電子銀行業務管理辦法
電子銀行業務管理辦法
(2006年第5號)
《電子銀行業務管理辦法》已經2005年11月10日中國銀行業監督管理委員會第40次主席會議通過。現予公布,自2006年3月1日起施行。
主席 劉明康 .
二○○六年一月二十六日 .
第一章 總 則
第一條 爲加強電子銀行業務的風險管理,保障客戶及銀行的合法權益,促進電子銀行業務的健康有序發展,根據《中華人民共和國銀行業監督管理法》、《中華人民共和國商業銀行法》和《中華人民共和國外資金融機構管理條例》等法律法規,制定本辦法。
第二條 本辦法所稱電子銀行業務,是指商業銀行等銀行業金融機構利用面向社會公衆开放的通訊通道或开放型公衆網絡,以及銀行爲特定自助服務設施或客戶建立的專用網絡,向客戶提供的銀行服務。
電子銀行業務包括利用計算機和互聯網开展的銀行業務(以下簡稱網上銀行業務),利用電話等聲訊設備和電信網絡开展的銀行業務(以下簡稱電話銀行業務),利用移動電話和無线網絡开展的銀行業務(以下簡稱手機銀行業務),以及其他利用電子服務設備和網絡,由客戶通過自助服務方式完成金融交易的銀行業務。
第三條 銀行業金融機構和依據《中華人民共和國外資金融機構管理條例》設立的外資金融機構(以下通稱爲金融機構),應當按照本辦法的規定开展電子銀行業務。
在中華人民共和國境內設立的金融資產管理公司、信托投資公司、財務公司、金融租賃公司以及經中國銀行業監督管理委員會(以下簡稱中國銀監會)批準設立的其他金融機構,开辦具有電子銀行性質的電子金融業務,適用本辦法對金融機構开展電子銀行業務的有關規定。
第四條 經中國銀監會批準,金融機構可以在中華人民共和國境內开辦電子銀行業務,向中華人民共和國境內企業、居民等客戶提供電子銀行服務,也可按照本辦法的有關規定开展跨境電子銀行服務。
第五條 金融機構應當按照合理規劃、統一管理、保障系統安全運行的原則,开展電子銀行業務,保證電子銀行業務的健康、有序發展。
第六條 金融機構應根據電子銀行業務特性,建立健全電子銀行業務風險管理體系和內部控制體系,設立相應的管理機構,明確電子銀行業務管理的責任,有效地識別、評估、監測和控制電子銀行業務風險。
第二章 申請與變更
第八條 金融機構在中華人民共和國境內开辦電子銀行業務,應當依照本辦法的有關規定,向中國銀監會申請或報告。
(一) 金融機構的經營活動正常,建立了較爲完善的風險管理體系和內部控制制度,在申請开辦電子銀行業務的前一年內,金融機構的主要信息管理系統和業務處理系統沒有發生過重大事故;
(二) 制定了電子銀行業務的總體發展战略、發展規劃和電子銀行安全策略,建立了電子銀行業務風險管理的組織體系和制度體系;
(三) 按照電子銀行業務發展規劃和安全策略,建立了電子銀行業務運營的基礎設施和系統,並對相關設施和系統進行了必要的安全檢測和業務測試;
(四) 對電子銀行業務風險管理情況和業務運營設施與系統等,進行了符合監管要求的安全評估;
(五) 建立了明確的電子銀行業務管理部門,配備了合格的管理人員和技術人員;
(六) 中國銀監會要求的其他條件。
第十條 金融機構开辦以互聯網爲媒介的網上銀行業務、手機銀行業務等電子銀行業務,除應具備第九條 所列條件外,還應具備以下條件:
(二) 電子銀行系統具備必要的業務處理能力,能夠滿足客戶適時業務處理的需要;
(三) 建立了有效的外部攻擊偵測機制;
(四) 中資銀行業金融機構的電子銀行業務運營系統和業務處理服務器設置在中華人民共和國境內;
