入個人綜合所得稅特別扣除額之可行性及其影響，並於3個月內向立法院財政委員會提出書面報告。

提案人

郭正亮　　江永昌　　陳賴素美　羅明才　　鍾佳濱
散會
主席：今天列席官員代表中，本席沒有准財金資訊中心趙揚清董事長的假，他今天沒有到會算曠職。還有財政部資訊中心主任，為何也沒有到會？請蘇次長立刻找他過來，因為今天的議題與他的業務有關；重要單位的主管不來，一定要請假，請假准了，才可以不來。
請問各位，上次會議議事錄，有無錯誤？（無）無錯誤，確定。繼續報告。
邀請金融監督管理委員會顧主任委員立雄、財政部等就「建構國內金融機構資安聯防體系」進行專題報告，並備質詢。

主席

請金管會顧主任委員報告。
顧主任委員立雄：主席、各位委員。今天　大院第9屆第4會期　貴委員會第7次全體委員會議，邀請本會就「建構國內金融機構資安聯防體系」進行專題報告，以下謹就本會辦理情形提出說明，敬請各位委員指教。
壹、推動背景
近年來全球金融科技蓬勃發展，運用新興科技創新金融業務，已成為各金融機構之主要策略。為健全金融產業發展，強化資安防護能力，全球主要國家相繼設立金融資安資訊分享與分析機構，如美國有FS-ISAC、英國有CiSP等資安分享中心。
行政院為建構國家資安聯防體系，推動8大關鍵領域建立資安資訊分享機制，「銀行與金融」為其領域之一，本會爰配合規劃設置「金融資安資訊分享與分析中心」（下稱金融資安分享中心），並獲行政院同意列為「加速政府資安防護建設計畫」子計畫。
為逐步推動本項計畫，本會先於105年3月請證交所以證券期貨周邊單位及業者為範圍，試辦「證券暨期貨周邊單位資安資訊分享平台」，待金融資安分享中心成立後再行移轉並擴大辦理範圍。
貳、推動規劃
本會為推動前項計畫，將成立金融資安分享中心，由兼具金融與資安之專業人員組成團隊，提供金融業者資安早期預警及應變處理之協助，其主要功能說明如下：
一、情資研判分析：蒐集及分析國內外金融資安情資，提供情資研析報告，並適時發出警訊予金融機構。

二、資安資訊分享

建置金融機構間資安情資分享平台；並與行政院國家資通安全會報「政府資安資訊分享與分析中心」等單位交換與分享資安情資。
三、通報服務：接收金融機構通報資安事件，並可發布緊急資安情資通報金融機構事先防範。

四、資安諮詢與教育訓練

提供資安諮詢與漏洞評估服務；辦理相關資安研討會。

項目

五、協助資安事件應變處理：就金融機構之資安事件，提供相關之技術及鑑識支援。

項目

六、建立資安事件改善之良性循環：就國內外重大資安事件，探究問題發生原因、事件應變處置程序等，動態檢討可供借鏡改善之處。
參、推動時程
本會金融資安分享中心計畫經試行及修正後，提報行政院科發基金管理會申請經費補助，經其審查後核定經費為新臺幣4,675萬元。為求周延完善，刻正密集進行細部規劃及採購作業程序，預計於本年底前正式成立，將銀行、證券期貨及保險業納入聯防體系。
肆、預期成效
一、提升金融產業資安防護水準：透過資安資訊分享方式，提供金融機構預先加強防範，並提升其資安專業知識，強化金融市場整體資安防護水準。
二、強化金融業資安聯防：透過金融產業及其他領域間資安情資的分享，建構政府與民間之聯防體系。
三、預防資安事件擴大：藉由完善的通報及應變處理程序，協助事件分析、鑑識與追蹤處理，適時通報其他金融業者，防範資安事件擴大。
伍、結語
面對愈來愈多全球化的資安攻擊趨勢，如何化被動為主動，全面分析預防系統性風險的發生，已為當前金融資安管理的首要課題。
本會配合行政院資安聯防政策，推動金融資安分享中心計畫，除建構金融業間之資安情資早期預警及通報分享機制外，亦將與政府、通訊等其他領域進行情資交換及聯防，以提升金融市場資訊安全整體應變與防護能力。
另外，本會也會督導金融業者成立權責相符的資安專責單位，加強金融監理與資訊安全的結合措施，這些措施包括沒有落實資訊安全者，要加強作業風險的資本計提；其次，資訊安全要納為存款保險費率計提因素；第三，也要納入金融業者申辦擴張業務准駁之考量。第四，我們會強化董事會在資安方面的職能，要求資安相關報告都要提到董事會。第五，未來也會加強資訊安全的專案檢查，以落實對資安的重視與執行。以上報告，敬請各位委員惠予指教。謝謝。
主席：應委員的要求，請主委趕快找消費者評議中心董事長到會。
繼續請財政部蘇次長報告。
蘇次長建榮：主席、各位委員。今天貴委員會就「建構國內金融機構資安聯防體系」議題安排專題報告，本部承邀列席，深感榮幸。謹簡要說明如下，敬請指教。
壹、前言
因應資訊科技進步衍生全球化及數位化潮流，建構資安防護系統，落實並精進各項資安防護措施，及時因應重大資安事件，為當前政府重要課題。行政院賴院長日前指示金融監督管理委員會（下稱金管會），應於年底前建置完成金融業資安聯防平臺，提升金融業資安預警及損害管控能力。本部公股金融事業為本國金融事業成員，當全力配合行政院及金管會政策，建構完善金融資安服務環境。
貳、本部及公股金融事業相關作為
本部為行政院國家資通安全會報組織成員之一，各項資通訊安全防護計畫均依據行政院國家資通訊安全發展方案相關規劃辦理；公股金融事業部分，本部為股權管理機關，資安業務由各該事業衡酌專業領域規劃，本部將善盡督導責任，相關資安精進作為如下：
一、恪遵各項資訊安全作業規範
公股金融事業應遵循中華民國銀行公會訂定「金融機構資訊系統安全基準」等相關規範，定期實施資訊安全評估作業，及早發現潛在資安威脅與弱點，實施相關控管措施，強化資訊系統及網路安全防護能力。
二、落實重大資安訊息交流
(一)及時通報：本部105年10月14日修正「財政部派任公民營事業機構負責人經理人董監事管理要點」，明定各公股金融事業倘發生重大資安事件，應即透過重大偶發事件機制向金管會及本部通報。必要時，由本部邀集公股金融事業召開專案會議研商因應措施。
(二)提當季公股事業業務研討會報告：為使公股金融事業瞭解資安案件發生原因，避免重蹈覆轍，由發生資安事件之公股金融事業於當季業務研討會報告資安事件發生經過、因應措施及改善作為。
(三)善用金管會金融資安資訊分享與分析中心（F─ISAC）通報系統：金管會刻積極建置該系統，俟建置完成，各公股金融事業即可善用該系統蒐集本國金融業者資安策進作為，強化自身資安防護措施。
三、擴大資訊設備及系統軟體投資
本部所管9家公股銀行近年持續強化內部資訊設備及系統軟體投資，以106年度為例，投資金額合計逾新臺幣90億元，具體投資項目包括大數據資訊系統建置、防制洗錢及打擊資恐（AML）系統建置、資安防護軟硬體強化、SWIFT工作站資安強化、數位金融軟硬體架構之建置、擴充與提升等。
四、配合建構國內金融機構資安聯防體系
資安聯防體系提供資安監控服務，如能對個別業者提供個案資安情資，提供金融資安事件資訊分享，並與國際資安組織接軌，將有助強化國內資安防護網絡。本部將配合行政院及金管會政策辦理，並請各公股金融事業強化資訊軟、硬體設施，加強事業自身資安管理，做好資安防護工作。
、結語
目前金融服務高度網路化及行動化，資安防護攸關銀行營運風險。公股銀行肩負政策任務及穩定金融責任，本部將持續督促各事業加強落實資安維護與升級，強化防護機制，並因應金融科技發展趨勢，優化業務資訊系統，提升營運效率，提供客戶貼心、迅速、便捷、安全之優質金融服務。
以上報告，敬請各位委員指教。謝謝！
主席：現在開始詢答，作如下報告：每位委員發言8分鐘，得延長2分鐘；上午10時整截止發言登記。
現在請黃委員國昌發言。
黃委員國昌：主席、各位列席官員、各位同仁。慶富獵雷艦205億元的聯貸案，當初一銀在辦聯貸的時候，是完全基於商業考慮，還是上面有任何政策指示，必須予以支持？

主席

請第一金控公司蔡董事長說明。
蔡董事長慶年：主席、各位委員。委員如果看過我們聯貸案的包裝，它完全是商業模式的包裝。

黃委員國昌

所以沒得到財政部或行政院任何指示要支持？

蔡董事長慶年

沒有。
黃委員國昌：確定沒有？第二，目前慶富遲延給付的利息有多少錢？
蔡董事長慶年：從高雄地檢署介入調查後，它整個因為……
黃委員國昌：沒有關係，它積欠的利息有多少錢，請針對問題回答。
蔡董事長慶年：我們算過，債協會……
黃委員國昌：對不起，請董事長針對問題來回答。

蔡董事長慶年

大概3,000萬元左右。
黃委員國昌：是不是1個月的利息1,500萬元，現在已經到了3,000萬元，2個月沒有繳息了？

蔡董事長慶年

對。

黃委員國昌

是不是已構成違約？

蔡董事長慶年

還沒有。

黃委員國昌

還沒有構成違約？

蔡董事長慶年

因為現在在進行債務協商。

黃委員國昌

它default的日期是什麼時候？
蔡董事長慶年：它2個月沒繳息，現已經進入債務協商……
黃委員國昌：麻煩蔡董事長針對問題回答，我問它default的日期是什麼時候？在那個時間點，有沒有構成契約重大違約事由？你剛剛說沒有，請你再說一次我國公股銀行現在面對這麼嚴重的弊案是什麼樣的態度？什麼時候default？有沒有違約，請清楚的告訴社會大眾。
蔡董事長慶年：就是它欠繳利息2個月，原因是地檢署……
黃委員國昌：我現在只問你，就第一銀行的角度來看，它目前違約了嗎？你敢說沒有，就跟社會大眾說沒有。
蔡董事長慶年：2個月沒繳利息，但是……
黃委員國昌：是不是有構成違約，蔡董事長？
蔡董事長慶年：滿3個月時，我們就會列入逾期放款裡面。
黃委員國昌：請問蘇次長，現在財政部的立場是怎樣？開了債務協商會議，讓它延展，該做的事情現在都沒做，承諾不宣告違約、不進行保全，也不進行訴追程序，本來要的增資現在繼續延展到明年，財政部針對這件事情的立場是支持，還是反對？你是公股銀行的管理機構，你必須要有立場是支持，還是反對？

主席

請財政部蘇次長說明。
蘇次長建榮：主席、各位委員。因為這是國艦國造的政策之一，政策如果要持續的話，當然是……
黃委員國昌：賴院長昨天說，準備要壯士斷腕。現在財政部的立場是支持，還是反對？
蘇次長建榮：我剛才跟委員報告，如果國艦國造的政策要持續，我們必須……
黃委員國昌：國艦國造是不是只有慶富才做得下去，其它公司都沒有辦法？只要慶富倒了、做不下去了，我們的銀行不給它優惠，不讓它繼續再拖延下去，整個國艦國造計畫就垮了，你的立場是這樣嗎？賴院長昨天是這樣宣示的嗎？我進一步問你，兩天以前，有沒有公股行庫的人去找你？

蘇次長建榮

是。
黃委員國昌：有去找你，他希望你做什麼事情？

蘇次長建榮

因為……

黃委員國昌

請不要只想在台上拖延時間好不好？針對問題回答有這麼困難嗎？

蘇次長建榮

最主要是因為跟國防部的契約……
黃委員國昌：所以我問你，他們希望你做什麼？是不是幫他們去協調各個部會，繼續支持慶富下去，是不是這樣？

蘇次長建榮

基本上這是國艦國造……
黃委員國昌：對不起，蘇次長，請您根據問題回答。

蘇次長建榮

是。
黃委員國昌：是嘛！到現在為止，財政部的立場是看行政院的立場是怎樣，才要怎麼做，是不是這樣？
蘇次長建榮：當然，這整個政策是行政院決定的。
黃委員國昌：好，最後一個問題，有關聯貸的契約是不是可以提供給本席參考，可以，還是不可以？
蔡董事長慶年：報告委員，我們的法遵部門研究說，這個有央行第四十八條……
黃委員國昌：沒有關係，我瞭解，立法院該做、負責任的態度就是在財政委員會裡面成立專案調閱小組，調閱這些文件，搞清楚當初這個聯貸案是怎麼過的，一百多億元的損失，開玩笑！你今天敢跟大家說，當初是純商業的考慮，那你就要有把握，到時候債權是否追得回來？如果最後又是由全民買單的話，所有違法失職的人全部都要追究。
蔡董事長慶年：委員，我可不可以說明這個案子？
黃委員國昌：不好意思，因為時間的關係，我要請教金管會保險局吳局長，上次我問你，在消費者保護督導會報裡面，竟然做成一個傷害消費者的決議，請問有沒有公平合理原則的適用？當時你告訴我，你是第一次看到。我調閱那次的開會紀錄，那時你是以檢查局局長的身分出席，為什麼你跟我說是第一次看到呢？上次開會時，你是在睡覺嗎？

主席

請金管會保險局吳局長說明。
吳局長桂茂：主席、各位委員。跟委員報告，我是8月10日才到保險局，在到保險局之前……

黃委員國昌

那次會議你有沒有參加？
吳局長桂茂：有，可是……
黃委員國昌：有，你有簽字嘛！那次會議的決議你有沒有參與？

吳局長桂茂

那時候我是在檢查局……

黃委員國昌

沒有錯。

吳局長桂茂

保險局的部分我沒有深入了解。
黃委員國昌：因為保險局的案子跟你比較沒有關係，所以你沒有注意到！我再請教，那天督導會報最後做成決議的方式，是怎麼做成的？是舉手表決？一致決？還是聽一個人的意見？當初顧主委不在場，你在場，你幫社會大眾解惑，我看了所有的出席名單，在消費者保護督導會報做出傷害消費者決議的事情，我百思不得其解，最後還有一個決議，請問這個決議是一致決？多數決？還是聽某一個人的意見？
吳局長桂茂：在我的印象裡面，當時應該沒有舉手表決。
黃委員國昌：所以是一致決喔！在場的人全部都同意，是這樣嗎？
吳局長桂茂：因為我不是那次會議的幕僚單位，所以這個部分……
黃委員國昌：局長，金管會跟大家講，沒有成立消費者保護局的必要，督導會報會發揮功能，你作為出席督導會報的官員，那天討論的事項，你不是很清楚；做成決議的方式，你也不是很清楚。我現在搞不清楚，這個督導會報是怎麼開會、決議的？希望發揮怎樣的功能？
其次，本席要請教顧主委，在2012年時保險局竟然針對個案去找評議中心來「撨」事情，你回去以後有沒有去瞭解，這三個個案是不是涉及同一家保險公司？

主席

請金管會顧主任委員說明。
顧主任委員立雄：主席、各位委員。就我的理解，這個案子確實是透過產物保險商業同業公會提出……
黃委員國昌：產物保險商業同業公會的理事長，是不是就是那家保險公司的董事長？

顧主任委員立雄

是。
黃委員國昌：那天出席會議的人，是不是都是那家保險公司的人？會議紀錄我調出來了，出席會議的人是不是都是同一家保險公司？

顧主任委員立雄

詳細的……
黃委員國昌：答案也是「是」！您承諾要回去瞭解，結果到今天，你對情況還是搞不清楚，所以我就直接告訴你答案。主委，除了產業公會派來的秘書，出席但是沒有講半句話外，其他出席有講話的，都是同一家保險公司的人！保險局可以幹這種事情嗎？
顧主任委員立雄：單就這一點而言，詳看出席名單都是工會的人，我再做詳細瞭解。
黃委員國昌：你回去再看，全部都是同一家保險公司的人，全部都是富邦的人啦！為了同一家保險公司，評議中心做出有利於消費者的決定，結果找來保險局「撨」，保險局可以做這種事嗎？顧主委。
顧主任委員立雄：這一點他們會提出一個報告，我會做檢討。

黃委員國昌

什麼時候會有報告？
顧主任委員立雄：局長跟我說，報告已經寫好了，但是還沒有放到我的桌子上，我會看一下。
黃委員國昌：保險局回復給我的公文裡面，講的是冠面堂皇，說要建立一個溝通平台，所以找保險局的人來「撨」。我問你兩個問題，第一個，評議中心針對所有的案例，公開地舉行研討會，這不是溝通平台嗎？
顧主任委員立雄：黃委員，我站在擔任主委的立場，我初步認為類似事件是有不宜之處。

黃委員國昌

不宜嗎？

顧主任委員立雄

是。
黃委員國昌：來，我們進一步看，上一次我說過，金管會把本來評議中心兼任董事長改成專職，結果專職以後，我們的金管會馬上幫他漂白了，專職的目的是什麼？專職的目的是因為評議中心保險案件很多，所以讓他可以好好地解決消費者的爭議，結果現實的情況是，現在擔任評議中心董事長是不是就是前保險局局長？
顧主任委員立雄：就我瞭解，這個中心的董事長原來一開始設置就是專職的。
黃委員國昌：有，前面兩位全部都是兼任的。
顧主任委員立雄：對，但是在一開始設置時是專職的。
黃委員國昌：好嘛！我們現在具體的檢驗，從前保險局長幫業者「撨」事情，評議中心做出不利消費者的決定，把他叫到辦公室來，結果為了要保護消費者，讓他轉任評議中心專任的董事長，有沒有這麼荒謬的事情！結果他變成專職以後，月薪18萬6,000元，全年獎金46萬6,000元，請問顧主委知道他造成的效果是什麼嗎？造成的效果就是排擠，評議中心的預算，你有沒有看過？為了支付這個本來不須專職的董事長每年支付這麼高的年薪，結果評議中心的專業費用，在你們今年所送來明年的預算書，減少了394萬元。
顧主任委員立雄：有關這一點，我再去了解。
黃委員國昌：真的轉去做董事長以後，有強化消費者的保護嗎？我們進一步看具體的案子，一個87歲的老師退休後，被理專詐騙買了複雜性的金融商品，結果發生事情，他在2016年1月去跟金管會陳情，而陳情以後金管會唯一做的事情就是轉文給證券商業同業公會，結果證券商業同業公會就回他：「查無不法、一切合法、一點問題都沒有」，這位老師後來收到這個回函的時候，他想：「我已經跟金管會申訴了，我一生的積蓄都這樣沒了！結果金管會這樣回我，我該怎麼辦？」，一年多來完全無助，直到有人告訴他應該去評議中心，他在2017年6月27日真的去評議中心……
主席：黃委員，你的時間雖然到了，但是評議中心的董事長來了，你可以問他。
黃委員國昌：2017年6月27日去評議中心申請評鑑，現在已經10月了！沒有得到任何回覆！請問顧主委還覺得現行的機制、評議中心的表現，找一個專職的董事長，真的有發揮保護金融消費者的功能嗎？它的效率有比較好嗎？
顧主任委員立雄：申訴跟評議是兩個階段，申訴這個階段如何能夠加強，評議中心評議的專業跟獨立的確保，對於這些相關的制度面，我會做一個檢討。
黃委員國昌：沒有關係！因為今天時間的關係，我也要尊重在後面登記發言的委員，而且主席也站起來了，相關金融消費者保護的問題，我會持續不斷地問下去，這是金管會責無旁貸的責任。謝謝。
顧主任委員立雄：是，謝謝委員的關心。
主席：黃委員，你要找的評議中心的董事長已經來了。
黃委員國昌：（在席位上）我會公開問我的問題，下次還有機會。

主席

請吳委員秉叡發言。
吳委員秉叡：主席、各位列席官員、各位同仁。跟顧主委請教關於今天的主題，金融業從去年到今年，光我看到的就有連續3起資安的攻擊事件。第一件是去年7月，一銀的ATM被駭，總共吐鈔八千三百多萬元，當然這個已經快速破案了。第二件是今年2月，有券商集體被DDoS攻擊勒索要求比特幣。第三件是今年10月，遠銀系統遭駭，被匯走六千萬元左右的美金。從去年7月發生事情之後，其實就一直強調資安，結果去年7月到現在，才一年出頭的時間，加總起來就有3件。對於這個事情將來如何防護，我看你今天的報告，內容大概都是寫得很平穩的文章，沒有辦法挑剔，但是說真的也看不出什麼東西啊！請問你們到底要怎麼做？

