《電子銀行業(yè)務管理辦法》已經(jīng)2005年11月10日中國銀行業(yè)監(jiān)督管理委員會第40次主席會議通過。現(xiàn)予公布����,自2006年3月1日起施行�����。
主席 劉明康
二○○六年一月二十六日
電子銀行業(yè)務管理辦法
第一章 總 則
第一條 為加強電子銀行業(yè)務的風險管理,保障客戶及銀行的合法權益����,促進電子銀行業(yè)務的健康有序發(fā)展,根據(jù)《中華人民共和國銀行業(yè)監(jiān)督管理法》����、《中華人民共和國商業(yè)銀行法》和《中華人民共和國外資金融機構管理條例》等法律法規(guī),制定本辦法��。
第二條 本辦法所稱電子銀行業(yè)務����,是指商業(yè)銀行等銀行業(yè)金融機構利用面向社會公眾開放的通訊通道或開放型公眾網(wǎng)絡����,以及銀行為特定自助服務設施或客戶建立的專用網(wǎng)絡,向客戶提供的銀行服務����。
電子銀行業(yè)務包括利用計算機和互聯(lián)網(wǎng)開展的銀行業(yè)務(以下簡稱網(wǎng)上銀行業(yè)務),利用電話等聲訊設備和電信網(wǎng)絡開展的銀行業(yè)務(以下簡稱電話銀行業(yè)務)�����,利用移動電話和無線網(wǎng)絡開展的銀行業(yè)務(以下簡稱手機銀行業(yè)務),以及其他利用電子服務設備和網(wǎng)絡����,由客戶通過自助服務方式完成金融交易的銀行業(yè)務。
第三條 銀行業(yè)金融機構和依據(jù)《中華人民共和國外資金融機構管理條例》設立的外資金融機構(以下通稱為金融機構)����,應當按照本辦法的規(guī)定開展電子銀行業(yè)務。
在中華人民共和國境內(nèi)設立的金融資產(chǎn)管理公司�、信托投資公司、財務公司����、金融租賃公司以及經(jīng)中國銀行業(yè)監(jiān)督管理委員會(以下簡稱中國銀監(jiān)會)批準設立的其他金融機構,開辦具有電子銀行性質(zhì)的電子金融業(yè)務�����,適用本辦法對金融機構開展電子銀行業(yè)務的有關規(guī)定���。
第四條 經(jīng)中國銀監(jiān)會批準�,金融機構可以在中華人民共和國境內(nèi)開辦電子銀行業(yè)務��,向中華人民共和國境內(nèi)企業(yè)、居民等客戶提供電子銀行服務����,也可按照本辦法的有關規(guī)定開展跨境電子銀行服務。
第五條 金融機構應當按照合理規(guī)劃���、統(tǒng)一管理�、保障系統(tǒng)安全運行的原則��,開展電子銀行業(yè)務�,保證電子銀行業(yè)務的健康、有序發(fā)展����。
第六條 金融機構應根據(jù)電子銀行業(yè)務特性,建立健全電子銀行業(yè)務風險管理體系和內(nèi)部控制體系��,設立相應的管理機構���,明確電子銀行業(yè)務管理的責任,有效地識別�、評估、監(jiān)測和控制電子銀行業(yè)務風險�。
第七條 中國銀監(jiān)會負責對電子銀行業(yè)務實施監(jiān)督管理�����。
第二章 申請與變更
第八條 金融機構在中華人民共和國境內(nèi)開辦電子銀行業(yè)務��,應當依照本辦法的有關規(guī)定�,向中國銀監(jiān)會申請或報告��。
第九條 金融機構開辦電子銀行業(yè)務�,應當具備下列條件:
(一) 金融機構的經(jīng)營活動正常�����,建立了較為完善的風險管理體系和內(nèi)部控制制度�����,在申請開辦電子銀行業(yè)務的前一年內(nèi)����,金融機構的主要信息管理系統(tǒng)和業(yè)務處理系統(tǒng)沒有發(fā)生過重大事故;
?��。ǘ?制定了電子銀行業(yè)務的總體發(fā)展戰(zhàn)略����、發(fā)展規(guī)劃和電子銀行安全策略,建立了電子銀行業(yè)務風險管理的組織體系和制度體系����;
(三) 按照電子銀行業(yè)務發(fā)展規(guī)劃和安全策略��,建立了電子銀行業(yè)務運營的基礎設施和系統(tǒng)�����,并對相關設施和系統(tǒng)進行了必要的安全檢測和業(yè)務測試����;
(四) 對電子銀行業(yè)務風險管理情況和業(yè)務運營設施與系統(tǒng)等�,進行了符合監(jiān)管要求的安全評估;
?�。ㄎ澹?建立了明確的電子銀行業(yè)務管理部門����,配備了合格的管理人員和技術人員�;
?。?中國銀監(jiān)會要求的其他條件���。
第十條 金融機構開辦以互聯(lián)網(wǎng)為媒介的網(wǎng)上銀行業(yè)務��、手機銀行業(yè)務等電子銀行業(yè)務�����,除應具備第九條 所列條件外��,還應具備以下條件:
?����。ㄒ唬?電子銀行基礎設施設備能夠保障電子銀行的正常運行�����;
?����。ǘ?電子銀行系統(tǒng)具備必要的業(yè)務處理能力��,能夠滿足客戶適時業(yè)務處理的需要�;
(三) 建立了有效的外部攻擊偵測機制����;
(四) 中資銀行業(yè)金融機構的電子銀行業(yè)務運營系統(tǒng)和業(yè)務處理服務器設置在中華人民共和國境內(nèi)����;