(五) 外資金融機構的電子銀行業務運營系統和業務處理服務器可以設置在中華人民共和國境內或境外。設置在境外時,應在中華人民共和國境內設置可以記錄和保存業務交易數據的設施設備,能夠滿足金融監管部門現場檢查的要求,在出現法律糾紛時,能夠滿足中國司法機構調查取證的要求。
第十一條 外資金融機構开辦電子銀行業務,除應具備第九條 、第十條 所列條件外,還應當按照法律、行政法規的有關規定,在中華人民共和國境內設有營業性機構,其所在國家(地區)監管當局具備對電子銀行業務進行監管的法律框架和監管能力。
第十二條 金融機構申請开辦電子銀行業務,根據電子銀行業務的不同類型,分別適用審批制和報告制。
(一) 利用互聯網等开放性網絡或無线網絡开辦的電子銀行業務,包括網上銀行、手機銀行和利用掌上電腦等個人數據輔助設備开辦的電子銀行業務,適用審批制;
(二) 利用境內或地區性電信網絡、有线網絡等开辦的電子銀行業務,適用報告制;
(三) 利用銀行爲特定自助服務設施或與客戶建立的專用網絡开辦的電子銀行業務,法律法規和行政規章另有規定的遵照其規定,沒有規定的適用報告制。
金融機構开辦電子銀行業務後,與其特定客戶建立直接網絡連接提供相關服務,屬於電子銀行日常服務,不屬於开辦電子銀行業務申請的類型。
第十三條 金融機構申請开辦需要審批的電子銀行業務之前,應先就擬申請的業務與中國銀監會進行溝通,說明擬申請的電子銀行業務系統和基礎設施設計、建設方案,以及基本業務運營模式等,並根據溝通情況,對有關方案進行調整。
進行監管溝通後,金融機構應根據調整完善後的方案开展電子銀行系統建設,並應在申請前完成對相關系統的內部測試工作。
內部測試對象僅限於金融機構內部人員、外包機構相關工作人員和相關機構的工作人員,不得擴展到一般客戶。
第十四條 金融機構申請开辦電子銀行業務時,可以在一個申請報告中同時申請不同類型的電子銀行業務,但在申請中應注明所申請的電子銀行業務類型。
第十五條 金融機構向中國銀監會或其派出機構申請开辦電子銀行業務,應提交以下文件、資料(一式三份):
(一) 由金融機構法定代表人籤署的开辦電子銀行業務的申請報告;
(九) 電子銀行業務的管理部門、管理職責,以及主要負責人介紹;
(十) 申請單位聯系人以及聯系電話、傳真、電子郵件信箱等聯系方式;
(十一) 中國銀監會要求提供的其他文件和資料。
第十六條 中國銀監會或其派出機構在收到金融機構的有關申請材料後,根據監管需要,要求商業銀行補充材料時,應一次性將有關要求告知金融機構。
金融機構應根據中國銀監會或其派出機構的要求,重新編制和裝訂申請材料,並更正材料遞交日期。
第十七條 中國銀監會或其派出機構在收到金融機構申請开辦需要審批的電子銀行業務完整申請材料3個月內,作出批準或者不批準的書面決定;決定不批準的,應當說明理由。
第十八條 金融機構在一份申請報告中申請了多個類型的電子銀行業務時,中國銀監會或其派出機構可以根據有關規定和要求批準全部或部分電子銀行業務類型的申請。
對於中國銀監會或其派出機構未批準的電子銀行業務類型,金融機構可按有關規定重新申請。
第十九條 金融機構开辦適用於報告制的電子銀行業務類型,不需申請,但應參照第十五條 的有關規定,在开辦電子銀行業務之前1個月,將相關材料報送中國銀監會或其派出機構。
第二十條 金融機構开辦電子銀行業務後,可以利用電子銀行平臺進行傳統銀行產品和服務的宣傳、銷售,也可以根據電子銀行業務的特點开發新的業務類型。
金融機構利用電子銀行平臺宣傳有關銀行產品或服務時,應當遵守相關法律法規和業務管理規章的有關規定。利用電子銀行平臺銷售有關銀行產品或服務時,應認真分析選擇適應電子銀行銷售的產品,不得利用電子銀行銷售需要對客戶進行當面評估後才能銷售的,或者需要客戶當面確認才能銷售的銀行產品,法律法規和行政規章另有規定的除外。