主席

請金管會顧主任委員說明。
顧主任委員立雄：主席、各位委員。您舉的這3件，我也看了相關報告，看起來3件的攻擊模式都不太一樣，所以在ATM的攻擊之後，我們也有要求銀行要加強措施面，對於監視分散式主動攻擊的部分，我們也大概提出了一些方法。我必須承認，就我們來講，因為我們不懂資訊，每一次的駭客攻擊，或是一些利用資訊的專業來進行，似乎要發生一件事情，我們才針對那一件事情做一個補強，這件事情事實上從整個銀行或是證交所，在資訊方面，這些都屬於關鍵基礎措施，所以這些其實是必須拉到一個國安層級，付出一個相當的代價，大家來做一個統合的……
吳委員秉叡：是，你今天的報告也是這樣講，金管會要花4,000多萬元的預算，然後財政部講各個銀行要投資90億元啊！但是投資下去是不是就會達到效果？因為現在很多根本就是只有在電腦系統裡面，因為無紙化的關係，比如客戶的錢到底有多少？股票有多少？可能都沒有紙本！連集保都沒有紙本！都是一些電腦裡面的數字啦！如果電腦真的被駭客攻擊到整個數據都沒有了，你當然可以講可能有備份等等之類，但是會出很大的亂子！那個亂子之大，可能不是像現在發生只是為了謀私利的特別狀況；如果是大規模且有計畫的攻擊，可能會癱瘓整個台灣的金融體系。
顧主任委員立雄：分兩部分來看，第一部分是現在有一些已經透過銀行及金融業者自立規範的安控基準及資訊安全標準，這個部分我們要求金融業界必須要先落實。在遠銀的這件事情上，我還是再次強調，它還是有標準作業流程沒有落實的問題，事實上它如果把幾道防線都能夠按照已經建置的這些標準作業流程把它……

吳委員秉叡

這個邏輯都對啦！但是如果照……

顧主任委員立雄

遠銀為什麼不能落實它？
吳委員秉叡：因為是人在操作嘛！照你這個邏輯，全世界核電廠都不會有問題啊！為什麼世界上發生那麼多次核能災變？
顧主任委員立雄：我們現在就要將洗錢防制跟資安這兩大塊拉到一個積極完全落實的文化，從金管會立場，我們就是要跟監理及檢查這一塊把它結合，我們要加強專案檢查，我們要將沒有辦法達到資安一定層級的人，要跟我們監理的有效作為結合，我們要讓它們知道，這個是要付出代價的。
吳委員秉叡：對啊！是有付出代價，但付出的代價是金管會編四千多萬元，財政部說各個銀行要出90億元。
顧主任委員立雄：剛才我講的部分不是跟資安聯防完全一致的。資安聯防是一個早期預警的系統，作為資安情資的分享等，但個別銀行資安的層級，這是它本身要落實的。針對遠銀這個事件，我看完整個報告，我的結論就是它為什麼不能夠落實？它把每一道防線都落實之後，是不是就能防堵這個情況的發生？問題是它就是沒有落實，但我的問題是它為什麼不能落實？
吳委員秉叡：因為你知道台灣人的民族性就是很聰明，所以他會跳過很多本來照SOP程序該做的，他認為直接跳過比較聰明啊！
顧主任委員立雄：因為比較方便，任何的一個資安都會造成它們作業上的不方便，這樣的不方便在日常routine的作業上，比如它在維護上或在工作上造成不方便，問題就在這裡了，就金管會立場，我們要加強專案檢查之外，且檢查的結果跟監理作為要結合，必須要讓它感覺到因為沒有落實資安的部分會痛，至少這樣會有效果。
吳委員秉叡：你記得今年有一次大停電嗎？中油董事長還因為這個停電事件下台嗎？原因也是那個操作者太聰明啊！他認為SOP程序直接跳過去就好！其實很多事情的起因都是因為認為自己太聰明，就沒有照著標準程序去做。當然今天坦白講，我也不是學資安的，對這個東西也不懂，所以我有一點問不到重點、搔不到癢，但是我跟人家聊天的過程中發現，現在不是只有軟體防駭，硬體也可以防駭，所以應該要多跟專家討論這個問題──如何防止資安危險。過去大家的觀念上面都是在軟體程式上如何加密、如何來驗證，但是因為整個軟體程式是整體的，如果遭駭，全部都糟糕，若最關鍵的那幾台電腦本身也有硬體防駭機制，當軟體被駭的時候，硬體防駭機制可以辨識出駭客，讓駭客進不去電腦的硬體，這個是我聊天過程中瞭解到的，我也不是很懂，這是電腦的專家這樣跟我講。
顧主任委員立雄：我們希望就一些重要的資安設施，我們要建立一些驗證系統，這個部分當然要靠專家。
吳委員秉叡：防駭不是只有在軟體上，現在硬體也有這方面能力，我希望大家多加油。但是不要去想要省一點點小錢，因為有真正另外一個危機。現在有很多國家的銀行已有AI人工智慧進駐，將來是用機器人當櫃台承辦人員，這樣當然就不會有太自以為聰明的人，因為機器一定會依程式設計的SOP去執行業務，這個是未來的發展方向。
你有沒有想過金融業有這麼多的服務從業人員，如果電腦人工智慧進駐，短期間3、5年可能不會馬上面臨很嚴重的問題，若10、20年後，將來銀行界的從業人員會不會被電腦、被人工智慧的機器人取代？因為都用機器人運作，在資本節省、人事成本節省之後，銀行都用網路交易，分行也關掉了，你能想像未來面臨的狀況是什麼樣子嗎？
顧主任委員立雄：這確實是一個非常可能的趨勢，不管在投信投顧業、證券業、銀行業，如果這是個不可擋的趨勢，我們現在只能夠一方面要求資安，一方面在人員安置上面，我們要求透過特別盈餘公積提撥一定基金。
吳委員秉叡：我建議要預想到未來的問題，我舉個例子，過去20、30年前號子裡面很多營業員，當時股市很熱絡，很多人靠這行吃飯、上班、賺薪水、養家活口，可是後來網路下單很發達，網路下單的手續費打折打到證券公會出來抗議，抗議某些證券業的手續費不可以折扣到這麼低，這樣很奇怪啊！我用電腦網路不用人工，所以成本很低，我把利潤回饋給消費者，結果因此讓競爭過度激烈，反而公會有意見，這個不是邏輯上的錯亂嗎？這就是你要預想到未來會發生這些事情。
顧主任委員立雄：而且現在各業別之間的界線也會越來越模糊，所以這個部分金融業確實要有因應。
吳委員秉叡：先預想好這些問題，免得將來遇到時措手不及，謝謝。

顧主任委員立雄

謝謝。

主席

請曾委員銘宗發言。
曾委員銘宗：主席、各位列席官員、各位同仁。主委上任後也很重視金融科技的發展，近幾年來，金融科技的發展導致很多事情透過網路來處理，很多業務在數位化，這一張是我去年4月18日質詢的資料，那天是黃副主委代理，我質詢金管會能不能採取英國跟美國的經驗──建立金融資訊分享平台，當時金管會也答應要儘速成立，請問主委為什麼到現在還沒有成立？

主席

請金管會顧主任委員說明。
顧主任委員立雄：主席、各位委員。我到任後看到相關進度的時候已經是一個要執行的狀態，我只知道科發基金撥錢下來的時間點大概在7月左右。我們接下來要去問採購的方案，還要去問工程會，因為我們認為這個涉及到信賴的問題，要找相關的建置人員……
曾委員銘宗：本席希望主委能夠儘快成立。全球最大安全軟體公司的調查報告指出，2016年全球網路犯罪受害者總共有5.94億人，造成1.58億美元的損失。另外，今年最新的報告特別提到，若要搶劫銀行最有效的武器是電腦，不是槍枝。而在虛擬攻擊當中已經造成10億美元被盜，顯示網路的攻擊跟詐騙案件非常盛行。FireEye公司調查認為台灣遭受惡意攻擊居亞洲第二，在亞洲地區有27%的惡意攻擊是專為台灣而來，僅次於南韓，因為南韓的惡意攻擊很多來自北韓，最常受攻擊的產業不是金融業，主要是通訊業、電子業、資訊科技業及教育產業，這個情況也讓金管會瞭解。
另外，105年國家資通安全會報針對資安事件防護能力做一個分析，其指出類似的資安事件在台灣非常普遍，駭客手法防不勝防，資安防護的能量遠不及組織型駭客，資安資訊分析機制還不完善，所以他也呼籲金融業儘速成立，這也是我當時提出來質詢最重要的原由。請教主委，104年重大偶發網路攻擊通報案件有3件，105年有多少件？今年到現在有多少件？

顧主任委員立雄

這個部分我請銀行局局長跟委員報告。

主席

請金管會銀行局邱局長說明。
邱局長淑貞：主席、各位委員。跟委員報告，這個部分可能還是要統計一下，應該至少超過3件。
曾委員銘宗：關於今天這個主題，恐怕金管會的幕僚要強化，今年到現在有多少件不清楚，去年有多少件也不清楚，你們對此竟然都不知道！

顧主任委員立雄

我會請他們以後每個月或每一季做個統計。
曾委員銘宗：接下來，金管會2月3日的新聞稿指出已經準備要建立金融機構資安分享平台，請問這個平台扮演什麼角色？主要功能是什麼？
顧主任委員立雄：我們今天的報告提出大概6項，第一，情資研判分析，即蒐集跟分析國內外金融資安情資，提出一個情資研析報告，並發出警訊給金融機構。其二，資安資訊分享，我們要跟行政院國家資通安全會報交換……

曾委員銘宗

這個只有包括金融業嗎？
顧主任委員立雄：就資訊本身而言，在分享的部分應該還會跟其他的單位做分享。
曾委員銘宗：你們通報及分享的對象是不是只限金融業？假設只有限金融業，這是美國的模式，我想請教您這個資訊分享機制的對象是不是只有限定在金融業？

主席

請金管會資訊服務處蔡處長說明。
蔡處長福隆：主席、各位委員。分享的對象除了金融機構之間，像銀行、證券、保險，另外我們也會跟國家資通安全會報等單位分享，跟其他的八大關鍵設施領域一起來分享相關資訊安全的……
曾委員銘宗：好，所以顯然這是美國的模式，請問主委，假設運作到一段時間，這個機制慢慢成熟之後，要不要擴大到上市、上櫃公司也讓它進來？因為英國的模式就是這樣，包括比較大型的企業都會進來，因為大型企業、上市上櫃公司受到攻擊的機會也非常高。初步是讓金融業納入，因為主委也曉得櫃買或是證交所也是金管會主管的地方，能不能在下一階段建置到某種程度之後，讓上市上櫃公司也納入享有相關機制？

顧主任委員立雄

我們現在在試辦階段是請證交所……
曾委員銘宗：那個證交所自己的周邊單位，沒有涉及到上市上櫃公司。
顧主任委員立雄：所以現在要不要擴大到除了作業單位以外，委員的意思是分享的對象包括上市上櫃公司？
曾委員銘宗：對，第一階段先到銀行證券保險業，第二階段是不是可以擴及上市上櫃公司的部分請金管會進一步研議，有沒有問題？

顧主任委員立雄

這部分我們可能要請日後平台的營運單位做研析。
曾委員銘宗：好，你們去評估。另外，跟您討教今天您的報告如同剛才吳委員秉叡所言，寫得非常簡略，也沒有金管會該有的關照面。要因應整個駭客大量侵入、有組織性的侵入，請問主委除了分享平台建立之後，我要問的是金管會還有哪些配套？
顧主任委員立雄：我剛才在最後的口頭補充報告有說明，第一，當然就是他們的資安專責單位的建置，因為金融業的大小規模不一，從銀行、保險到證券，相關資安單位的建置我們必須要好好再跟業者溝通並督導其成立。另外，我剛才提到就是金融監理跟各個金融業的資安部分要結合，意思就是如果做不好資安的人，在金融監理上就會有一套……
曾委員銘宗：沒有錯，其實建立資安的分享機制是最基本的，也是最急迫的機制，建立好之後，為了因應整個數位化跟網路化金融時代的來臨，金管會要會同所有金融業要有很多的配套，比如金融業必須強化相關軟硬體的投資，現在的比率太低了。

顧主任委員立雄

對。
曾委員銘宗：這是第一點。第二，相關專業人才的培養，比如這次遠銀發生事情，包括銀行和金管會根本沒有人才去確認到底發生什麼事，還要藉助趨勢科技來診斷等等，銀行沒有這樣的專業人士，金管會也沒有，所以我也希望金管會要要求金融機構強化專業人才的培養。第三，整個資安產業未來是非常有潛力的產業，尤其也希望金融機構能夠讓它轉投資到資訊安全防護的產業，它很需要，所以要准許銀行業，假如現在不專案准許銀行業，它只能投資5%，假如納入之後，可以同意它投資100%，讓它協助整個資安安全產業的發展。
最後，我的建議是要確保客戶權益，因為很多駭客駭的可能不只有金錢，有些包括客戶的相關資訊，所以有關客戶權益的保障的部分，我希望金管會也要注意到，若後續資料被拿走了，如何賠償要建立一套機制，我相信配套有很多，也希望金管會能夠進一步研議。
顧主任委員立雄：委員指教的幾點都非常對，簡單回應兩點：第一，金融業去轉投資資安相關產業，我們現在是允許100%可以。第二，現在有一個問題就是現在在本會內部的資訊人才，包括檢查局是不夠的，但因為我們是執行公權力，所以我們沒有辦法直接委外去幫忙做資訊安全的檢查，關於這點坦白講我在跟他們討論時……
曾委員銘宗：你弄錯了，像遺產法是可以委外會計師去做，是沒有問題的，我相信邱局長很清楚，你可以委外會計師去查核，錢是由金融業自己出。
顧主任委員立雄：我在這點上是希望委外的部分是幫忙做專業的認證，也許是可以突破法規限制。

曾委員銘宗

法規沒有問題。

顧主任委員立雄

我們再跟委員討教您的經驗。
曾委員銘宗：法規沒有問題，會計師可以委外，可以請會計師事務所去查核是沒有問題的。另外我有臨時提案要求金管會在半年內就有關資訊安全防護的配套措施提出完整報告給財委會，謝謝。
顧主任委員立雄：是，謝謝。

主席

請盧委員秀燕發言。
盧委員秀燕：主席、各位列席官員、各位同仁。古時候說的「隔空取物」是個仙術，可是以現在的科技「隔空取物」、「隔空取錢」並不困難，所以才會發生遠銀被駭的事件。最近這幾年當中，八大行庫受害的情形非常嚴重，包括一銀ATM被盜、台企銀前不久當機、民間銀行遠銀最近也被駭。我聽說我們國內外的銀行本身的資安人才非常有限，而且配置不足，一銀ATM被盜時聽說一銀的資安人才只有2個，所以我想求證一下一銀董事長，請問你們資安室有多少人員？

主席

請第一金控公司蔡董事長說明。

蔡董事長慶年

主席、各位委員。目前20人。

盧委員秀燕

那你們總行員是多少？

蔡董事長慶年

全部行員7,000人。
盧委員秀燕：其中有20人是資安人員，你們有多少分行？

蔡董事長慶年

國內有189家。

盧委員秀燕

20人要負責189家。請問臺銀呢？

主席

請臺灣銀行魏總經理說明。

魏總經理江霖

主席、各位委員。專職18人、兼職16人。

盧委員秀燕

什麼叫做兼職？
魏總經理江霖：他是負責資安，但是在同樣的部不同的科。

盧委員秀燕

他們有專業嗎？

魏總經理江霖

有。

盧委員秀燕

專職有18人左右。請問土銀呢？

主席

請臺灣土地銀行黃總經理說明。

黃總經理忠銘

主席、各位委員。土銀有9位。

盧委員秀燕

你們有多少分行？

黃總經理忠銘

151家。

盧委員秀燕

你覺得這樣的人數配置夠嗎？

黃總經理忠銘

我們還要再增加。
盧委員秀燕：好，謝謝。請問華南銀行？

主席

請華南金控公司吳董事長說明。
吳董事長當傑：主席、各位委員。我們有兩個部門，一個是資訊規劃部、一個是資訊服務部，專職的應該有30位左右。

盧委員秀燕

30位。請問合庫？

主席

請合作金庫金控公司廖董事長說明。

廖董事長燦昌

主席、各位委員。目前專職有10位。

盧委員秀燕

10位！那你多少分行？合庫好大耶！

廖董事長燦昌

271家。
盧委員秀燕：只有10位！本席想請教顧主委，你覺得這樣的人才配置及專業度夠不夠呢？
顧主任委員立雄：除了剛才您問的人數之外，主要是他們很多都配在資訊處底下，如果是從業務及資安觀點出發的話，資訊處是略有不同的，因為資安的人必須更強調從內控內稽去落實資安。針對這部分而言，金管會的立場不是問資訊處的人員，而是問資安人員，然後還要與內控內稽的制度，包括法遵去做結合。
盧委員秀燕：合庫有10位資訊處人員，那資安人才有幾位呢？
顧主任委員立雄：我還想問他們，這10個人是指資訊處的人員，還是專門做資安的人員呢？應該再精確一點，不是只是從事資訊的人員而已。
盧委員秀燕：我瞭解你的意思，不過我的意思是說，量化可以看出質化，照理說，資訊處應該是所有行庫裡最厲害的單位，有的單位是兼的，這也可以理解。在這10個人當中，其中還可能配置比較低階的事務人員而非資安人才。現以以合庫來講，這10個人還不見得每個都是資安專家，說不定真正的資安專家只有3、5個而已，這樣有沒有辦法管到270多個分行呢？沒有關係，今天這個問題不會有答案，我請金管會給我一個報告，包括國內行庫及各公民營銀行的資訊處有多少人，真正資安人才又有多少人，還有人數到底夠不夠，你們從量化去評估質化後，再將此報告給我。

顧主任委員立雄

是。
盧委員秀燕：我透過這樣的質詢只是要提醒金管會注意，譬如前不久風控出問題就設風控長，而資安出問題就設資安長，到底設一個長就真正能解決資安問題嗎？我們真正要注意的是量化及質化的問題，大概多久可以給我這份報告呢？
顧主任委員立雄：由於金融業跨很大，包括銀行、保險及證券等，是不是能只限於銀行的部分呢？
盧委員秀燕：如果能包括壽險及證券，當然就會更好，你要做這麼大，我會更歡迎。
顧主任委員立雄：我們想要做個詳盡的檢查，也有排定檢查局去做檢查。
盧委員秀燕：103年7月10日金管會做過資安測試，105年一銀發生被駭事件，今年又發生遠銀及台企銀等事件，期間小事件還不計其數，可見金管會自己的資安測試都有問題啊！顧主委認為你們自己的資安測試，有沒有辦法真的測試出國內的金融資安呢？
顧主任委員立雄：現在檢查局一直再加強資訊人才，因為既有人才並非資訊方面的……

盧委員秀燕

請問金管會有多少資安人才呢？
顧主任委員立雄：從檢查局的觀點來看，資訊人才有10位。
盧委員秀燕：這些都是資訊專才嗎？剛才我有說事務人員，他們只負責文書等工作。
顧主任委員立雄：公務人員的進用是有考的科別，金管會是不是能夠考資訊專才……
盧委員秀燕：你們自己都有人才不足的情形，你承不承認有這種現象呢？

顧主任委員立雄

現在我們有一個人才培育的計畫。
盧委員秀燕：金管會自己的資安人才都不夠，怪不得資安測試都是在作假的嘛！103年做過資安測試後，還不斷發生重大資安事件。
到現在還有人在講，遠銀被駭是因北韓要籌糧草及資金所做的，到底是不是北韓做的呢？
顧主任委員立雄：我們已經將遠銀的電子紀錄送給刑事局，將會由刑事局來研判。

盧委員秀燕

到現在你也搞不清楚是不是北韓做的嗎？
顧主任委員立雄：我沒有辦法證實是不是，也沒有那個能力去判斷。
盧委員秀燕：你看看我們的資安一塌糊塗嘛！到現在為止，金管會還不知道是誰駭的。

顧主任委員立雄

這部分應該由刑事局來判斷。
盧委員秀燕：這會期最重要的就是稅改，股利利所得的稅改被外界批評為圖利大富豪，我個人在禮拜一的提案獲得很多委員的支持。如果股利所得稅只有26%，這是齊頭式的平等，因為用26%就會圖利大富豪，我提案成功也獲得通過，稅率包括以26%、30%及36%來分級計算，而且張忠謀、郭台銘等大戶也表示，不需要政府給他們減稅，他們認為他們應該多繳稅。本席的提案為什麼會獲得通過，這是我在挑戰民進黨圖利大戶的版本，而且非常成功，之後還需要財委會來進行審查。請問主委，由於這是很重大的事情，而股利所得也是金管會的業務，我們建議分級為26%、30%及36%來計算股利所得，你對這個案子支不支持或接不接受呢？
顧主任委員立雄：行政院已經將整個稅改方案提出來，這也代表行政團隊的立場，到財委會初審時，我們當然會尊重財委會的結論。針對分級的級距來講的話，這會涉及到分級適用的所得者，到底是何種分級法以及會造成什麼情況，我們還需要做一下精算，而這部分應該由財政部來主政。
盧委員秀燕：股利所得最大的受惠者是金管會，到底級距及稅率該怎麼分，還有要以多少所得來區分，對此我們都可以討論。本席提案與行政院版本的思考方向，其實是有很重大的對照之處，也是很大的一個挑戰，如果你們財經兩部還是堅持用單一稅率化，難免就會落入外界所說的圖利大富豪。屆時我們就來看行政院或哪些委員在堅持單一稅率及替大富豪講話，這樣將非常容易現形，因此你今天的講話是很重要的表態。本案是禮拜一才提出，我覺得今天你的講話還算持平，第一是尊重財委會，第二是到底要怎麼算，即以多少所得、多少級距及稅率來算，大家可以來討論。我們希望能往好的方向來做稅改，而不要像外界所說的是在圖利大富豪。謝謝。