(五) 外資金融機構的電子銀行業(yè)務運營系統(tǒng)和業(yè)務處理服務器可以設置在中華人民共和國境內(nèi)或境外�。設置在境外時,應在中華人民共和國境內(nèi)設置可以記錄和保存業(yè)務交易數(shù)據(jù)的設施設備�,能夠滿足金融監(jiān)管部門現(xiàn)場檢查的要求,在出現(xiàn)法律糾紛時����,能夠滿足中國司法機構調(diào)查取證的要求。
第十一條 外資金融機構開辦電子銀行業(yè)務���,除應具備第九條 ����、第十條 所列條件外���,還應當按照法律�、行政法規(guī)的有關規(guī)定,在中華人民共和國境內(nèi)設有營業(yè)性機構�����,其所在國家(地區(qū))監(jiān)管當局具備對電子銀行業(yè)務進行監(jiān)管的法律框架和監(jiān)管能力�。
第十二條 金融機構申請開辦電子銀行業(yè)務����,根據(jù)電子銀行業(yè)務的不同類型,分別適用審批制和報告制�����。
?����。ㄒ唬?利用互聯(lián)網(wǎng)等開放性網(wǎng)絡或無線網(wǎng)絡開辦的電子銀行業(yè)務����,包括網(wǎng)上銀行、手機銀行和利用掌上電腦等個人數(shù)據(jù)輔助設備開辦的電子銀行業(yè)務�,適用審批制;
(二) 利用境內(nèi)或地區(qū)性電信網(wǎng)絡��、有線網(wǎng)絡等開辦的電子銀行業(yè)務���,適用報告制��;
?���。ㄈ?利用銀行為特定自助服務設施或與客戶建立的專用網(wǎng)絡開辦的電子銀行業(yè)務��,法律法規(guī)和行政規(guī)章另有規(guī)定的遵照其規(guī)定�,沒有規(guī)定的適用報告制。
金融機構開辦電子銀行業(yè)務后�,與其特定客戶建立直接網(wǎng)絡連接提供相關服務,屬于電子銀行日常服務�����,不屬于開辦電子銀行業(yè)務申請的類型�。
第十三條 金融機構申請開辦需要審批的電子銀行業(yè)務之前,應先就擬申請的業(yè)務與中國銀監(jiān)會進行溝通���,說明擬申請的電子銀行業(yè)務系統(tǒng)和基礎設施設計��、建設方案��,以及基本業(yè)務運營模式等��,并根據(jù)溝通情況�����,對有關方案進行調(diào)整��。
進行監(jiān)管溝通后,金融機構應根據(jù)調(diào)整完善后的方案開展電子銀行系統(tǒng)建設��,并應在申請前完成對相關系統(tǒng)的內(nèi)部測試工作�����。
內(nèi)部測試對象僅限于金融機構內(nèi)部人員�����、外包機構相關工作人員和相關機構的工作人員��,不得擴展到一般客戶����。
第十四條 金融機構申請開辦電子銀行業(yè)務時��,可以在一個申請報告中同時申請不同類型的電子銀行業(yè)務��,但在申請中應注明所申請的電子銀行業(yè)務類型���。
第十五條 金融機構向中國銀監(jiān)會或其派出機構申請開辦電子銀行業(yè)務,應提交以下文件�、資料(一式三份):
(一) 由金融機構法定代表人簽署的開辦電子銀行業(yè)務的申請報告�����;
?����。ǘ?擬申請的電子銀行業(yè)務類型及擬開展的業(yè)務種類��;
?���。ㄈ?電子銀行業(yè)務發(fā)展規(guī)劃;
?��。ㄋ模?電子銀行業(yè)務運營設施與技術系統(tǒng)介紹�����;
?����。ㄎ澹?電子銀行業(yè)務系統(tǒng)測試報告��;
?�。?電子銀行安全評估報告�����;
?。ㄆ撸?電子銀行業(yè)務運行應急計劃和業(yè)務連續(xù)性計劃��;
?��。ò耍?電子銀行業(yè)務風險管理體系及相應的規(guī)章制度��;
?��。ň牛?電子銀行業(yè)務的管理部門��、管理職責�,以及主要負責人介紹���;
?�。ㄊ?申請單位聯(lián)系人以及聯(lián)系電話���、傳真、電子郵件信箱等聯(lián)系方式�����;
?。ㄊ唬?中國銀監(jiān)會要求提供的其他文件和資料。
第十六條 中國銀監(jiān)會或其派出機構在收到金融機構的有關申請材料后�����,根據(jù)監(jiān)管需要�,要求商業(yè)銀行補充材料時,應一次性將有關要求告知金融機構����。
金融機構應根據(jù)中國銀監(jiān)會或其派出機構的要求���,重新編制和裝訂申請材料,并更正材料遞交日期�����。
第十七條 中國銀監(jiān)會或其派出機構在收到金融機構申請開辦需要審批的電子銀行業(yè)務完整申請材料3個月內(nèi)���,作出批準或者不批準的書面決定����;決定不批準的�����,應當說明理由���。
第十八條 金融機構在一份申請報告中申請了多個類型的電子銀行業(yè)務時,中國銀監(jiān)會或其派出機構可以根據(jù)有關規(guī)定和要求批準全部或部分電子銀行業(yè)務類型的申請�����。
對于中國銀監(jiān)會或其派出機構未批準的電子銀行業(yè)務類型,金融機構可按有關規(guī)定重新申請���。
第十九條 金融機構開辦適用于報告制的電子銀行業(yè)務類型��,不需申請���,但應參照第十五條 的有關規(guī)定,在開辦電子銀行業(yè)務之前1個月�����,將相關材料報送中國銀監(jiān)會或其派出機構�。
第二十條 金融機構開辦電子銀行業(yè)務后�,可以利用電子銀行平臺進行傳統(tǒng)銀行產(chǎn)品和服務的宣傳、銷售����,也可以根據(jù)電子銀行業(yè)務的特點開發(fā)新的業(yè)務類型。
