|
近日,中國銀監會發布了《電子銀行業務管理辦法》(以下簡稱《辦法》)和《電子銀行安全評估指引》(以下簡稱《指引》),將於2006年3月1日起開始施行。銀監會新聞發言人就《辦法》和《指引》的有關問題回答了記者提問。
問:銀監會爲什麼要制定《辦法》?
答:90年代以來,隨着國際上電子銀行的興起,我國商業銀行的電子銀行業務迅速發展。爲規範商業銀行利用互聯網開展銀行業務,2001年6月,中國人民銀行制定頒佈了《網上銀行業務管理暫行辦法》(中國人民銀行令[2001]第6號,以下簡稱《暫行辦法》)。
《暫行辦法》的頒佈對於加強商業銀行網上銀行業務的管理,起到了積極的作用。但是,隨着商業銀行電子銀行業務的不斷髮展,《暫行辦法》已經不能適應電子銀行風險監管的要求。由於發佈《暫行辦法》時,我國電子銀行的發展與監管都處於探索時期,對電子銀行業務的整體發展研究還有待於深入。因此,《暫行辦法》主要着眼於網上銀行的監管,只對商業銀行利用互聯網開展銀行業務進行了初步規範,而沒有涉及利用同一平臺開展的手機銀行業務、個人數字輔助(PDA)銀行業務等的監管與規範。《暫行辦法》僅對網上銀行業務(Online Banking)進行規範,一方面導致對同一電子銀行平臺上相同風險的監管,因客戶所使用的設備不同而產生差異,監管網上銀行有依據,而監管其他類似銀行業務“無法可依”,不利於真正控制電子銀行的風險;另一方面《暫行辦法》也與國際上以網絡銀行(Internet Banking)或電子銀行(Electronic Banking, E-Banking)作爲法律規範對象的通常做法差異較大,不利於跨境電子銀行業務的監管。
同時,《暫行辦法》頒佈時,商業銀行的信息化正處於從初級水平向中級水平過渡的階段。2002年以後,商業銀行業務信息化進程加快,四家國有銀行和大部分股份制銀行都已制定了數據大集中計劃,工商銀行已經實現了全國數據集中。實現數據大集中後,商業銀行的風險管理和監管方式發生了較大變化,電子銀行業務的運作方式和管理方式也隨之發生了改變,監管規章相應地需要根據電子銀行業務發展的新情況加以調整和修改。
因此,爲有效控制電子銀行業務風險,需要儘快完善電子銀行業務的監管規章體系,銀監會在認真分析總結我國商業銀行電子銀行業務發展的基礎上,結合我國現有金融法律制度,借鑑了境外有關機構對電子銀行業務的監管經驗,制定了《辦法》和《指引》。
問:對電子銀行的監管,爲什麼在制定《辦法》的同時,還需要制定有關電子銀行安全評估的《指引》?
答:電子銀行業務不同於傳統銀行業務,電子銀行業務實際上是爲商業銀行等金融機構開展其他業務、銷售產品與服務提供了一個電子網絡平臺,並可以在此基礎上構成可獨立存在的業務品種。作爲銀行業務運行的平臺,電子銀行的安全性和可靠性的要求較高,其風險超出了傳統意義上金融風險的概念,電子銀行的風險不僅包括傳統意義上的金融風險,還包括技術風險等。同時,銀行風險已不僅來源於銀行與客戶之間的互動關係,很大程度與第三方行爲有關。因此,提高電子銀行的安全管理水平,是電子銀行發展和監管需要解決的主要問題之一。
由於電子銀行的安全和技術風險,在相當程度上取決於採用的信息技術的先進程度,系統的設計開發水平,以及相關設施設備及其供應商的選擇等,銀行依靠傳統的風險管理機制已很難識別、監測、控制和管理相關風險。同樣,監管機構也難以完全依靠自身的力量對電子銀行的安全性進行準確評價和監控。因此,大部分國家都採用了依靠外部專業化機構定期對電子銀行的安全性進行評估的辦法,提高對電子銀行安全性和技術風險的管理和監管。
依賴外部專業化機構對電子銀行實施安全評估,必須要有相關的標準和要求,否則外部評估活動就可能流於形式。《指引》制定的目的,就是要規範電子銀行安全評估活動,加強電子銀行業務的安全與風險管理,保證電子銀行安全評估的客觀性、及時性、全面性和有效性。
問:《辦法》和《指引》的主要內容是什麼?