顧主任委員立雄

謝謝委員。

主席

請賴委員士葆發言。
賴委員士葆：主席、各位列席官員、各位同仁。本席讓顧主委稍微喘一口氣，今天央行楊副總裁的心情應該還算不錯！

主席

請中央銀行楊副總裁說明。

楊副總裁金龍

主席、各位委員。還可以。
賴委員士葆：台幣被美國從觀察名單拿掉，原來我們在觀察名單中嗎？在觀察名單又有多久時間呢？
楊副總裁金龍：今年4月時，在他們的3項標準中，我們只符合1項而已，即經常帳的順差超過標準，所以才會列入觀察名單，但是他說只要兩次都是只有一項的話，可以排除。
賴委員士葆：所以，你們就開始運作了。
楊副總裁金龍：不是開始運作，事實上，我們是持續一直在與其溝通，而且溝通效果良好。
賴委員士葆：當然我們不希望被列入觀察名單，如果未能從觀察名單中移除，最壞的情況會怎樣？
楊副總裁金龍：若未能從觀察名單中排除，他會指控我們操匯率……
賴委員士葆：有可能在貿易加稅或列入301條款等等，對不對？

楊副總裁金龍

是。
賴委員士葆：這件事對台灣而言，當然是好消息，請問未來台幣的走勢會如何？
楊副總裁金龍：我們在與美國財政部溝通時，一直強調新台幣匯率是由市場供需來決定的。
賴委員士葆：這句話但說無妨，你可以看到台幣的走勢，從今年2月開始，就一路上漲，若從高點來看，已漲了快一成，大家當然知道，這其中有美國的壓力，我們的政府現在又這麼配合美國，美國當然希望台幣升值，美國產品才有競爭力，我們在過去撐了很久的時間，維持在32至33之間，現在是在30左右，外界的看法，認為這還是要看美國的臉色，且和未來美國總統川普與習近平的川習會有關，因為他們可能談到匯率的問題，而且中國大陸現列在觀察名單中，對不對？

楊副總裁金龍

是。
賴委員士葆：他們最近一直在升值，雖然在九月有跌一些，但與這些都有關係，所以，要說匯率自由化，只是說說罷了，若是真的完全自由，萬一大量的資金進來，要攻擊台幣，你也要阻擋啊！因此，不能說是完全自由。
楊副總裁金龍：我們沒有說新台幣匯率是完全自由，它是一個管理的浮動匯率制度。

賴委員士葆

多少還是有管理的。

楊副總裁金龍

如果市場的秩序有disoder……

賴委員士葆

什麼稱為disoder？
楊副總裁金龍：就是波動非常大，或持續一直在升值，或持續一直在貶值，我們就必須要注意波動是否過劇……

賴委員士葆

您講話的口氣很像彭總裁。
楊副總裁金龍：不，這就是……
賴委員士葆：就是柳樹的動態平衡，他是這樣說的，對不對？預祝你接他的位置，好不好？接受吧？不過可能我的祝福沒有用，因為我們是反對黨。楊副總裁無話可接了，好，請你先回座。
接著請教金管會顧主委，關於慶富案，將要成立「調閱小組」，是嗎？

主席

請金管會顧主任委員說明。

顧主任委員立雄

主席、各位委員。這是剛才黃委員所提的意見。
賴委員士葆：對，我贊成。特別是兩次聯貸會，我們要看會議紀錄，這裡面有沒有鬼？你擔任律師那麼久了，你想政府的招標案，最後可以用抽籤的嗎？
顧主任委員立雄：我想這部分是因為，他先是已經有了國防部的採購合約，才拿了國防部的採購合約來找銀行聯貸，在銀行的立場，可能在看到國防部的採購合約後，所以在進行徵授信作業時，可能會認為，只要此一合約能夠順利進行，則貸款合約的還款就能確保。他們應該是有這樣的想法。
賴委員士葆：好，我們就成立「調閱小組」，去調聯貸紀錄，應該就可以看到全案的全貌。
現在來談談今天的駭客的問題，請教法務部，我們看到美國勒索軟體犯罪規模暴增，一年內暴增40倍，七成企業被迫支付勒索贖金，請問我們的洗錢防制系統，會不會被駭？

主席

請法務部檢察司余副司長說明。
余副司長麗貞：主席、各位委員。報告委員，洗錢防制機構是建置在各階層，有銀行及非銀行部分。被駭的不是洗錢防制機構，而是整個洗錢網路。
賴委員士葆：我要問，妳的會不會被駭？不一定是在銀行內，妳也有一套系統，有些人在洗錢時會想，與其去駭銀行，還不如駭入洗錢防制系統，有可能是直接斷點。
顧主任委員立雄：這就好像你也可以問這樣的問題，我們現在不是要建立資安聯防體系嗎？它是個資安資訊分享的平台，我們也在想這個資安中心會不會被駭？因此，關於此點，我們也要將之拉到一定的資安層級，要以國安的角度看待此一平台。
賴委員士葆：是的，我要強調的就是此點。今天我們所談的，不是只有銀行被駭的問題，而是整個資安體系，會不會被駭？現在全世界都在建立網軍，雖然顧主委剛才不知道遠銀是不是北韓駭的，但是，大家都了解，據媒體的報導，現在北韓駭得的金額，約達其出口的三分之一。這種做法不會引發制裁，因為是看不見的。所以，我認為整個資安體系是一體的，不是只有銀行而已，包括全部系統，包括洗錢的防制，都是很重要的，余副司長顯然未進入這個狀況，請妳回去好好地研究一下，請先回座。
請教顧主委，你是否要在銀行設置副總級以上的資安長？

顧主任委員立雄

是銀行嗎？因為金融業很大。

賴委員士葆

金融業、銀行也可以。
顧主任委員立雄：若是談到銀行的部分，我們現在是要建立專責單位，而銀行的規模不一，規模大一點的銀行，較易設置您所要求的副總級以上的資安長；但在其他中小型銀行，甚或信合社、信用部、農漁會等，在這方面，如何去區分銀行的規模，予以設置，衡酌要付出資安的相對的cost有多大，我們在這件事情上，會來進行。
賴委員士葆：何時會有答案？不一定就要副總級以上，若是規模小的就是經理級，我認為這是有必要的。
顧主任委員立雄：對，現在就是兩個層面，第一，我們要求要專責。而此一專責足以負擔整個資安的要求。第二，我們要求加強董事會職能，就是這個資安專責單位，要對董事會直接報告。

賴委員士葆

你們要不要給他們一些時間準備？然後進行全面的資安審查。

顧主任委員立雄

當然要做。

賴委員士葆

在何時？
顧主任委員立雄：我們現在就銀行這部分，已經對38家銀行，我所看到的報告，是對24家做了檢測，現在正在進行的有3家，會在明年一月底以前檢測剩下的10幾家……
賴委員士葆：所以，會在明年做完？

顧主任委員立雄

在明年一月以前。

賴委員士葆

是在三個月內全部檢查完畢？

顧主任委員立雄

對。
賴委員士葆：現在已檢查完成的24家，都及格嗎？

顧主任委員立雄

我還沒有看到相關的檢查報告。

賴委員士葆

還沒有聽到嗎？
顧主任委員立雄：這部分還是請檢查局長作說明，因為我還沒有看到最後的報告。

主席

請金管會檢查局王局長說明。
王局長儷娟：主席、各位委員。向委員報告，這24家是針對SWIFT系統，我們在去年九月要求其必須加強管理，我們發現有一部分可能沒有做得很好，相關管理的缺失，我們已經放在我們的網站上。

賴委員士葆

比例有多高？
王局長儷娟：比例不高，大部分的銀行……

賴委員士葆

有沒有10%？

王局長儷娟

沒有。
賴委員士葆：我與大家都是銀行的存款戶，我們會擔心啊！現在是無現金化，要求我們儘量運用網路，那就代表不要紙本，萬一我的錢被駭了，銀行錯帳了，我怎麼辦？我沒有紙本。特別是有人的銀行帳簿有十本，如果帳被駭、被改了，如何知道這帳是不是對的？
顧主任委員立雄：向委員報告，我剛才在理解上有點小小的誤差，我們之前所進行的檢查是針對SWIFT系統……
賴委員士葆：只有針對SWIFT系統，不是針對全部的資安？
顧主任委員立雄：這是專案的部分，至於全面的部分，就要排定一個時程進行。
賴委員士葆：何時要做全面的檢查？你們要趕快做，現在大家恐慌了，遠銀被駭了那麼多錢，代表其他銀行也會發生。
顧主任委員立雄：關於遠銀的部分，我們會將之做成案例，透過銀行公會告訴大家。
賴委員士葆：你在半年內做個全面的檢查，可以嗎？這個時間不短。
顧主任委員立雄：就此一部分，我在會後與檢查局及銀行局做個檢討，再向委員做出報告。
賴委員士葆：好，希望你能訂個時間，因為大家會恐慌。

顧主任委員立雄

其中有分為一般檢查、專案檢查及專家……
賴委員士葆：所以你剛才提到的只有專案檢查，還沒有一般的全面檢查？
顧主任委員立雄：一般的全面檢查是在一般的檢查中都會做，銀行自己本身也要進行，針對此部分的詳細情形，我會列個報告向委員說明。
賴委員士葆：好，希望你能在定期內做這件事。謝謝。

顧主任委員立雄

是的。

主席

請王委員榮璋發言。
王委員榮璋：主席、各位列席官員、各位同仁。請問顧主委，預計在年底完成資安聯防系統，有哪些防範或升級措施，是現在所沒有的？

主席

請金管會顧主任委員說明。

顧主任委員立雄

主席、各位委員。主要是在早期預警及應變處理的功能。
王委員榮璋：預警及應變處理的功能，是目前所沒有的？
顧主任委員立雄：目前只有在證交所的證券期貨周邊單位的部分，有做資安資訊的分享，還沒有擴及到銀行及保險的部分。
王委員榮璋：金管會資訊服務處蔡處長曾在媒體上表示，以遠銀的案例而言，是內部可能有人不小心點開不明檔案或郵件，導致駭客病毒入侵，且駭客手法是「聲東擊西」，先讓遠銀在忙著處理這些問題時，駭客才開始攻擊系統，導致遠銀在2天後才發現系統被駭。在此案中，因為遠銀內部的自動化無人審核程序，導致駭客攻擊得逞，而且事情在2天後才被發現。是這樣子的原因，沒有錯吧？
顧主任委員立雄：對，這是其中的一部分。
王委員榮璋：好，這是對外表示的內容，本席也是從媒體的報導上看到的。請問，若我們的資安聯防系統建置之後，則如遠銀相同之事件，就不會發生了嗎？如果遠銀或其他銀行還是採用同樣的方式及做法，則這種事情就不會再發生了？
顧主任委員立雄：沒有。不會因為設置了這個平台，遠銀所發生的狀況就不會再發生了。如果遠銀沒有落實資安防護的標準作業流程，還是會發生的。
王委員榮璋：如果各銀行未確實做到內控，則這個問題還是會發生。

顧主任委員立雄

是的。
王委員榮璋：現在金管會在推動FinTech、金融業也在進行網路金融3.0，我們看到你們對於遠銀的要求是一定要人工再確認，顧主委會不會覺得，這樣子的要求，在整件事情上是很令人混淆的？因為，在今天的報告上，我們看到的是，要做的項目有研判分析、資訊分享、通報服務、應變處理等，它有沒有辦法做到自動警示、自動防範、自動追查，甚至於自動修補？
顧主任委員立雄：關於改成手工作業，是因為當時是在連假期間，在遠銀通報的第一時間，我們要求各銀行的資安長或資安專責單位去檢視之外，對於SWIFT系統，暫時改採此一措施，其重點還是在於SWIFT系統的實體阻體的部分必須建置。
王委員榮璋：所以並非要求銀行在一定金額以上，必須以人工再確認，這只是一個短期的應變措施，用人工確認。

顧主任委員立雄

是的。
王委員榮璋：好，了解。其實從去年七月發生一銀ATM盜領案之後，金管會於今年二月召集銀行總經理開會，希望在六個月之內，能夠建立資安部門及主管，也希望未來能提升為獨立部門，請問，目前有多少銀行，具有獨立專責、不附掛在資訊部門之下的資安部門？
顧主任委員立雄：據我看到的書面報告，他們都說有成立專責單位。

王委員榮璋

都有嗎？
顧主任委員立雄：但是，我在前面也曾提到，這所謂的「專責」須考量到幾個問題，第一，涉及到層級問題。第二，人力資源是否足夠。第三，董事會對於資安是否重視。所以，它應該不是在形式上，成立一個所謂的「專責」單位。

王委員榮璋

它必須能夠負起這樣的功能及角色。

顧主任委員立雄

是的。
王委員榮璋：我從銀行局方面了解，現在大概15家銀行，包括公股銀行在內，也沒有完全設置，其實有待努力。剛才顧主委提到一個重點，就是專業人力的部分，在過去銀行局在相關的培訓工作中，資安的部分並非其重點。銀行要成立獨立的資安單位，請問，相關的專業人力從哪裡來？這些人力必須具有金融知識與經驗，還要有資安的專長和專業，這樣的人力和人才，依金管會的瞭解與評估，目前是足夠的嗎？

顧主任委員立雄

這兩種專業的培養確實需要一點時間。
王委員榮璋：對於這部分，我們有責任瞭解人力的狀況、來源及培訓，這是非常重要的，否則只是虛應故事，這樣的獨立部門只是掛牌而已，實際上是不是能發揮功能和效果是令人存疑的。
顧主任委員立雄：這方面的人力應該是以資訊為底，然後增加金融方面的知識與理解，以及對金融整個作業環境的瞭解。

王委員榮璋

我們為什麼要求資安的部門要獨立？我們為什麼要求要成立一個獨立的資安部門？
顧主任委員立雄：有關資安的部分是因為駭客的攻擊，網路作業越來越普遍。
王委員榮璋：就金管會的瞭解，銀行的資安通常由什麼部門負責？

顧主任委員立雄

資訊處。

王委員榮璋

主委認為資訊和資安在業務或KPI上有沒有扞格之處？
顧主任委員立雄：資訊處在某種程度上會比較從業務面的立場發展一些相關的應用程式，但從資安的立場來講必須有一點隔開，不要完全和業務部門黏在一起，必須創造一個比較獨立的觀點然後去看整個資安部門的建置。
王委員榮璋：最重要的一個重點和環節是資訊部門在一定的程度上跟資安的VI是不同的，在這種情況下，如果資安主管和其部門沒有真正的權力，不具有一定的決策權力或建議權力，即使成立十個甚至一百個資安聯防系統都是形同虛設。將來的問題是在金融檢查的部分要透過什麼樣的方式做檢查？在資安聯防系統的部分是否會嘗試攻擊各個銀行的資安以為測試？

顧主任委員立雄

這等於說做資安的壓力測試。
王委員榮璋：對，有沒有這個可能？不然銀行自己說有照規定和標準做了，事實上是不是真的有做？等到出了事情才來彌補、究責是來不及的。
顧主任委員立雄：做這樣的演練確實要有和駭客一樣的想法、手段和能力，我們可以和銀行公會討論怎麼樣做這樣的測試。
王委員榮璋：金管會作為主管機關，不要事事請示銀行公會。本席為什麼在這裡特別提出這個問題是因為未來資安聯防系統要聘用什麼樣的人；聘用的人的人力專長要達到什麼程度是非常重要的，先確定要做什麼事情然後才知道要用什麼樣的人來做這些事情，希望主委在這部分能審慎的考慮。
顧主任委員立雄：我們周邊單位有一個財經公司，裡面有相關的資訊人才，我向他們討教一下。

主席

等一下等陳賴委員素美質詢完畢後休息5分鐘。
請施委員義芳發言。
施委員義芳：主席、各位列席官員、各位同仁。今天討論的是金融機構的資安管理，本席會提出過去發生的一些案例和主委討論。
今年2月金管會發函各金融業者要求設立資安專屬單位或部門，據說因為成本因素遭遇不少反彈，所以到今天還沒達到目標。這些金融機構的理由是現在已有資訊部門，不需要再另外設立資安部門，這似乎是省小條花大條的思維。本席要請教顧主委，資訊的管理、資訊工程和資訊安全三者有什麼不同？

主席

請金管會顧主任委員說明。

顧主任委員立雄

主席、各位委員。應該是業務的運用面……

施委員義芳

請處長說明好了。

主席

請金管會資訊服務處蔡處長說明。
蔡處長福隆：主席、各位委員。資訊領域分為資訊管理和資訊工程，資訊管理比較偏向於應用，就是和企業比較相關的創新運用與流程；資訊工程比較偏向技術方面，就是比較底層的技術開發、技術研發等部分；資訊安全的領域包括資訊的安全管理、資訊安全相關的政策及相關的技術發展。
施委員義芳：本席要讓主委瞭解，資管部分在大學是屬於甲組，資工的部分屬於乙組，目前大學沒有資安的科目，它必須具有資管和資工的經歷及專業才有辦法結合起來。剛才處長提到資訊管理比較屬於資訊整合及企業的資源規劃部分，資工屬於程式設計方面，所以它必須對程式設計有瞭解才能將兩者結合起來做資安，但金融業者對資訊部門的定義普遍是有落差的，這是本席要提醒主委的。
本席整理了過去10年中網路犯罪集團的重大事件：2008年蘇格蘭皇家銀行被入侵，被盜領了900萬美元；2009年美國VI盜領事件總共盜領銀行4,000萬美元；2013年Master卡被入侵，從27國盜走中東兩家銀行4,500萬美元。國FBI統計2015年被竊取的金額是10億美元，2009年的4,000萬美元跳升至2015年的10億美元，總共達到25倍之多，這代表駭客入侵的情況非常嚴重且逐年在增加，從這6年可以印證此事。
至於我國的部分，有2010年玉山銀行、2016年第一銀行和2017年遠東銀行的事件，最近的遠東銀行事件，其最高前線SWIFT被入侵遭盜領。請問主委，我們到底從過去的案例學到什麼？
顧主任委員立雄：就我看到的資料，每次我們都針對不同的事件做相應的防堵機制的建置，如剛才委員提到的ATM事件及阻斷式攻擊等等。從這三個案例來看，駭客每次的手法都不一致，我還要強調，遠銀資安防護體制的建置是一回事，有沒有真正的落實是一回事，所以我還是希望透過銀行的自律要求及我們的檢查去落實，另外也透過我們的監理措施讓他們覺得有必要花成本去落實。
施委員義芳：最近行政院也在強調所謂的金融資訊分享中心，這部分在國際之間有沒有合作或交流的平台？

顧主任委員立雄

現在美國、英國都有類似的設計。
施委員義芳：我整理了2017年的部分，OWASP全球最大資訊安全非營利組織會針對各網內的安全漏洞做研究、分析，已成為各國政府及民間參考的風險評估依據，從2017年開始，這個組織把全球10大資安風險的部分列入，其中API占了兩項，API會隨著手機而產生各類型的App，所以API被廣泛的應用，但API沒有做好安全機制更好的防範導致被入侵的機會很高，所以OWASP將其列入兩項缺失。
資訊安全非常複雜，屬於專精的領域，到現在為止，大學來不及設置這個科目而只有學程，在這個學程中又找不到專精的專家或老師，金管會也一直在強調科技金融的部分，未來你們將如何處理資安才人的問題？
顧主任委員立雄：我們一方面鼓勵銀行業者投資資安部門的設計，也就是可以轉投資培育相關的人才，另一方面，主管機關能做的是資安資訊分享平台建置之後可以蒐集國內外類似的資安風險情報，讓業者能事先知道以做應變的處理。
至於資安人才的培養，只要有這個市場，只要需求面產生，自然就會培養出這樣的人才，只是在時間上我無法回答。這不只是業界的問題，我們資服處的能力和檢查部門的人力都應該再提升。
施委員義芳：你也應該和教育部開聯席會議，研究未來的人才應如何培養。

顧主任委員立雄

我們有在協調當中。
施委員義芳：我們再來看一下跨國盜領事件。一般而言，跨國盜領事件會藏在SWIFT的網路惡意程式中，對於這些亂碼，不要說非專業人員，即使是專業人員可能也看不出來，這會造成盜領事件頻繁。剛才主委也說了，這次如果遠銀有做好SOP是不會發生這種事情的，是這樣嗎？
顧主任委員立雄：對，我們認為他們有幾道應落實的防線沒有落實。
施委員義芳：這次他們違反的是最小授權原則，過去你們在稽核過程中是否有針對最小授權原則做稽核？
顧主任委員立雄：他們在維護端和administrater端都不應該放入最高權限，他們應該在其工作必要範圍做最小權限的賦予，不可以在平常時間為了工作的方便對每個人賦予最高權限的授與，這樣每個人本身的工作站或工作平台可能會被侵入而產生帳號被盜領等的情事。我們認為這個部分是一個教訓，以後也會形成一個慣例，讓每個銀行引以為鑑。
施委員義芳：2016年孟加拉央行被入侵導致其央行總裁下台，當時就是被值入了這種惡意程式。2013年到2016年ATM盜領事件是在特定公司、特定機器中值入木馬程式，2010年美國黑帽駭客大會就示範過如何盜領ATM，但國內似乎並沒有警覺，才會後續的造成國內一銀ATM被盜領事件，未來主委會不會考慮取經於白牌的駭客藉以找出並防範這些潛在的問題？
顧主任委員立雄：SWIFT事件也就是被發出偽冒電文的事件並非第一次在台灣發生，在這個事件發生的當下，我們就發函給各銀行，請銀行注意，如果銀行有確實的注意到這個事件，這次的事件不見得會發生。銀行內部也有建置相關防護措施的標準作業，問題在於每個人可能為了方便，覺得沒有關係才會有這種情況發生。如果銀行端將資安意識提升到洗錢防制一樣的層級的話，就會很大程度的減低被侵入的風險。
施委員義芳：我們對金管會和主委是有很大的期待的，希望主委未來要好好的整頓金管會。

