銀監(jiān)會新聞發(fā)言人就《電子銀行業(yè)務(wù)管理辦法》和《電子銀行安全評估指引》答記者問
近日,中國銀監(jiān)會發(fā)布了《電子銀行業(yè)務(wù)管理辦法》(以下簡稱《辦法》)和《電子銀行安全評估指引》(以下簡稱《指引》),將于2006年3月1日起開始施行。銀監(jiān)會新聞發(fā)言人就《辦法》和《指引》的有關(guān)問題回答了記者提問。
問:銀監(jiān)會為什么要制定《辦法》?
答:90年代以來,隨著國際上電子銀行的興起,我國商業(yè)銀行的電子銀行業(yè)務(wù)迅速發(fā)展。為規(guī)范商業(yè)銀行利用互聯(lián)網(wǎng)開展銀行業(yè)務(wù),2001年6月,中國人民銀行制定頒布了《網(wǎng)上銀行業(yè)務(wù)管理暫行辦法》(中國人民銀行令[2001]第6號,以下簡稱《暫行辦法》)。
《暫行辦法》的頒布對于加強商業(yè)銀行網(wǎng)上銀行業(yè)務(wù)的管理,起到了積極的作用。但是,隨著商業(yè)銀行電子銀行業(yè)務(wù)的不斷發(fā)展,《暫行辦法》已經(jīng)不能適應(yīng)電子銀行風(fēng)險監(jiān)管的要求。由于發(fā)布《暫行辦法》時,我國電子銀行的發(fā)展與監(jiān)管都處于探索時期,對電子銀行業(yè)務(wù)的整體發(fā)展研究還有待于深入。因此,《暫行辦法》主要著眼于網(wǎng)上銀行的監(jiān)管,只對商業(yè)銀行利用互聯(lián)網(wǎng)開展銀行業(yè)務(wù)進行了初步規(guī)范,而沒有涉及利用同一平臺開展的手機銀行業(yè)務(wù)、個人數(shù)字輔助(PDA)銀行業(yè)務(wù)等的監(jiān)管與規(guī)范。《暫行辦法》僅對網(wǎng)上銀行業(yè)務(wù)(Online Banking)進行規(guī)范,一方面導(dǎo)致對同一電子銀行平臺上相同風(fēng)險的監(jiān)管,因客戶所使用的設(shè)備不同而產(chǎn)生差異,監(jiān)管網(wǎng)上銀行有依據(jù),而監(jiān)管其他類似銀行業(yè)務(wù)“無法可依”,不利于真正控制電子銀行的風(fēng)險;另一方面《暫行辦法》也與國際上以網(wǎng)絡(luò)銀行(Internet Banking)或電子銀行(Electronic Banking, E-Banking)作為法律規(guī)范對象的通常做法差異較大,不利于跨境電子銀行業(yè)務(wù)的監(jiān)管。
同時,《暫行辦法》頒布時,商業(yè)銀行的信息化正處于從初級水平向中級水平過渡的階段。2002年以后,商業(yè)銀行業(yè)務(wù)信息化進程加快,四家國有銀行和大部分股份制銀行都已制定了數(shù)據(jù)大集中計劃,工商銀行已經(jīng)實現(xiàn)了全國數(shù)據(jù)集中。實現(xiàn)數(shù)據(jù)大集中后,商業(yè)銀行的風(fēng)險管理和監(jiān)管方式發(fā)生了較大變化,電子銀行業(yè)務(wù)的運作方式和管理方式也隨之發(fā)生了改變,監(jiān)管規(guī)章相應(yīng)地需要根據(jù)電子銀行業(yè)務(wù)發(fā)展的新情況加以調(diào)整和修改。
因此,為有效控制電子銀行業(yè)務(wù)風(fēng)險,需要盡快完善電子銀行業(yè)務(wù)的監(jiān)管規(guī)章體系,銀監(jiān)會在認真分析總結(jié)我國商業(yè)銀行電子銀行業(yè)務(wù)發(fā)展的基礎(chǔ)上,結(jié)合我國現(xiàn)有金融法律制度,借鑒了境外有關(guān)機構(gòu)對電子銀行業(yè)務(wù)的監(jiān)管經(jīng)驗,制定了《辦法》和《指引》。
問:對電子銀行的監(jiān)管,為什么在制定《辦法》的同時,還需要制定有關(guān)電子銀行安全評估的《指引》?
