電子銀行業務管理辦法
發布機關:中國銀行業監督管理委員會 來自:法律橋 發布時間:2006-2-10 22:16:18 點擊:
第一章 總 則
第一條 為加強電子銀行業務的風險管理,保障客戶及銀行的合法權益,促進電子銀行業務的健康有序發展,根據《中華人民共和國銀行業監督管理法》、《中華人民共和國商業銀行法》和《中華人民共和國外資金融機構管理條例》等法律法規,制定本辦法。
第二條 本辦法所稱電子銀行業務,是指商業銀行等銀行業金融機構利用面向社會公眾開放的通訊通道或開放型公眾網絡,以及銀行為特定自助服務設施或客戶建立的專用網絡,向客戶提供的銀行服務。
電子銀行業務包括利用計算機和互聯網開展的銀行業務(以下簡稱網上銀行業務),利用電話等聲訊設備和電信網絡開展的銀行業務(以下簡稱電話銀行業務),利用移動電話和無線網絡開展的銀行業務(以下簡稱手機銀行業務),以及其他利用電子服務設備和網絡,由客戶通過自助服務方式完成金融交易的銀行業務。
第三條 銀行業金融機構和依據《中華人民共和國外資金融機構管理條例》設立的外資金融機構(以下通稱為金融機構),應當按照本辦法的規定開展電子銀行業務。
在中華人民共和國境內設立的金融資產管理公司、信托投資公司、財務公司、金融租賃公司以及經中國銀行業監督管理委員會(以下簡稱中國銀監會)批準設立的其他金融機構,開辦具有電子銀行性質的電子金融業務,適用本辦法對金融機構開展電子銀行業務的有關規定。
第四條 經中國銀監會批準,金融機構可以在中華人民共和國境內開辦電子銀行業務,向中華人民共和國境內企業、居民等客戶提供電子銀行服務,也可按照本辦法的有關規定開展跨境電子銀行服務。
第五條 金融機構應當按照合理規劃、統一管理、保障系統安全運行的原則,開展電子銀行業務,保證電子銀行業務的健康、有序發展。
第六條 金融機構應根據電子銀行業務特性,建立健全電子銀行業務風險管理體系和內部控制體系,設立相應的管理機構,明確電子銀行業務管理的責任,有效地識別、評估、監測和控制電子銀行業務風險。
第七條 中國銀監會負責對電子銀行業務實施監督管理。
第二章 申請與變更
第八條 金融機構在中華人民共和國境內開辦電子銀行業務,應當依照本辦法的有關規定,向中國銀監會申請或報告。
第九條 金融機構開辦電子銀行業務,應當具備下列條件:
(一) 金融機構的經營活動正常,建立了較為完善的風險管理體系和內部控制制度,在申請開辦電子銀行業務的前一年內,金融機構的主要信息管理系統和業務處理系統沒有發生過重大事故;
(二) 制定了電子銀行業務的總體發展戰略、發展規劃和電子銀行安全策略,建立了電子銀行業務風險管理的組織體系和制度體系;
(三) 按照電子銀行業務發展規劃和安全策略,建立了電子銀行業務運營的基礎設施和系統,并對相關設施和系統進行了必要的安全檢測和業務測試;
(四) 對電子銀行業務風險管理情況和業務運營設施與系統等,進行了符合監管要求的安全評估;
(五) 建立了明確的電子銀行業務管理部門,配備了合格的管理人員和技術人員;
(六) 中國銀監會要求的其他條件。
第十條 金融機構開辦以互聯網為媒介的網上銀行業務、手機銀行業務等電子銀行業務,除應具備第九條 所列條件外,還應具備以下條件:
(一) 電子銀行基礎設施設備能夠保障電子銀行的正常運行;
(二) 電子銀行系統具備必要的業務處理能力,能夠滿足客戶適時業務處理的需要;
(三) 建立了有效的外部攻擊偵測機制;
(四) 中資銀行業金融機構的電子銀行業務運營系統和業務處理服務器設置在中華人民共和國境內;