主席

請陳賴委員素美發言。
陳賴委員素美：主席、各位列席官員、各位同仁。10月5日遠銀通報金管會發現有駭客入侵，遠銀SWIFT系統發生虛偽交易高達18億元台幣，檢查局葉副局長在事後的專案金檢發現遠銀有三大疏失：第一項是沒有落實權限最小原則；第二項是遠銀SWIFT系統放在同一個網段；第三項是遠銀內部稽核疏忽資安工作的檢視。主委曾說要等遠銀的報告出來再決定金管會如何究責，就本席瞭解，金管會給遠銀的期限是上週五，請問遠銀交報告了嗎？金檢會發現遠銀的三大疏失，金管會預計如何向遠銀究責？

主席

請金管會顧主任委員說明。

顧主任委員立雄

主席、各位委員。遠銀的報告已經送來了。

陳賴委員素美

可以將這份報告提供財委會嗎？

顧主任委員立雄

委員說的是遠銀的報告或是我們的檢查報告？這兩個報告不太一樣。
陳賴委員素美：遠銀的報告。我們也想瞭解為什麼會發生這麼嚴重的事情，同時也想瞭解和你們稽核的結果是否一樣。
顧主任委員立雄：遠銀報告送來之後加上我們檢查報告的結果，我們會完整的提出來，因為這是一個案例。
陳賴委員素美：因為時間的關係，你們可能無法在短時間內給我們。

顧主任委員立雄

應該還有更完整的檢查結果。
陳賴委員素美：你們準備裁罰多少錢？本席很關心這件事，因為一銀被盜領八千多萬元就被罰了上限1,000萬元，相較之下，遠銀遭駭18億元，即使引用最高上限最多也只能罰1,000萬元，主委認為這樣的罰鍰金額有沒有必要檢討？金管會有沒有要修正的想法？
顧主任委員立雄：我們內部對於罰鍰的級距有一些criteria，就是有一些級距的標準，我們會根據……

陳賴委員素美

我問的是主委對最高罰鍰1,000萬元有什麼想法？會不會太低了？有沒有打算修正？

顧主任委員立雄

我已經根據委外研究報告希望銀行局就銀行法罰則的修正做一個檢討案給我。
陳賴委員素美：我希望能儘快。金管會去年就發函給銀行要求做好系統控管，將SWIFT列為金檢的重要項目，沒想還是發生這樣遺憾的事情。針對遠銀此次發生SWIFT權限的網路疏失事件，請問主委，將SWIFT列為金檢重點之後，金管會對多少金融機關做過金檢？

顧主任委員立雄

24家。

陳賴委員素美

金檢結果如何？
顧主任委員立雄：這個問題剛才有委員問過，請檢查局再說明。

主席

請金管會檢查局王局長說明。
王局長儷娟：主席、各位委員。還是有一些缺失，我們把相關的缺失放在我們的網站上給其他銀行看看有沒有類似的情況。
陳賴委員素美：檢查結果是有缺失的，有沒有發現其他銀行有類似遠銀的缺失？
顧主任委員立雄：類似遠銀的缺失這件事要等整個檢查報告出來，我覺得遠銀的部分還是落實的問題，所以這部分我們會以各銀行對……
陳賴委員素美：既然你們這麼重視，為什麼還會生這種問題？這是本席今天想要問的重點，如果有缺失就應該針對這些缺失做修正，為什麼有金檢還會發生遠銀這樣的疏失？本席要問的是這個，本席很懷疑金管會的金檢成效。從2013年孟加拉索納力銀行開始，接連4年全世界至少發生了6件，台灣今年10月就發生了這種事件，過去有這樣的教訓為什麼還會有疏忽造成這樣的影響？孟加拉央行在2016年發生這樣的事情，央行總裁甚至因此下台。這些案例的發生難道不足以讓金管會做一些相關的因應措施和防範措施？我認為金管會可能是太輕忽了。
金管會在上週開會檢討、研議金融資安有什麼可以改善之處，請問會議的結論是什麼？
顧主任委員立雄：我們有提出來，大致上是我們會要求權責相符的資安單位，還會加強金融監理和資安之間的結合，就是說我們透過金融監理的手段……

陳賴委員素美

請你將這部分的資料提供給我們。
另外，本席也要求會員銀行遵守16項強制控制措施，並從2018年開始對會員銀行進行稽核，這是很重要的。希望金管會針對這個問題加以整理，包含過去對SWIFT的檢討及檢查的結果，並將金管會上週的會議紀錄分別提供書面給財委會。
台灣並不是第一次發生遭駭事件，從2010年到現在陸續有多家銀行發生這樣的事件，原本預計今年二季就要完工的金融資安中心到現在還沒完成，到現在才發包而已，為什麼會有這樣的延宕？主委承諾資安中心年底要正式啟用，主委有這個信心嗎？

顧主任委員立雄

我有。

陳賴委員素美

你有信心？

顧主任委員立雄

我一定要有。
陳賴委員素美：我希望不要再落後了。從一銀被盜領八千多萬元到遠銀被盜領18億元，歹徒不必到銀行也不必在ATM前操作，只要動動手指，而且是在境外不用入境就可以造成銀行的重大損失，可見金融網路的資安是非常重要的，目前金管會的一般金檢是否包含銀行資安的檢查？

顧主任委員立雄

有。
陳賴委員素美：今年2月主委就要求銀行設置資安專職人員，但金管會的資安專職人員是0，資安人力不足，金管會如何因應？我看到其中職員和約聘僱人員總共只有36位，顯然人力不足。
顧主任委員立雄：如果放在檢查局就不會稱做「資安專職人員」，我們現在是稱為「電腦稽核人員」。
陳賴委員素美：本席認為世界金融駭客日新月異的入侵方法太可怕了，一損失就會損失很多錢，你們要求銀行，你們自己本身卻沒有設置資安專職人員，這樣可以嗎？本席認為金管會應該設置資安專職人員會比較好，主委認為如何？
顧主任委員立雄：我們希望大院支持，我們現在很需要兩種人才，一種是金融科技創新實驗條例通過後所需要的金融檢視人才，另外，為了資安，我們也需要有資安的人才。
陳賴委員素美：既然很需要這些人才，我們就趕快朝這方面努力。

顧主任委員立雄

希望委員支持。
陳賴委員素美：本席特地要求助理進行網頁測試，測試結果是這樣的：在銀行所提供的網路銀行與網路ATM總共70個伺服器中，除了有5個伺服器無法連線外，剩下的65個伺服器中有14個加密程度未達等級A標準，也就是有兩成沒有達到A標準，其中4個網路銀行或網路ATM只達到F等級的標準。我對這部分有做成資料，等一下請主委仔細看一下。這代表這些網站很容易被駭客破解、竄改，或將連線轉向漁網站中，讓一般民眾使用這些金融服務時暴露於風險中。透過這個檢測，本席要提醒主委，這樣的漏洞可能造成一般使用者的個資外洩，甚至造成財務損失。
駭客的方法詭譎多變，駭客的攻擊未曾停歇，SWIFT曾經警告過，若合約銀行的資安薄弱，SWIFT不僅會暫停向其提供的匯款服務，甚至可能取消與該銀行的合作關係，這樣代表銀行完全無法從事任何境外交易，如果台灣任何一家銀行被停權，一定會對台灣的金融造成影響，因此，主委一定要正視遠銀的疏失，仔細檢討SWIFT的檢查有什麼需要加強之處，同時也要檢討台灣金融資安有何不足之處加以改進。
顧主任委員立雄：我們會將資安的部分拉到和洗錢防制相等的重要性，希望銀行能如洗錢防制一樣重視資安的部分。

陳賴委員素美

謝謝。

主席

休息5分鐘。
休息
繼續開會

主席

現在繼續開會。請郭委員正亮發言。
郭委員正亮：主席、各位列席官員、各位同仁。有關慶富的聯貸案，社會各界都非常關注，主委提出比較合適的簽約模式是三方合約，據我瞭解，高鐵以前就是交通部、得標商和高鐵三方式合約。

主席

請金管會顧主任委員說明。

顧主任委員立雄

主席、各位委員。它是一個BOT的案子。
郭委員正亮：這個案子一開始國防部就不願意做為第三方，你身為金管會主管且是學法律的，你認為這樣的案子採三方合約是比較好的，但國防部不聽你的，你怎麼辦呢？我不要顧主委回答，我知道你也很尷尬。
昨天我特別找了第一金控董事長到我辦公室做瞭解。這個貸款案在去年2月下來，到年底慶富造船就說他們沒錢，在這個過程中第一金控也做了一些盡職的程序，比如向國防部要進一步的財務資料，國防部不斷的以機密預算為由不提供資料，遇到這種情況，金管會怎麼處理？有些銀行─尤其是官股銀行發現這家公司可能有問題，但是簽約方所涉及的預算是來自國防部的機密預算，怎麼辦？
顧主任委員立雄：我如果是第一銀行，基於這個教訓，我不能因為是國防部的採購合約就在5P的審核上放鬆；其次是貸後管理文件查核的真實性，我要照會國防部，國防部要給我一個答案，如果是機密預算，我不能拿到文件……
郭委員正亮：現在是事後了，因為這個危機已經發生了，如果是去年的狀態，第一銀行發現有點問題想去追查，結果踢到鐵板，國防部以機密預算為由不理他們，在這種情況下，金管會如何協助官股銀行呢？
顧主任委員立雄：如果遇到這樣的情況，需要金管會協助和國防部溝通，也就是建立一個照會制度，如果沒有三方合約，在貸後撥款過程中，國防部總是相關文件的驗證方……
郭委員正亮：我向主委建議兩點：第一點、主委將三方合約的概念在行政院做一報告，未來遇有類似這種重大金額的標案，行政院就建立三方合約制度。第二點、照會制度對國防部的強制性達到什麼程度？國防部大概是天下第一部，小小的官股銀行扯得動他們嗎？主委可能要思考其有效性的問題。我不要求主委立即答復這兩個建議，不過我希望主委能在行政院層級提出三方簽約制度，其次就是照會制度的有效性可以到什麼程度。
當然我們對這個案子感到很痛心，所以剛才有一些委員提議在本會成立調閱小組，我也諮詢了相關的意見，大法官會議釋字第729號對立法院調閱權有解釋：「對於偵查中的案件，立法院自不得向其調閱相關卷證。」成立調閱小組恐怕有些爭議性，所以我提出一個建議，請召委考慮一下，我們是不是比照兆豐案在財委會召開秘密會議，屆時也請國防部官員列席，希望能就兩次貸款會議的相關資料及國防部與一銀互動過程做報告，這樣會比較圓滿也履行立法院監督的責任。這是本席對這個案子的建議，等一下可以進一步的提案、討論。
今天我們討論資安，遠銀是在10月3日偵測到網路異常，確認有病毒程式，隔了一天多在10月5日確認對帳有7筆偽交易，。我們知道金融業的資安是要求零時差，主委對於這種隔了一天多才知道是假交易的現象可以接受嗎？

顧主任委員立雄

我認為遠銀有一定的缺失。
郭委員正亮：你要怎麼處理？我查了你們過去的資料，你們大概都是以罰款處理，從今年1月到2月、8月到10月已經陸續發生4次駭客入侵事件，前面兩次是針對證券公司，就是以高流量讓交易中斷藉以勒索比特幣，如果不履行其要求就以更高流量來中斷交易，這次是針對銀行。
顧主任委員立雄：這次駭客有散布勒索軟體的假訊息，其真正的目的不是這個。
郭委員正亮：可見駭客越來越聰明了，發生的頻率一直在增加，你是不是覺得很奇怪，怎麼台灣這種案子越來越多，北韓也挑我們。這種駭客程式發射的位置可能在國外，我還看到一個例子是透過我國銀行的海外分行，有一次是在倫敦的分行，因為其資安系統建置沒有國內強壯，所以從那邊連結到台灣其他系統。我不知道主委有沒有一個比較系統、妥善的辦法？
顧主任委員立雄：海外的部分也是我們關切的很大的重點，因為海外資安的要求在各地當地建立的法令已經越來越被提升，相關的報告也都要求在海外有分行的銀行要對資安的層級……
郭委員正亮：人家也會針對夠分量的分行，兆豐紐約分行會被注意到就是因為其成交量有一定的比重，如果我們的分行在當地的成交量不大，未必會被當地的主管機關要求，可是很可能其資安就會構成漏洞，今年我們就遇到4件這類的案子，頻率在增加。
顧主任委員立雄：我們大概會從三方面著手，第一個是我們會加強督導資安專責單位的建置；第二個是我們會加強金融監理和資訊的結合，就是透過金融監理的手段要求其提升資安，提升不了的部分，我們會透過一些政策的工具要求提升，比如要求其增加作業風險的資本計提；要求其存款保險匯率有差異化；要求他申辦業務時用這個作為准駁的考量等等，我透過一些工具的作為，最後我會強化董事會在這個部分的職能，也就是不管你的規模大小層級，董事會……
郭委員正亮：顧主委，我問你一個問題，如果作為一個金融消費者突然發現帳戶的錢短少，可是一時之間也沒有辦法究責是否被駭客侵入，請問其存款是否先得到確保？

顧主任委員立雄

存款是得到確保……
郭委員正亮：如果是莫名的理由，不是個人提款而突然短少？

顧主任委員立雄

當然。

郭委員正亮

是嗎？

顧主任委員立雄

是。
郭委員正亮：你的意思是先不管責任在哪一方，存款的帳戶要先得到確保，這是基本原則嗎？
顧主任委員立雄：對，這次遠銀的事件因為只是涉及到他們所有系統中從外幣帳戶轉到另一個帳戶，所以沒有涉及到客戶……
郭委員正亮：對，個人帳戶。
顧主任委員立雄：但是如果涉及到客戶存款的話，當然要負完全責任呀！
郭委員正亮：那是因為被查出來確定是駭客嘛！可是有可能你沒有查到，你知道我的意思嗎？
顧主任委員立雄：他沒有存提的動作而錢就不見了，這件事情當然是先設定……
郭委員正亮：顧主委，我提供你一些大陸的狀況，大陸這種例子非常之多，以上報告謝謝。

顧主任委員立雄

謝謝委員。

主席

請江委員永昌發言。
江委員永昌：主席、各位列席官員、各位同仁。其實我在10月16日有詢問顧主委關於銀行成立資安專責單位，這是銀行的部分，你說的資安聯防中心或是資訊分析及分享中心是金管會和全體銀行一起努力的事情。當時你回答我現在還有很多銀行沒有落實，年底前會針對銀行再做檢查，可是我後來回去調資料，在10月12日，就是你回答之前，銀行局副局長已經說有15家銀行依規定設立獨立的資安專責單位，而且他有講這個資安專責單位跟原來在銀行金融機構所做的資訊處理人員是兩批人馬，是不同人。。
其實金管會在2月14日就召開「研商本國銀行設置資安專責單位事宜」會議並有決議。本席想問，開這個會真的有用嗎？我對照你們前前後後的說法，昨天告訴我39家本國銀行統統都設立了資安的專責單位，可是你們的前後說法又不一致，請問一個會議紀律有這麼大的力量，你要不要真正訂出一個辦法來落實在各銀行中建置資安專責單位？請說明。

主席

請金管會顧主任委員說明。
顧主任委員立雄：主席、各位委員。這部分的一些定義跟資訊確實是有一些講法上的不同，第一，15家銀行應該是指這15家銀行都有設資安長，第二，是銀行回報都有設置資安專責單位，但是此部分的獨立性如何還有待我們進一步檢查及認定。
江委員永昌：主委答起來支支唔唔，現場八大行庫董事長、總經理都在，請一家派一個代表舉手，不用上台。剛才銀行局說資安單位和資訊處是兩批人馬，不要搞在一起。請問八大行庫已經成立資安專責單位的請舉手。8家都舉手嗎？請點一下有幾家。這是指兩批人馬喔！本席到時候會看你們相關的公開資訊。再來，請問是用原來資訊處處長兼資安長的繼續舉手。都是分開的嗎？資訊處也許只是副理級，資安長是副總經理級。請問是建立副總經理級資安長的請先舉手。沒有8家都舉手的吧？
我順便請問一下本席之前講的獨立法尊，即洗錢防制中心已經完全獨立出來的請舉手。只有1家。
顧主委，時間有限，你要做的事情還真多。我先講之前2月開的會，當時說6個月之內要成立專責的資安單位，聽起來在機構裡面等於是獨立部門，可是現在聽起來只是個會議，有這麼大的制約力量嗎？你要不要定一個遊戲規則，真正落實一個辦法來執行？
顧主任委員立雄：有，我們正在考量。
江委員永昌：我不接受這樣的答案，你講清楚一點。
顧主任委員立雄：我們原來2月開的會類似是一個行政指導，所以……
江委員永昌：你說是行政指導，是引用哪一個法律來做的？
顧主任委員立雄：行政指導應該沒有一定要法律授權，我們只是透過對資安……
江委員永昌：但是那個會議紀錄，即使是8大官股，還不是全部的本國銀行，我問起來都已經參差不齊了，如果我真的去追究並調閱詳細資料出來，若是兩批人馬一定會增加相關人事成本，你覺得真的會有嗎？還是只在名片上，就像法尊長跟法務處長一樣，把名片上的職銜換一換就報出來了？
顧主任委員立雄：我們當然要揚棄這種形式主義，落實資安的獨立性。
江委員永昌：好。在我們在落實之前，其實你要知道歐洲在2016年就開始做了，歐盟的銀行業管理局建議各會員國的監管機關要對當地銀行進行壓力測試，而當中就包括IT風險及資安風險，臺灣要不要做？你們想過嗎？今天你來講資安聯防，各銀行自己的資安沒有建立起來，你什麼時候要落實？如何做？另外，軟硬體、系統設備及專業人員的素質跟品質的壓力測試，你何時要做及如何做？銀行局可以回答。

主席

請金管會銀行局邱局長說明。
邱局長淑貞：主席、各位委員。目前關於資安類似健檢的部分是每年都有要求銀行自己要做，而金管會的部分，檢查局也會配合去做資安檢查，所以目前是有在執行的。
江委員永昌：你說你有在執行，我要求你加強執行，你竟然給我這樣的答復！那我問你，如果你有努力執行，為什麼被駭的案件、病毒入侵的案件、自動櫃員機盜領事件為何一再發生？如果你說有做而他們都過關了，責任是在你身上還是在銀行身上？
顧主任委員立雄：應該是說每次的資安事件發生，比如剛才講ATM，我們就針對ATM有做相應的自律規範去要求，另外剛才也有講到一些攻擊事件，我們也針對攻擊事件有做一些措施。
江委員永昌：主委，這樣的答復沒有用，不是有做就好，你們對外講遠東銀行被駭，被駭有兩種狀況，一種是被駭客駭入，另外一個是受害者的「害」。你講它有兩個疏失，一個是高層主管授權太高，另外一個是實體的主體設備只作一半，對吧？
顧主任委員立雄：對，一個是帳戶管理的權限，另外一個是Swish系統的實體隔離程度。
江委員永昌：你們都有像歐盟一樣做壓力測試，但它卻又犯這兩個疏失，你要告訴本席的是什麼？

顧主任委員立雄

這兩個部分我們認為它沒有落實其規範上的要求。
江委員永昌：遠東銀行到底是被駭客侵入或自己是受害者，還是它自己有出事？還是以上皆是？

顧主任委員立雄

它被駭客侵入但我們認為它整個作業流程……
江委員永昌：所以要不要處罰它？到現在多久了，什麼時候要處罰它？不是都已經查證了？而且它現在被盜的金額追回來和追不回來的也差不多都知道了，你也知道它的疏失了。
顧主任委員立雄：我們會以最快速度來處理，檢查報告也差不多快完成了，之後會送銀行局，而銀行局也會作一建議。
江委員永昌：拖！拖！拖！慢！慢！慢！2003年彰化銀行行員盜用客戶帳戶，2014年客戶去檢舉才知道此事，金管會說從2003年到現在已經超過3年，所以沒有辦法處罰。其次，星辰銀行的理專長達10年利用職務之便，挪用客戶兩千多萬元的資金，到現在你們也還沒有開罰，最後等到金管會要開罰可能又會超過3年，主委具有法律專長，你應該注意一下。
顧主任委員立雄：是，我會要求他們就相關的檢查報告能做快一點，我們的兩個局是由檢查局送到銀行局，後者會提出處罰建議再提到業務會報。
江委員永昌：主委聽我講，今年7月世新大學所作的報告，8月時金管會針對這份報告表示，其中銀行裁罰的額度應以責任過失及相關情節輕重去做分級處分。然而你在10月2日對媒體有說三個東西，包括獨立董事到底要如何兼任、利害關係人的通報及吹哨的部分，還有你認為裁罰上也要加重。你在立法院的答復及在媒體上說的，現在已經過了半個月或1個月的時間，現在你的進度為何呢？