第二十一條 金融機構根據業務發展需要,增加或變更電子銀行業務類型,適用審批制或報告制。
第二十二條 金融機構增加或者變更以下電子銀行業務類型,適用審批制:
(一) 有關法律法規和行政規章規定需要審批但金融機構尚未申請批準,並準備利用電子銀行开辦的;
(二) 金融機構將已獲批準的業務應用於電子銀行時,需要與證券業、保險業相關機構進行直接實時數據交換才能實施的;
第二十三條 金融機構增加或變更需要審批的電子銀行業務類型,應向中國銀監會或其派出機構報送以下文件和資料(一式三份):
(二)擬增加或變更業務類型的定義和操作流程;
(三)擬增加或變更業務類型的風險特徵和防範措施;
(四)有關管理規章制度;
(五)申請單位聯系人以及聯系電話、傳真、電子郵件信箱等聯系方式;
(六)中國銀監會要求提供的其他文件和資料。
第二十四條 業務經營活動不受地域限制的銀行業金融機構(以下簡稱全國性金融機構),申請开辦電子銀行業務或增加、變更需要審批的電子銀行業務類型,應由其總行(公司)統一向中國銀監會申請。
按照有關規定只能在某一城市或地區內從事業務經營活動的銀行業金融機構(以下簡稱地區性金融機構),申請开辦電子銀行業務或增加、變更需要審批的電子銀行業務類型,應由其法人機構向所在地中國銀監會派出機構申請。
外資金融機構申請开辦電子銀行業務或增加、變更需要審批的電子銀行業務類型,應由其總行(公司)或在中華人民共和國境內的主報告行向中國銀監會申請。
第二十五條 中國銀監會或其派出機構在收到金融機構增加或變更需要審批的電子銀行業務類型完整申請材料3個月內,做出批準或者不批準的書面決定;決定不批準的,應當說明理由。
第二十六條 其他電子銀行業務類型適用報告制,金融機構增加或變更時不需申請,但應在开辦該業務類型前1個月內,參照第二十三條 的有關規定,將有關材料報送中國銀監會或其派出機構。
第二十七條 已經實現業務數據集中處理和系統整合(以下簡稱數據集中處理)的銀行業金融機構,獲準开辦電子銀行業務後,可以授權其分支機構开辦部分或全部電子銀行業務。其分支機構在开辦相關業務之前,應向所在地中國銀監會派出機構報告。
未實現數據集中處理的銀行業金融機構,如果其分支機構的電子銀行業務處理系統獨立於總部,該分支機構开辦電子銀行業務按照地區性金融機構开辦電子銀行業務的情形管理,應持其總行授權文件,按照有關規定向所在地中國銀監會派出機構申請或報告。其他分支機構只需持其總行授權文件,在开辦相關業務之前,向所在地中國銀監會派出機構報告。
外資金融機構獲準开辦電子銀行業務後,其境內分支機構开辦電子銀行業務,應持其總行(公司)授權文件向所在地中國銀監會派出機構報告。
第二十八條 已开辦電子銀行業務的金融機構按計劃決定終止全部電子銀行服務或部分類型的電子銀行服務時,應提前3個月就終止電子銀行服務的原因及相關問題處置方案等,報告中國銀監會,並同時予以公告。
金融機構按計劃決定停辦部分電子銀行業務類型時,應於停辦該業務前1個月內向中國銀監會報告,並予以公告。
金融機構終止電子銀行服務或停辦部分業務類型,必須採取有效的措施保護客戶的合法權益,並針對可能出現的問題制定有效的處置方案。
第二十九條 金融機構終止電子銀行服務或停辦部分業務類型後,需要重新开辦電子銀行業務或者重新开展已停辦的業務類型時,應按照相關規定重新申請或辦理。
第三十條 金融機構因電子銀行系統升級、調試等原因,需要按計劃暫時停止電子銀行服務的,應選擇適當的時間,盡可能減少對客戶的影響,並至少提前3天在其網站上予以公告。
