中新网2月6日电 近日,中国银监会发布了《电子银行业务管理办法》(以下简称《办法》)和《电子银行安全评估指引》(以下简称《指引》),将于2006年3月1日起开始施行。银监会新闻发言人就《办法》和《指引》的有关问题回答了记者提问。
问:银监会为什么要制定《办法》?
答:90年代以来,随着国际上电子银行的兴起,我国商业银行的电子银行业务迅速发展。为规范商业银行利用互联网开展银行业务,2001年6月,中国人民银行制定颁布了《网上银行业务管理暂行办法》(中国人民银行令[2001]第6号,以下简称《暂行办法》)。
《暂行办法》的颁布对于加强商业银行网上银行业务的管理,起到了积极的作用。但是,随着商业银行电子银行业务的不断发展,《暂行办法》已经不能适应电子银行风险监管的要求。由于发布《暂行办法》时,我国电子银行的发展与监管都处于探索时期,对电子银行业务的整体发展研究还有待于深入。因此,《暂行办法》主要着眼于网上银行的监管,只对商业银行利用互联网开展银行业务进行了初步规范,而没有涉及利用同一平台开展的手机银行业务、个人数字辅助(PDA)银行业务等的监管与规范。《暂行办法》仅对网上银行业务(Online Banking)进行规范,一方面导致对同一电子银行平台上相同风险的监管,因客户所使用的设备不同而产生差异,监管网上银行有依据,而监管其他类似银行业务“无法可依”,不利于真正控制电子银行的风险;另一方面《暂行办法》也与国际上以网络银行(Internet Banking)或电子银行(Electronic Banking, E-Banking)作为法律规范对象的通常做法差异较大,不利于跨境电子银行业务的监管。
同时,《暂行办法》颁布时,商业银行的信息化正处于从初级水平向中级水平过渡的阶段。2002年以后,商业银行业务信息化进程加快,四家国有银行和大部分股份制银行都已制定了数据大集中计划,工商银行已经实现了全国数据集中。实现数据大集中后,商业银行的风险管理和监管方式发生了较大变化,电子银行业务的运作方式和管理方式也随之发生了改变,监管规章相应地需要根据电子银行业务发展的新情况加以调整和修改。
因此,为有效控制电子银行业务风险,需要尽快完善电子银行业务的监管规章体系,银监会在认真分析总结我国商业银行电子银行业务发展的基础上,结合我国现有金融法律制度,借鉴了境外有关机构对电子银行业务的监管经验,制定了《办法》和《指引》。
问:对电子银行的监管,为什么在制定《办法》的同时,还需要制定有关电子银行安全评估的《指引》?
答:电子银行业务不同于传统银行业务,电子银行业务实际上是为商业银行等金融机构开展其他业务、销售产品与服务提供了一个电子网络平台,并可以在此基础上构成可独立存在的业务品种。作为银行业务运行的平台,电子银行的安全性和可靠性的要求较高,其风险超出了传统意义上金融风险的概念,电子银行的风险不仅包括传统意义上的金融风险,还包括技术风险等。同时,银行风险已不仅来源于银行与客户之间的互动关系,很大程度与第三方行为有关。因此,提高电子银行的安全管理水平,是电子银行发展和监管需要解决的主要问题之一。
由于电子银行的安全和技术风险,在相当程度上取决于采用的信息技术的先进程度,系统的设计开发水平,以及相关设施设备及其供应商的选择等,银行依靠传统的风险管理机制已很难识别、监测、控制和管理相关风险。同样,监管机构也难以完全依靠自身的力量对电子银行的安全性进行准确评价和监控。因此,大部分国家都采用了依靠外部专业化机构定期对电子银行的安全性进行评估的办法,提高对电子银行安全性和技术风险的管理和监管。
依赖外部专业化机构对电子银行实施安全评估,必须要有相关的标准和要求,否则外部评估活动就可能流于形式。《指引》制定的目的,就是要规范电子银行安全评估活动,加强电子银行业务的安全与风险管理,保证电子银行安全评估的客观性、及时性、全面性和有效性。
问:《办法》和《指引》的主要内容是什么?