顧主任委員立雄

您是說整個銀行法的罰則修正嗎？

江委員永昌

是。

顧主任委員立雄

我已經要求銀行局儘快給我一個報告。

江委員永昌

你的儘快要求沒有期限嗎？

顧主任委員立雄

我自己也有一個緊迫感。
江委員永昌：金管會主委通常都不會做太久，你有多少1個月或半個月呢？何況事情還這麼多啊！上述所講的都是你對外界的講法及在立法院備詢時所提出的承諾。
顧主任委員立雄：我記得我是在9月8日上任，當然也會記得委員的叮嚀。
江委員永昌：對銀行裁罰提高上限的承諾已經過了半個月，我只是問你的進度而已！
顧主任委員立雄：我會要求銀行局儘快給我報告，因為這涉及到銀行法的修正。

江委員永昌

我要你給我一個時間。

顧主任委員立雄

有關銀行法罰鍰的部分嗎？
江委員永昌：對。我準備很多，但是因為時間有限，不然我還可以問更多。半個月之內好嗎？
顧主任委員立雄：委員這樣要求，我們就這樣去努力。

主席

請羅委員明才發言。
羅委員明才：主席、各位列席官員、各位同仁。國內資安的管理很重要，可是國內很多金融弊案常常都是人謀不臧，國內超過100億元的部分有沒有列管呢？

主席

請金管會顧主任委員說明。

顧主任委員立雄

主席、各位委員。您是說聯貸案100億元以上要報到我們這邊來嗎？
羅委員明才：現在你們的作法是什麼？有沒有特別列管或申報，而比較大的案子又是如何處理呢？

顧主任委員立雄

我請銀行局說明這一點。

主席

請金管會銀行局邱局長說明。
邱局長淑貞：主席、各位委員。跟委員報告，有關授信部分，基本上是銀行自行去評估處理，金管會管理的是異常部分，比如逾期放款等，我們都有基本資料，而且會按月申報，並向聯徵去通報。有關大額聯貸的部分，我們會特別注意整個聯貸利率的部分，看是不是有惡性競爭或相關情況等，以上是我們目前的管理狀況。

羅委員明才

你們有沒有去查慶富事件呢？

顧主任委員立雄

早先我們的檢查局有去做……
羅委員明才：檢查的情況是怎麼樣？超貸205億元或223億元，有沒有包括信貸呢？還有核准是由誰答應的呢？

主席

請金管會檢查局王局長說明。
王局長儷娟：主席、各位委員。向委員報告這部分，今年4、5月時我們對這個案子有做過檢查，整個授信5P的核貸過程及貸後管理是有一些缺失，我們已經把相關報告……
羅委員明才：它的缺失在哪裡？它的股本才多少，甚至沒有抵押品，在擔保品不足的情況下，竟然可以超貸好幾個股本，這樣合乎常規嗎？
顧主任委員立雄：之前也跟其他委員報告過，這是國防部的一個採購合約，一銀也可以作一個說明，也許因為已經有國防部的採購合約，如果按照採購合約來做這樣貸款，取回本金應該不會有太大的問題。
羅委員明才：一銀是公股銀行，還是公開發行的銀行？

顧主任委員立雄

我想是有民間持股……
羅委員明才：即便是公股銀行，難道可以直接撥貸100、200或300億元，你可以做這件事或有這種權限嗎？

顧主任委員立雄

我的看法還是他們在聯貸、徵信及5P原則這部分還是要做到。

羅委員明才

他們有沒有做到5P原則呢？當時一銀核貸的董事長是誰？

邱局長淑貞

聯貸案的管理銀行是第一銀行。

羅委員明才

負責人是誰？

邱局長淑貞

第一銀行的董事長應該是蔡慶年董事長。

羅委員明才

蔡慶年董事長認不認識慶富的董事長？有沒有見過面或吃過飯？

邱局長淑貞

可能要請蔡董事長來說明。

羅委員明才

請你去問一下。
請問楊副總裁，他一共帶了多少錢，這些錢有沒有流到國外去？

主席

請中央銀行楊副總裁說明。
楊副總裁金龍：主席、各位委員。目前我沒有這個資訊，如果說……

羅委員明才

你確定沒有嗎？

楊副總裁金龍

不曉得。

羅委員明才

銀行核貸多少錢下來？

顧主任委員立雄

是不是請一銀說明。
羅委員明才：國內的資安很重要，可是國內多少重大案件都是因為人謀不臧而發生。我們都知道國內金融界最謹慎及保守的就是兩蔡，一是蔡有才，另一就是蔡董事長，您為什麼會核貸223億元的案子？如果包括信貸全部加起來是多少金額？

主席

請第一金控蔡董事長說明。
蔡董事長慶年：主席、各位委員。我跟委員報告，獵雷艦專案整體簽約金額是349億3,000萬元。

羅委員明才

借了多少？
蔡董事長慶年：目前是動用154億元，其中有79億元是包括履約保證及預付款保證，這部分是開給國防部的。

羅委員明才

你認不認識陳董事長？
蔡董事長慶年：他是我們十幾年的客戶，稍微有熟，但是不是……

羅委員明才

有沒有一起吃過飯？
蔡董事長慶年：他來台北，我們有請他吃過飯。

羅委員明才

有見過面？
蔡董事長慶年：金額那麼大，當然……
羅委員明才：你對一般的中小企業，在聯貸、徵信及5P原則方面有像給予慶富公司那樣方便嗎？
蔡董事長慶年：我要特別聲明，我沒有隨意。這是政府的採購案，是按照採購法的最有利標產生的對象。平常如果採購法……
羅委員明才：蔡董事長，大家都知道你是很謹慎的，你為什麼要主辦這個聯貸案？金融圈在講，以你的個性，你不可能主動去積極爭取這個案子。有沒有人跟你說要來做這個案子？
蔡董事長慶年：本人沒有接到任何訊息，委員如果有去看聯貸案的包裝，因為這是一個……
羅委員明才：那個公司本來就虧錢，而且連海科生態館那邊都已經停工了。這些事情你們不知道，還大大方方的不斷貸款給他。
蔡董事長慶年：我們在洽談、撥款時都還沒有，我們都還在……

羅委員明才

現在已經幾個月沒繳利息了？

蔡董事長慶年

2個月。
羅委員明才：你下一步會怎麼做？繼續給予支援，還是立刻停止這個聯貸案？
蔡董事長慶年：8月份檢調單位介入時，銀行同業凍結他的存款，因此他的整個資金調度亂掉，所以透過經濟部走債協來跟銀行團談。因為要往後走就走債協的方法，正常的周轉還是要讓他動，但是資金的部分找會計師來控管。

羅委員明才

請問他的股本多大？

蔡董事長慶年

目前是50億元。
羅委員明才：50億元可以借到三百多億元，他有充足的抵押品嗎？
蔡董事長慶年：他有2成的存款作備償。這個案子在本質上是一個政府的案子，由最有利標產生的。我們看他的……

羅委員明才

政府的案子你們就一定要做嗎？
蔡董事長慶年：不，我是講為什麼是商業包裝。關於這個案子，我們是看他的整個現金流量的安排。我們覺得這個案子只是其中……
羅委員明才：你跟陳董事長一起吃過飯、見過面，你覺得他做人怎麼樣？

蔡董事長慶年

我們在談的時候他對船業是很清楚的。

羅委員明才

你們吃了幾次飯？

蔡董事長慶年

1次。
羅委員明才：1次而已喔！那次吃飯的時候，席間還有誰？

蔡董事長慶年

都是我們銀行的人。

羅委員明才

有沒有民意代表？

蔡董事長慶年

沒有。

羅委員明才

有沒有其他政府官員？
蔡董事長慶年：沒有，都是我們銀行的人。
羅委員明才：你在這個核貸的過程中，有沒有其他官員跟你講過這個獵雷艦的專案？
蔡董事長慶年：這點我很肯定的答復委員，沒有。

羅委員明才

都沒有嗎？

蔡董事長慶年

沒有。

羅委員明才

你好勇敢喔！如果有的話怎麼辦？

蔡董事長慶年

我講的話我負責。

羅委員明才

你怎麼負責？損失是全民負擔啊！

蔡董事長慶年

我們要講一個觀念……
羅委員明才：這個公司如果倒了，又是一百五十幾億元，一百七十幾億元。
蔡董事長慶年：我剛剛講過，154億元裡面有79億元是開給國防部的履約保證和預付款保證。這個案子如果走完的話，這部分只是或有負債。

羅委員明才

你為什麼會覺得一個造船小公司可以做到三百多億元的大案？你知道他的公司有多少人嗎？
蔡董事長慶年：以民營造船業來講，他算是大規模的。他的造船經驗在民營的造船業中是算……

羅委員明才

你知道他的公司有多少人嗎？
蔡董事長慶年：他有不同的部門，不同的公司在運作。

羅委員明才

你真的了解這家公司嗎？
蔡董事長慶年：我們要進去，當然會了解他以前的造船經驗如何。
羅委員明才：如果公司倒了，錢收不回來怎麼辦？
蔡董事長慶年：不會，我們現在就是讓同業監控他資金的未來去向。
羅委員明才：你接下來要怎麼做？繼續貸款給他，還是全部停掉？

蔡董事長慶年

我們不會再給他新的額度。

羅委員明才

額度不增加？

蔡董事長慶年

不會增加了。
羅委員明才：如果有其他的壓力給你，叫你繼續做，你要怎麼執行？
蔡董事長慶年：這個專案涉及到我們的國防，因為涉及兩邊的……
羅委員明才：國防也可以有個說詞，交通部也可以有個說詞，經濟部和其他單位也可以給個說詞，為了要發展汽車工業，為了要發展AI人工智慧，全部都跟你拿錢。接下來還有新南向政策，聽說要從銀行搬1,000億元，你們是不是要配合辦理？
蔡董事長慶年：我們的銀行還是商業銀行，我們還是以商業作考量，希望能同時兼顧。
羅委員明才：所以你覺得慶富公司的聯貸案，你是以專業的考量。
蔡董事長慶年：我講過，我是用商業模式來包裝的。
羅委員明才：為什麼外面都在講上面給你很大的壓力，你不得不辦？
蔡董事長慶年：如果委員了解我的話，應該不太可能。
羅委員明才：我了解你，我才會質疑你為什麼去辦這個案子？

蔡董事長慶年

因為我覺得這個是……
羅委員明才：大家都知道，全金融界最謹慎、最小心的就是兩蔡啊！你真的沒有來自其他上面的壓力？
蔡董事長慶年：這裡是立法院，我公開講……
羅委員明才：沒有人跟你咬過耳朵、下條子，要你多多支持這個國艦國造的案子？

蔡董事長慶年

沒有。
羅委員明才：下次如果再來一個國機國造，你要不要支持？
蔡董事長慶年：我要看狀況，但是這次給我們很多經驗，就是我們跟國防部要……

羅委員明才

你這個經驗很不便宜啊！花了一百多億元。

蔡董事長慶年

我講過裡面有79億元是開給國防部的保證款。

羅委員明才

所以你覺得虧損要虧多少？
蔡董事長慶年：這個案子如果完成，虧損很有限。
羅委員明才：現在已經2個月沒繳利息了，第3個月繳不出來，你要不要從口袋裡拿錢幫他填？
蔡董事長慶年：要通過債協有一個條件，利息要先清償後債協才會通過。

羅委員明才

你有沒有對他做法律上的行動？

蔡董事長慶年

擔保品大概都在我們手上了。

羅委員明才

擔保品不足嘛！
蔡董事長慶年：在法律上，高雄檢察署有查案子，所以我們也……
羅委員明才：你們對這個特別的案子都採取非常寬鬆、非常厚道、非常支持的做法，但是你們對一般的中小企業錙銖必較。

蔡董事長慶年

不會。

羅委員明才

不會嗎？
蔡董事長慶年：在銀行界裡，我們的中小企業放款是最多的。
羅委員明才：好，我這裡有一些資料，我們改天再慢慢聊，謝謝。
主席（江委員永昌代）：今天中午不休息，會議繼續進行至本日議程結束為止。
請余委員宛如發言。
余委員宛如：主席、各位列席官員、各位同仁。我想先請教最近的遠東這件事情，我先讚美一下主委非常有魄力，趕快針對他們這個部分做出處罰，但是我們知道現在的國際金融資安很大的一個問題是有集團性的駭客。據說這個駭客是來自北韓，不知道顧主委有沒有聽說？

主席

請金管會顧主任委員說明。
顧主任委員立雄：主席、各位委員。這是英國一家資安公司所做的意見，我們現在已經將相關的資料交給刑事局，所以這個部分應該要由刑事局來回答。我們到現在為止還沒有接獲任何確切訊息，說這個駭客是北韓的駭客。
余委員宛如：是，所以我想請教我們這次成立的金融機構的資安聯防中心，其實是仿照美國的民間組織來作資安資訊交換，邀請各個金融行庫來做這件事。我們怎麼能夠確保這樣的一個聯防體系，可以掌握到這些攻擊的出處，第一時間獲報，有哪些單位可以配合這樣的聯防體系來運作？
顧主任委員立雄：現在這整個資安分享的機制是整個8大領域裡面的其中一環，事實上這8大領域還包括其他相關的部分。其實這個資安已經拉到國安層級來配置，整個資訊透過早期預警與分享來應變。你問我整個建置完成之後是如何的一個成效，我必須說我不是資訊的專長，但是我覺得我們一定要努力來建立早期預警與應變處理的功能。
余委員宛如：對，我瞭解。我想請教主委，因為這是跟國際聯防有關，目前我們這樣的國內資安聯防體系怎麼樣去跟國際連結？怎麼能夠確保這個資訊是流通的？
顧主任委員立雄：關於這個問題，我想請資服處來回答。

余委員宛如

好。

主席

請金管會資訊服務處蔡處長說明。
蔡處長福隆：主席、各位委員。未來我們的F-ISAC也會做國際交流的工作，也會跟美國的FS-ISAC來合作，做一些情資的交流。我們後續會進行這方面的工作。

余委員宛如

我只是提醒你們這些部分其實也是很重要的工作。
另外，我昨天開了一個記者會，相信顧主委有看到。我想了解銀行局面對金融業，特別是銀行業，怎麼樣來提升這個系統的更新？不知道現在有沒有應對的作為？

主席

請金管會銀行局邱局長說明。
邱局長淑貞：主席、各位委員。銀行的業務發展非常快速，我們也認為他的資訊安全配備要跟著他的業務一起成長，所以這個部分如果是資訊系統或安全，比較沒有辦法跟上這個業務的發展的話，我們建議以後要提出相關的對策，我們也會做基本的要求。
余委員宛如：我想問一下次長，針對公股行庫，尤其公股行庫的系統通常是比業者還老舊。

主席

請財政部蘇次長說明。
蘇次長建榮：主席、各位委員。關於這個部分，我們會要求各公股行庫盡力更新所有的資訊設備，尤其在資安上面的問題，不管軟體、硬體都可以。
余委員宛如：我希望限期之內先做一個檢討好不好？如果定時有在更新的，當然它可以分等級，比較老舊的可能要優先處理。
另外，我想請教次長最近的蝦皮拍賣，大家都非常清楚的知道它是用補貼運費的方式來搶攻整個消費市場。我很好奇的是這一個公司，根據它的資本額登記只有500萬元，1年號稱是300億元的營業額，有800萬的會員在臺灣。臺灣是它所有會員最多的國家，如果它一直在虧損，那它到底有沒有繳稅？
蘇次長建榮：它是一個交易平台，因為它是無摺買方賣方的交易平台，所以售後的……

余委員宛如

它有沒有繳稅？
蘇次長建榮：它有繳稅，在104年開始就如期申報營業稅跟營所稅。
余委員宛如：它已經有稅籍，已經開始繳稅了。我想請教證期局王局長，像這樣子的商業模式，我相信王局長也注意到了，它不但用運費補貼，一個月補貼2億元，已經有18個月了，賠了36億元。它的母公司新加坡商在海外上市，在美國IPO。這樣拼命賠錢的公司，這樣子的IPO，你覺得合不合理？

主席

請金管會證期局王局長說明。
王局長詠心：主席、各位委員。它的獲利狀況不好，它可能是用市場占有率，等於是以一個未來的發展潛力的這種模式來爭取上市。
余委員宛如：所以你認為它有未來的發展潛力嗎？所以它可以上市，是這樣子嗎？
王局長詠心：我的意思是說，它在美國上市，它的訴求應該是朝這個方向去訴求。至於在臺灣的話，如果它沒有獲利，我們必須用科技事業，必須拿到工業局的意見書，證明它的未來發展潛力跟有市場性的……
余委員宛如：好，那我再請教一下，因為我們最近正在討論，顧主委也講了，我們在討論是不是開放電商類的，現在就是個活生生的例子，所以我想要多跟你討論，就是像這樣子的商業模式，完全靠補貼運費，其他的提供服務。它不是獨家專利，也沒有特別的技術，不會像是生技產業，但是它完全是靠補貼的，它都是平台的電商模式。王局長你覺得這樣子在臺灣IPO你會不會贊成？
王局長詠心：我想，要符合上市櫃，它的市場必須有潛力，而且它能充分的掌握它未來的……

余委員宛如

所以王局長你覺得電商到底有沒有潛力？它的潛力在哪裡？因為潛力的定義很難定義。
王局長詠心：所謂的潛力，它當然要建立在有一定的技術，所以我們還是認為……
余委員宛如：我想提醒你一件事情，你還覺得這是正常的商業模式嗎？我相信你已經不覺得了，這個基本上就是資本市場圈錢的模式是不是？
王局長詠心：我覺得這樣的公司未來的獲利可能沒有辦法有穩定性的話，它到市場來募資，其實對投資人權益的保障可能不太夠。
余委員宛如：好，我是跟你討論，因為我們要知道這個討論其實很嚴峻的地方是，這是一個平台業者，平台贏者全拿，它靠的是資本市場的遊戲，臺灣有沒有這樣的資本市場來支撐或是怎麼樣連結國際，這是我們下一步很重要的議題。
另外，我想請教保險局的吳局長。現在蝦皮在網路上面提供，只要你買到假貨，它會賠兩倍。它是怎麼處理的？它先跟賣家收取一定的手續費，如果消費者買到假貨，它保證賠兩倍。我想問一下吳局長，就你的認知，這個是保證服務還是保證保險？

主席

請金管會保險局吳局長說明。
吳局長桂茂：主席、各位委員。關於這點，我們可能要瞭解它的商業模式跟它的……
余委員宛如：因為我的時間很有限，所以換句話說，局長可能還不太了解它在做這件事情的整個狀況，是不是可以去了解一下它背後有沒有產險公司配合好不好？

吳局長桂茂

好。
余委員宛如：我們之前討論過很多次AppleCare+ 這件事情，既然它這樣的做法可能會有保證保險的疑慮，是不是可以依照AppleCare+ 的討論來看這件事情？

吳局長桂茂

這兩個的商業模式是不是一致？因為一個是……
余委員宛如：對，所以我要討論，你們先去調查好不好？

吳局長桂茂

這兩個看起來商業模式很不一樣。
余委員宛如：一個是平台業者，他去跟賣家收錢，然後去保證消費者。假設今天我是賣家，消費者買到假貨，買到瑕疵品，找我理賠那合理，可是他是個平台業者。我覺得拿出來討論是好的，原因是要不就是AppleCare+ 的處置方式有問題，要不然就是你應該要檢討現在網路時代的保險業務是不是應該開放？
吳局長桂茂：我們認為AppleCare+ 有保險性質，因為它保險的那個事故是符合保險法上的保險事由。但是剛才提到關於假貨這件事情是屬於保險事由，我乍聽之下覺得有一點距離。
余委員宛如：對，但是它提供這樣的保證服務，那它的模式是不是合法的？我希望保險局可以去查清楚。

吳局長桂茂

好。

主席

請費委員鴻泰發言。
費委員鴻泰：主席、各位列席官員、各位同仁。我們排這個案子是因為這一兩年，至少我們知道的就有好幾次遭駭。當然，每一個態樣都不太一樣，舉例來講，像第一銀行的ATM被駭，他是用客戶的名義去提領，所以第一銀行也發現得比較晚一點，但是第一銀行後來處理得很好，它完全配合刑事警察局。刑事警察局要什麼資料他們就提供什麼資料，所以很快就破案了，這在世界上也是一個很好的案例。對遠銀的攻擊方式就是直接從內部去提領錢，所以遠銀也可以很快發現，因為它的資安做得好。請問第一銀行與遠銀這兩家銀行都犯了什麼錯？

主席

請金管會顧主任委員說明。
顧主任委員立雄：主席、各位委員。我現在看到的遠銀這個部分，就如委員剛剛講的，他是透過內部帳號的外洩，侵入到裡面，而且他在裡面待了很久，植入一定的惡意程式。

費委員鴻泰

你覺得他犯了什麼錯？
顧主任委員立雄：首先是我們有一段接一段，當然第一個就是說他……
費委員鴻泰：主委，我看你講了半天，如果真的犯了很明顯的錯，很快就可以指責出來。我想任何金融單位，像我們講的券商，他是被綁架式的駭客入侵，所以每種模式都不一樣。

顧主任委員立雄

是的。
費委員鴻泰：我看今天的眾聲日報刊登金管會年底將精簡銀行的資安，我請教檢查局局長，你們要檢查什麼東西？我要做任何事情，我總要名列我要查什麼東西，比方查你的內控，請問你們要查什麼東西？