金融機構利用電子銀行平臺宣傳有關銀行產(chǎn)品或服務時���,應當遵守相關法律法規(guī)和業(yè)務管理規(guī)章的有關規(guī)定�����。利用電子銀行平臺銷售有關銀行產(chǎn)品或服務時�,應認真分析選擇適應電子銀行銷售的產(chǎn)品,不得利用電子銀行銷售需要對客戶進行當面評估后才能銷售的��,或者需要客戶當面確認才能銷售的銀行產(chǎn)品��,法律法規(guī)和行政規(guī)章另有規(guī)定的除外����。
第二十一條 金融機構根據(jù)業(yè)務發(fā)展需要,增加或變更電子銀行業(yè)務類型�����,適用審批制或報告制���。
第二十二條 金融機構增加或者變更以下電子銀行業(yè)務類型���,適用審批制:
?���。ㄒ唬?有關法律法規(guī)和行政規(guī)章規(guī)定需要審批但金融機構尚未申請批準,并準備利用電子銀行開辦的���;
?�。ǘ?金融機構將已獲批準的業(yè)務應用于電子銀行時����,需要與證券業(yè)、保險業(yè)相關機構進行直接實時數(shù)據(jù)交換才能實施的����;
(三) 金融機構之間通過互聯(lián)電子銀行平臺聯(lián)合開展的���;
?�。ㄋ模?提供跨境電子銀行服務的��。
第二十三條 金融機構增加或變更需要審批的電子銀行業(yè)務類型�����,應向中國銀監(jiān)會或其派出機構報送以下文件和資料(一式三份):
?。ㄒ唬┯山鹑跈C構法定代表人簽署的增加或變更業(yè)務類型的申請��;
(二)擬增加或變更業(yè)務類型的定義和操作流程����;
(三)擬增加或變更業(yè)務類型的風險特征和防范措施�;
(四)有關管理規(guī)章制度�;
(五)申請單位聯(lián)系人以及聯(lián)系電話�����、傳真�、電子郵件信箱等聯(lián)系方式;
?�。┲袊y監(jiān)會要求提供的其他文件和資料����。
第二十四條 業(yè)務經(jīng)營活動不受地域限制的銀行業(yè)金融機構(以下簡稱全國性金融機構),申請開辦電子銀行業(yè)務或增加���、變更需要審批的電子銀行業(yè)務類型��,應由其總行(公司)統(tǒng)一向中國銀監(jiān)會申請����。
按照有關規(guī)定只能在某一城市或地區(qū)內(nèi)從事業(yè)務經(jīng)營活動的銀行業(yè)金融機構(以下簡稱地區(qū)性金融機構)����,申請開辦電子銀行業(yè)務或增加、變更需要審批的電子銀行業(yè)務類型��,應由其法人機構向所在地中國銀監(jiān)會派出機構申請�����。
外資金融機構申請開辦電子銀行業(yè)務或增加�����、變更需要審批的電子銀行業(yè)務類型���,應由其總行(公司)或在中華人民共和國境內(nèi)的主報告行向中國銀監(jiān)會申請����。
第二十五條 中國銀監(jiān)會或其派出機構在收到金融機構增加或變更需要審批的電子銀行業(yè)務類型完整申請材料3個月內(nèi)�,做出批準或者不批準的書面決定;決定不批準的����,應當說明理由���。
第二十六條 其他電子銀行業(yè)務類型適用報告制,金融機構增加或變更時不需申請���,但應在開辦該業(yè)務類型前1個月內(nèi)�,參照第二十三條 的有關規(guī)定�,將有關材料報送中國銀監(jiān)會或其派出機構。
第二十七條 已經(jīng)實現(xiàn)業(yè)務數(shù)據(jù)集中處理和系統(tǒng)整合(以下簡稱數(shù)據(jù)集中處理)的銀行業(yè)金融機構��,獲準開辦電子銀行業(yè)務后�,可以授權其分支機構開辦部分或全部電子銀行業(yè)務。其分支機構在開辦相關業(yè)務之前��,應向所在地中國銀監(jiān)會派出機構報告��。
未實現(xiàn)數(shù)據(jù)集中處理的銀行業(yè)金融機構����,如果其分支機構的電子銀行業(yè)務處理系統(tǒng)獨立于總部,該分支機構開辦電子銀行業(yè)務按照地區(qū)性金融機構開辦電子銀行業(yè)務的情形管理��,應持其總行授權文件�,按照有關規(guī)定向所在地中國銀監(jiān)會派出機構申請或報告����。其他分支機構只需持其總行授權文件�,在開辦相關業(yè)務之前�,向所在地中國銀監(jiān)會派出機構報告。
外資金融機構獲準開辦電子銀行業(yè)務后�����,其境內(nèi)分支機構開辦電子銀行業(yè)務�,應持其總行(公司)授權文件向所在地中國銀監(jiān)會派出機構報告。
第二十八條 已開辦電子銀行業(yè)務的金融機構按計劃決定終止全部電子銀行服務或部分類型的電子銀行服務時���,應提前3個月就終止電子銀行服務的原因及相關問題處置方案等����,報告中國銀監(jiān)會�,并同時予以公告。
金融機構按計劃決定停辦部分電子銀行業(yè)務類型時��,應于停辦該業(yè)務前1個月內(nèi)向中國銀監(jiān)會報告��,并予以公告���。
金融機構終止電子銀行服務或停辦部分業(yè)務類型�,必須采取有效的措施保護客戶的合法權益,并針對可能出現(xiàn)的問題制定有效的處置方案�。
第二十九條 金融機構終止電子銀行服務或停辦部分業(yè)務類型后,需要重新開辦電子銀行業(yè)務或者重新開展已停辦的業(yè)務類型時�����,應按照相關規(guī)定重新申請或辦理����。
第三十條 金融機構因電子銀行系統(tǒng)升級、調(diào)試等原因���,需要按計劃暫時停止電子銀行服務的�,應選擇適當?shù)臅r間�,盡可能減少對客戶的影響,并至少提前3天在其網(wǎng)站上予以公告���。