(五) 外資金融機構的電子銀行業務運營系統和業務處理服務器可以設置在中華人民共和國境內或境外。設置在境外時,應在中華人民共和國境內設置可以記錄和保存業務交易數據的設施設備,能夠滿足金融監管部門現場檢查的要求,在出現法律糾紛時,能夠滿足中國司法機構調查取證的要求。
第十一條 外資金融機構開辦電子銀行業務,除應具備第九條 、第十條 所列條件外,還應當按照法律、行政法規的有關規定,在中華人民共和國境內設有營業性機構,其所在國家(地區)監管當局具備對電子銀行業務進行監管的法律框架和監管能力。
第十二條 金融機構申請開辦電子銀行業務,根據電子銀行業務的不同類型,分別適用審批制和報告制。
(一) 利用互聯網等開放性網絡或無線網絡開辦的電子銀行業務,包括網上銀行、手機銀行和利用掌上電腦等個人數據輔助設備開辦的電子銀行業務,適用審批制;
(二) 利用境內或地區性電信網絡、有線網絡等開辦的電子銀行業務,適用報告制;
(三) 利用銀行為特定自助服務設施或與客戶建立的專用網絡開辦的電子銀行業務,法律法規和行政規章另有規定的遵照其規定,沒有規定的適用報告制。
金融機構開辦電子銀行業務后,與其特定客戶建立直接網絡連接提供相關服務,屬于電子銀行日常服務,不屬于開辦電子銀行業務申請的類型。
第十三條 金融機構申請開辦需要審批的電子銀行業務之前,應先就擬申請的業務與中國銀監會進行溝通,說明擬申請的電子銀行業務系統和基礎設施設計、建設方案,以及基本業務運營模式等,并根據溝通情況,對有關方案進行調整。
進行監管溝通后,金融機構應根據調整完善后的方案開展電子銀行系統建設,并應在申請前完成對相關系統的內部測試工作。
內部測試對象僅限于金融機構內部人員、外包機構相關工作人員和相關機構的工作人員,不得擴展到一般客戶。
第十四條 金融機構申請開辦電子銀行業務時,可以在一個申請報告中同時申請不同類型的電子銀行業務,但在申請中應注明所申請的電子銀行業務類型。
第十五條 金融機構向中國銀監會或其派出機構申請開辦電子銀行業務,應提交以下文件、資料(一式三份):
(一) 由金融機構法定代表人簽署的開辦電子銀行業務的申請報告;
(二) 擬申請的電子銀行業務類型及擬開展的業務種類;
(三) 電子銀行業務發展規劃;
(四) 電子銀行業務運營設施與技術系統介紹;
(五) 電子銀行業務系統測試報告;
(六) 電子銀行安全評估報告;
(七) 電子銀行業務運行應急計劃和業務連續性計劃;
(八) 電子銀行業務風險管理體系及相應的規章制度;
(九) 電子銀行業務的管理部門、管理職責,以及主要負責人介紹;
(十) 申請單位聯系人以及聯系電話、傳真、電子郵件信箱等聯系方式;
(十一) 中國銀監會要求提供的其他文件和資料。
第十六條 中國銀監會或其派出機構在收到金融機構的有關申請材料后,根據監管需要,要求商業銀行補充材料時,應一次性將有關要求告知金融機構。
金融機構應根據中國銀監會或其派出機構的要求,重新編制和裝訂申請材料,并更正材料遞交日期。
第十七條 中國銀監會或其派出機構在收到金融機構申請開辦需要審批的電子銀行業務完整申請材料3個月內,作出批準或者不批準的書面決定;決定不批準的,應當說明理由。
第十八條 金融機構在一份申請報告中申請了多個類型的電子銀行業務時,中國銀監會或其派出機構可以根據有關規定和要求批準全部或部分電子銀行業務類型的申請。
對于中國銀監會或其派出機構未批準的電子銀行業務類型,金融機構可按有關規定重新申請。
第十九條 金融機構開辦適用于報告制的電子銀行業務類型,不需申請,但應參照第十五條 的有關規定,在開辦電子銀行業務之前1個月,將相關材料報送中國銀監會或其派出機構。