答:電子銀行業(yè)務(wù)不同于傳統(tǒng)銀行業(yè)務(wù),電子銀行業(yè)務(wù)實際上是為商業(yè)銀行等金融機構(gòu)開展其他業(yè)務(wù)、銷售產(chǎn)品與服務(wù)提供了一個電子網(wǎng)絡(luò)平臺,并可以在此基礎(chǔ)上構(gòu)成可獨立存在的業(yè)務(wù)品種。作為銀行業(yè)務(wù)運行的平臺,電子銀行的安全性和可靠性的要求較高,其風(fēng)險超出了傳統(tǒng)意義上金融風(fēng)險的概念,電子銀行的風(fēng)險不僅包括傳統(tǒng)意義上的金融風(fēng)險,還包括技術(shù)風(fēng)險等。同時,銀行風(fēng)險已不僅來源于銀行與客戶之間的互動關(guān)系,很大程度與第三方行為有關(guān)。因此,提高電子銀行的安全管理水平,是電子銀行發(fā)展和監(jiān)管需要解決的主要問題之一。
由于電子銀行的安全和技術(shù)風(fēng)險,在相當程度上取決于采用的信息技術(shù)的先進程度,系統(tǒng)的設(shè)計開發(fā)水平,以及相關(guān)設(shè)施設(shè)備及其供應(yīng)商的選擇等,銀行依靠傳統(tǒng)的風(fēng)險管理機制已很難識別、監(jiān)測、控制和管理相關(guān)風(fēng)險。同樣,監(jiān)管機構(gòu)也難以完全依靠自身的力量對電子銀行的安全性進行準確評價和監(jiān)控。因此,大部分國家都采用了依靠外部專業(yè)化機構(gòu)定期對電子銀行的安全性進行評估的辦法,提高對電子銀行安全性和技術(shù)風(fēng)險的管理和監(jiān)管。
依賴外部專業(yè)化機構(gòu)對電子銀行實施安全評估,必須要有相關(guān)的標準和要求,否則外部評估活動就可能流于形式。《指引》制定的目的,就是要規(guī)范電子銀行安全評估活動,加強電子銀行業(yè)務(wù)的安全與風(fēng)險管理,保證電子銀行安全評估的客觀性、及時性、全面性和有效性。
問:《辦法》和《指引》的主要內(nèi)容是什么?
答:《辦法》共9章99條。
第一章總則,明確界定了電子銀行的概念和范圍,將電話銀行、網(wǎng)上銀行、手機銀行等統(tǒng)一到電子銀行的監(jiān)管范疇之中,并規(guī)定了《辦法》的適用范圍及開展電子銀行業(yè)務(wù)的基本原則。第二章申請與變更,規(guī)定了金融機構(gòu)申請開辦電子銀行業(yè)務(wù),或者變更電子銀行業(yè)務(wù)品種的條件、要求和審批程序。第三章風(fēng)險管理,規(guī)定了電子銀行戰(zhàn)略風(fēng)險、信譽風(fēng)險、運營風(fēng)險、法律風(fēng)險、信用風(fēng)險、市場風(fēng)險等風(fēng)險管理的基本原則和方法,明確了電子銀行風(fēng)險管理體系和內(nèi)控制度建設(shè)、授權(quán)管理機制等要求。第四章數(shù)據(jù)交換轉(zhuǎn)移管理,規(guī)定了電子銀行數(shù)據(jù)轉(zhuǎn)移的條件和管理方式。第五章業(yè)務(wù)外包管理,規(guī)定了電子銀行業(yè)務(wù)外包和選擇外包方的基本要求,以及對業(yè)務(wù)外包風(fēng)險的管理原則。第六章跨境業(yè)務(wù)活動管理,界定了跨境業(yè)務(wù)活動的范圍,明確了開展跨境業(yè)務(wù)活動的要求。第七章電子銀行業(yè)務(wù)的監(jiān)督檢查,規(guī)定了電子銀行業(yè)務(wù)日常監(jiān)管的基本要求。第八章法律責任。第九章附則。
《指引》共有5章57條。
第一章總則,界定了電子銀行安全評估的含義,以及電子銀行安全評估管理的基本原則。第二章安全評估機構(gòu),說明了可以從事電子銀行安全評估的機構(gòu)種類、條件,以及有關(guān)資質(zhì)認定的規(guī)定。第三章安全評估的實施,說明了電子銀行安全評估應(yīng)遵守的基本流程、評估內(nèi)容和評估方式。第四章安全評估活動的管理,說明了涉及電子銀行安全評估的各類相關(guān)機構(gòu),在電子銀行安全評估過程中應(yīng)遵守的要求。第五章附則,對《指引》的其他相關(guān)問題進行了解釋說明。
問:電子銀行的運行具有全天候、無疆界的特點,因此各國對電子銀行的管理都比較注重與國際標準的銜接問題。《辦法》和《指引》在這些方面有哪些體現(xiàn)?