主席

請金管會檢查局王局長說明。
王局長儷娟：主席、各位委員。我們現在是針對遠銀這次的事件，我們打算針對所有銀行在SWIFT系統上面的安全防禦部分是不是能夠很落實。這次遠銀的問題就是在落實的部分，在帳戶管理等等，可能沒有做得很落實，所以我們這次去看他的整個落實的成果。

費委員鴻泰

你講得很模糊。
顧主任委員立雄：我們已經排定整個時程，在明年1月以前就SWIFT系統的資安落實，除了已經完成的24家以外，把其他的十幾家全部完成。
費委員鴻泰：我沒有指責的意思，因為駭客的手法日新月異，他的手法用過一次大家都會警覺到，很多的方法就是你沒想到。這個資安的檢查，我個人覺得就好像ISO認證，ISO認證並不代表他100分，而是及格60分。你至少要先做及格60分的東西，剩下的就是人的監控。這是銀行，那證券呢？證期局局長、交易所、櫃買，你們說說看你們該怎麼做。

主席

請金管會證期局王局長說明。
王局長詠心：主席、各位委員。我們證券期貨的交易系統是一個封閉的網路環境，其實外界比較不容易攻擊進來。
費委員鴻泰：一銀的ATM事件是用客戶的身份去提領，即使是封閉的系統，萬一有人在那裡先埋好地雷呢？我覺得也需要去處理。
王局長詠心：是，但是我們還……
費委員鴻泰：我覺得你們至少要模擬一些考題，要求交易所，要求櫃買，你們要好好處理。

王局長詠心

是。

費委員鴻泰

請問期交所有沒有做各種資安測試？
王局長詠心：我們期交所，對4個周邊單位都有一定的資安要求，也會定期測試。
費委員鴻泰：做些什麼項目？你現在講有做，到底做些什麼項目？是考小學生的考試，還是考大學生的考試，還是考研究所、博士班的考試呢？

顧主任委員立雄

可以請證交所來說明一下嗎？
費委員鴻泰：可以，請證交所、期交所都來說明一下。

主席

請臺灣證券交易所李董事長說明。
李董事長啟賢：主席、各位委員。我們會定內控要求，根據行政院的指示與相關的作業，我們會通報證券期貨業者，請他們加強內控。
費委員鴻泰：好，我大概知道了。主委，我曾經在幾年前質詢過，我們金融單位、銀行、保險、證券、期貨，我們的內控居然有很多是不一樣的，各玩各的。基本上，內控要有一個基本的精神，精神的原則邏輯是一個，現在我之所以要請問期交所和集保公司兩位董事長，因為我發現這兩家公司在資安上不知道到底該怎麼做？事實上，有關交易資訊方面是由期交所負責，所以我要請問期交所劉董事長，有關交易的部分是由你們自己在做，而精算部分又是如何？

主席

請臺灣期貨交易所劉董事長說明。
劉董事長連煜：主席、各位委員。報告委員，有關精算方面，主要的工作策略及相關系統都是由本所自己在做，有部分業務則是委託集保公司處理。
費委員鴻泰：劉董事長可能沒有聽懂我的問題，這方面的業務都是由電腦處理，其中有前台的交易，也有後台的精算，整個過程恐將產生資安漏洞，但這部分居然分成兩家公司執行。或許主委會感到很奇怪，這有其歷史原由，當時因為集保公司的收入較少，因而將期交所的業務湊一些轉給他們做。請問集保公司林董事長，去（105）年貴公司的獲利多少錢？

主席

請臺灣集保公司林董事長說明。
林董事長修銘：主席、各位委員。報告委員，去年本公司的獲利為十四點多億元。
費委員鴻泰：從期交所轉來的業務，你們charge多少的錢？
林董事長修銘：以去年而言，期交所的部分，我們收了約一億多元。
費委員鴻泰：主委，本席在此提出具體的建議，現今集保公司的收入已經滿多了，事實上，從期交所轉至集保公司的業務僅占其業務的一小部分。為了要讓期交所的業務能夠完整，若日後發生任何問題，我們方可釐清責任歸屬，因此，本席建議這兩項業務應合併交由期交所負責，可不可以？我相信劉董事長會願意。
顧主任委員立雄：對於今天委員所垂詢的議題，我是第一次聽到，對此事的來龍去脈並不清楚，所以我們必須再研議，待我瞭解整件事情的狀況以後……

費委員鴻泰

你們需要多久的時間來研議？

顧主任委員立雄

我們會……
費委員鴻泰：我相信主委很快就會瞭解整件事情的來龍去脈。其中令人感到奇怪的是，期交所的算帳系統業務居然是由集保公司負責結算，但是像櫃買中心或交易所並沒有這樣的情況，他們都是自行完成結算。當然，這或許有其歷史背景，原本是因為期交所的收入不夠，所以我方才也請教……

顧主任委員立雄

這是集保公司的收入。
費委員鴻泰：事實上，集保公司的收入已經足夠，去（105）年相關獲利高達14億元，當然，這項業務需要一些成本，相關成本就要一億多元，我認為這筆小生意應該還給期交所。好不好？
顧主任委員立雄：好的。報告委員，這可分為證交所、期貨中心及櫃買中心三部分，至於他們到底是如何處理，待我先瞭解之後，再向委員報告。

費委員鴻泰

這與證交所無關。

顧主任委員立雄

這與櫃買中心……
費委員鴻泰：這不是櫃買中心的業務，而是期交所與集保公司……
顧主任委員立雄：我知道。我指的是，我要先瞭解這三部分的作業情況，再向委員說明。
費委員鴻泰：麻煩金管會前往金融機構進行資安檢查之前，應讓銀行知道你們到底要檢查哪些項目，也要讓那些券商或期貨下單者知道他們要被檢查的是哪些項目。你懂不懂我講的意思？因為這實在是複雜且專業的問題，我認為這個問題不能隨便就丟給金融檢查局，何況這是在你們不給人力與經費的情況之下，逕自要求他們執行資安檢查，這樣會把他們給累死，所以我是好意提醒主委。

顧主任委員立雄

是的。
費委員鴻泰：我建議金管會於一個月內提供你們要檢查項目的相關資料給財政委員會，好讓我們知道你們檢查哪些項目，抑或是你們想要內控內稽的到底是什麼？

顧主任委員立雄

是的。
費委員鴻泰：請問在場5家金融機構公司的主管，你們的資料有做異地備援者，請舉手！好，我看到你們都有做異地備援。請你們務必要落實異地備援的工作，以防駭客大量入侵時，會把你們的資料搞得一塌糊塗，也許如同電影所演的，屆時大家又回到石器時代，因此，本席認為金融機構的資安工作非常專業，你們不是只有在財政委員會中口頭答應我會做些什麼，畢竟在場的首長都不是學資訊出身的專家，但通常駭客都是資訊專家，請大家要open minded的好好學習，共同為台灣資安而努力。本席對今日會議議題沒有任何黨派的意見，純粹是希望協助我國金融機構加強資訊安全，何況今天有許多委員都在詢問此事，所以我認為對的事情就要去做。

顧主任委員立雄

是的。
費委員鴻泰：此外，請教蔡董事長，據我所知慶富造船公司的紀錄不良，自2008年我揭發鐽震案，當時慶富只是一間造船公司，該家造船公司居然要與鐽震公司合作飛機維修業務。據我瞭解，這家公司的老闆很「膨風」，而且關係有點複雜，事實上，我沒有懷疑你們貸放的品質有無問題，當然，本委員會已經提案成立調查委員會，稍後我們將會進行討論，因此，我要提醒蔡董事長，該公司的帳目做得一塌糊塗，你們不要盡信慶富公司人員的話，好不好？

顧主任委員立雄

好的。謝謝。

主席

請林委員德福發言。
林委員德福：主席、各位列席官員、各位同仁。主委，自從發生遠銀駭客事件之後，現在連行政院賴院長都開始關心年底前建置完成的金融業資安聯防平台。請問未來這個平台要由誰負責指揮領導？

主席

請金管會顧主任委員說明。
顧主任委員立雄：主席、各位委員。我們有分建置與營運兩階段，並會請專業人員來做營運的……
林委員德福：這些聯防平台的成員是以委外為主，還要由你們自行運作？
顧主任委員立雄：我們沒有辦法自行運作，這部分一定要委外處理。
林委員德福：將來這些聯防平台的成員不是以公務員為主，而是以委外辦理為主？

顧主任委員立雄

我們會找一間可受信賴的委外單位負責相關業務。

林委員德福

未來由誰負責指揮、領導？

顧主任委員立雄

本委員會內部要成立類似資安分享中心的小組。
林委員德福：資安分享中心仍是由主委負責，這些小組成員可能是由組長或其他領導者領銜，是不是？
顧主任委員立雄：對，本委員會將成立一個小組，我們會委外找到專業單位負責平台營運的業務。
林委員德福：去（105）年8月1日行政院成立資通安全處，以專責、專業和專人推動資訊安全，並責成資安單位務必維護公務機關資訊安全。請問行政院資通安全處是不是金融資安聯防平台的上級單位？
顧主任委員立雄：以行政院的層級而言，銀行與金融為這八大領域之一，再加上其他七大領域，資安八大領域將來會納入成立國家級的資安分享中心。
林委員德福：請問主委認為，資安聯防會不會有疊床架屋的狀況？
顧主任委員立雄：目前資安分享中心等同國家級的配置，金融業是其中的一環，都是在資安、資訊分享體系中，這部分應該還沒有重複的問題。現在我們正在試辦證券與期貨周邊單位資訊安全，等到成立金融資安分享中心之後，也將納入這個體系裡面去營運。
林委員德福：據本席的瞭解，在行政院前院長林全時代成立的行政院資安處，原本要統籌辦理國家資通安全業務，並由行政院推動「資通安全管理法」，強化公私協同合作機制，建立情報驅動的國家層級資安聯防架構。請問賴院長上台後，就你們的瞭解是持續推動，還是立即中止？
顧主任委員立雄：因為這部分並不屬於金管會的權責，所以我沒辦法回答委員。事實上，許多委員都很關心，行政院要不要針對資訊安全法及資訊安全管理法等提出修法，這部分應該是由行政院……
林委員德福：過去行政院林前院長時代要進行修法，但如今換成賴院長，這會不會是人存政舉、人亡政息？就你的看法，現階段要獨立作戰比較好，還是協同作戰較好？
顧主任委員立雄：就現今資訊安全而言，當然是協同……
林委員德福：現今各銀行的資安幾乎都是獨立作業，各銀行單位有與你們合併處理嗎？目前比較無法處理的問題是，你們未能與國外資安平台連結，因此，本席認為這才是你們無法落實如何防範、杜絕駭客入侵……

顧主任委員立雄

資安資訊分享中心也包括我們與國外類似的平台進行資訊交換與交流。

林委員德福

你們在現階段完全沒有這麼做嗎？
顧主任委員立雄：現階段就資安處或國安層級部分有沒有這麼做，我並不清楚，但我們現在要等建構資安分享中心完成之後，我們會與美國、英國等國家建立類似平台進行交流。
林委員德福：主委，我當然希望你們能夠建立資安交流平台，並與國外資訊相互連結，如此對推動我國整體資安業務無疑是向前跨出一大步。事實上，經濟部早在三、四年前，就曾考量電子商務成立的門檻不高、資安防護能力相對薄弱，進而打算成立電商資安服務中心。但是，就本席瞭解，此項計畫最後還是虎頭蛇尾、不了了之。請問年底金融資安中心運作會不會又是曇花一現？
顧主任委員立雄：現今資安分享中心已經進入發包階段，這部分應不會只是曇花一現。另外，俟成立資安分享中心之後，我們還要納入金融產業資安資訊的分享，畢竟大家都非常重視金融資安、資訊的分享，我們要將整個體系納進來，所以這應該不會有曇花一現的問題。
林委員德福：有關金融資安中心的運作績效、管考及功能提升，如果需要增加相關預算經費，你認為整體預算經費，國庫會不會全部買單？
顧主任委員立雄：現在第一筆的預算是來自行政院科發基金，我想既然我們已經成立資安分享中心之後，當然要編列經費加以支應。
林委員德福：現在就要審查明年度的預算，編列相關經費應該也來不及支應今年所需費用，對不對？
顧主任委員立雄：就我的瞭解，這一筆預算到今年使用應該沒有問題，還可以持續到明年，現在則是在編列後年的預算。
林委員德福：請教蘇次長，政府要協助在18個新南向國家的台商核貸1,000億元，當然，這講得很好聽，但是，到底目前我們與哪些國家有簽署合作備忘錄（MOU）？

主席

請財政部蘇次長說明。

蘇次長建榮

主席、各位委員。我們主要是簽署租稅協定。
林委員德福：如此說來，既然你們只有簽署租稅協定，但我們在這些新南向國家都只有設立金融機構的分行，這些金融機構的分行要對台商貸放那麼多錢，未來這些貸放的安全問題會不會打折？你沒有考量到這個問題？

蘇次長建榮

因為各公股行庫在東南亞國家大部分都設有分行……

林委員德福

這點我知道。

蘇次長建榮

這些都屬於金融監理部分……
林委員德福：顧主委，你對這方面的貸放有沒有把握？千萬不要讓這些錢貸放出去，之後卻有去無回。
顧主任委員立雄：據我的瞭解，這部分好像僅限縮在公共工程的部分，以協助各該國家進行公共工程的建設。我們就這部分作為銀行從事這樣的公共建設貸放給工程公司，我想還是要建立5P原則的……
林委員德福：本席一直質疑的是，現在的蔡政府是飢不擇食，為什麼？因為原本我們與對岸的互動良好，彼此也有諸多的商機，如今卻因政府轉為新南向政策又走不出去，包括過去許多來台灣投資的外國企業家數都逐漸遞減，而且如今觀光客的人數也大幅減少，甚至連我們要開放許多國家觀光客來台灣旅遊享有14天免簽證，亦未能獲得這些國家給予我國國民相對的優惠，講難聽一點，就是在作賤自己！好好的正路不肯走，偏偏要轉向，而讓自己走不出去，前一陣子還有補貼外國旅客來臺灣觀光的政策。事實上，在老百姓心中自有一把尺，你看今年度我們要編列許多的秘密預算，這些秘密預算都是要給我們的邦交國，甚至這些經費較以往多3.5倍，而過去我們從來沒有這樣做，難道我們的政府真的是在作賤自己，好好的路你不想走，捨與對岸友好的互動會有很多商機的結果是，你搞到自己走不出去，如今無論你們想要用任何的政策均已無濟於事。坦白說，這1,000億元都是民脂民膏，我認為站在金管會、財政部的立場，不是由你們說了算。
顧主任委員立雄：報告委員，為了鼓勵國內的工程業者走出臺灣、承接國際性的公共工程案件，這是很值得做的事情，站在金融監理管理的角度，針對現今銀行徵信、授信與貸後管理的過程，我們還是會進行必要的檢查。
林委員德福：在這些新南向國家中，有很多國家並未有與我國簽署合作備忘錄（MOU），以致你們無法真正落實金融檢查，到底當地台商的狀況如何？金管會千萬不要讓這些貸放的款項如同肉包子打狗一般的有去無回！謝謝。

主席（費委員鴻泰）

請林委員岱樺發言。
林委員岱樺：主席、各位列席官員、各位同仁。主委，在前幾個會期中，許多跨黨派的委員都非常關心高風險衍生性商品（TRF），金管會有沒有統計鉅額資金外流的金額，並調查其中有無涉及不法之情事？主委也要清楚這個問題。事實上，TRF又稱人民幣選擇權，是一種衍生性金融商品，用10%至20%的錢操作人民幣的漲跌，但商品在銀行設計之下，賺會停利，賠卻無限。銀行業務員在高佣金的誘惑下，努力向客戶推銷這種利潤有限，風險卻無限的產品。
目前國內有兩個TRF受害者聯盟，他們其實是站在一塊的，只是受害者的事業體一個比較大、一個比較小，但是都屬於中小企業。根據TRF受害者聯盟統計，200戶會員損失共325億，這些都是殷實的中小企業，前金管會主委李瑞倉對外公布的數字是，受害的有8000家中小企業，損失金額為6,000億元到1兆元，銀行聲稱有所謂的「上手」，卻又不肯公布資金流向，請問主委，金管會有沒有掌握這些巨額資金外流的統計？有沒有涉及洗錢或不法情事，金管會有沒有調查？
主委，由於銀行不願意公布在TRF商品上獲利的金額，本席只能用金管會103年6月25日的裁罰書來保守推算。101年到102年，8家銀行獲利209億元，平均一家獲利26億多元，一共28家銀行承做TRF，僅兩年就獲利731.5億元，從100年到105年，就不算業績是逐年增長，這六年銀行獲利為2,194.5億元。主委，金管會有數據為何不公布？金管會為何要對外國媒體謊稱銀行只賺131億元？主委，銷售TRF的主管獎金，有銀行高層透露大約是5,000萬到1億元，甚至有人高達3.5億元，請問主委，銷售獎金究竟是多少，可不可以公布？

主席

請金管會顧主任委員說明。
顧主任委員立雄：主席、各位委員。現在就TRF的部分，我關注的都是銀行和購買TRF或與TRF有合約的人如何解決合約的問題，你現在問的是銀行端的獲利情形。
林委員岱樺：我後續才要跟你們討論解決，但是你們的解決一直都太落伍了。

顧主任委員立雄

能否請銀行局說明？
林委員岱樺：主委願意爬梳問題我很高興，但我先讓您知道數據的嚴重性，之後你再去瞭解。
主委，銀行複合式定型化契約違反了民法，就是銀行核備的合約書已經違反了民法第二百四十七條之一，顯失公平，金管會有沒有查核？合約書的問題主要有三點：一、損失多少，銀行可自行判定不須任何依據，這在法院審判時已被認定為不對。二、銀行可自行決定不讓客戶止損、平倉、避險，完全違反　民法第二百四十七條及國際慣例。三、全部是銀行單方面的權利及意志來主導。主委，你身為一個法律人你的看法如何？銀行核備的合約書合理嗎？合法嗎？
顧主任委員立雄：就我瞭解，有關TRF，客戶端是說當他獲利到一定程度的時候，銀行可以去停損，相對來講，客戶端有損失的時候，卻要等到合約到期才可以，有這樣的問題。但是每一家TRF的合約也不盡相同，我們關切的重點當然在於銀行有沒有完善的風險告知，現在有俗稱的「董娘條款」，意思就是賣的人都不是專業的投資者，完整的風險告知及……
林委員岱樺：你講的就是預警機制，在國內有沒有建立起來？
顧主任委員立雄：講白一點就是TRF是匯率的對賭，照理講，要做避險是基本的目的，但是現在銀行賣的對象都不是在做避險，而是在賭博，購買的人又不具有專業的判斷，所以才衍生出這麼多的問題。
林委員岱樺：好，你們是金管會，當問題發生後，你任由銀行、財團去榨光中小企業，你也講出了重點，他們都不是專業的投資人。
TRF受害人為實質受害人且皆為本國人民，發生地也在台灣，但法院判決不受理，理由不外是「海外公司不具備法人格」、「公司是直接被害人，公司負責人是保人不是直接被害人」。主委，銀行向負責人追討，而負責人卻不是直接被害人，沒有訴訟權利，這樣合理嗎？主委，經濟部的智慧財產局於民國100年6月8日發函「外國公司得作為專利、商標申請人，向我國提出專利、商標申請案者，並不以須經認許為必要。」金管會能比照辦理發函嗎？讓TRF受害的海外公司，也能不須認許為必要就擁有訴訟權？
還有金管會消極不作為，感覺很認真在協調，但是我認為這些財團、金控公司簡直就是你們的太上皇。受害投資人提出申訴後，金管會僅以涉及到「私權糾紛」，要各該受害投資人自行尋求司法途徑、調處或仲裁進行救濟，現在幾乎所有的機制，包括消費者評議、仲裁機制等，提供資料配合調查的主控權都在銀行手上，而絕大多數的資料銀行都拒絕提供，金管會完全沒有辦法監理，束手無策，使受害人幾乎都只有「挨打」的分。原本承諾的「一罪一罰」也沒徹底執行。本席請問主委，國外的金融主管機關會協助受害投資人進行救助，例如幫忙受害投資人提起集體訴訟、針對個案中涉犯詐欺的金融機構人員提起刑事訴訟，我們金管會能幫忙TRF受害者做什麼？
還有用人的爭議，TRF受害者聯盟質疑，目前處理TRF爭議的鄭貞茂副主委為原先台灣金融研訓院院長，在2014年11月7日為華泰銀行推廣TRF，擔任2015全球經濟與投資展望說明會主講人時表示：「人民幣不會大幅貶值……國際化完成後會升到6，三年後會升值到6。」，給投資人錯誤的資訊。如今您卻請鄭副主委來負責處理TRF的事件.，是不是「請鬼拿藥單」？至今金管會和銀行局對TRF受害者聯盟的檢舉及回文都沒有正面答覆，難以令人信服，請問主委如何處理？鄭副主委是否應該迴避處理TRF爭議？
我具體建議：一、本席認為，金管會應公佈除了金融機構以外所有的投資者皆適用金融消費者保護法，以達法律公平性。二、比照歐盟採CCP（集中清算機制）是解決TRF等風險問題的國際做法，金管會應盡速研擬。歐盟自2008年起處理所有的高風險衍生性商品都是用這個機制，已經非常成熟了。三、成立金融投資訴訟的「懲罰性賠償制度」。在我國消費者保護法第五十一條規定：「依本法所提之訴訟，因企業經營者之故意所致之損害，消費者得請求損害額五倍以下之懲罰性賠償金；但因重大過失所致之損害，得請求三倍以下之懲罰性賠償金，因過失所致之損害，得請求損害額一倍以下之懲罰性賠償金。」也就是如果金控公司有故意行為，可最高賠償投資額5倍以下的賠償金；重大過失，則為3倍；過失行為則為1倍以下。這樣可以使金控公司再斟酌5%-10%的管理費與手續費，以及可能被罰100%-500%（1倍--5倍）的懲罰性賠償金，這樣才會有更多保護投資人的正常措施。這是本席今天質詢的重點。請問主委針對本席的建議有何看法？
主席：由於時間的關係，是不是請主委以書面答復？
林委員岱樺：好，一個禮拜內提供給我，包括實質的作法。主委，要進步啊！您是法律人，本席對您有很高的期許，也希望您根據本席的建議建立起高風險衍生性商品的管理機制，至少要平等的對待投資人，這才是金管會的職責所在。