受突發事件或偶然因素影響非計劃暫停電子銀行服務,在正常工作時間內超過4個小時或者在正常工作時間外超過8個小時的,金融機構應在暫停服務後24小時內將有關情況報告中國銀監會,並應在事故處理基本結束後3日內,將事故原因、影響、補救措施及處理情況等,報告中國銀監會。
第三十一條 金融機構應當將電子銀行業務風險管理納入本機構風險管理的總體框架之中,並應根據電子銀行業務的運營特點,建立健全電子銀行風險管理體系和電子銀行安全、穩健運營的內部控制體系。
第三十二條 金融機構的電子銀行風險管理體系和內部控制體系應當具有清晰的管理架構、完善的規章制度和嚴格的內部授權控制機制,能夠對電子銀行業務面臨的战略風險、運營風險、法律風險、聲譽風險、信用風險、市場風險等實施有效的識別、評估、監測和控制。
第三十三條 金融機構針對傳統業務風險制定的審慎性風險管理原則和措施等,同樣適用於電子銀行業務,但金融機構應根據電子銀行業務環境和運行方式的變化,對原有風險管理制度、規則和程序進行必要的和適當的修正。
第三十四條 金融機構的董事會和高級管理層應根據本機構的總體發展战略和實際經營情況,制訂電子銀行發展战略和可行的經營投資战略,對電子銀行的經營進行持續性的綜合效益分析,科學評估電子銀行業務對金融機構總體風險的影響。
第三十五條 在制定電子銀行發展战略時,金融機構應加強電子銀行業務的知識產權保護工作。
第三十六條 金融機構應當針對電子銀行不同系統、風險設施、信息和其他資源的重要性及其對電子銀行安全的影響進行評估分類,制定適當的安全策略,建立健全風險控制程序和安全操作規程,採取相應的安全管理措施。
對各類安全控制措施應定期檢查、測試,並根據實際情況適時調整,保證安全措施的持續有效和及時更新。
第三十七條 金融機構應當保障電子銀行運營設施設備,以及安全控制設施設備的安全,對電子銀行的重要設施設備和數據,採取適當的保護措施。
(一) 有形場所的物理安全控制,必須符合國家有關法律法規和安全標準的要求,對尚沒有統一安全標準的有形場所的安全控制,金融機構應確保其制定的安全制度有效地覆蓋可能面臨的主要風險;
(二) 以开放型網絡爲媒介的電子銀行系統,應合理設置和使用防火牆、防病毒軟件等安全產品與技術,確保電子銀行有足夠的反攻擊能力、防病毒能力和入侵防護能力;
(三) 對重要設施設備的接觸、檢查、維修和應急處理,應有明確的權限界定、責任劃分和操作流程,並建立日志文件管理制度,如實記錄並妥善保管相關記錄;
(四) 對重要技術參數,應嚴格控制接觸權限,並建立相應的技術參數調整與變更機制,並保證在更換關鍵人員後,能夠有效防止有關技術參數的泄漏;
(五) 對電子銀行管理的關鍵崗位和關鍵人員,應實行輪崗和強制性休假制度,建立嚴格的內部監督管理制度。
第三十八條 金融機構應採用適當的加密技術和措施,保證電子交易數據傳輸的安全性與保密性,以及所傳輸交易數據的完整性、真實性和不可否認性。
金融機構採用的數據加密技術應符合國家有關規定,並根據電子銀行業務的安全性需要和科技信息技術的發展,定期檢查和評估所使用的加密技術和算法的強度,對加密方式進行適時調整。
第三十九條 金融機構應當與客戶籤訂電子銀行服務協議或合同,明確雙方的權利與義務。
在電子銀行服務協議中,金融機構應向客戶充分揭示利用電子銀行進行交易可能面臨的風險,金融機構已經採取的風險控制措施和客戶應採取的風險控制措施,以及相關風險的責任承擔。
第四十條 金融機構應採取適當的措施和採用適當的技術,識別與驗證使用電子銀行服務客戶的真實、有效身份,並應依照與客戶籤訂的有關協議對客戶作業權限、資金轉移或交易限額等實施有效管理。