答:《辦法》共9章99條。
第一章總則,明確界定了電子銀行的概念和範圍,將電話銀行、網上銀行、手機銀行等統一到電子銀行的監管範疇之中,並規定了《辦法》的適用範圍及開展電子銀行業務的基本原則。第二章申請與變更,規定了金融機構申請開辦電子銀行業務,或者變更電子銀行業務品種的條件、要求和審批程序。第三章風險管理,規定了電子銀行戰略風險、信譽風險、運營風險、法律風險、信用風險、市場風險等風險管理的基本原則和方法,明確了電子銀行風險管理體系和內控制度建設、授權管理機制等要求。第四章數據交換轉移管理,規定了電子銀行數據轉移的條件和管理方式。第五章業務外包管理,規定了電子銀行業務外包和選擇外包方的基本要求,以及對業務外包風險的管理原則。第六章跨境業務活動管理,界定了跨境業務活動的範圍,明確了開展跨境業務活動的要求。第七章電子銀行業務的監督檢查,規定了電子銀行業務日常監管的基本要求。第八章法律責任。第九章附則。
《指引》共有5章57條。
第一章總則,界定了電子銀行安全評估的含義,以及電子銀行安全評估管理的基本原則。第二章安全評估機構,說明了可以從事電子銀行安全評估的機構種類、條件,以及有關資質認定的規定。第三章安全評估的實施,說明了電子銀行安全評估應遵守的基本流程、評估內容和評估方式。第四章安全評估活動的管理,說明了涉及電子銀行安全評估的各類相關機構,在電子銀行安全評估過程中應遵守的要求。第五章附則,對《指引》的其他相關問題進行了解釋說明。
問:電子銀行的運行具有全天候、無疆界的特點,因此各國對電子銀行的管理都比較注重與國際標準的銜接問題。《辦法》和《指引》在這些方面有哪些體現?
答:電子銀行的監管,既要立足於國內電子銀行業務發展和管理的實際,遵照國家法律的有關規定,也需要積極借鑑境外電子銀行監管良好做法,符合電子銀行技術和信息安全的國際準則。
銀監會在制定《辦法》和《指引》的過程中,研究和參考了大量境外相關機構的有關規定,在電子銀行監管方式、信息技術標準、監管原則等方面基本實現了國際接軌。
《辦法》主要借鑑了巴塞爾銀行監管委員會的《電子銀行業務風險管理原則》,美國貨幣監理署(OCC)的《電子銀行最終規則》(Electronic Banking:Final Rule)、《規則E:電子資金轉移法》(Regulation E /Electronic Funds Transfer Act)、《電子通道信息披露統一標準:規則M、Z、B、E和DD》(Uniform Standards for the Electronic Delivery of Disclosures:Regulations M、Z、B、E and DD)、《網絡銀行檢查手冊》(Examination Handbook on Internet Banking)等,歐洲銀行標準委員會的《電子銀行》報告,以及香港金融管理局的《電子銀行服務的安全風險管理》等國際金融機構和境外監管機構的有關監管規定和規則,總結了近幾年來我國電子銀行發展與監管的經驗和問題,側重於切實提高商業銀行等金融機構自身的電子銀行風險管理能力和監管機構對電子銀行風險狀況的及時監測與評估能力,提高電子銀行監管的針對性和可操作性。
《指引》主要借鑑了《信息安全管理實務準則》(ISO17799)、《信息技術安全性評估準則》(GB/T18336.1)、《計算機信息系統安全保護等級劃分準則》(GB17859)、《計算機信息系統安全專用產品分類原則》、《交易性電子銀行業務安全性獨立評估指引》(香港金融管理局)、《電子銀行風險管理原則》(巴塞爾銀行管理委員會)等相關準則和規定。
問:《辦法》對電子銀行是如何界定的?自助銀行、ATM機、POS機等是否也可以按照《辦法》進行管理?
答:不同國家對電子銀行的定義有所不同,但總的來看,一般是將利用互聯網(包括無線網絡)、電信網絡、有線電視網絡等開放型網絡提供的銀行服務,納入電子銀行的範疇之內。考慮到我國電子銀行發展的實際情況和相關法律法規的規定,《辦法》規定,“本辦法所稱電子銀行業務,是指商業銀行等銀行業金融機構利用面向社會公衆開放的通訊通道或開放型公衆網絡,以及銀行爲特定自助服務設施或客戶建立的專用網絡,向客戶提供的銀行服務”。
具體而言,可以分爲兩大部分:一是網上銀行、電話銀行和手機銀行,二是其他利用電子服務設備和網絡,由客戶通過自助服務方式完成金融交易的銀行業務,包括自助銀行、ATM機等。但由於自助銀行和電子銀行外部服務設施的管理,已經有相關規定,爲保持相關規章制度的連續性和穩定性,《辦法》對自助銀行和電子銀行外部服務設施的管理分成了兩個層面:一是在業務管理層面,仍按原有的管理規定執行;二是在安全和技術風險等風險管理層面,參照本辦法。即“銀行業金融機構利用爲特定自助服務設施或客戶建立的專用網絡提供的銀行業務,有相關業務管理規定的,遵照其規定,但網絡安全、技術風險等管理應參照本辦法的有關規定;沒有相關業務規定的,遵照本辦法”。
問:我們注意到《辦法》對電子銀行業務的審批方式進行了調整,請問主要原因是什麼?
