电子银行业务管理办法

随着网上银行、电话银行、手机银行等电子银行业务蓬勃发展,用户数和交易金额日益扩大,电子银行的安全问题受到用户、金融机构及监管部门高度关注。12日在京举行的“2009年电子银行业务及风险管理论坛”上,与会的业界专家将目光投向这一问题,从银行技术创新、诚信建设,法律监管的方面提出建议,共同保障电子银行安全问题。电子银行发展迅猛 安全问题成关注重点
近年来,颠覆了传统营销模式的电子银行业务发展迅猛,不仅推动了银行服务渠道的创新,也促进了银行业务模式和产品创新,并已成为商业银行金融产品创新的聚集地,提供转账、汇款、缴费、网络购物支付、基金交易、外汇买卖、银行卡还款等服务。据中国银行业协会专职副会长杨再平介绍,截至2008年年底,全国银行业金融机构网上银行个人客户约有1.5亿户,网上银行企业客户达到400多万户,电子银行在2008年度交易金额为301万亿元,包括手续费收入等达到22亿元。“如此巨大的金融业务量,必须要有一个好的安全体系的保障。” 中国工商银行软件开发中心北京研发部副总经理李秀生说,“电子银行在发展过程中面临的一个重要课题,就是安全方面的问题。调查显示,没有使用网上银行的客户,一个重要原因就是在安全方面有顾虑。”中国社会科学院金融研究所曹红辉博士认为,提高安全性是新型支付方式与传统现金支付竞争的关键,也是电子银行服务市场面临的首要问题。网银安全受威胁 技术创新保安全
李秀生介绍,影响网上银行安全的主要问题,从技术层面说来,包括关键信息泄露、数据窜改、“中间人”的攻击(通过某种措施加入到客户和银行网站之间,截取客户敏感信息)、远程控制(客户的电脑被不法分子控制)、钓鱼网站(钓取客户个人信息)等。“针对网上银行面临的偷、骗、暴力攻击等行为,银行进行技术创新,采取相应的控制机制以保证网银使用安全。”李秀生说。银行业内人士指出,目前网上银行最大的问题是关键信息泄露问题,能直接导致客户金融资产的流失。对此,银行在输入方式、数据加密传输都进行了技术创新。关于数据窜改的问题,银行方面多采用信息重新交验,通过短信、数字证书等方式予以规避。为防止网上银行系统被某种恶意行为攻击,银行采用验证码等方式解决。而对于钓鱼网站(假冒网站),银行方面采取了开发“防钓软件”等措施。适应电子银行发展脚步 加快规章制度建设
中国光大银行电子银行部总经理助理周伊丽说,银行既要满足使用电子银行的客户享受服务的便捷性,也要保证交易的安全性。解决安全与便捷这对具有矛盾性的问题,“不仅需要银行不断进行安全技术创新,还需要各方合作,推进全社会的诚信建设,同时完善立法、加强监管”。全国人大财经委法案室主任朱少平认为,近年来电子银行业务发展迅速,一些法规已不适应当前电子银行业务的发展。相信有关监管部门根据情况变化及技术发展,会对现行的规章制度做出进一步调研、充实,以及增加一些新的规定。曹红辉认为,对于快速发展的电子银行业务,相关部门应建立一个多层次的法律结构,一方面制定综合性的法规,规定风险管理、市场的参与主体以及监管等部门的分工,规范各主体的行为;另一方面制定一些专业性法规,进一步对各项业务流程、职责、义务和风险管理的条件进行细化。“规章的出台不能闭门造车,需要业界广泛参与和讨论。”曹红辉说。

发文单位:中国银行业监督管理委员会

文  号美高梅官方网址,:中国银行业监督管理委员会令2006年第5号

发布日期:2006-1-26

执行日期:2006-3-1

生效日期:1900-1-1

  第一章 总则

  第二章 申请与变更

  第三章 风险管理

  第四章 数据交换与转移管理

  第五章 业务外包管理

  第六章 跨境业务活动管理

  第七章 监督管理

  第八章 法律责任

  第九章 附则

  已经2005年11月10日中国银行业监督管理委员会第40次主席会议通过。现予公布,自2006年3月1日起施行。

  二00六年一月二十六日

    第一章 总则

  第一条 为加强电子银行业务的风险管理,保障客户及银行的合法权益,促进电子银行业务的健康有序发展,根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》和《中华人民共和国外资金融机构管理条例》等法律法规,制定本办法。

  第二条 本办法所称电子银行业务,是指商业银行等银行业金融机构利用面向社会公众开放的通讯通道或开放型公众网络,以及银行为特定自助服务设施或客户建立的专用网络,向客户提供的银行服务。