第二十條 金融機構開辦電子銀行業務后,可以利用電子銀行平臺進行傳統銀行產品和服務的宣傳、銷售,也可以根據電子銀行業務的特點開發新的業務類型。
金融機構利用電子銀行平臺宣傳有關銀行產品或服務時,應當遵守相關法律法規和業務管理規章的有關規定。利用電子銀行平臺銷售有關銀行產品或服務時,應認真分析選擇適應電子銀行銷售的產品,不得利用電子銀行銷售需要對客戶進行當面評估后才能銷售的,或者需要客戶當面確認才能銷售的銀行產品,法律法規和行政規章另有規定的除外。
第二十一條 金融機構根據業務發展需要,增加或變更電子銀行業務類型,適用審批制或報告制。
第二十二條 金融機構增加或者變更以下電子銀行業務類型,適用審批制:
(一) 有關法律法規和行政規章規定需要審批但金融機構尚未申請批準,并準備利用電子銀行開辦的;
(二) 金融機構將已獲批準的業務應用于電子銀行時,需要與證券業、保險業相關機構進行直接實時數據交換才能實施的;
(三) 金融機構之間通過互聯電子銀行平臺聯合開展的;
(四) 提供跨境電子銀行服務的。
第二十三條 金融機構增加或變更需要審批的電子銀行業務類型,應向中國銀監會或其派出機構報送以下文件和資料(一式三份):
(一)由金融機構法定代表人簽署的增加或變更業務類型的申請;
(二)擬增加或變更業務類型的定義和操作流程;
(三)擬增加或變更業務類型的風險特征和防范措施;
(四)有關管理規章制度;
(五)申請單位聯系人以及聯系電話、傳真、電子郵件信箱等聯系方式;
(六)中國銀監會要求提供的其他文件和資料。
第二十四條 業務經營活動不受地域限制的銀行業金融機構(以下簡稱全國性金融機構),申請開辦電子銀行業務或增加、變更需要審批的電子銀行業務類型,應由其總行(公司)統一向中國銀監會申請。
按照有關規定只能在某一城市或地區內從事業務經營活動的銀行業金融機構(以下簡稱地區性金融機構),申請開辦電子銀行業務或增加、變更需要審批的電子銀行業務類型,應由其法人機構向所在地中國銀監會派出機構申請。
外資金融機構申請開辦電子銀行業務或增加、變更需要審批的電子銀行業務類型,應由其總行(公司)或在中華人民共和國境內的主報告行向中國銀監會申請。
第二十五條 中國銀監會或其派出機構在收到金融機構增加或變更需要審批的電子銀行業務類型完整申請材料3個月內,做出批準或者不批準的書面決定;決定不批準的,應當說明理由。
第二十六條 其他電子銀行業務類型適用報告制,金融機構增加或變更時不需申請,但應在開辦該業務類型前1個月內,參照第二十三條 的有關規定,將有關材料報送中國銀監會或其派出機構。
第二十七條 已經實現業務數據集中處理和系統整合(以下簡稱數據集中處理)的銀行業金融機構,獲準開辦電子銀行業務后,可以授權其分支機構開辦部分或全部電子銀行業務。其分支機構在開辦相關業務之前,應向所在地中國銀監會派出機構報告。
未實現數據集中處理的銀行業金融機構,如果其分支機構的電子銀行業務處理系統獨立于總部,該分支機構開辦電子銀行業務按照地區性金融機構開辦電子銀行業務的情形管理,應持其總行授權文件,按照有關規定向所在地中國銀監會派出機構申請或報告。其他分支機構只需持其總行授權文件,在開辦相關業務之前,向所在地中國銀監會派出機構報告。
外資金融機構獲準開辦電子銀行業務后,其境內分支機構開辦電子銀行業務,應持其總行(公司)授權文件向所在地中國銀監會派出機構報告。