主席

請楊委員鎮浯發言。

楊委員鎮浯

主席、各位列席官員、各位同仁。請問主委上任多久了？

主席

請金管會顧主任委員說明。
顧主任委員立雄：主席、各位委員。從9月8日到今天，應該是一個多月。
楊委員鎮浯：你自己覺得對於金管會業務的掌握，在這一個月有沒有大幅的精進？

顧主任委員立雄

每天都有在積極的學習當中。
楊委員鎮浯：這沒有關係，我想沒有人是全才，最怕的是不肯承認自己在某些方面的不足，只有認識到自己在某些方面的不足，才能夠虛心的去學習，同時也能充分的授權有專業的同仁去負責相關的業務。
今天我們談到金融監理專案，大家所關心的包括去年的一銀事件和今年的遠銀事件，這些事件當暴露了本國的金融體系不規範或規範不足的地方，早上也有很多同仁問過主委了，我想請主委非常簡要的說明一下，這次遠銀的事件，你覺得最主要的原因在哪裡？
顧主任委員立雄：遠銀沒有落實他們已經建立的標準作業流程，在這部分我們認為遠銀有疏失。
楊委員鎮浯：本席從早上聽到現在，基本上都是遠銀沒有按照標準作業流程、沒有遵守最小授權原則或沒有作實體隔離等等管理措施上的疏漏，對此你們目前有沒有什麼比較具體研議中或已經研議的可以改善的方法？
顧主任委員立雄：就這部分，我們會去加強專案金檢，會把SWIFT系統所有的銀行檢查過一遍。另外，我們會要求成立專責的資安單位，並且結合金融監理和資訊安全，用金融監理的手段來強化資訊安全的水準。
楊委員鎮浯：這樣聽起來，不管是檢討此次事件的成因或研議今後改善的方法，都還是偏重在監理、監察、內控、自律這些方面，是不是？

顧主任委員立雄

我們首先要求他們在內稽、內控上要落實……

楊委員鎮浯

基本上都是管理作為上的精進嘛！

顧主任委員立雄

嗯！
楊委員鎮浯：你說的這些原因本席不否認它存在，你說的這些改善措施，本席也不否認有其必要性，但是本席今天要跟你討論的是，我覺得你們忽略了很重要的一件事，一個人、一個單位、一個企業，如果本身的體質不好了，你要求他謹遵醫囑，也無法改變其體質；你要求他很嚴格的自律、自控，還是無法改變他本身的毛病。資安的核心是什麼？是資安的設施、設備，如果這些資安的設施、設備本身就落伍了，是有漏洞的、是不符合現代社會新型態所需的，那麼你進行再多的監理，能夠達到最好的效果嗎？
顧主任委員立雄：那不管是硬體或軟體上，他們要改善啊！
楊委員鎮浯：對，要改善，這個我待會還會再跟你談。
另外一個議題就是您知道現在國內的金融機構有幾家投保資安保險嗎？
顧主任委員立雄：這個訊息我沒有掌握，保險局給我的答案是6家。
楊委員鎮浯：因為時間的關係，本席簡單的講，資安保險要不要保見仁見智，各個銀行有他們自己的考量，但是公股銀行用的是納稅人的錢，也承擔了國庫和社會責任，如果資安在現階段的確無法立即大幅改善，公股銀行要不要考慮投保資安保險？

顧主任委員立雄

資安險不能取代銀行本身資安水平的提升。
楊委員鎮浯：沒有說要取代，我們是從各個面向來討論。
顧主任委員立雄：金管會站在監理的立場，對於投保資安險要不要成為強制性的措施，我們要看其他國家……
楊委員鎮浯：沒有要你把它變成強制性的措施，而是公股行庫應該優先考慮取得更多的保障，這沒有關係，因為這個問題見仁見智，只是提醒你們可以考慮。

顧主任委員立雄

是。
楊委員鎮浯：另外，銀行局之前曾經說過，希望所有金融機構推出的App都要經過第三方專業機構的安全檢測，符合工業局訂定的基本資安規範，但是根據銀行局公布的資料顯示，目前還有很多家沒有達標，請問有幾家沒有達標？能不能公布？
顧主任委員立雄：就有涉及交易風險的部分，都有經過測試，是都可以啦！

楊委員鎮浯

不是說都可以啦！而是有沒有按照你們說的達到工業局所訂的標準？
顧主任委員立雄：有涉及交易風險的部分，根據同仁提供給我的相關資料是都有達到，未涉及交易風險的部分，還有一些，我們會要求他們來加強。
楊委員鎮浯：好，本席之所以跟主委討論這個問題，其實我要強調的是，整個體系運作的核心還是在資安的設施設備上，現在姑且不論民營銀行，因為民營銀行腳步很快，就主委的認知，公股行庫在資安設施、設備或核心設施、設備上，是屬於什麼狀態？是符合現在所需、符合將來所需還是部分呈現落後的狀況？
顧主任委員立雄：可能沒有辦法一體回答，我想我們應該透過現有的檢查機制陸續督促這些銀行達到我們希望的水平。
楊委員鎮浯：我想現在你也只能這樣籠統的回答啦，不管是從過去您個人對金融機構的瞭解或目前的現況，你也只能這樣籠統的回答我，但是本席告訴主委，事實上從1982年財政部開始推動電腦連線以來，各大公營銀行就建置了這些主要的核心系統，1991年民營銀行起來之後，他們的核心系統大概每10到15年都會更新，但是公營行庫的系統卻大部分都用了20甚至30年了，核心系統都沒有更新。按照你們給我的資料來看，幾乎每年都編列了1、2億元的維修預算，每年還編列了很多其他的預算，像臺灣銀行甚至編列了高達10幾億元的預算去建置新的系統，但是問題出在哪裡？你建置這些新的系統都必須去依附或修改，再介接到舊的核心體系上面，所以事實上如果從資安的角度來講，當時建置的核心系統不符合目前資安所需，如果從新的業務推廣上，有很多新功能根本也跟不上，關於這一點，主委的看法如何？
顧主任委員立雄：因為昨天余委員宛如就這個部分有開記者會，也指出相同問題，我們應該要請銀行做一些不管是健檢也好，或是壓力測試也好，您剛提到那個核心系統建置在什麼時候、什麼階段，將這部分提升到符合現在這種新型態駭客攻擊的防護程度，是銀行本身要努力去做的。
楊委員鎮浯：主委，您知道嗎？早期建置的體系基本上都是以存匯款為主，資安監理無法面對現在層出不窮的新型態犯罪，政府在推新南向的過程，很多銀行有涉及到國外的部分都是另外採購體系再介接上去，這些都是很不利，特別是我們講到FinTeck的部分，金融創新需要的是大量、很強大的後台做支撐，包含現在很多新的金融業務在這一塊上其實都很弱。
從你們給我的資料上來看，本席尤其不能理解的是各家公營行庫每年都編列很多維護費用，但是每年也都編了很多空的更換核心系統的費用，比如彰銀就常常編列一年20億元要更換核心系統，但是到最後又說沒有實際需求所以就不用了，很多公營行庫就是這樣編一編但是不用，如果你覺得真的沒有需要就不要編，而不是編出來去應付各界壓力。其實大家的要求是希望能夠讓銀行業更符合現代社會的需求，不是要他們編一筆預算來欺騙大家。主委，這部分金管會內部應該也有很多討論，我希望你們不只是去查驗內控、內稽這些內部管理，更重要的是把它的體質變好，包含各項硬體核心設施，好嗎？
顧主任委員立雄：好，我們會努力。

楊委員鎮浯

謝謝主委。

主席

接下來登記發言的蕭委員美琴及江委員啟臣均不在場。
請林委員俊憲發言。
林委員俊憲：主席、各位列席官員、各位同仁。請教各位，如果拿到政府標案的廠商去貸款，其審核過程有沒有不一樣？

主席

請金管會顧主任委員說明。

顧主任委員立雄

主席、各位委員。我想還是要按照5P原則來審核。
林委員俊憲：應該都一樣。所以慶富案就不能用因為那是政府的重大政策、國防重要武器的製造、國銀要配合政策的理由不得不借錢給它，因為審核標準都一樣，管你拿到什麼標案，就算拿到政府標案也一樣，審核標準只有一種，是這樣嗎？

顧主任委員立雄

是。
林委員俊憲：根據媒體報導，檢調單位查到現在，慶富用假債權去增資，用假合約、假商業發票去貸款，是確定的嗎？債權是假的、合約是假的、商業發票是假的，是這樣嗎？

主席

請第一金控公司蔡董事長說明。
蔡董事長慶年：主席、各位委員。因為我們做這個案子的時候，它是從30億元增資到50億元，資本額的部分，我們確實有看會計師的驗資報告以及銀行的存款，我們都有看。
林委員俊憲：蔡董事長沒有回答我的問題，目前講到它的合約是假的、商業發票也是假的，債權也是假的，是不是？

蔡董事長慶年

這個當初在聯貸合約內講到它要憑這部分的憑證……

林委員俊憲

所以你們被騙了是不是？

蔡董事長慶年

不！因為我們也……
林委員俊憲：你頂多可以說當時不知道是假的，所以我核准它的貸款，現在我請教你，是否確定是假的？
蔡董事長慶年：我們不知道，因為我們從它……

林委員俊憲

還不知道？
蔡董事長慶年：不是，因為我們有問過檢察署，如果是假的話，我們一定會控告它。
林委員俊憲：我再請教，如果國防部繼續這個合約，你願不願意、敢不敢再繼續借錢給慶富？
蔡董事長慶年：按照現況，現在我們已經是先凍結了，但是它要繼續做的話，我們要有一些機制……

林委員俊憲

什麼機制？

蔡董事長慶年

就是資金部分會計師會進來監控的機制。

林委員俊憲

它有嗎？

蔡董事長慶年

如果後面要啟動再協協定的時候……
林委員俊憲：如果它之前拿出來資料都是假的，它根本在財務上已經不可能去執行這個合約了，就算國防部同意這個合約繼續，你敢借錢給它嗎？

蔡董事長慶年

如果有不法部分當然就是……
林委員俊憲：你如果不借給它，它就一定倒嘛！就算國防部這個合約要走完也走不完。現在這10家國銀有借錢給它們150億元吧！全部由納稅人負擔呀！

蔡董事長慶年

不是……
林委員俊憲：不然是怎樣？請教一下顧主委，主委剛才有提到要究責、要去調查，是這樣嗎？
顧主任委員立雄：我們有做檢查報告，現在是送到……

林委員俊憲

檢查報告是怎樣的檢查？是我們的銀行局去檢查嗎？

顧主任委員立雄

不是。是檢查局去檢查。

林委員俊憲

是金管會去檢查嗎？
顧主任委員立雄：檢查局現在已經提報到銀行局，銀行局在對整個……
林委員俊憲：如果還是在同樣的圈子內檢查，查得出來嗎？假設當時一銀核貸這個案子就是在場的蔡董事長嘛！你叫他自己查自己喔？

顧主任委員立雄

檢查部分是金管會……
林委員俊憲：第一，檢查的步驟在程序上一定是銀行自己先檢查，金融監理的第一道防線是銀行內部，當貸款出問題，銀行就會第一個把這些拿出來檢查。
顧主任委員立雄：銀行在內控內稽上當然要這樣，尤其是稽核要進去做檢查……

林委員俊憲

是內控的問題嘛！所以你叫當事人自己查自己？

顧主任委員立雄

金管會是由檢查局外部的人進去一銀去做專案檢查。

林委員俊憲

所以現在還不是司法單位在查？
顧主任委員立雄：司法單位查的是刑事不法，所以剛才董事長也提到如果說它相關的文件若涉及到虛偽的話，就會有刑責的問題。
林委員俊憲：之前這個案子還扯到藍綠，提到慶富跟民進黨或阿扁的關係，實際上這個案子是在2014年馬政府時代時發生的，是這樣嗎？
所以我覺得慶富這個案子的嚴重性特別不一樣是因為它是取得國防工業一個重大的合約，但廠商竟然搞出這樣的東西，隨隨便便拿幾個假的東西就通過200多億元的聯貸，隨便被拿走150幾億元。

顧主任委員立雄

因為這150幾億元有一些是屬於履約保證跟預付款……
林委員俊憲：我認為國銀的金融紀律也是為什麼賴院長要借重顧主委到金管會來的原因，你看之前的鼎興公司及相關的牙醫案、三寶案還有一些房貸的詐騙案，都是發生在老字號的國銀，公股銀行應該是金融紀律的模範，現在好像重災戶都在國銀，所以本案應該是顧主委到任以來第一個重大考驗。

顧主任委員立雄

我會詳細檢視我們的檢查報告。
林委員俊憲：我想的是這個案子如果沒有給外界一個交代，或者是國防部在考慮這個合約要不要繼續時一定會考量到慶富履約的能力，所以它的財務狀況就是一個重點。
顧主任委員立雄：因為國防部那邊做採購是當時整個採購過程中的問題，現在很多委員在質詢這個部分，而我們的檢查報告是在檢查核貸的過程跟貸後管理有無缺失，另外通案的部分在回覆其他委員時也有提到，就是類似以後這樣的機制，可能要建立一個三方合約的機制來讓核貸和貸後撥款的過程能夠好……
林委員俊憲：主委，其實政府單位都一樣，針對一個得標廠商一定會去看它的履約能力，其中財務一定是一個考量，慶富沒有出事，大家可能不知道，因為現在出事了，大家一定會檢查得很清楚。

顧主任委員立雄

所以當時它的資金流向就會變成整個履約過程當中……
林委員俊憲：剛才蔡董事長所提，我問他慶富所提出的那些債權、商業發票是否都是假的，他不回答，但我們看到的媒體報導，慶富老闆父子是承認拿的是假的，銀行卻還要查，還不敢跟本席確定是否是假的。

顧主任委員立雄

這可能要尊重檢調的偵查權。
林委員俊憲：當事人在這個部分都已經承認了。所以我覺得慶富案確實是非常離譜，我認為本案是顧主委到任以來，能夠展現魄力及能力的案子。
顧主任委員立雄：我剛才就講到這部分有三方，一個是國防部採購案本身，這部分不歸金管會負責，而且當時採購合約開標等等過程是發生在2014年……
林委員俊憲：那是開標的部分。但是這10家銀行辦理聯貸，到底是如何通過的？
顧主任委員立雄：對，有關聯貸的過程就由我們來做檢視，另外我們也根據此個案，我想做一些關於日後可以避免這種情況的通案……
林委員俊憲：我提醒一下主委，現在檢調對外說明的部分不是得標過程有問題，而是這家公司在取得貸款時，根本可以講是一家空殼公司，拿一些假的東西取得這麼大筆的貸款，現在在偵辦的是這部分，不是去偵辦國防部為何讓它得標。
顧主任委員立雄：對，所以針對這部分，我們才會提到三方合約或是一個確實的照會制度是有其必要性。
林委員俊憲：所以慶富案的重點反而到了金管會來了。主委，所以我才要說過去的那些爛攤子，你要發揮一下你在黨產會的精神，體制內的改革很難期待，他們自己改自己很困難，所以你到這個位置大家才會對你有那麼深的期待。
顧主任委員立雄：是，謝謝委員。

林委員俊憲

謝謝主委。

主席

接下來登記發言的許委員毓仁、陳委員歐珀、鍾委員佳濱、黃委員偉哲、高委員金素梅、張委員麗善、何委員欣純、邱委員志偉、劉委員世芳、鍾委員孔炤、蔣委員乃辛、呂委員玉玲、徐委員榛蔚、王委員惠美、顏委員寬恒、周陳委員秀霞、賴委員瑞隆、吳委員志揚及鄭天財委員均不在場。
今日發言委員均已詢答完畢，作如下決定：「一、報告及答詢完畢。二、許委員毓仁所提書面質詢列入紀錄，刊登公報，並請相關機關以書面答復。三、委員質詢未及答復部分，請相關單位於一週內以書面答復。四、委員質詢中要求提供之相關資料，亦請於限期內送交各委員會。」

委員許毓仁書面意見

遠東銀行被駭，目前確認駭客是從銀行外部進入，遭駭共匯出七筆資金，轉到美國、柬埔寨及斯里蘭卡的三家國外銀行。
對於遠東銀行被駭外媒報導金額與遠東銀行掌握款項金額不同，這是什麼情況？遠東還有被駭款項不清嗎？駭客盜轉18億，史上第二高！為何金融資安中心本月才發包？年底前才能建立？
資安已經沒有前線、後方之分，不能因為應用程式位居牆後，就不進行強化！許多企業過去認為封閉、安全的環境，反而被忽略，成為駭客攻擊的弱點。忽略資安漏洞，所以讓遠銀的問題一直存在，也是造成遠銀遭駭的原因之一。希望金管會重視。
主席：現在處理臨時提案共4案，請逐案宣讀。宣讀後進行協商。
1、
成立「獵雷艦採購案財政部所屬公股行庫聯貸案真相調閱專案小組」
有鑑於慶富造船有限公司針對國防部獵雷艦採購案，於2016年向財政部所屬九家公股行庫聯貸新台幣二百零五億元之聯貸案，爆發嚴重爭議，不僅就此事聯貸授信過程是否涉及不當違法失職等情事，引發社會大眾關注，目前公股銀行更面臨超過上百億元之損失，最後恐將再度由全民買單。
為釐清決策及執行過程之真相，追究相關責任，茲依《立法院職權行使法》第45條之規定，特提案成立「獵雷艦採購案財政部所屬公股行庫聯貸案真相調閱專案小組」，以善盡國會監督職責。

提案人

黃國昌　　江永昌　　盧秀燕　　羅明才
2、
案由：鑒於近年金融科技的發展，將驅動金融業務進一步數位化，也引發諸多金融網路犯罪及資訊安全問題，為提升金融業資訊安全，並保障客戶權益，請金管會於半年內提出具體因應方案，並向本院財委會提出報告，是否有當？敬請公決。

提案人

曾銘宗　　費鴻泰　　盧秀燕　　賴士葆　　羅明才
3、
本院委員江永昌鑑於金融機構資訊安全日益重要，然金融監督管理委員會僅憑會議記錄便要求銀行設置資安專責單位，欠缺法源依據外，相關標準也含糊不清，爰提案要求金融監督管理委員會於2個月內完成資安辦法建置以及資安壓力測試，除測試軟硬體外尚包含人員反應測試等。

提案人

江永昌　　郭正亮　　余宛如
4、
案由：為維護金融秩序及保障投資大眾，金管會應研擬：1.公佈除了金融機構以外所有的投資者皆適用金融消費者保護法，以逹法律公平性。2.參考國際做法建立CCP（集中清算機制）解決TRF等風險問題。3.比照「消費者保護法」第51條規定成立金融投資訴訟的「懲罰性賠償制度」。以上評估報告於一個月內（106年11月17日週五前）送立法院財政委員會。

提案人

江永昌　　郭正亮　　余宛如　　林岱樺
（進行協商）

主席

現在進行協商。
現在處理第1案。第1案是要成立真相調閱專案小組，我先跟各位委員報告，要成立調閱專案小組有幾個事情需要注意：一、委員提案成立特定議題名稱的調閱委員會，並經委員連署就完成了。二、經委員會討論通過。三、調閱專案小組由委員組成，並指定1人為負責委員，調閱小組至少3人，可以全部委員統統都加入，但是要推舉1人為負責委員。四、就該特定議題擬定調閱文件範圍，被調閱文件機關於限期內應指派專人將調閱文件送至立法院指定場所以供查閱，並負保管責任。五、工作人員由本會議事人員指派之。六、調閱文件處理終結後，應向委員會提供調閱報告書及處理意見，並議決之。七、調閱文件依法令應為秘密事項者，依秘密會議處理。八、調閱報告書及處理意見經委員會會議決定後提報院會處理。以上是我們需要注意的。
現在我們來討論本案，請黃委員國昌發言。
黃委員國昌：整個獵雷艦採購案到目前為止針對整個授信的過程當中，已經引發高度爭議，包括當初這個廠商所提出的東西是如何讓第一銀行願意做這樣的承購案件。據我的瞭解，慶富最先並不是去找第一銀行，也有找過其他公股行庫，我大概可以確認的是，最少有找過兆豐，兆豐當初就把它打槍了，說這個案子不能夠做。慶富當初似乎也有找過臺銀，不過這要請臺銀董事長確認，但也被臺銀打槍了，他們也不能做這個案子。今天第一銀行告訴我們的是純粹商業上的理由，但是它可覆蓋擔保的部分竟然只有20%，在一個公司體質這麼差的情況下，我先不提國家安全的考慮，結果竟然做出這樣的聯貸案，使得我們全體納稅人面臨最少上百億元的損失，這件事情一定要查明當初整個徵信過程是不是嚴謹、是不是有違法失職、該廠商本身的能力，以及國防部當初在資格審查上為何會挑慶富等等，應該要進行立法權完整的調查。就我的瞭解，賴院長已經承諾在行政院層級成立一個專案調查小組，但是這個跟立法權的監督完全不會相互衝突。在整個立法權上，我們盡責的進行立法層面的調查和監督，我相信跟行政權這邊的調查一定可以相輔相成。也正是因為這個樣子，我非常感謝江委員永昌、盧委員秀燕和羅委員明才，大家共同連署支持這個提案，這個爭議這麼嚴重，社會大眾這麼關心，成立專案調閱小組，依照立法院職權行使法的規定，應該是財政委員會在面對這個爭議時，對於全體國人所必須要承擔的責任。