受突發(fā)事件或偶然因素影響非計劃暫停電子銀行服務����,在正常工作時間內(nèi)超過4個小時或者在正常工作時間外超過8個小時的�,金融機構應在暫停服務后24小時內(nèi)將有關情況報告中國銀監(jiān)會�����,并應在事故處理基本結束后3日內(nèi)����,將事故原因�、影響���、補救措施及處理情況等���,報告中國銀監(jiān)會。
第三章 風險管理
第三十一條 金融機構應當將電子銀行業(yè)務風險管理納入本機構風險管理的總體框架之中��,并應根據(jù)電子銀行業(yè)務的運營特點���,建立健全電子銀行風險管理體系和電子銀行安全�����、穩(wěn)健運營的內(nèi)部控制體系�����。
第三十二條 金融機構的電子銀行風險管理體系和內(nèi)部控制體系應當具有清晰的管理架構��、完善的規(guī)章制度和嚴格的內(nèi)部授權控制機制�,能夠?qū)﹄娮鱼y行業(yè)務面臨的戰(zhàn)略風險、運營風險��、法律風險�、聲譽風險、信用風險����、市場風險等實施有效的識別、評估�、監(jiān)測和控制。
第三十三條 金融機構針對傳統(tǒng)業(yè)務風險制定的審慎性風險管理原則和措施等�,同樣適用于電子銀行業(yè)務,但金融機構應根據(jù)電子銀行業(yè)務環(huán)境和運行方式的變化���,對原有風險管理制度��、規(guī)則和程序進行必要的和適當?shù)男拚?/p>
第三十四條 金融機構的董事會和高級管理層應根據(jù)本機構的總體發(fā)展戰(zhàn)略和實際經(jīng)營情況��,制訂電子銀行發(fā)展戰(zhàn)略和可行的經(jīng)營投資戰(zhàn)略����,對電子銀行的經(jīng)營進行持續(xù)性的綜合效益分析,科學評估電子銀行業(yè)務對金融機構總體風險的影響�����。
第三十五條 在制定電子銀行發(fā)展戰(zhàn)略時�,金融機構應加強電子銀行業(yè)務的知識產(chǎn)權保護工作。
第三十六條 金融機構應當針對電子銀行不同系統(tǒng)����、風險設施、信息和其他資源的重要性及其對電子銀行安全的影響進行評估分類��,制定適當?shù)陌踩呗?��,建立健全風險控制程序和安全操作規(guī)程,采取相應的安全管理措施�。
對各類安全控制措施應定期檢查、測試�����,并根據(jù)實際情況適時調(diào)整����,保證安全措施的持續(xù)有效和及時更新��。
第三十七條 金融機構應當保障電子銀行運營設施設備��,以及安全控制設施設備的安全��,對電子銀行的重要設施設備和數(shù)據(jù)��,采取適當?shù)谋Wo措施�。
?��。ㄒ唬?有形場所的物理安全控制���,必須符合國家有關法律法規(guī)和安全標準的要求,對尚沒有統(tǒng)一安全標準的有形場所的安全控制���,金融機構應確保其制定的安全制度有效地覆蓋可能面臨的主要風險����;
?���。ǘ?以開放型網(wǎng)絡為媒介的電子銀行系統(tǒng),應合理設置和使用防火墻、防病毒軟件等安全產(chǎn)品與技術��,確保電子銀行有足夠的反攻擊能力����、防病毒能力和入侵防護能力;
?�。ㄈ?對重要設施設備的接觸����、檢查、維修和應急處理��,應有明確的權限界定�、責任劃分和操作流程,并建立日志文件管理制度���,如實記錄并妥善保管相關記錄;
?。ㄋ模?對重要技術參數(shù),應嚴格控制接觸權限����,并建立相應的技術參數(shù)調(diào)整與變更機制,并保證在更換關鍵人員后,能夠有效防止有關技術參數(shù)的泄漏��;
?�。ㄎ澹?對電子銀行管理的關鍵崗位和關鍵人員���,應實行輪崗和強制性休假制度�����,建立嚴格的內(nèi)部監(jiān)督管理制度�����。
第三十八條 金融機構應采用適當?shù)募用芗夹g和措施�,保證電子交易數(shù)據(jù)傳輸?shù)陌踩耘c保密性�,以及所傳輸交易數(shù)據(jù)的完整性、真實性和不可否認性�����。
金融機構采用的數(shù)據(jù)加密技術應符合國家有關規(guī)定�����,并根據(jù)電子銀行業(yè)務的安全性需要和科技信息技術的發(fā)展,定期檢查和評估所使用的加密技術和算法的強度��,對加密方式進行適時調(diào)整���。
第三十九條 金融機構應當與客戶簽訂電子銀行服務協(xié)議或合同��,明確雙方的權利與義務�����。
在電子銀行服務協(xié)議中����,金融機構應向客戶充分揭示利用電子銀行進行交易可能面臨的風險�����,金融機構已經(jīng)采取的風險控制措施和客戶應采取的風險控制措施��,以及相關風險的責任承擔�����。
第四十條 金融機構應采取適當?shù)拇胧┖筒捎眠m當?shù)募夹g���,識別與驗證使用電子銀行服務客戶的真實���、有效身份,并應依照與客戶簽訂的有關協(xié)議對客戶作業(yè)權限����、資金轉(zhuǎn)移或交易限額等實施有效管理。
第四十一條 金融機構應當建立相應的機制�����,搜索��、監(jiān)測和處理假冒或有意設置類似于金融機構的電話����、網(wǎng)站、短信號碼等信息騙取客戶資料的活動�。
金融機構發(fā)現(xiàn)假冒電子銀行的非法活動后,應向公安部門報案��,并向中國銀監(jiān)會報告。同時��,金融機構應及時在其網(wǎng)站����、電話語音提示系統(tǒng)或短信平臺上,提醒客戶注意����。
