有效控制电子银行业务风险

　　银监会新闻发言人就《电子银行业务管理办法》和《电子银行安全评估指引》答记者问

　　近日，中国银监会发布了《电子银行业务管理办法》(以下简称《办法》)和《电子银行安全评估指引》(以下简称《指引》)。银监会新闻发言人就《办法》和《指引》的有关问题回答了记者提问。

　　问：银监会为什么要制定《办法》？

　　答：90年代以来，随着国际上电子银行的兴起，我国商业银行的电子银行业务迅速发展。为规范商业银行利用互联网开展银行业务，2001年6月，中国人民银行制定颁布了《网上银行业务管理暂行办法》(以下简称《暂行办法》)。

　　《暂行办法》的颁布对于加强商业银行网上银行业务的管理，起到了积极的作用。但是，随着商业银行电子银行业务的不断发展，《暂行办法》已经不能适应电子银行风险监管的要求。由于发布《暂行办法》时，我国电子银行的发展与监管都处于探索时期，《暂行办法》主要着眼于网上银行的监管。因此，一方面，导致对同一电子银行平台上相同风险的监管，因客户所使用的设备不同而产生差异，监管网上银行有依据，而监管其他类似银行业务“无法可依”，不利于真正控制电子银行的风险；另一方面，《暂行办法》也与国际上以网络银行或电子银行作为法律规范对象的通常做法差异较大，不利于跨境电子银行业务的监管。

　　另外，《暂行办法》颁布时，商业银行的信息化正处于从初级水平向中级水平过渡的阶段。2002年以后，商业银行业务信息化进程加快，实现数据大集中后，商业银行的风险管理和监管方式发生了较大变化，电子银行业务的运作方式和管理方式也随之发生了改变，监管规章相应地需要加以调整和修改。

　　因此，为有效控制电子银行业务风险，需要尽快完善电子银行业务的监管规章体系，银监会在认真分析总结我国商业银行电子银行业务发展的基础上，结合我国现有金融法律制度，借鉴境外有关机构对电子银行业务的监管经验，制定了《办法》。

　　问：对电子银行的监管，为什么在制定《办法》的同时，还需要制定有关电子银行安全评估的《指引》？

　　答：作为银行业务运行的平台，电子银行的安全性和可靠性的要求较高，其风险不仅包括传统意义上的金融风险，还包括技术风险等。同时，银行风险已不仅来源于银行与客户之间的互动关系，很大程度还与第三方行为有关。因此，提高电子银行的安全管理水平，是电子银行发展和监管需要解决的主要问题之一。

　　由于电子银行的安全和技术风险，在相当程度上取决于采用的信息技术的先进程度、系统的设计开发水平、以及相关设施设备及其供应商的选择等，银行依靠传统的风险管理机制已很难识别、监测、控制和管理相关风险。同样，监管机构也难以完全依靠自身的力量对电子银行的安全性进行准确评价和监控。因此，大部分国家都采用了依靠外部专业化机构定期对电子银行的安全性进行评估的办法，提高对电子银行安全性和技术风险的管理和监管。

　　依赖外部专业化机构对电子银行实施安全评估，必须要有相关的标准和要求，否则外部评估活动就可能流于形式。《指引》制定的目的，就是要规范电子银行安全评估活动，加强电子银行业务的安全与风险管理，保证电子银行安全评估的客观性、及时性、全面性和有效性。

　　问：电子银行的运行具有全天候、无疆界的特点，因此各国对电子银行的管理都比较注重与国际标准的衔接问题。《办法》和《指引》在这些方面有哪些体现？

　　答：电子银行的监管，既要立足于国内电子银行业务发展和管理的实际，遵照国家法律的有关规定，也需要积极借鉴境外电子银行监管良好做法，符合电子银行技术和信息安全的国际准则。

　　银监会在制定《办法》和《指引》的过程中，研究和参考了大量境外相关机构的有关规定，在电子银行监管方式、信息技术标准、监管原则等方面基本实现了国际接轨。

　　《办法》主要借鉴了巴塞尔银行监管委员会的《电子银行业务风险管理原则》，美国货币监理署的《电子银行最终规则》等，欧洲银行标准委员会的《电子银行》报告，以及香港金融管理局的《电子银行服务的安全风险管理》等国际金融机构和境外监管机构的有关监管规定和规则，总结了近几年来我国电子银行发展与监管的经验和问题，侧重于切实提高商业银行等金融机构自身的电子银行风险管理能力和监管机构对电子银行风险状况的及时监测与评估能力，提高电子银行监管的针对性和可操作性。