第四十一條 金融機構應當建立相應的機制,搜索、監測和處理假冒或有意設置類似於金融機構的電話、網站、短信號碼等信息騙取客戶資料的活動。
金融機構發現假冒電子銀行的非法活動後,應向公安部門報案,並向中國銀監會報告。同時,金融機構應及時在其網站、電話語音提示系統或短信平臺上,提醒客戶注意。
第四十二條 金融機構應盡可能使用統一的電子銀行服務電話、域名、短信號碼等,並應在與客戶籤訂的協議中明確客戶啓動電子銀行業務的合法途徑、意外事件的處理辦法,以及聯系方式等。
已實現數據集中處理的銀行業金融機構开展網上銀行類業務,總行(公司)與其分支機構應使用統一的域名;未實現數據集中處理的銀行業金融機構开展網上銀行類業務時,應由總行(公司)設置統一的接入站點,在其主頁內設置其分支機構網站鏈接。
第四十三條 金融機構應建立電子銀行入侵偵測與入侵保護系統,實時監控電子銀行的運行情況,定期對電子銀行系統進行漏洞掃描,並建立對非法入侵的甄別、處理和報告機制。
第四十四條 金融機構开展電子銀行業務,需要對客戶信息和交易信息等使用電子籤名或電子認證時,應遵照國家有關法律法規的規定。
金融機構使用第三方認證系統,應對第三方認證機構進行定期評估,保證有關認證安全可靠和具有公信力。
第四十五條 金融機構應定期評估可供客戶使用的電子銀行資源充足情況,採取必要的措施保障线路接入通暢,保證客戶對電子銀行服務的可用性。
第四十六條 金融機構應制定電子銀行業務連續性計劃,保證電子銀行業務的連續正常運營。
金融機構電子銀行業務連續性計劃應充分考慮第三方服務供應商對業務連續性的影響,並應採取適當的預防措施。
第四十七條 金融機構應制定電子銀行應急計劃和事故處理預案,並定期對這些計劃和預案進行測試,以管理、控制和減少意外事件造成的危害。
第四十八條 金融機構應定期對電子銀行關鍵設備和系統進行檢測,並詳細記錄檢測情況。
第四十九條 金融機構應明確電子銀行管理、運營等各個環節的主要權限、職責和相互監督方式,有效隔離電子銀行應用系統、驗證系統、業務處理系統和數據庫管理系統之間的風險。
第五十條 金融機構應建立健全電子銀行業務的內部審計制度,定期對電子銀行業務進行審計。
第五十一條 金融機構應採取適當的方法和技術,記錄並妥善保存電子銀行業務數據,電子銀行業務數據的保存期限應符合法律法規的有關要求。
第五十二條 金融機構應採取適當措施,保證電子銀行業務符合相關法律法規對客戶信息和隱私保護的規定。
第五十三條 金融機構應針對電子銀行業務發展與管理的實際情況,制訂多層次的培訓計劃,對電子銀行管理人員和業務人員進行持續培訓。
第五十四條 電子銀行業務的數據交換與轉移,是指金融機構根據業務發展和管理的需要,利用電子銀行平臺與外部組織或機構相互交換電子銀行業務信息和數據,或者將有關電子銀行業務數據轉移至外部組織或機構的活動。
第五十五條 金融機構根據業務發展需要,可以與其他开展電子銀行業務的金融機構建立電子銀行系統數據交換機制,實現電子銀行業務平臺的直接連接,進行境內實時信息交換和跨行資金轉移。
第五十六條 建立電子銀行業務數據交換機制的金融機構,或者電子銀行平臺實現相互連接的金融機構,應當建立聯合風險管理委員會,負責協調跨行間的業務風險管理與控制。
所有參加數據交換或電子銀行平臺連接的金融機構都應參加聯合風險管理委員會,共同制定並遵守聯合風險管理委員會的規章制度和工作規程。
聯合風險管理委員會的規章制度、工作規程、會議紀要和有關決議等,應抄報中國銀監會。
第五十七條 金融機構根據業務發展或管理的需要,可以與非銀行業金融機構直接交換或轉移部分電子銀行業務數據。