第四十二條 金融機構應盡可能使用統(tǒng)一的電子銀行服務電話、域名����、短信號碼等,并應在與客戶簽訂的協(xié)議中明確客戶啟動電子銀行業(yè)務的合法途徑����、意外事件的處理辦法,以及聯(lián)系方式等���。
已實現(xiàn)數(shù)據(jù)集中處理的銀行業(yè)金融機構開展網(wǎng)上銀行類業(yè)務����,總行(公司)與其分支機構應使用統(tǒng)一的域名�����;未實現(xiàn)數(shù)據(jù)集中處理的銀行業(yè)金融機構開展網(wǎng)上銀行類業(yè)務時��,應由總行(公司)設置統(tǒng)一的接入站點����,在其主頁內(nèi)設置其分支機構網(wǎng)站鏈接。
第四十三條 金融機構應建立電子銀行入侵偵測與入侵保護系統(tǒng)����,實時監(jiān)控電子銀行的運行情況,定期對電子銀行系統(tǒng)進行漏洞掃描�����,并建立對非法入侵的甄別�、處理和報告機制。
第四十四條 金融機構開展電子銀行業(yè)務�,需要對客戶信息和交易信息等使用電子簽名或電子認證時,應遵照國家有關法律法規(guī)的規(guī)定����。
金融機構使用第三方認證系統(tǒng),應對第三方認證機構進行定期評估����,保證有關認證安全可靠和具有公信力。
第四十五條 金融機構應定期評估可供客戶使用的電子銀行資源充足情況��,采取必要的措施保障線路接入通暢,保證客戶對電子銀行服務的可用性���。
第四十六條 金融機構應制定電子銀行業(yè)務連續(xù)性計劃�����,保證電子銀行業(yè)務的連續(xù)正常運營�����。
金融機構電子銀行業(yè)務連續(xù)性計劃應充分考慮第三方服務供應商對業(yè)務連續(xù)性的影響�,并應采取適當?shù)念A防措施�����。
第四十七條 金融機構應制定電子銀行應急計劃和事故處理預案��,并定期對這些計劃和預案進行測試����,以管理、控制和減少意外事件造成的危害���。
第四十八條 金融機構應定期對電子銀行關鍵設備和系統(tǒng)進行檢測�����,并詳細記錄檢測情況�����。
第四十九條 金融機構應明確電子銀行管理���、運營等各個環(huán)節(jié)的主要權限、職責和相互監(jiān)督方式�,有效隔離電子銀行應用系統(tǒng)、驗證系統(tǒng)���、業(yè)務處理系統(tǒng)和數(shù)據(jù)庫管理系統(tǒng)之間的風險�。
第五十條 金融機構應建立健全電子銀行業(yè)務的內(nèi)部審計制度����,定期對電子銀行業(yè)務進行審計。
第五十一條 金融機構應采取適當?shù)姆椒ê图夹g�����,記錄并妥善保存電子銀行業(yè)務數(shù)據(jù)���,電子銀行業(yè)務數(shù)據(jù)的保存期限應符合法律法規(guī)的有關要求�����。
第五十二條 金融機構應采取適當措施�,保證電子銀行業(yè)務符合相關法律法規(guī)對客戶信息和隱私保護的規(guī)定。
第五十三條 金融機構應針對電子銀行業(yè)務發(fā)展與管理的實際情況��,制訂多層次的培訓計劃�����,對電子銀行管理人員和業(yè)務人員進行持續(xù)培訓��。
第四章 數(shù)據(jù)交換與轉(zhuǎn)移管理
第五十四條 電子銀行業(yè)務的數(shù)據(jù)交換與轉(zhuǎn)移����,是指金融機構根據(jù)業(yè)務發(fā)展和管理的需要,利用電子銀行平臺與外部組織或機構相互交換電子銀行業(yè)務信息和數(shù)據(jù)���,或者將有關電子銀行業(yè)務數(shù)據(jù)轉(zhuǎn)移至外部組織或機構的活動��。
第五十五條 金融機構根據(jù)業(yè)務發(fā)展需要�����,可以與其他開展電子銀行業(yè)務的金融機構建立電子銀行系統(tǒng)數(shù)據(jù)交換機制�����,實現(xiàn)電子銀行業(yè)務平臺的直接連接�,進行境內(nèi)實時信息交換和跨行資金轉(zhuǎn)移。
第五十六條 建立電子銀行業(yè)務數(shù)據(jù)交換機制的金融機構����,或者電子銀行平臺實現(xiàn)相互連接的金融機構�,應當建立聯(lián)合風險管理委員會,負責協(xié)調(diào)跨行間的業(yè)務風險管理與控制�。
所有參加數(shù)據(jù)交換或電子銀行平臺連接的金融機構都應參加聯(lián)合風險管理委員會,共同制定并遵守聯(lián)合風險管理委員會的規(guī)章制度和工作規(guī)程�����。
聯(lián)合風險管理委員會的規(guī)章制度��、工作規(guī)程��、會議紀要和有關決議等�,應抄報中國銀監(jiān)會。
第五十七條 金融機構根據(jù)業(yè)務發(fā)展或管理的需要,可以與非銀行業(yè)金融機構直接交換或轉(zhuǎn)移部分電子銀行業(yè)務數(shù)據(jù)�����。
金融機構向非銀行業(yè)金融機構交換或轉(zhuǎn)移部分電子銀行業(yè)務數(shù)據(jù)時��,應簽訂數(shù)據(jù)交換(轉(zhuǎn)移)用途與范圍明確�、管理職責清晰的書面協(xié)議,并明確各方的數(shù)據(jù)保密責任�。