  电子银行业务包括利用计算机和互联网开展的银行业务(以下简称网上银行业务),利用电话等声讯设备和电信网络开展的银行业务(以下简称电话银行业务),利用移动电话和无线网络开展的银行业务(以下简称手机银行业务),以及其他利用电子服务设备和网络,由客户通过自助服务方式完成金融交易的银行业务。

  第三条 银行业金融机构和依据《中华人民共和国外资金融机构管理条例》设立的外资金融机构(以下通称为金融机构),应当按照本办法的规定开展电子银行业务。

  在中华人民共和国境内设立的金融资产管理公司、信托投资公司、财务公司、金融租赁公司以及经中国银行业监督管理委员会(以下简称中国银监会)批准设立的其他金融机构,开办具有电子银行性质的电子金融业务,适用本办法对金融机构开展电子银行业务的有关规定。

  第四条 经中国银监会批准,金融机构可以在中华人民共和国境内开办电子银行业务,向中华人民共和国境内企业、居民等客户提供电子银行服务,也可按照本办法的有关规定开展跨境电子银行服务。

  第五条 金融机构应当按照合理规划、统一管理、保障系统安全运行的原则,开展电子银行业务,保证电子银行业务的健康、有序发展。

  第六条 金融机构应根据电子银行业务特性,建立健全电子银行业务风险管理体系和内部控制体系,设立相应的管理机构,明确电子银行业务管理的责任,有效地识别、评估、监测和控制电子银行业务风险。

  第七条 中国银监会负责对电子银行业务实施监督管理。

  第二章  申请与变更

  第八条 金融机构在中华人民共和国境内开办电子银行业务,应当依照本办法的有关规定,向中国银监会申请或报告。

  第九条 金融机构开办电子银行业务,应当具备下列条件:

  (一)金融机构的经营活动正常,建立了较为完善的风险管理体系和内部控制制度,在申请开办电子银行业务的前一年内,金融机构的主要信息管理系统和业务处理系统没有发生过重大事故;

  (二)制定了电子银行业务的总体发展战略、发展规划和电子银行安全策略,建立了电子银行业务风险管理的组织体系和制度体系;

  (三)按照电子银行业务发展规划和安全策略,建立了电子银行业务运营的基础设施和系统,并对相关设施和系统进行了必要的安全检测和业务测试;

  (四)对电子银行业务风险管理情况和业务运营设施与系统等,进行了符合监管要求的安全评估;

  (五)建立了明确的电子银行业务管理部门,配备了合格的管理人员和技术人员;

  (六)中国银监会要求的其他条件。

  第十条 金融机构开办以互联网为媒介的网上银行业务、手机银行业务等电子银行业务,除应具备第九条所列条件外,还应具备以下条件:

  (一)电子银行基础设施设备能够保障电子银行的正常运行;

  (二)电子银行系统具备必要的业务处理能力,能够满足客户适时业务处理的需要;

  (三)建立了有效的外部攻击侦测机制;

  (四)中资银行业金融机构的电子银行业务运营系统和业务处理服务器设置在中华人民共和国境内;

  (五)外资金融机构的电子银行业务运营系统和业务处理服务器可以设置在中华人民共和国境内或境外。设置在境外时,应在中华人民共和国境内设置可以记录和保存业务交易数据的设施设备,能够满足金融监管部门现场检查的要求,在出现法律纠纷时,能够满足中国司法机构调查取证的要求。

  第十一条 外资金融机构开办电子银行业务,除应具备第九条、第十条所列条件外,还应当按照法律、行政法规的有关规定,在中华人民共和国境内设有营业性机构,其所在国家(地区)监管当局具备对电子银行业务进行监管的法律框架和监管能力。

  第十二条 金融机构申请开办电子银行业务,根据电子银行业务的不同类型,分别适用审批制和报告制。

  (一)利用互联网等开放性网络或无线网络开办的电子银行业务,包括网上银行、手机银行和利用掌上电脑等个人数据辅助设备开办的电子银行业务,适用审批制;

  (二)利用境内或地区性电信网络、有线网络等开办的电子银行业务,适用报告制;

  (三)利用银行为特定自助服务设施或与客户建立的专用网络开办的电子银行业务,法律法规和行政规章另有规定的遵照其规定,没有规定的适用报告制。

  金融机构开办电子银行业务后,与其特定客户建立直接网络连接提供相关服务,属于电子银行日常服务,不属于开办电子银行业务申请的类型。

  第十三条 金融机构申请开办需要审批的电子银行业务之前,应先就拟申请的业务与中国银监会进行沟通,说明拟申请的电子银行业务系统和基础设施设计、建设方案,以及基本业务运营模式等,并根据沟通情况,对有关方案进行调整。