金融機構向非銀行業金融機構交換或轉移部分電子銀行業務數據時,應籤訂數據交換(轉移)用途與範圍明確、管理職責清晰的書面協議,並明確各方的數據保密責任。
第五十八條 金融機構在確保電子銀行業務數據安全並被恰當使用的情況下,可以向非金融機構轉移部分電子銀行業務數據。
(一)金融機構由於業務外包、系統測試(調試)、數據恢復與救援等爲維護電子銀行正常安全運營的需要而向非金融機構轉移電子銀行業務數據的,應當事先籤訂書面保密合同,並指派專人負責監督有關數據的使用、保管、傳遞和銷毀;
(二)金融機構由於業務拓展、業務合作等需要向非金融機構轉移電子銀行業務數據的,除應籤訂書面保密合同和指定專人監督外,還應建立對數據接收方的定期檢查制度,一旦發現數據接收方不當使用、保管或傳遞電子銀行業務數據,應立即停止相關數據轉移,並應採取必要的措施預防電子銀行客戶的合法權益受到損害,法律法規另有規定的除外;
(三)金融機構不得向無業務往來的非金融機構轉移電子銀行業務數據,不得出售電子銀行業務數據,不得損害客戶權益利用電子銀行業務數據謀取利益。
第五十九條 金融機構可以爲電子商務經營者提供網上支付平臺。爲電子商務提供網上支付平臺時,金融機構應嚴格審查合作對象,籤訂書面合作協議,建立有效監督機制,防範不法機構或人員利用電子銀行支付平臺從事違法資金轉移或其他非法活動。
第六十條 外資金融機構因業務或管理需要確需向境外總行(公司)轉移有關電子銀行業務數據的,應遵守有關法律法規的規定,採取必要的措施保護客戶的合法權益,並遵守有關數據交換和轉移的規定。
第六十一條 未經電子銀行業務數據轉出機構的允許,數據接收機構不得將有關電子銀行業務數據向第三方轉移。法律法規另有規定的除外。
第六十二條 電子銀行業務外包,是指金融機構將電子銀行部分系統的开發、建設,電子銀行業務的部分服務與技術支持,電子銀行系統的維護等專業化程度較高的業務工作,委托給外部專業機構承擔的活動。
第六十三條 金融機構在進行電子銀行業務外包時,應根據實際需要,合理確定外包的原則和範圍,認真分析和評估業務外包存在的潛在風險,建立健全有關規章制度,制定相應的風險防範措施。
第六十四條 金融機構在選擇電子銀行業務外包服務供應商時,應充分審查、評估外包服務供應商的經營狀況、財務狀況和實際風險控制與責任承擔能力,進行必要的盡職調查。
第六十五條 金融機構應當與外包服務供應商籤訂書面合同,明確雙方的權利、義務。
第六十六條 金融機構應充分認識外包服務供應商對電子銀行業務風險控制的影響,並將其納入總體安全策略之中。
第六十七條 金融機構應建立完整的業務外包風險評估與監測程序,審慎管理業務外包產生的風險。
第六十八條 電子銀行業務外包風險的管理應當符合金融機構的風險管理標準,並應建立針對電子銀行業務外包風險的應急計劃。
第六十九條 金融機構應與外包服務供應商建立有效的聯絡、溝通和信息交流機制,並應制定在意外情況下能夠實現外包服務供應商順利變更,保證外包服務不間斷的應急預案。
第七十條 金融機構對電子銀行業務處理系統、授權管理系統、數據備份系統的總體設計开發,以及其他涉及機密數據管理與傳遞環節的系統進行外包時,應經過金融機構董事會或者法人代表批準,並應在業務外包實施前向中國銀監會報告。
第六章 跨境業務活動管理
第七十一條 電子銀行的跨境業務活動,是指开辦電子銀行業務的金融機構利用境內的電子銀行系統,向境外居民或企業提供的電子銀行服務活動。
金融機構的境內客戶在境外使用電子銀行服務,不屬於跨境業務活動。