第五十八條 金融機構在確保電子銀行業(yè)務數(shù)據(jù)安全并被恰當使用的情況下,可以向非金融機構轉(zhuǎn)移部分電子銀行業(yè)務數(shù)據(jù)����。
(一)金融機構由于業(yè)務外包���、系統(tǒng)測試(調(diào)試)�、數(shù)據(jù)恢復與救援等為維護電子銀行正常安全運營的需要而向非金融機構轉(zhuǎn)移電子銀行業(yè)務數(shù)據(jù)的���,應當事先簽訂書面保密合同�����,并指派專人負責監(jiān)督有關數(shù)據(jù)的使用��、保管����、傳遞和銷毀;
?���。ǘ┙鹑跈C構由于業(yè)務拓展、業(yè)務合作等需要向非金融機構轉(zhuǎn)移電子銀行業(yè)務數(shù)據(jù)的��,除應簽訂書面保密合同和指定專人監(jiān)督外����,還應建立對數(shù)據(jù)接收方的定期檢查制度,一旦發(fā)現(xiàn)數(shù)據(jù)接收方不當使用���、保管或傳遞電子銀行業(yè)務數(shù)據(jù),應立即停止相關數(shù)據(jù)轉(zhuǎn)移���,并應采取必要的措施預防電子銀行客戶的合法權益受到損害�,法律法規(guī)另有規(guī)定的除外����;
?����。ㄈ┙鹑跈C構不得向無業(yè)務往來的非金融機構轉(zhuǎn)移電子銀行業(yè)務數(shù)據(jù)�����,不得出售電子銀行業(yè)務數(shù)據(jù)���,不得損害客戶權益利用電子銀行業(yè)務數(shù)據(jù)謀取利益。
第五十九條 金融機構可以為電子商務經(jīng)營者提供網(wǎng)上支付平臺����。為電子商務提供網(wǎng)上支付平臺時,金融機構應嚴格審查合作對象�,簽訂書面合作協(xié)議,建立有效監(jiān)督機制��,防范不法機構或人員利用電子銀行支付平臺從事違法資金轉(zhuǎn)移或其他非法活動���。
第六十條 外資金融機構因業(yè)務或管理需要確需向境外總行(公司)轉(zhuǎn)移有關電子銀行業(yè)務數(shù)據(jù)的����,應遵守有關法律法規(guī)的規(guī)定����,采取必要的措施保護客戶的合法權益�,并遵守有關數(shù)據(jù)交換和轉(zhuǎn)移的規(guī)定���。
第六十一條 未經(jīng)電子銀行業(yè)務數(shù)據(jù)轉(zhuǎn)出機構的允許���,數(shù)據(jù)接收機構不得將有關電子銀行業(yè)務數(shù)據(jù)向第三方轉(zhuǎn)移。法律法規(guī)另有規(guī)定的除外���。
第五章 業(yè)務外包管理
第六十二條 電子銀行業(yè)務外包����,是指金融機構將電子銀行部分系統(tǒng)的開發(fā)��、建設����,電子銀行業(yè)務的部分服務與技術支持�����,電子銀行系統(tǒng)的維護等專業(yè)化程度較高的業(yè)務工作����,委托給外部專業(yè)機構承擔的活動��。
第六十三條 金融機構在進行電子銀行業(yè)務外包時�,應根據(jù)實際需要���,合理確定外包的原則和范圍���,認真分析和評估業(yè)務外包存在的潛在風險,建立健全有關規(guī)章制度��,制定相應的風險防范措施���。
第六十四條 金融機構在選擇電子銀行業(yè)務外包服務供應商時�����,應充分審查���、評估外包服務供應商的經(jīng)營狀況、財務狀況和實際風險控制與責任承擔能力�,進行必要的盡職調(diào)查。
第六十五條 金融機構應當與外包服務供應商簽訂書面合同�����,明確雙方的權利、義務�����。
在合同中����,應明確規(guī)定外包服務供應商的保密義務、保密責任�����。
第六十六條 金融機構應充分認識外包服務供應商對電子銀行業(yè)務風險控制的影響����,并將其納入總體安全策略之中。
第六十七條 金融機構應建立完整的業(yè)務外包風險評估與監(jiān)測程序��,審慎管理業(yè)務外包產(chǎn)生的風險���。
第六十八條 電子銀行業(yè)務外包風險的管理應當符合金融機構的風險管理標準,并應建立針對電子銀行業(yè)務外包風險的應急計劃���。
第六十九條 金融機構應與外包服務供應商建立有效的聯(lián)絡�����、溝通和信息交流機制�����,并應制定在意外情況下能夠?qū)崿F(xiàn)外包服務供應商順利變更����,保證外包服務不間斷的應急預案。
第七十條 金融機構對電子銀行業(yè)務處理系統(tǒng)��、授權管理系統(tǒng)����、數(shù)據(jù)備份系統(tǒng)的總體設計開發(fā),以及其他涉及機密數(shù)據(jù)管理與傳遞環(huán)節(jié)的系統(tǒng)進行外包時�,應經(jīng)過金融機構董事會或者法人代表批準,并應在業(yè)務外包實施前向中國銀監(jiān)會報告���。
第六章 跨境業(yè)務活動管理
第七十一條 電子銀行的跨境業(yè)務活動����,是指開辦電子銀行業(yè)務的金融機構利用境內(nèi)的電子銀行系統(tǒng),向境外居民或企業(yè)提供的電子銀行服務活動�����。
金融機構的境內(nèi)客戶在境外使用電子銀行服務�,不屬于跨境業(yè)務活動。
第七十二條 金融機構提供跨境電子銀行服務����,除應遵守中國法律法規(guī)和外匯管理政策等規(guī)定外,還應遵守境外居民所在國家(地區(qū))的法律規(guī)定���。