主席

請郭委員正亮發言。
郭委員正亮：本案確實有相當大的問題，我也同意國會應該盡職監督，不過如果要立即對偵查中的案件行使專案調閱小組的權力，我認為會有憲政爭議，因為對大法官釋字第729號解釋，也有人做不同的理解。本席建議的修正文字是「特提案由本會召集秘密會議，財政部所屬官股行庫提供貸款相關文件資料，並請國防部相關官員列席說明，以善盡國會監督職責。」謝謝。

主席

請羅委員明才發言。
羅委員明才：組專案小組不是第一次，這幾年來，國內對於財經內部有很大的質疑，所謂的政大幫、財政金融幫，可以說長期霸占並且圍住了金融圈，有很多的資源和資訊，外界是不理解的。

主席

財政金融幫跟財委會沒有關係。

羅委員明才

那是講政大幫那些官員……
主席：也跟金管會無關，大家先把話講清楚。
羅委員明才：所以本席同意黃委員國昌所提的這個案子，最主要是希望釐清事情的真相，除非當事者心裡有鬼，如果做得正，那就不用怕了啊！國人非常關切這個案子，如果立法院沒有任何作為，那立法院乾脆廢掉好了，所以本席希望大家支持這個案子，讓事情的真相透明化。事實上，我在外面聽到這個案子是有人交辦，以金融圈5P原則或是放貸標準，這個案子怎麼有可能過呢？大家想想看，金融機構對中小企業的貸款是何等嚴格啊！你問問一百多萬家的中小企業，真的要貸款時往往都貸不到，都是卡東又卡西。就這個案子，公司的股本那麼小，根本就是個空殼公司，沒有背景、沒有人指示，它可以貸到幾百億？所以這裡面疑雲重重，為了避免球員兼裁判，自己把門關起來把事情壓下去，本席贊成黃委員所提的案子。
另外一個資訊也供大家瞭解，公股銀行經常變成政策的下棋目標，現在已經到10月份了，我們看前面3季，一般民間銀行的公司，EPS可能都達到4塊、5塊了，大家看一下公有銀行的表現如何，為什麼差距這麼大？有的才2塊多，差了50%，所以銀行可能變成政治操弄的工具，如果配合政策就可以放貸，新南向政策一千多億元要不要放？也可以打著旗幟大剌剌說是為了配合國家政策，可是國家並沒有哪個法律通過說要支持新南向政策啊！如果說這個案件可以往前跨一步，是不是以後只要號稱是國家支持的政策，所有的公股銀行都應該支持？那麼舉凡交通部的案、國防部的案、中鋼的案、台電的案等等都來了，如果都虧損的話，那怎麼辦？最後還不是全民買單？本席希望大家要重視這件事情，要把事情釐清，謝謝。

主席

請黃委員國昌發言。
黃委員國昌：釋字729號的解釋已經就立法院行使職權成立調閱小組所應遵行的憲法原則提出非常清楚的論理，在解釋文當中也清楚的表明，跟我國目前的監察權並沒有相衝突。至於檢調機關目前正在進行的案件，相關的卷證偵查中的部分，偵查卷證當然不是在可以調閱的範圍，釋字第729號解釋已經講得很清楚，但是在這個範圍之外，目前有行政機關以及所屬公股行庫所掌握的文件，在釋字第729號解釋之下，完全沒有不能夠調閱之理由。第二，現在有刑事案件正在進行當中，也不構成本院成立調閱小組的憲法上障礙或是法律上障礙，本院在第8屆第4會期第12次全體委員會會議時，就已經成立監聽調閱專案小組了。這個監聽調閱專案小組的運作，本席當時是學者，我也受到這個調閱小組的邀請，以院外專家的身分，進入成立這個調閱小組，實際去運作。因此，我認為這件事情絕對不是一次調閱一些文件來看看就結束了，在每一次調閱的報告當中，還涉及到對相關人員、對具體問題的說明和解釋，這不是一、兩次的秘密會議就可以結束。因此，本席還是希望財政委員會的委員能夠共同支持這個跨黨派委員的提案，成立調閱小組，把事情查個水落石出，給全體國人一個交代。

主席

請郭委員正亮發言。
郭委員正亮：高雄地檢署已經開始查辦這個事情，也開始約談人員，因為這裡牽涉到權力的使用，我當然同意我們有調閱權，過去對兆豐和永豐金都沒有行使，對這次資安的外洩案也沒有行使，為什麼對這個案子就要特別行使？這牽涉到個案的嚴重程度導致我們必須做出這樣的決定，比如兆豐金，類似我們就要開秘密會議，要求相關的卷宗和資料都要提供到現場，而且本案還涉及到國防部，據我個人的瞭解，第一銀行對於國防部機密預算的部分，國防部幾乎都沒有配合提供相關資料給第一銀行，所以第一銀行也不是要付完全的責任，國防部也要付相當的責任。
本席在此要提出一個觀點，如果針對這個案子我們就要成立調閱小組，那立法院大概1年就可以成立100個調閱小組，你認為社會喧騰一時的弊案就要成立調閱小組，那什麼時候不該成立？什麼案子該成立？我們心中要有一把尺。所以我認為我們可以按照進度來，比如假設我們下次開秘密會議，要求財政部所屬要提供相關資料，國防部也來做報告，如果各位同仁還是覺得不夠誠意，或是他們的解釋有非常多的漏洞，我們可以進一步再來考慮，這是我個人的意見，謝謝。

主席

請黃委員國昌發言。
黃委員國昌：我跟各位同仁報告，我們現在討論的層次是確立了符合我國的憲政秩序，以及大法官會議第729號解釋，也符合立法院職權行使法的規定，成立這個調閱小組，在憲法價值以及法律價值的層次，到這個地方應該是清楚的，接下來是有沒有這個必要性的問題。我完全同意剛才有委員指出不能什麼事情都成立調閱小組，這個權力的行使必須要慎重，有沒有成立這個小組的必要性？我相信每一個委員以及全體國人的心中都有一把尺，我尊重每個委員對於這個必要性的認定。不過，本席必須再度強調，這個案件所牽涉到的範圍、嚴重性和社會關注的程度非常非常嚴重，就我個人的價值判斷上，絕對有成立調閱小組進行持續性的追蹤、調閱和約訪相關人士之必要，還是敬請其他委員予以支持。

主席

請羅委員明才發言。
羅委員明才：對於能不能成立調閱小組，這是無庸置疑的，以前有成立過，至於以前的兆豐案等其他案子為什麼不成立？當初不成立的原因，是因為沒有人提案，今天有人提案了，本席也覺得這個社會大眾非常關注的案子，牽涉到幾百億放貸的過程，本席贊成黃委員的說法，我贊成成立專案小組。
主席：郭委員，你還是堅持嗎？
郭委員正亮：我還是堅持，我覺得原子武器不能隨便使用，我個人也當過第3屆……
主席：不是，大家都可以來判斷……

郭委員正亮

對、對。

主席

我猜你有別人交代的壓力啦……
郭委員正亮：我們也是討論過了，不是交代啦！

主席

我覺得大家可以討論嘛！
郭委員正亮：我舉例，我們成立過一個調閱小組，我參加過，就ETC嘛！那個已經確定大概就是招標弊案了，所以大家就認為資料不夠齊全，所以大家才進一步要求。而現在這個案子，檢調才開始介入調查耶，才剛開始，你就要介入做競合……
主席：黃委員剛才講的很清楚，我也查詢了，其實跟我們沒有衝突。
郭委員正亮：主席，我們現在不辯論法律，我現在是講必要性。

主席

檢察官是查那個部分……
郭委員正亮：我現在不跟你討論法律，我討論必要性，就是在這個階段，你認為立法院要行使到什麼程度，對行政部門施壓嘛！我也認為該施壓啊！所以我認為第一階段應該是開秘密會議要求提供資料，高雄地檢署現在才剛開始調查，你也要調查，那不變成競合關係了嗎？
主席：邏輯上，立法院就是監督行政單位，我們可以請他們行文給我們，告知我們到底查了哪一個部分，這個部分我們就予以尊重，其他部分我們是可以查的啊！
郭委員正亮：可以查，我沒有說不能查啊！我只是說必要程度嘛！我是覺得在這種情況下，在這個時間點的必要程度是召開秘密會議，讓相關的行庫提供資料，請國防部官員來說明，如果我們還不滿意，我們再做進一步考慮。

主席

這也是一個建議。
請羅委員明才發言。
羅委員明才：要請相關單位補充資料等等，這是緣木求魚，我在禮拜一的時候跟財政部許部長要求，因為今天有銀行相關單位會來，我在質詢過程中就請他提供一些資料給我，截至目前為止已經1點16分了，他沒有提供我任何相關的資料。所以，我支持黃委員的提案，連立委要資料都要不到了，你還期盼民眾能夠清楚瞭解嗎？你還會期盼民眾會覺得裡面都沒有問題嗎？基於立委的職權，希望主席能夠秉公處理，成立小組，把事情的真相弄得一清二楚，如果心裡沒有鬼就沒有鬼啊，那就還他一個清白，那不是更好嗎？
主席：我向大家報告，我在財委會13年，當主席有超過一半的時間，我對任何委員的提案，基本上都是樂觀其成，因為委員監督行政單位是天經地義，而且是應該做的事情。因為郭委員正亮有不同的意見，這樣好了，我們分兩個階段來做，第一階段我們先開秘密會議，我們可以要求他們提供資料給我們看，如果我們滿意，當然我們就可以瞭解實際放款的經過；如果不滿意，我們再進行到黃委員國昌提的這個案子。黃委員，你覺得怎麼樣？
黃委員國昌：非常感謝主席願意秉公處理這個議案。剛才我講過，我尊重其他所有委員對於必要性的判斷，每一個委員針對必要性所進行的判斷，除了對自己負責，也要對社會負責。我剛才已經表明個人非常清楚的態度，我認為這個小組有成立的必要性，如果這個小組的成立，跟主席所提先處理第一階段，看情況再決定是否要成立這個小組，我認為一點都沒有衝突，因為接下來這個小組，依照等一下或是下一次委員會所要討論的，整個這個小組的運作要點，如果在第一次會議、第二次會議以後，大家看完所有的資料，爭議已經釐清，沒有繼續進行下去的必要，當然就結束了，那我們何必把整件事情弄得更複雜？就是先開秘密會議，再看情況決定要不要成立這個專案小組，為什麼不直接成立這個專案小組？這個專案小組成立之後，開了一次會、二次會，發現原來真的純粹是商業的判斷，之前兆豐也好、臺銀也好，他們之所以打槍這些聯貸案，是因為他們完全沒有惠眼識英雄，不知道這本來就應該要放貸的錢，結果是一銀惠眼識英雄來決定放貸。不管是徵信的調查，還是KYC的調查，乃至於相關的企業文件，乃至於我今天跟一銀董事長嚴重意見不同，他到底違約了沒有？實際上，我們現在連契約條款都看不到，我有跟一銀要，他們說不能給，我覺得很離譜的是，他們說不能給、是機密不得了的契約文件，人家媒體早就披露其中一頁了。我看其中一頁的內容，目前default的狀態本來就違約了，但一銀現在的解釋是說沒有，說它有債務協商，它還沒有到第3期，那沒有關係，我相信一銀有他們的金融專業知識，但是我自己也有我對契約條款上的解釋，現實上的情況到底如何，當然必須透過成立專案調閱小組充分進行調查，要不然我們每次在問一些關鍵問題時，他們只要在上面混時間，撐過10分鐘之後就沒事了，這樣立法權要如何針對行政權可能涉及的違法或行政失職進行監督，所以費委員，我很尊敬您，我也完全認同你秉公處理議案的精神，但是這件事我有我的價值判斷與我認為的必要堅持，還請您見諒。
主席：因為當雙方彼此間的意見不一樣時，即必須採用表決的方式，我擔任主席那麼多年，我不太願意用表決的方式，所以各位委員，我建議我們分兩個階段來處理，但我先講明白，我也支持成立調閱小組，但是為了會議的進行，我建議下個禮拜或是我輪值的那個禮拜，再安排一個秘密會議。黃委員，這樣可以嗎？
黃委員國昌：對不起，我再跟召委報告，我尊重其他委員的意見，我剛才已經表明立場，我對這件事情有一定的堅持，我無法同意召委剛才建議的方案，如果今天我們採行的方式是先進行秘密會議的話，那今天通過的決議我可以妥協的底線是除非經過下一次委員會決議不必成立，要不然原則上還是要成立，這是我最後的底線。
主席：這個提案我們今天先不處理保留在委員會，我們針對這件事情另作決議採行另外一種方式調閱，要求國庫署、一銀和金管會提供他們該提供的資料，包括他們的合約都應該提供，這樣實質上已經跨進一大步，我建議這個案子暫時保留在委員會，如果你堅持要處理的話，我可以做處理，但是如果處理之後不通過怎麼辦？
黃委員國昌：沒關係，如果處理不過，我們各自對社會負責。
羅委員明才：主席剛才講的是一個比較緩和的方法，不過我有些質疑，例如你剛才所講的內容，一銀應該不會提供，如果到時候他們不提供呢？
主席：怕什麼？馬上就要審查預算，如果他們不提供，就把國庫署的預算通通刪光，那還要國庫署幹什麼？
羅委員明才：因為還是會有人支持他們，所以我提出這樣的建議，如果我們希望他們提供委員的資訊能多一點，召開秘密會議之後他們該提供的資訊卻不提供，又該怎麼辦？

主席

你覺得今天這個案子要怎麼處理？
羅委員明才：其實剛才黃委員說成立調閱小組，跟召開秘密會議是不牴觸的，因為小組成立之後，在下次召開秘密會議時可以釐清很多情況，當大家覺得一銀很專業，他們所做的專業考量沒有問題，就沒有必要召開小組會議，因此兩者並不牴觸。
郭委員正亮：羅委員，如果一銀跟財政部都這麼沒有誠意，那下次祕密會議我就無話可說了，你知道我的意思嗎？我們當然希望秘密會議能夠開誠布公，上次一銀還不是把紐約的帳務都公開給大家看，所以我的意思是還是給人家一次機會。
主席：黃委員，你要我現在處理嗎？
黃委員國昌：對，請主席處理。
主席：我我再誠懇的建議，先召開秘密會議看他們的誠意，如果他們誠意足夠其實結果就類似；如果誠意不夠，我們再來表決？
陳賴委員素美：不好意思，我第一次發言，我剛才聽到大家好像有點僵持不下，其實慶富造船聯貸案，本席之前也曾質詢過，基本上我也尊重黃國昌委員的建議，剛剛郭委員的意思是如果按照這樣，每一個都要成立所謂的真相調查專案小組，但其實委員都有自己的想法，我也知道過去大家都非常關心慶富造船聯貸案，所以我也覺得有必要釐清真相讓人民了解，我個人也很想了解，所以我覺得如果我們幾位委員在此僵持不下的話，其實有一個轉圜的方式，亦即可以採行秘密會議的方式把所有事項釐清之後，俟有必要時，再支持黃委員國昌所提成立真相調閱專案小組，因為我們其實都跟黃委員有同樣的想法，我們並非不想瞭解真相，因為畢竟整筆經費的金額那麼龐大，且由9家公股銀行聯貸，當時我們也希望金管會能針對這項聯貸案進行金檢看看其中是否有什麼疏失，既然黃委員那麼堅持，希望主席能否斟酌，跟黃委員溝通一下，看看是否能用這樣的方式？如果下次召開秘密會議，專案小組也可以成立。謝謝。
主席：黃委員，你的提案我也連署，就代表了我的態度，但如果您堅持要處理，我現在就馬上處理。
黃委員國昌：我先跟召委及財政委員會的委員報告，我再次重申，我尊重其他所有委員的價值判斷，但是我曾經公開承諾，我一定會在財政委員會裡面推動成立調閱小組，這是我公開作過的承諾，那我就要做到，我的提案可以被否決，但是我不能自己卻步，因此我還是要再次懇請召委處理，如果萬一等一下我的提案不幸被否決了，召委您要用您的職權召開一個秘密會議的話，我將完全支持您接下來的處理方式，但是我認為這件事情嚴重、複雜的程度，一定要成立一個專案的調閱小組持續進行調查。
主席：既然黃委員國昌堅持，我們就用民主的方式進行表決。現在我們進行舉手表決，贊成黃委員國昌提案者，請舉手。
（進行表決）
主席：報告表決結果：3比2，本案通過。
我們要成立調查委員會，必須先找一位主席……
黃委員國昌：跟主席報告，在我預期建議成立這個小組能通過的情況下，我針對財政委員會獵雷艦採購案財政部所屬公股行庫聯貸案真相調閱專案小組，已經按照本院的前例草擬一份運作要點，這項運作要點是按照本院司法及法制委員會之前成立過的調閱小組要點，參酌他們當時的規定而訂定的，而我現在提出來，讓主席決定今天是否要討論通過這項要點，或是主席認為還有其他更適合的方式加以進行，我完全尊重主席行使職權，我今天拋磚引玉提出這項運作要點，純粹是給主席參考，尊重主席的裁決。
主席：為了慎重起見，請將運作要點發給每位委員一份，我們擇日再來慎重討論，可能安排在明天（星期四）會議結束之後，請各位委員留下來，我們再來看看如何處理這件事。另外請議事人員發函給所有委員看誰還要加入，因為成立的第一個條件是至少要3個人，本委員會有13位委員可以全部加入。
蘇次長建榮：我在此澄清，因為九家公股行庫中，其中一家農業金庫不是財政部所屬行庫，提案是不是直接寫「九家公股行庫」，刪除「財政部所屬」等字？
主席：不要那麼在意，我瞭解你的意思，主要是指財政部所屬公股行庫，好不好？我大概瞭解，下次在用字時，我們會注意，公股行庫還有農業金庫。黃委員，我們把「財政部所屬行庫」等文字稍作調整，好嗎？
接著，進行第2案，金管會有沒有意見？

顧主任委員立雄

沒意見。

主席

第2案通過。
處理第3案，也沒有意見，是吧？
顧主任委員立雄：第3案一是時間的問題，另一是文字的問題，有關「爰提案要求金融監督管理委員會……」，因為這個要完成法令的建置，是不是可以給我們半年的時間？部分文字是不是可以修正為：「研議於6個月內完成資安法令建置依據以及資安滲透測試」？
主席：江委員，按照顧主委的修正意見，好不好？請顧主委提供文字內容。原則上就是「6個月內」，以及下一行「資安壓力測試」等等文字。

顧主任委員立雄

建議改為：「資安滲透測試」。
主席：剛才黃國昌委員提案的倒數第3行，謝謝財政部次長的提醒，修正為：「特提案成立獵雷艦採購案財政部所屬公股行庫等……聯貸案」，加了「等」字就含其他部會，依此修正通過。
處理第4案林岱樺委員提案，請金管會表示意見。
顧主任委員立雄：據我們了解，CCP集中清算機制不含衍生性金融商品，TRF屬於衍生性金融商品，所以集中清算機制未涵蓋複雜的衍生性金融商品。但我們還是可以尊重委員意見，提送評估報告給委員，第1行的「研擬」是不是可以改成「研議」？
主席：改一個字，好不好？
顧主任委員立雄：其他還有一些法律適用上的問題，我們也會評估後提供委員參考。
主席：瞭解，就是改一個字嘛！第4案第1行修正為：「金管會應研議」，修正通過。
（協商結束）

主席

現在宣讀協商結論。

協商結論

臨時提案第1案，將案中「公股行庫」等4字修正為：「公股行庫等」，其餘照案通過。臨時提案第2案照案通過。臨時提案第3案倒數第3行開始修正為：「爰提案要求金融監督管理委員會研議於6個月內完成資安法令建置依據以及資安滲透測試，除測試軟硬體以外，尚包含人員反應測試等」，其餘照案通過。臨時提案第4案第1行「金管會應研擬」修正為「金管會應研議」，其餘照案通過。
主席：請問各位，對協商結論有無異議？（無）無異議，通過。
本次會議議程已進行完畢，倘有登記發言之不在場委員補提書面質詢，一併列入紀錄，刊登公報，並請議事人員協助處理。現在散會。
散會（13時35分）