答:《暫行辦法》規定:“政策性銀行、中資商業銀行(城市商業銀行除外)、合資銀行、外資銀行獲准開辦網上銀行業務後,若需增加網上銀行業務經營品種,應由其總行統一報中國人民銀行總行審查;外國銀行分行獲准開辦網上銀行業務後,若需增加新的網上銀行業務品種,應由該分行在中華人民共和國境內的主報告行統一報中國人民銀行總行審查。城市商業銀行若需增加網上銀行業務經營品種,應由其總行統一報中國人民銀行當地分行、營業管理部審查”。
從電子銀行近年來的監管實踐看,上述規定雖然有利於減輕監管部門總部審批工作的壓力,增強監管部門分支機構的監管責任,但由於大銀行、小銀行使用的電子銀行系統和網絡設施性質一樣,而監管部門總部與其分支機構之間在監管人員配置、專業技能等方面有明顯差距,致使對於相同性質的網上銀行系統採用了不同的審批尺度,導致一些地區網上銀行問題較多,反而不利於監管效率的提高。爲此,在本辦法中,未再按照國有、股份制和城市商業銀行的分類辦法設計審批權限,而是依據商業銀行是否實現了數據集中處理,是否開展全國性業務設定審批權限。
《辦法》規定:業務經營活動不受地域限制的銀行業金融機構(簡稱“全國性金融機構”),申請開辦電子銀行或增加、變更需要申請批准的電子銀行業務種類,應由其總行(公司)統一向中國銀監會申請。按照有關規定只能在某一城市或地區內從事業務經營活動的銀行業金融機構(簡稱“地區性金融機構”),申請開辦電子銀行或增加、變更需要申請批准的電子銀行業務種類,應由其法人機構向所在地中國銀監會派出機構申請。如果全國性金融機構的分支機構使用單獨的電子銀行系統,該分支機構開辦電子銀行視同地區性金融機構,由所在地銀監會派出機構審批。外資金融機構的有關審批方式基本未變。
這種調整一是有利於簡化審批手續,爲電子銀行的健康有序發展創造良好的外部監管環境;二是有利於加強電子銀行總體風險管理和安全管理,更加有效地利用監管資源。
問:電子銀行安全評估機構在實施安全評估之前,一定要經過中國銀監會的資質認定嗎?
答:金融機構電子銀行安全評估工作,應當由符合一定資質條件、具備相應評估能力的評估機構實施。爲保證相關評估機構具備相應的資質,中國銀監會利用其掌握的專家資源和專業經驗,開展對評估機構電子銀行安全評估業務資格的認定工作。但銀監會對安全評估機構資質的認定,不同於行業准入或企業准入資格性質的行政許可,不是評估機構開展電子銀行安全評估業務的必要條件,只作爲金融機構選擇評估機構時的參考。
只要安全評估機構符合有關條件和要求,即使沒有經過銀監會的資質認定,金融機構也可以聘請其實施電子銀行安全評估,但應按照有關規定進行管理。
問:中國銀監會對於進一步加強電子銀行業務的監管,有什麼打算?
答:發展電子銀行業務,不僅能提高商業銀行形象、樹立銀行品牌、吸引高端客戶、擴大市場份額、提高經營效率,更重要的是現代金融創新往往與電子銀行結合在一起,電子銀行平臺已經成爲金融創新的基礎平臺。而創新關係到銀行的生存與發展,關係到銀行核心競爭力的形成,也關係到一國金融業的風險控制與分散、吸收能力。制定《辦法》和《指引》的目的,就是要在規範電子銀行業務發展的基礎上,進一步促進電子銀行業務的健康、有序發展,保護客戶的合法權益。
《辦法》和《指引》實施後,中國銀監會將根據我國商業銀行電子銀行業務發展與管理的實際需要,繼續做好以下幾項工作:
一是加強電子銀行發展的科學規劃,提高電子銀行的經營管理水平;
二是針對電子銀行經營管理的特點,積極引導商業銀行重新整合業務流程,提高電子銀行的運行效率;
三是加大電子銀行創新力度,開發適合銀行經營特點和客戶需求的產品與服務,提高對技術創新和知識產權的法律保護意識;
四是加強電子銀行發展的行業協調,提高總體發展效率。
|