第二十八條 已開辦電子銀行業務的金融機構按計劃決定終止全部電子銀行服務或部分類型的電子銀行服務時,應提前3個月就終止電子銀行服務的原因及相關問題處置方案等,報告中國銀監會,并同時予以公告。
金融機構按計劃決定停辦部分電子銀行業務類型時,應于停辦該業務前1個月內向中國銀監會報告,并予以公告。
金融機構終止電子銀行服務或停辦部分業務類型,必須采取有效的措施保護客戶的合法權益,并針對可能出現的問題制定有效的處置方案。
第二十九條 金融機構終止電子銀行服務或停辦部分業務類型后,需要重新開辦電子銀行業務或者重新開展已停辦的業務類型時,應按照相關規定重新申請或辦理。
第三十條 金融機構因電子銀行系統升級、調試等原因,需要按計劃暫時停止電子銀行服務的,應選擇適當的時間,盡可能減少對客戶的影響,并至少提前3天在其網站上予以公告。
受突發事件或偶然因素影響非計劃暫停電子銀行服務,在正常工作時間內超過4個小時或者在正常工作時間外超過8個小時的,金融機構應在暫停服務后24小時內將有關情況報告中國銀監會,并應在事故處理基本結束后3日內,將事故原因、影響、補救措施及處理情況等,報告中國銀監會。
第三章 風險管理
第三十一條 金融機構應當將電子銀行業務風險管理納入本機構風險管理的總體框架之中,并應根據電子銀行業務的運營特點,建立健全電子銀行風險管理體系和電子銀行安全、穩健運營的內部控制體系。
第三十二條 金融機構的電子銀行風險管理體系和內部控制體系應當具有清晰的管理架構、完善的規章制度和嚴格的內部授權控制機制,能夠對電子銀行業務面臨的戰略風險、運營風險、法律風險、聲譽風險、信用風險、市場風險等實施有效的識別、評估、監測和控制。
第三十三條 金融機構針對傳統業務風險制定的審慎性風險管理原則和措施等,同樣適用于電子銀行業務,但金融機構應根據電子銀行業務環境和運行方式的變化,對原有風險管理制度、規則和程序進行必要的和適當的修正。
第三十四條 金融機構的董事會和高級管理層應根據本機構的總體發展戰略和實際經營情況,制訂電子銀行發展戰略和可行的經營投資戰略,對電子銀行的經營進行持續性的綜合效益分析,科學評估電子銀行業務對金融機構總體風險的影響。
第三十五條 在制定電子銀行發展戰略時,金融機構應加強電子銀行業務的知識產權保護工作。
第三十六條 金融機構應當針對電子銀行不同系統、風險設施、信息和其他資源的重要性及其對電子銀行安全的影響進行評估分類,制定適當的安全策略,建立健全風險控制程序和安全操作規程,采取相應的安全管理措施。
對各類安全控制措施應定期檢查、測試,并根據實際情況適時調整,保證安全措施的持續有效和及時更新。
第三十七條 金融機構應當保障電子銀行運營設施設備,以及安全控制設施設備的安全,對電子銀行的重要設施設備和數據,采取適當的保護措施。
(一) 有形場所的物理安全控制,必須符合國家有關法律法規和安全標準的要求,對尚沒有統一安全標準的有形場所的安全控制,金融機構應確保其制定的安全制度有效地覆蓋可能面臨的主要風險;
(二) 以開放型網絡為媒介的電子銀行系統,應合理設置和使用防火墻、防病毒軟件等安全產品與技術,確保電子銀行有足夠的反攻擊能力、防病毒能力和入侵防護能力;
(三) 對重要設施設備的接觸、檢查、維修和應急處理,應有明確的權限界定、責任劃分和操作流程,并建立日志文件管理制度,如實記錄并妥善保管相關記錄;
(四) 對重要技術參數,應嚴格控制接觸權限,并建立相應的技術參數調整與變更機制,并保證在更換關鍵人員后,能夠有效防止有關技術參數的泄漏;
(五) 對電子銀行管理的關鍵崗位和關鍵人員,應實行輪崗和強制性休假制度,建立嚴格的內部監督管理制度。