第七十二條 金融機構提供跨境電子銀行服務,除應遵守中國法律法規和外匯管理政策等規定外,還應遵守境外居民所在國家(地區)的法律規定。
境外電子銀行監管部門對跨境電子銀行業務要求審批的,金融機構在提供跨境業務活動之前,應獲得境外電子銀行監管部門的批準。
第七十三條 金融機構开展跨境電子銀行業務,除應按照第二章的有關規定向中國銀監會申請外,還應當向中國銀監會提供以下文件資料:
(一) 跨境電子銀行服務的國家(地區),以及該國(地區)對電子銀行業務管理的法律規定;
(三) 未來三年跨境電子銀行業務發展規模、客戶規模的分析預測;
第七十四條 金融機構向客戶提供跨境電子銀行服務,必須籤訂相關服務協議。
金融機構與客戶的服務協議文本,應當使用中文和客戶所在國家或地區(或客戶同意的其他國語言)兩種文字,兩種文字的文本應具有同等法律效力。
第七章 監督管理
第七十五條 中國銀監會依法對電子銀行業務實施非現場監管、現場檢查和安全監測,對電子銀行安全評估實施管理,並對電子銀行的行業自律組織進行指導和監督。
第七十六條 开展電子銀行業務的金融機構應當建立電子銀行業務統計體系,並按照相關規定向中國銀監會報送統計數據。
商業銀行向中國銀監會報送的電子銀行業務統計數據、報送辦法等,由中國銀監會另行制定。
第七十七條 金融機構應定期對電子銀行業務發展與管理情況進行自我評估,並應每年編制《電子銀行年度評估報告》。
第七十八條 金融機構的《電子銀行年度評估報告》應至少包括以下幾方面內容:
(一) 本年度電子銀行業務的發展計劃與實際發展情況,以及對本年度電子銀行發展狀況的分析評價;
(二) 本年度電子銀行業務經營效益的分析、比較與評價,以及主要業務收入和主要業務的服務價格;
(三) 電子銀行業務風險管理狀況的分析與評估,以及本年度電子銀行面臨的主要風險;
(四) 其他需要說明的重要事項。
第七十九條 金融機構的《電子銀行年度評估報告》(一式兩份)應於下一年度的3月底之前報送中國銀監會。
第八十條 金融機構應當建立電子銀行業務重大安全事故和風險事件的報告制度,並保持與監管部門的經常性溝通。
對於電子銀行系統被惡意攻破並已出現客戶或銀行損失,電子銀行被病毒感染並導致機密資料外泄,以及可能會引發其他金融機構電子銀行系統風險的事件,金融機構應在事件發生後48小時內向中國銀監會報告。
第八十一條 中國銀監會根據監管的需要,可以依法對金融機構的電子銀行業務實施現場檢查,也可以聘請外部專業機構對電子銀行業務系統進行安全漏洞掃描、攻擊測試等檢查。
第八十二條 中國銀監會對電子銀行業務實施現場檢查時,除應按照現場檢查的有關規定組成檢查組並進行相關業務培訓外,還應邀請被檢查機構的電子銀行業務管理和技術人員介紹其電子銀行系統架構、運營管理模式以及關鍵設備接觸要求。
檢查人員在實施現場檢查過程中,應當遵守被檢查機構電子銀行安全管理的有關規定。
第八十三條 金融機構的總行(公司),以及已實現數據集中處理的金融機構分支機構電子銀行業務的現場檢查,由中國銀監會負責;未實現數據集中處理的金融機構的分支機構,外資金融機構的分支機構,以及地區性金融機構電子銀行業務的現場檢查,由所在地銀監局負責。
第八十四條 中國銀監會聘用外部專業機構對金融機構電子銀行系統進行檢查時,應與被委托機構籤訂書面合同和保密協議,明確規定被委托機構可以使用的技術手段和使用方式,並指派專人全程參與並監督外部機構的監測測試活動。
銀監局與擬聘用的外部專業機構籤訂合同之前,應報請銀監會批準。
第八十五條 電子銀行安全評估是金融機構开辦或持續經營電子銀行業務的必要條件,也是金融機構電子銀行業務風險管理與監管的重要手段。