境外電子銀行監(jiān)管部門對跨境電子銀行業(yè)務要求審批的��,金融機構在提供跨境業(yè)務活動之前��,應獲得境外電子銀行監(jiān)管部門的批準��。
第七十三條 金融機構開展跨境電子銀行業(yè)務��,除應按照第二章的有關規(guī)定向中國銀監(jiān)會申請外�,還應當向中國銀監(jiān)會提供以下文件資料:
?�。ㄒ唬?跨境電子銀行服務的國家(地區(qū)),以及該國(地區(qū))對電子銀行業(yè)務管理的法律規(guī)定���;
(二) 跨境電子銀行服務的主要對象及服務內(nèi)容����;
(三) 未來三年跨境電子銀行業(yè)務發(fā)展規(guī)模����、客戶規(guī)模的分析預測;
?�。ㄋ模?跨境電子銀行業(yè)務法律與合規(guī)性分析�����。
第七十四條 金融機構向客戶提供跨境電子銀行服務���,必須簽訂相關服務協(xié)議�。
金融機構與客戶的服務協(xié)議文本�����,應當使用中文和客戶所在國家或地區(qū)(或客戶同意的其他國語言)兩種文字,兩種文字的文本應具有同等法律效力�。
第七章 監(jiān)督管理
第七十五條 中國銀監(jiān)會依法對電子銀行業(yè)務實施非現(xiàn)場監(jiān)管、現(xiàn)場檢查和安全監(jiān)測���,對電子銀行安全評估實施管理���,并對電子銀行的行業(yè)自律組織進行指導和監(jiān)督。
第七十六條 開展電子銀行業(yè)務的金融機構應當建立電子銀行業(yè)務統(tǒng)計體系���,并按照相關規(guī)定向中國銀監(jiān)會報送統(tǒng)計數(shù)據(jù)���。
商業(yè)銀行向中國銀監(jiān)會報送的電子銀行業(yè)務統(tǒng)計數(shù)據(jù)、報送辦法等�����,由中國銀監(jiān)會另行制定���。
第七十七條 金融機構應定期對電子銀行業(yè)務發(fā)展與管理情況進行自我評估�,并應每年編制《電子銀行年度評估報告》�����。
第七十八條 金融機構的《電子銀行年度評估報告》應至少包括以下幾方面內(nèi)容:
(一) 本年度電子銀行業(yè)務的發(fā)展計劃與實際發(fā)展情況�,以及對本年度電子銀行發(fā)展狀況的分析評價;
?���。ǘ?本年度電子銀行業(yè)務經(jīng)營效益的分析、比較與評價���,以及主要業(yè)務收入和主要業(yè)務的服務價格;
?�。ㄈ?電子銀行業(yè)務風險管理狀況的分析與評估����,以及本年度電子銀行面臨的主要風險;
?。ㄋ模?其他需要說明的重要事項。
第七十九條 金融機構的《電子銀行年度評估報告》(一式兩份)應于下一年度的3月底之前報送中國銀監(jiān)會��。
第八十條 金融機構應當建立電子銀行業(yè)務重大安全事故和風險事件的報告制度����,并保持與監(jiān)管部門的經(jīng)常性溝通。
對于電子銀行系統(tǒng)被惡意攻破并已出現(xiàn)客戶或銀行損失�����,電子銀行被病毒感染并導致機密資料外泄,以及可能會引發(fā)其他金融機構電子銀行系統(tǒng)風險的事件����,金融機構應在事件發(fā)生后48小時內(nèi)向中國銀監(jiān)會報告。
第八十一條 中國銀監(jiān)會根據(jù)監(jiān)管的需要�����,可以依法對金融機構的電子銀行業(yè)務實施現(xiàn)場檢查����,也可以聘請外部專業(yè)機構對電子銀行業(yè)務系統(tǒng)進行安全漏洞掃描、攻擊測試等檢查���。
第八十二條 中國銀監(jiān)會對電子銀行業(yè)務實施現(xiàn)場檢查時��,除應按照現(xiàn)場檢查的有關規(guī)定組成檢查組并進行相關業(yè)務培訓外���,還應邀請被檢查機構的電子銀行業(yè)務管理和技術人員介紹其電子銀行系統(tǒng)架構、運營管理模式以及關鍵設備接觸要求���。
檢查人員在實施現(xiàn)場檢查過程中��,應當遵守被檢查機構電子銀行安全管理的有關規(guī)定���。
第八十三條 金融機構的總行(公司)���,以及已實現(xiàn)數(shù)據(jù)集中處理的金融機構分支機構電子銀行業(yè)務的現(xiàn)場檢查,由中國銀監(jiān)會負責�����;未實現(xiàn)數(shù)據(jù)集中處理的金融機構的分支機構�,外資金融機構的分支機構���,以及地區(qū)性金融機構電子銀行業(yè)務的現(xiàn)場檢查�����,由所在地銀監(jiān)局負責���。
第八十四條 中國銀監(jiān)會聘用外部專業(yè)機構對金融機構電子銀行系統(tǒng)進行檢查時,應與被委托機構簽訂書面合同和保密協(xié)議�����,明確規(guī)定被委托機構可以使用的技術手段和使用方式,并指派專人全程參與并監(jiān)督外部機構的監(jiān)測測試活動���。
銀監(jiān)局與擬聘用的外部專業(yè)機構簽訂合同之前�����,應報請銀監(jiān)會批準���。
第八十五條 電子銀行安全評估是金融機構開辦或持續(xù)經(jīng)營電子銀行業(yè)務的必要條件,也是金融機構電子銀行業(yè)務風險管理與監(jiān)管的重要手段����。
金融機構應按照中國銀監(jiān)會的有關規(guī)定,定期對電子銀行系統(tǒng)進行安全評估��,并將其作為電子銀行風險管理的重要組成部分���。