第三十八條 金融機構應采用適當的加密技術和措施,保證電子交易數據傳輸的安全性與保密性,以及所傳輸交易數據的完整性、真實性和不可否認性。
金融機構采用的數據加密技術應符合國家有關規定,并根據電子銀行業務的安全性需要和科技信息技術的發展,定期檢查和評估所使用的加密技術和算法的強度,對加密方式進行適時調整。
第三十九條 金融機構應當與客戶簽訂電子銀行服務協議或合同,明確雙方的權利與義務。
在電子銀行服務協議中,金融機構應向客戶充分揭示利用電子銀行進行交易可能面臨的風險,金融機構已經采取的風險控制措施和客戶應采取的風險控制措施,以及相關風險的責任承擔。
第四十條 金融機構應采取適當的措施和采用適當的技術,識別與驗證使用電子銀行服務客戶的真實、有效身份,并應依照與客戶簽訂的有關協議對客戶作業權限、資金轉移或交易限額等實施有效管理。
第四十一條 金融機構應當建立相應的機制,搜索、監測和處理假冒或有意設置類似于金融機構的電話、網站、短信號碼等信息騙取客戶資料的活動。
金融機構發現假冒電子銀行的非法活動后,應向公安部門報案,并向中國銀監會報告。同時,金融機構應及時在其網站、電話語音提示系統或短信平臺上,提醒客戶注意。
第四十二條 金融機構應盡可能使用統一的電子銀行服務電話、域名、短信號碼等,并應在與客戶簽訂的協議中明確客戶啟動電子銀行業務的合法途徑、意外事件的處理辦法,以及聯系方式等。
已實現數據集中處理的銀行業金融機構開展網上銀行類業務,總行(公司)與其分支機構應使用統一的域名;未實現數據集中處理的銀行業金融機構開展網上銀行類業務時,應由總行(公司)設置統一的接入站點,在其主頁內設置其分支機構網站鏈接。
第四十三條 金融機構應建立電子銀行入侵偵測與入侵保護系統,實時監控電子銀行的運行情況,定期對電子銀行系統進行漏洞掃描,并建立對非法入侵的甄別、處理和報告機制。
第四十四條 金融機構開展電子銀行業務,需要對客戶信息和交易信息等使用電子簽名或電子認證時,應遵照國家有關法律法規的規定。
金融機構使用第三方認證系統,應對第三方認證機構進行定期評估,保證有關認證安全可靠和具有公信力。
第四十五條 金融機構應定期評估可供客戶使用的電子銀行資源充足情況,采取必要的措施保障線路接入通暢,保證客戶對電子銀行服務的可用性。
第四十六條 金融機構應制定電子銀行業務連續性計劃,保證電子銀行業務的連續正常運營。
金融機構電子銀行業務連續性計劃應充分考慮第三方服務供應商對業務連續性的影響,并應采取適當的預防措施。
第四十七條 金融機構應制定電子銀行應急計劃和事故處理預案,并定期對這些計劃和預案進行測試,以管理、控制和減少意外事件造成的危害。
第四十八條 金融機構應定期對電子銀行關鍵設備和系統進行檢測,并詳細記錄檢測情況。
第四十九條 金融機構應明確電子銀行管理、運營等各個環節的主要權限、職責和相互監督方式,有效隔離電子銀行應用系統、驗證系統、業務處理系統和數據庫管理系統之間的風險。
第五十條 金融機構應建立健全電子銀行業務的內部審計制度,定期對電子銀行業務進行審計。
第五十一條 金融機構應采取適當的方法和技術,記錄并妥善保存電子銀行業務數據,電子銀行業務數據的保存期限應符合法律法規的有關要求。
第五十二條 金融機構應采取適當措施,保證電子銀行業務符合相關法律法規對客戶信息和隱私保護的規定。
第五十三條 金融機構應針對電子銀行業務發展與管理的實際情況,制訂多層次的培訓計劃,對電子銀行管理人員和業務人員進行持續培訓。
第四章 數據交換與轉移管理