  进行监管沟通后,金融机构应根据调整完善后的方案开展电子银行系统建设,并应在申请前完成对相关系统的内部测试工作。

  内部测试对象仅限于金融机构内部人员、外包机构相关工作人员和相关机构的工作人员,不得扩展到一般客户。

  第十四条 金融机构申请开办电子银行业务时,可以在一个申请报告中同时申请不同类型的电子银行业务,但在申请中应注明所申请的电子银行业务类型。

  第十五条 金融机构向中国银监会或其派出机构申请开办电子银行业务,应提交以下文件、资料(一式三份):

  (一)由金融机构法定代表人签署的开办电子银行业务的申请报告;

  (二)拟申请的电子银行业务类型及拟开展的业务种类;

  (三)电子银行业务发展规划;

  (四)电子银行业务运营设施与技术系统介绍;

  (五)电子银行业务系统测试报告;

  (六)电子银行安全评估报告;

  (七)电子银行业务运行应急计划和业务连续性计划;

  (八)电子银行业务风险管理体系及相应的规章制度;

  (九)电子银行业务的管理部门、管理职责,以及主要负责人介绍;

  (十)申请单位联系人以及联系电话、传真、电子邮件信箱等联系方式;

  (十一)中国银监会要求提供的其他文件和资料。

  第十六条 中国银监会或其派出机构在收到金融机构的有关申请材料后,根据监管需要,要求商业银行补充材料时,应一次性将有关要求告知金融机构。

  金融机构应根据中国银监会或其派出机构的要求,重新编制和装订申请材料,并更正材料递交日期。

  第十七条 中国银监会或其派出机构在收到金融机构申请开办需要审批的电子银行业务完整申请材料3个月内,作出批准或者不批准的书面决定;决定不批准的,应当说明理由。

  第十八条 金融机构在一份申请报告中申请了多个类型的电子银行业务时,中国银监会或其派出机构可以根据有关规定和要求批准全部或部分电子银行业务类型的申请。

  对于中国银监会或其派出机构未批准的电子银行业务类型,金融机构可按有关规定重新申请。

  第十九条 金融机构开办适用于报告制的电子银行业务类型,不需申请,但应参照第十五条 的有关规定,在开办电子银行业务之前1个月,将相关材料报送中国银监会或其派出机构。

  第二十条 金融机构开办电子银行业务后,可以利用电子银行平台进行传统银行产品和服务的宣传、销售,也可以根据电子银行业务的特点开发新的业务类型。

  金融机构利用电子银行平台宣传有关银行产品或服务时,应当遵守相关法律法规和业务管理规章的有关规定。利用电子银行平台销售有关银行产品或服务时,应认真分析选择适应电子银行销售的产品,不得利用电子银行销售需要对客户进行当面评估后才能销售的,或者需要客户当面确认才能销售的银行产品,法律法规和行政规章另有规定的除外。

  第二十一条 金融机构根据业务发展需要,增加或变更电子银行业务类型,适用审批制或报告制。

  第二十二条 金融机构增加或者变更以下电子银行业务类型,适用审批制:

  (一)有关法律法规和行政规章规定需要审批但金融机构尚未申请批准,并准备利用电子银行开办的;

  (二)金融机构将已获批准的业务应用于电子银行时,需要与证券业、保险业相关机构进行直接实时数据交换才能实施的;

  (三)金融机构之间通过互联电子银行平台联合开展的;

  (四)提供跨境电子银行服务的。

  第二十三条 金融机构增加或变更需要审批的电子银行业务类型,应向中国银监会或其派出机构报送以下文件和资料(一式三份):

  (一)由金融机构法定代表人签署的增加或变更业务类型的申请;

  (二)拟增加或变更业务类型的定义和操作流程;

  (三)拟增加或变更业务类型的风险特征和防范措施;

  (四)有关管理规章制度;

  (五)申请单位联系人以及联系电话、传真、电子邮件信箱等联系方式;

  (六)中国银监会要求提供的其他文件和资料。

  第二十四条 业务经营活动不受地域限制的银行业金融机构(以下简称全国性金融机构),申请开办电子银行业务或增加、变更需要审批的电子银行业务类型,应由其总行(公司)统一向中国银监会申请。

  按照有关规定只能在某一城市或地区内从事业务经营活动的银行业金融机构(以下简称地区性金融机构),申请开办电子银行业务或增加、变更需要审批的电子银行业务类型,应由其法人机构向所在地中国银监会派出机构申请。

  外资金融机构申请开办电子银行业务或增加、变更需要审批的电子银行业务类型,应由其总行(公司)或在中华人民共和国境内的主报告行向中国银监会申请。

  第二十五条 中国银监会或其派出机构在收到金融机构增加或变更需要审批的电子银行业务类型完整申请材料3个月内,做出批准或者不批准的书面决定;决定不批准的,应当说明理由。