第八十六條 金融機構電子銀行安全評估工作����,應當由符合一定資質(zhì)條件���、具備相應評估能力的評估機構實施�����。
中國銀監(jiān)會負責制定評估機構開展電子銀行安全評估業(yè)務的資質(zhì)條件和電子銀行安全評估的相關制度��,并負責對評估機構參與電子銀行安全評估的業(yè)務資質(zhì)進行認定�����。
第八十七條 中國銀監(jiān)會對評估機構電子銀行安全評估業(yè)務資質(zhì)的認定����,不作為評估機構開展電子銀行安全評估業(yè)務的必要條件。
電子銀行安全評估機構開展電子銀行安全評估業(yè)務���,如需中國銀監(jiān)會對其資質(zhì)進行專業(yè)認定,應按照有關規(guī)定申請辦理�����。
第八十八條 金融機構聘請未經(jīng)中國銀監(jiān)會認定的安全評估機構實施電子銀行安全評估時����,應按照中國銀監(jiān)會制定的有關條件和標準選擇評估機構,并應于簽訂評估協(xié)議前4周將擬聘用機構的有關情況報中國銀監(jiān)會��。
第八章 法律責任
第八十九條 金融機構在提供電子銀行服務時,因電子銀行系統(tǒng)存在安全隱患����、金融機構內(nèi)部違規(guī)操作和其他非客戶原因等造成損失的,金融機構應當承擔相應責任����。
因客戶有意泄漏交易密碼,或者未按照服務協(xié)議盡到應盡的安全防范與保密義務造成損失的��,金融機構可以根據(jù)服務協(xié)議的約定免于承擔相應責任����,但法律法規(guī)另有規(guī)定的除外。
第九十條 金融機構未經(jīng)批準擅自開辦電子銀行業(yè)務�����,或者未經(jīng)批準增加或變更需要審批的電子銀行業(yè)務類型�,造成客戶損失的,金融機構應承擔全部責任�����。法律法規(guī)明確規(guī)定應由客戶承擔的責任除外。
第九十一條 金融機構已經(jīng)按照有關法律法規(guī)和行政規(guī)章的要求�,盡到了電子銀行風險管理和安全管理的相應職責,但因其他金融機構或者其他金融機構的外包服務商失職等原因�����,造成客戶損失的���,由其他金融機構承擔相應責任�,但提供電子銀行服務的金融機構有義務協(xié)助其客戶處理有關事宜���。
第九十二條 金融機構開展電子銀行業(yè)務違反審慎經(jīng)營規(guī)則但尚不構成違法違規(guī)����,并導致電子銀行系統(tǒng)存在較大安全隱患的��,中國銀監(jiān)會將責令限期改正���;逾期未改正,或者其安全隱患在短時間難以解決的���,中國銀監(jiān)會可以區(qū)別情形����,采取下列措施:
(一)暫停批準增加新的電子銀行業(yè)務類型�����;
?��。ǘ┴熈罱鹑跈C構限制發(fā)展新的電子銀行客戶��;
?�。ㄈ┴熈钫{(diào)整電子銀行管理部門負責人�。
第九十三條 金融機構在開展電子銀行業(yè)務過程中�����,違反有關法律法規(guī)和行政規(guī)章的���,中國銀監(jiān)會將依據(jù)有關法律法規(guī)和行政規(guī)章的規(guī)定予以處罰���。
第九章 附則
第九十四條 金融機構利用為特定自助服務設施或客戶建立的專用網(wǎng)絡提供電子銀行業(yè)務,有相關業(yè)務管理規(guī)定的���,遵照其規(guī)定���,但網(wǎng)絡安全��、技術風險等管理應參照本辦法的有關規(guī)定執(zhí)行���;沒有相關業(yè)務規(guī)定的,遵照本辦法����。
第九十五條 本辦法實施前,經(jīng)監(jiān)管部門批準已經(jīng)開辦網(wǎng)上銀行業(yè)務的金融機構�����,其已開辦的電子銀行業(yè)務不需再行審批����,但應于本辦法實施后1個月內(nèi)將已開辦的電子銀行業(yè)務類型、開辦時間�����、審批文件等相關材料報中國銀監(jiān)會����。
本辦法實施后,上述機構開辦尚未開辦的電子銀行業(yè)務類型�����,應按本辦法的有關規(guī)定進行申請或報告�����。
第九十六條 本辦法實施前�,已經(jīng)開辦網(wǎng)上銀行業(yè)務但尚未報批或已經(jīng)申請但尚未獲得監(jiān)管部門批準的金融機構,其開辦的網(wǎng)上銀行�����、手機銀行�����,以及其他以互聯(lián)網(wǎng)或無線網(wǎng)絡為媒介的電子銀行業(yè)務���,應在本辦法實施后6個月內(nèi)按本辦法提交有關申請����;已經(jīng)遞交申請材料的,應按照本辦法的要求補充有關材料����。
上述機構已經(jīng)開辦適用于報告制的電子銀行業(yè)務,應于本辦法實施后1個月內(nèi)將已開辦的電子銀行業(yè)務類型�、開辦時間等報中國銀監(jiān)會。
上述機構新開辦其他電子銀行業(yè)務����,應遵照本辦法的規(guī)定。
第九十七條 本辦法實施前��,未開辦網(wǎng)上銀行業(yè)務但已開辦電話銀行業(yè)務的金融機構���,應于本辦法實施后1個月內(nèi)將已開辦的電子銀行業(yè)務類型�、開辦時間等報中國銀監(jiān)會���。
上述機構新開辦其他電子銀行業(yè)務�����,應遵照本辦法的規(guī)定�����。
第九十八條 本辦法由中國銀監(jiān)會負責解釋���。
第九十九條 本辦法自2006年3月1日起施行。
京公網(wǎng)安備 11010802044457號
新用戶掃碼下載