第五十四條 電子銀行業務的數據交換與轉移,是指金融機構根據業務發展和管理的需要,利用電子銀行平臺與外部組織或機構相互交換電子銀行業務信息和數據,或者將有關電子銀行業務數據轉移至外部組織或機構的活動。
第五十五條 金融機構根據業務發展需要,可以與其他開展電子銀行業務的金融機構建立電子銀行系統數據交換機制,實現電子銀行業務平臺的直接連接,進行境內實時信息交換和跨行資金轉移。
第五十六條 建立電子銀行業務數據交換機制的金融機構,或者電子銀行平臺實現相互連接的金融機構,應當建立聯合風險管理委員會,負責協調跨行間的業務風險管理與控制。
所有參加數據交換或電子銀行平臺連接的金融機構都應參加聯合風險管理委員會,共同制定并遵守聯合風險管理委員會的規章制度和工作規程。
聯合風險管理委員會的規章制度、工作規程、會議紀要和有關決議等,應抄報中國銀監會。
第五十七條 金融機構根據業務發展或管理的需要,可以與非銀行業金融機構直接交換或轉移部分電子銀行業務數據。
金融機構向非銀行業金融機構交換或轉移部分電子銀行業務數據時,應簽訂數據交換(轉移)用途與范圍明確、管理職責清晰的書面協議,并明確各方的數據保密責任。
第五十八條 金融機構在確保電子銀行業務數據安全并被恰當使用的情況下,可以向非金融機構轉移部分電子銀行業務數據。
(一)金融機構由于業務外包、系統測試(調試)、數據恢復與救援等為維護電子銀行正常安全運營的需要而向非金融機構轉移電子銀行業務數據的,應當事先簽訂書面保密合同,并指派專人負責監督有關數據的使用、保管、傳遞和銷毀;
(二)金融機構由于業務拓展、業務合作等需要向非金融機構轉移電子銀行業務數據的,除應簽訂書面保密合同和指定專人監督外,還應建立對數據接收方的定期檢查制度,一旦發現數據接收方不當使用、保管或傳遞電子銀行業務數據,應立即停止相關數據轉移,并應采取必要的措施預防電子銀行客戶的合法權益受到損害,法律法規另有規定的除外;
(三)金融機構不得向無業務往來的非金融機構轉移電子銀行業務數據,不得出售電子銀行業務數據,不得損害客戶權益利用電子銀行業務數據謀取利益。
第五十九條 金融機構可以為電子商務經營者提供網上支付平臺。為電子商務提供網上支付平臺時,金融機構應嚴格審查合作對象,簽訂書面合作協議,建立有效監督機制,防范不法機構或人員利用電子銀行支付平臺從事違法資金轉移或其他非法活動。
第六十條 外資金融機構因業務或管理需要確需向境外總行(公司)轉移有關電子銀行業務數據的,應遵守有關法律法規的規定,采取必要的措施保護客戶的合法權益,并遵守有關數據交換和轉移的規定。
第六十一條 未經電子銀行業務數據轉出機構的允許,數據接收機構不得將有關電子銀行業務數據向第三方轉移。法律法規另有規定的除外。
[首頁] [上一頁] [下一頁] [末頁]
【轉載時請注明出處:法律橋。如需聘請律師,請立即致電TMT專業律師楊春寶:1390 182 6830】
| 關注法律橋微信公眾平臺 | 楊春寶高級律師電子名片 |
 |  |
◆
請注意文明用語,請勿人身攻擊。
◆
請尊重網上道德,遵守中華人民共和國各項相關法律法規。
◆
您應當對因您的行為而直接或間接導致的民事或刑事法律責任負責。
◆ 請勿在此提出法律咨詢,法律咨詢請去法律橋論壇。
◆
本站有權在網站內轉載或引用您的評論。
◆ 網站管理員有權刪除違反上述提示的評論。
◆
參與本評論即表明您已經閱讀并接受上述條款。
本站聲明:
本站所載法律法規類文件均來自互聯網,僅供參考,本站不對其完整性、時效性負責。引用時請使用官方正式文本。
業務委托郵箱:LawBridge#163.com