答:《办法》共9章99条。
第一章总则,明确界定了电子银行的概念和范围,将电话银行、网上银行、手机银行等统一到电子银行的监管范畴之中,并规定了《办法》的适用范围及开展电子银行业务的基本原则。第二章申请与变更,规定了金融机构申请开办电子银行业务,或者变更电子银行业务品种的条件、要求和审批程序。第三章风险管理,规定了电子银行战略风险、信誉风险、运营风险、法律风险、信用风险、市场风险等风险管理的基本原则和方法,明确了电子银行风险管理体系和内控制度建设、授权管理机制等要求。第四章数据交换转移管理,规定了电子银行数据转移的条件和管理方式。第五章业务外包管理,规定了电子银行业务外包和选择外包方的基本要求,以及对业务外包风险的管理原则。第六章跨境业务活动管理,界定了跨境业务活动的范围,明确了开展跨境业务活动的要求。第七章电子银行业务的监督检查,规定了电子银行业务日常监管的基本要求。第八章法律责任。第九章附则。
《指引》共有5章57条。
第一章总则,界定了电子银行安全评估的含义,以及电子银行安全评估管理的基本原则。第二章安全评估机构,说明了可以从事电子银行安全评估的机构种类、条件,以及有关资质认定的规定。第三章安全评估的实施,说明了电子银行安全评估应遵守的基本流程、评估内容和评估方式。第四章安全评估活动的管理,说明了涉及电子银行安全评估的各类相关机构,在电子银行安全评估过程中应遵守的要求。第五章附则,对《指引》的其他相关问题进行了解释说明。
问:电子银行的运行具有全天候、无疆界的特点,因此各国对电子银行的管理都比较注重与国际标准的衔接问题。《办法》和《指引》在这些方面有哪些体现?
答:电子银行的监管,既要立足于国内电子银行业务发展和管理的实际,遵照国家法律的有关规定,也需要积极借鉴境外电子银行监管良好做法,符合电子银行技术和信息安全的国际准则。
银监会在制定《办法》和《指引》的过程中,研究和参考了大量境外相关机构的有关规定,在电子银行监管方式、信息技术标准、监管原则等方面基本实现了国际接轨。
《办法》主要借鉴了巴塞尔银行监管委员会的《电子银行业务风险管理原则》,美国货币监理署(OCC)的《电子银行最终规则》(Electronic Banking:Final Rule)、《规则E:电子资金转移法》(Regulation E /Electronic Funds Transfer Act)、《电子通道信息披露统一标准:规则M、Z、B、E和DD》(Uniform Standards for the Electronic Delivery of Disclosures:Regulations M、Z、B、E and DD)、《网络银行检查手册》(Examination Handbook on Internet Banking)等,欧洲银行标准委员会的《电子银行》报告,以及香港金融管理局的《电子银行服务的安全风险管理》等国际金融机构和境外监管机构的有关监管规定和规则,总结了近几年来我国电子银行发展与监管的经验和问题,侧重于切实提高商业银行等金融机构自身的电子银行风险管理能力和监管机构对电子银行风险状况的及时监测与评估能力,提高电子银行监管的针对性和可操作性。
《指引》主要借鉴了《信息安全管理实务准则》(ISO17799)、《信息技术安全性评估准则》(GB/T18336.1)、《计算机信息系统安全保护等级划分准则》(GB17859)、《计算机信息系统安全专用产品分类原则》、《交易性电子银行业务安全性独立评估指引》(香港金融管理局)、《电子银行风险管理原则》(巴塞尔银行管理委员会)等相关准则和规定。
问:《办法》对电子银行是如何界定的?自助银行、ATM机、POS机等是否也可以按照《办法》进行管理?
答:不同国家对电子银行的定义有所不同,但总的来看,一般是将利用互联网(包括无线网络)、电信网络、有线电视网络等开放型网络提供的银行服务,纳入电子银行的范畴之内。考虑到我国电子银行发展的实际情况和相关法律法规的规定,《办法》规定,“本办法所称电子银行业务,是指商业银行等银行业金融机构利用面向社会公众开放的通讯通道或开放型公众网络,以及银行为特定自助服务设施或客户建立的专用网络,向客户提供的银行服务”。
具体而言,可以分为两大部分:一是网上银行、电话银行和手机银行,二是其他利用电子服务设备和网络,由客户通过自助服务方式完成金融交易的银行业务,包括自助银行、ATM机等。但由于自助银行和电子银行外部服务设施的管理,已经有相关规定,为保持相关规章制度的连续性和稳定性,《办法》对自助银行和电子银行外部服务设施的管理分成了两个层面:一是在业务管理层面,仍按原有的管理规定执行;二是在安全和技术风险等风险管理层面,参照本办法。即“银行业金融机构利用为特定自助服务设施或客户建立的专用网络提供的银行业务,有相关业务管理规定的,遵照其规定,但网络安全、技术风险等管理应参照本办法的有关规定;没有相关业务规定的,遵照本办法”。
问:我们注意到《办法》对电子银行业务的审批方式进行了调整,请问主要原因是什么?