  第二十六条 其他电子银行业务类型适用报告制,金融机构增加或变更时不需申请,但应在开办该业务类型前1个月内,参照第二十三条 的有关规定,将有关材料报送中国银监会或其派出机构。

  第二十七条 已经实现业务数据集中处理和系统整合(以下简称数据集中处理)的银行业金融机构,获准开办电子银行业务后,可以授权其分支机构开办部分或全部电子银行业务。其分支机构在开办相关业务之前,应向所在地中国银监会派出机构报告。

  未实现数据集中处理的银行业金融机构,如果其分支机构的电子银行业务处理系统独立于总部,该分支机构开办电子银行业务按照地区性金融机构开办电子银行业务的情形管理,应持其总行授权文件,按照有关规定向所在地中国银监会派出机构申请或报告。其他分支机构只需持其总行授权文件,在开办相关业务之前,向所在地中国银监会派出机构报告。

  外资金融机构获准开办电子银行业务后,其境内分支机构开办电子银行业务,应持其总行(公司)授权文件向所在地中国银监会派出机构报告。

  第二十八条 已开办电子银行业务的金融机构按计划决定终止全部电子银行服务或部分类型的电子银行服务时,应提前3个月就终止电子银行服务的原因及相关问题处置方案等,报告中国银监会,并同时予以公告。

  金融机构按计划决定停办部分电子银行业务类型时,应于停办该业务前1个月内向中国银监会报告,并予以公告。

  金融机构终止电子银行服务或停办部分业务类型,必须采取有效的措施保护客户的合法权益,并针对可能出现的问题制定有效的处置方案。

  第二十九条 金融机构终止电子银行服务或停办部分业务类型后,需要重新开办电子银行业务或者重新开展已停办的业务类型时,应按照相关规定重新申请或办理。

  第三十条 金融机构因电子银行系统升级、调试等原因,需要按计划暂时停止电子银行服务的,应选择适当的时间,尽可能减少对客户的影响,并至少提前3天在其网站上予以公告。

  受突发事件或偶然因素影响非计划暂停电子银行服务,在正常工作时间内超过4个小时或者在正常工作时间外超过8个小时的,金融机构应在暂停服务后24小时内将有关情况报告中国银监会,并应在事故处理基本结束后3日内,将事故原因、影响、补救措施及处理情况等,报告中国银监会。

  第三章 风险管理

  第三十一条 金融机构应当将电子银行业务风险管理纳入本机构风险管理的总体框架之中,并应根据电子银行业务的运营特点,建立健全电子银行风险管理体系和电子银行安全、稳健运营的内部控制体系。

  第三十二条 金融机构的电子银行风险管理体系和内部控制体系应当具有清晰的管理架构、完善的规章制度和严格的内部授权控制机制,能够对电子银行业务面临的战略风险、运营风险、法律风险、声誉风险、信用风险、市场风险等实施有效的识别、评估、监测和控制。

  第三十三条 金融机构针对传统业务风险制定的审慎性风险管理原则和措施等,同样适用于电子银行业务,但金融机构应根据电子银行业务环境和运行方式的变化,对原有风险管理制度、规则和程序进行必要的和适当的修正。

  第三十四条 金融机构的董事会和高级管理层应根据本机构的总体发展战略和实际经营情况,制订电子银行发展战略和可行的经营投资战略,对电子银行的经营进行持续性的综合效益分析,科学评估电子银行业务对金融机构总体风险的影响。

  第三十五条 在制定电子银行发展战略时,金融机构应加强电子银行业务的知识产权保护工作。

  第三十六条 金融机构应当针对电子银行不同系统、风险设施、信息和其他资源的重要性及其对电子银行安全的影响进行评估分类,制定适当的安全策略,建立健全风险控制程序和安全操作规程,采取相应的安全管理措施。

  对各类安全控制措施应定期检查、测试,并根据实际情况适时调整,保证安全措施的持续有效和及时更新。

  第三十七条 金融机构应当保障电子银行运营设施设备,以及安全控制设施设备的安全,对电子银行的重要设施设备和数据,采取适当的保护措施。

  (一)有形场所的物理安全控制,必须符合国家有关法律法规和安全标准的要求,对尚没有统一安全标准的有形场所的安全控制,金融机构应确保其制定的安全制度有效地覆盖可能面临的主要风险;

  (二)以开放型网络为媒介的电子银行系统,应合理设置和使用防火墙、防病毒软件等安全产品与技术,确保电子银行有足够的反攻击能力、防病毒能力和入侵防护能力;

  (三)对重要设施设备的接触、检查、维修和应急处理,应有明确的权限界定、责任划分和操作流程,并建立日志文件管理制度,如实记录并妥善保管相关记录;

相关文章