答:電子銀行的監(jiān)管,既要立足于國內(nèi)電子銀行業(yè)務(wù)發(fā)展和管理的實際,遵照國家法律的有關(guān)規(guī)定,也需要積極借鑒境外電子銀行監(jiān)管良好做法,符合電子銀行技術(shù)和信息安全的國際準則。
銀監(jiān)會在制定《辦法》和《指引》的過程中,研究和參考了大量境外相關(guān)機構(gòu)的有關(guān)規(guī)定,在電子銀行監(jiān)管方式、信息技術(shù)標準、監(jiān)管原則等方面基本實現(xiàn)了國際接軌。
《辦法》主要借鑒了巴塞爾銀行監(jiān)管委員會的《電子銀行業(yè)務(wù)風(fēng)險管理原則》,美國貨幣監(jiān)理署(OCC)的《電子銀行最終規(guī)則》(Electronic Banking:Final Rule)、《規(guī)則E:電子資金轉(zhuǎn)移法》(Regulation E /Electronic Funds Transfer Act)、《電子通道信息披露統(tǒng)一標準:規(guī)則M、Z、B、E和DD》(Uniform Standards for the Electronic Delivery of Disclosures:Regulations M、Z、B、E and DD)、《網(wǎng)絡(luò)銀行檢查手冊》(Examination Handbook on Internet Banking)等,歐洲銀行標準委員會的《電子銀行》報告,以及香港金融管理局的《電子銀行服務(wù)的安全風(fēng)險管理》等國際金融機構(gòu)和境外監(jiān)管機構(gòu)的有關(guān)監(jiān)管規(guī)定和規(guī)則,總結(jié)了近幾年來我國電子銀行發(fā)展與監(jiān)管的經(jīng)驗和問題,側(cè)重于切實提高商業(yè)銀行等金融機構(gòu)自身的電子銀行風(fēng)險管理能力和監(jiān)管機構(gòu)對電子銀行風(fēng)險狀況的及時監(jiān)測與評估能力,提高電子銀行監(jiān)管的針對性和可操作性。
《指引》主要借鑒了《信息安全管理實務(wù)準則》(ISO17799)、《信息技術(shù)安全性評估準則》(GB/T18336.1)、《計算機信息系統(tǒng)安全保護等級劃分準則》(GB17859)、《計算機信息系統(tǒng)安全專用產(chǎn)品分類原則》、《交易性電子銀行業(yè)務(wù)安全性獨立評估指引》(香港金融管理局)、《電子銀行風(fēng)險管理原則》(巴塞爾銀行管理委員會)等相關(guān)準則和規(guī)定。
問:《辦法》對電子銀行是如何界定的?自助銀行、ATM機、POS機等是否也可以按照《辦法》進行管理?
答:不同國家對電子銀行的定義有所不同,但總的來看,一般是將利用互聯(lián)網(wǎng)(包括無線網(wǎng)絡(luò))、電信網(wǎng)絡(luò)、有線電視網(wǎng)絡(luò)等開放型網(wǎng)絡(luò)提供的銀行服務(wù),納入電子銀行的范疇之內(nèi)。考慮到我國電子銀行發(fā)展的實際情況和相關(guān)法律法規(guī)的規(guī)定,《辦法》規(guī)定,“本辦法所稱電子銀行業(yè)務(wù),是指商業(yè)銀行等銀行業(yè)金融機構(gòu)利用面向社會公眾開放的通訊通道或開放型公眾網(wǎng)絡(luò),以及銀行為特定自助服務(wù)設(shè)施或客戶建立的專用網(wǎng)絡(luò),向客戶提供的銀行服務(wù)”。
具體而言,可以分為兩大部分:一是網(wǎng)上銀行、電話銀行和手機銀行,二是其他利用電子服務(wù)設(shè)備和網(wǎng)絡(luò),由客戶通過自助服務(wù)方式完成金融交易的銀行業(yè)務(wù),包括自助銀行、ATM機等。但由于自助銀行和電子銀行外部服務(wù)設(shè)施的管理,已經(jīng)有相關(guān)規(guī)定,為保持相關(guān)規(guī)章制度的連續(xù)性和穩(wěn)定性,《辦法》對自助銀行和電子銀行外部服務(wù)設(shè)施的管理分成了兩個層面:一是在業(yè)務(wù)管理層面,仍按原有的管理規(guī)定執(zhí)行;二是在安全和技術(shù)風(fēng)險等風(fēng)險管理層面,參照本辦法。即“銀行業(yè)金融機構(gòu)利用為特定自助服務(wù)設(shè)施或客戶建立的專用網(wǎng)絡(luò)提供的銀行業(yè)務(wù),有相關(guān)業(yè)務(wù)管理規(guī)定的,遵照其規(guī)定,但網(wǎng)絡(luò)安全、技術(shù)風(fēng)險等管理應(yīng)參照本辦法的有關(guān)規(guī)定;沒有相關(guān)業(yè)務(wù)規(guī)定的,遵照本辦法”。
問:我們注意到《辦法》對電子銀行業(yè)務(wù)的審批方式進行了調(diào)整,請問主要原因是什么?
答:《暫行辦法》規(guī)定:“政策性銀行、中資商業(yè)銀行(城市商業(yè)銀行除外)、合資銀行、外資銀行獲準開辦網(wǎng)上銀行業(yè)務(wù)后,若需增加網(wǎng)上銀行業(yè)務(wù)經(jīng)營品種,應(yīng)由其總行統(tǒng)一報中國人民銀行總行審查;外國銀行分行獲