　　《指引》主要借鉴了《信息安全管理实务准则》(ISO17799)、《信息技术安全性评估准则》(GB/T18336.1)、《计算机信息系统安全保护等级划分准则》(GB17859)、《计算机信息系统安全专用产品分类原则》、《交易性电子银行业务安全性独立评估指引》(香港金融管理局)、《电子银行风险管理原则》(巴塞尔银行管理委员会)等相关准则和规定。

　　问：《办法》对电子银行是如何界定的？自助银行、ATM机、POS机等是否也可以按照《办法》进行管理？

　　答：不同国家对电子银行的定义有所不同，但总的来看，一般是将利用互联网(包括无线网络)、电信网络、有线电视网络等开放型网络提供的银行服务，纳入电子银行的范畴之内。考虑到我国电子银行发展的实际情况和相关法律法规的规定，《办法》规定，“本办法所称电子银行业务，是指商业银行等银行业金融机构利用面向社会公众开放的通讯通道或开放型公众网络，以及银行为特定自助服务设施或客户建立的专用网络，向客户提供的银行服务”。

　　具体而言，可以分为两大部分：一是网上银行、电话银行和手机银行，二是其他利用电子服务设备和网络，由客户通过自助服务方式完成金融交易的银行业务，包括自助银行、ATM机等。但由于自助银行和电子银行外部服务设施的管理，已经有相关规定，为保持相关规章制度的连续性和稳定性，《办法》对自助银行和电子银行外部服务设施的管理分成了两个层面：一是在业务管理层面，仍按原有的管理规定执行；二是在安全和技术风险等风险管理层面，参照本办法。即“银行业金融机构利用为特定自助服务设施或客户建立的专用网络提供的银行业务，有相关业务管理规定的，遵照其规定，但网络安全、技术风险等管理应参照本办法的有关规定；没有相关业务规定的，遵照本办法”。

　　问：我们注意到《办法》对电子银行业务的审批方式进行了调整，请问主要原因是什么？

　　答：从电子银行近年来的监管实践看，《暂行办法》对电子银行业务审批方式的规定虽然有利于减轻监管部门总部审批工作的压力，增强监管部门分支机构的监管责任，但由于大银行、小银行使用的电子银行系统和网络设施性质一样，而监管部门总部与其分支机构之间在监管人员配置、专业技能等方面有明显差距，致使对于相同性质的网上银行系统采用了不同的审批尺度，导致一些地区网上银行问题较多，反而不利于监管效率的提高。为此，在本办法中，未再按照国有、股份制和城市商业银行的分类办法设计审批权限，而是依据商业银行是否实现了数据集中处理，是否开展全国性业务设定审批权限。这种调整有利于简化审批手续，为电子银行的健康有序发展创造良好的外部监管环境；有利于加强电子银行总体风险管理和安全管理，更加有效地利用监管资源。

　　问：电子银行安全评估机构在实施安全评估之前，一定要经过中国银监会的资质认定吗？

　　答：金融机构电子银行安全评估工作，应当由符合一定资质条件、具备相应评估能力的评估机构实施。为保证相关评估机构具备相应的资质，中国银监会利用其掌握的专家资源和专业经验，开展对评估机构电子银行安全评估业务资格的认定工作。但银监会对安全评估机构资质的认定，不同于行业准入或企业准入资格性质的行政许可，不是评估机构开展电子银行安全评估业务的必要条件，只作为金融机构选择评估机构时的参考。

　　只要安全评估机构符合有关条件和要求，即使没有经过银监会的资质认定，金融机构也可以聘请其实施电子银行安全评估，但应按照有关规定进行管理。

　　问：中国银监会将怎样进一步加强电子银行业务的监管？

　　答：《办法》和《指引》实施后，中国银监会将根据我国商业银行电子银行业务发展与管理的实际需要，继续做好以下几项工作：一是加强电子银行发展的科学规划，提高电子银行的经营管理水平；二是针对电子银行经营管理的特点，积极引导商业银行重新整合业务流程，提高电子银行的运行效率；三是加大电子银行创新力度，开发适合银行经营特点和客户需求的产品与服务，提高对技术创新和