金融機構應按照中國銀監會的有關規定,定期對電子銀行系統進行安全評估,並將其作爲電子銀行風險管理的重要組成部分。
第八十六條 金融機構電子銀行安全評估工作,應當由符合一定資質條件、具備相應評估能力的評估機構實施。
中國銀監會負責制定評估機構开展電子銀行安全評估業務的資質條件和電子銀行安全評估的相關制度,並負責對評估機構參與電子銀行安全評估的業務資質進行認定。
第八十七條 中國銀監會對評估機構電子銀行安全評估業務資質的認定,不作爲評估機構开展電子銀行安全評估業務的必要條件。
電子銀行安全評估機構开展電子銀行安全評估業務,如需中國銀監會對其資質進行專業認定,應按照有關規定申請辦理。
第八十八條 金融機構聘請未經中國銀監會認定的安全評估機構實施電子銀行安全評估時,應按照中國銀監會制定的有關條件和標準選擇評估機構,並應於籤訂評估協議前4周將擬聘用機構的有關情況報中國銀監會。
第八章 法律責任
第八十九條 金融機構在提供電子銀行服務時,因電子銀行系統存在安全隱患、金融機構內部違規操作和其他非客戶原因等造成損失的,金融機構應當承擔相應責任。
因客戶有意泄漏交易密碼,或者未按照服務協議盡到應盡的安全防範與保密義務造成損失的,金融機構可以根據服務協議的約定免於承擔相應責任,但法律法規另有規定的除外。
第九十條 金融機構未經批準擅自开辦電子銀行業務,或者未經批準增加或變更需要審批的電子銀行業務類型,造成客戶損失的,金融機構應承擔全部責任。法律法規明確規定應由客戶承擔的責任除外。
第九十一條 金融機構已經按照有關法律法規和行政規章的要求,盡到了電子銀行風險管理和安全管理的相應職責,但因其他金融機構或者其他金融機構的外包服務商失職等原因,造成客戶損失的,由其他金融機構承擔相應責任,但提供電子銀行服務的金融機構有義務協助其客戶處理有關事宜。
第九十二條 金融機構开展電子銀行業務違反審慎經營規則但尚不構成違法違規,並導致電子銀行系統存在較大安全隱患的,中國銀監會將責令限期改正;逾期未改正,或者其安全隱患在短時間難以解決的,中國銀監會可以區別情形,採取下列措施:
第九十三條 金融機構在开展電子銀行業務過程中,違反有關法律法規和行政規章的,中國銀監會將依據有關法律法規和行政規章的規定予以處罰。
第九章 附則
第九十四條 金融機構利用爲特定自助服務設施或客戶建立的專用網絡提供電子銀行業務,有相關業務管理規定的,遵照其規定,但網絡安全、技術風險等管理應參照本辦法的有關規定執行;沒有相關業務規定的,遵照本辦法。
第九十五條 本辦法實施前,經監管部門批準已經开辦網上銀行業務的金融機構,其已开辦的電子銀行業務不需再行審批,但應於本辦法實施後1個月內將已开辦的電子銀行業務類型、开辦時間、審批文件等相關材料報中國銀監會。
本辦法實施後,上述機構开辦尚未开辦的電子銀行業務類型,應按本辦法的有關規定進行申請或報告。
第九十六條 本辦法實施前,已經开辦網上銀行業務但尚未報批或已經申請但尚未獲得監管部門批準的金融機構,其开辦的網上銀行、手機銀行,以及其他以互聯網或無线網絡爲媒介的電子銀行業務,應在本辦法實施後6個月內按本辦法提交有關申請;已經遞交申請材料的,應按照本辦法的要求補充有關材料。
上述機構已經开辦適用於報告制的電子銀行業務,應於本辦法實施後1個月內將已开辦的電子銀行業務類型、开辦時間等報中國銀監會。
第九十七條 本辦法實施前,未开辦網上銀行業務但已开辦電話銀行業務的金融機構,應於本辦法實施後1個月內將已开辦的電子銀行業務類型、开辦時間等報中國銀監會。
第九十八條 本辦法由中國銀監會負責解釋。
第九十九條 本辦法自2006年3月1日起施行。