答:《暂行办法》规定:“政策性银行、中资商业银行(城市商业银行除外)、合资银行、外资银行获准开办网上银行业务后,若需增加网上银行业务经营品种,应由其总行统一报中国人民银行总行审查;外国银行分行获准开办网上银行业务后,若需增加新的网上银行业务品种,应由该分行在中华人民共和国境内的主报告行统一报中国人民银行总行审查。城市商业银行若需增加网上银行业务经营品种,应由其总行统一报中国人民银行当地分行、营业管理部审查”。
从电子银行近年来的监管实践看,上述规定虽然有利于减轻监管部门总部审批工作的压力,增强监管部门分支机构的监管责任,但由于大银行、小银行使用的电子银行系统和网络设施性质一样,而监管部门总部与其分支机构之间在监管人员配置、专业技能等方面有明显差距,致使对于相同性质的网上银行系统采用了不同的审批尺度,导致一些地区网上银行问题较多,反而不利于监管效率的提高。为此,在本办法中,未再按照国有、股份制和城市商业银行的分类办法设计审批权限,而是依据商业银行是否实现了数据集中处理,是否开展全国性业务设定审批权限。
《办法》规定:业务经营活动不受地域限制的银行业金融机构(简称“全国性金融机构”),申请开办电子银行或增加、变更需要申请批准的电子银行业务种类,应由其总行(公司)统一向中国银监会申请。按照有关规定只能在某一城市或地区内从事业务经营活动的银行业金融机构(简称“地区性金融机构”),申请开办电子银行或增加、变更需要申请批准的电子银行业务种类,应由其法人机构向所在地中国银监会派出机构申请。如果全国性金融机构的分支机构使用单独的电子银行系统,该分支机构开办电子银行视同地区性金融机构,由所在地银监会派出机构审批。外资金融机构的有关审批方式基本未变。
这种调整一是有利于简化审批手续,为电子银行的健康有序发展创造良好的外部监管环境;二是有利于加强电子银行总体风险管理和安全管理,更加有效地利用监管资源。
问:电子银行安全评估机构在实施安全评估之前,一定要经过中国银监会的资质认定吗?
答:金融机构电子银行安全评估工作,应当由符合一定资质条件、具备相应评估能力的评估机构实施。为保证相关评估机构具备相应的资质,中国银监会利用其掌握的专家资源和专业经验,开展对评估机构电子银行安全评估业务资格的认定工作。但银监会对安全评估机构资质的认定,不同于行业准入或企业准入资格性质的行政许可,不是评估机构开展电子银行安全评估业务的必要条件,只作为金融机构选择评估机构时的参考。
只要安全评估机构符合有关条件和要求,即使没有经过银监会的资质认定,金融机构也可以聘请其实施电子银行安全评估,但应按照有关规定进行管理。
问:中国银监会对于进一步加强电子银行业务的监管,有什么打算?
答:发展电子银行业务,不仅能提高商业银行形象、树立银行品牌、吸引高端客户、扩大市场份额、提高经营效率,更重要的是现代金融创新往往与电子银行结合在一起,电子银行平台已经成为金融创新的基础平台。而创新关系到银行的生存与发展,关系到银行核心竞争力的形成,也关系到一国金融业的风险控制与分散、吸收能力。制定《办法》和《指引》的目的,就是要在规范电子银行业务发展的基础上,进一步促进电子银行业务的健康、有序发展,保护客户的合法权益。
《办法》和《指引》实施后,中国银监会将根据我国商业银行电子银行业务发展与管理的实际需要,继续做好以下几项工作:
一是加强电子银行发展的科学规划,提高电子银行的经营管理水平;
二是针对电子银行经营管理的特点,积极引导商业银行重新整合业务流程,提高电子银行的运行效率;
三是加大电子银行创新力度,开发适合银行经营特点和客户需求的产品与服务,提高对技术创新和知识产权的法律保护意识;
四是加强电子银行发展的行业协调,提高总体发展效率。