《电子银行业务管理办法》三月起开始施行

　　 第二十七条 已经实现业务数据集中处理和系统整合（以下简称数据集中处理）的银行业金融机构，获准开办电子银行业务后，可以授权其分支机构开办部分或全部电子银行业务。其分支机构在开办相关业务之前，应向所在地中国银监会派出机构报告。

　　 未实现数据集中处理的银行业金融机构，如果其分支机构的电子银行业务处理系统独立于总部，该分支机构开办电子银行业务按照地区性金融机构开办电子银行业务的情形管理，应持其总行授权文件，按照有关规定向所在地中国银监会派出机构申请或报告。其他分支机构只需持其总行授权文件，在开办相关业务之前，向所在地中国银监会派出机构报告。

　　 外资金融机构获准开办电子银行业务后，其境内分支机构开办电子银行业务，应持其总行（公司）授权文件向所在地中国银监会派出机构报告。

　　 第二十八条 已开办电子银行业务的金融机构按计划决定终止全部电子银行服务或部分类型的电子银行服务时，应提前3个月就终止电子银行服务的原因及相关问题处置方案等，报告中国银监会，并同时予以公告。

　　 金融机构按计划决定停办部分电子银行业务类型时，应于停办该业务前1个月内向中国银监会报告，并予以公告。

　　 金融机构终止电子银行服务或停办部分业务类型，必须采取有效的措施保护客户的合法权益，并针对可能出现的问题制定有效的处置方案。

　　 第二十九条 金融机构终止电子银行服务或停办部分业务类型后，需要重新开办电子银行业务或者重新开展已停办的业务类型时，应按照相关规定重新申请或办理。

　　 第三十条 金融机构因电子银行系统升级、调试等原因，需要按计划暂时停止电子银行服务的，应选择适当的时间，尽可能减少对客户的影响，并至少提前3天在其网站上予以公告。

　　 受突发事件或偶然因素影响非计划暂停电子银行服务，在正常工作时间内超过4个小时或者在正常工作时间外超过8个小时的，金融机构应在暂停服务后24小时内将有关情况报告中国银监会，并应在事故处理基本结束后3日内，将事故原因、影响、补救措施及处理情况等，报告中国银监会。

　　第三章 风险管理

　　 第三十一条 金融机构应当将电子银行业务风险管理纳入本机构风险管理的总体框架之中，并应根据电子银行业务的运营特点，建立健全电子银行风险管理体系和电子银行安全、稳健运营的内部控制体系。

　　 第三十二条 金融机构的电子银行风险管理体系和内部控制体系应当具有清晰的管理架构、完善的规章制度和严格的内部授权控制机制，能够对电子银行业务面临的战略风险、运营风险、法律风险、声誉风险、信用风险、市场风险等实施有效的识别、评估、监测和控制。

　　 第三十三条 金融机构针对传统业务风险制定的审慎性风险管理原则和措施等，同样适用于电子银行业务，但金融机构应根据电子银行业务环境和运行方式的变化，对原有风险管理制度、规则和程序进行必要的和适当的修正。

　　 第三十四条 金融机构的董事会和高级管理层应根据本机构的总体发展战略和实际经营情况，制订电子银行发展战略和可行的经营投资战略，对电子银行的经营进行持续性的综合效益分析，科学评估电子银行业务对金融机构总体风险的影响。

　　 第三十五条 在制定电子银行发展战略时，金融机构应加强电子银行业务的知识产权保护工作。

　　 第三十六条 金融机构应当针对电子银行不同系统、风险设施、信息和其他资源的重要性及其对电子银行安全的影响进行评估分类，制定适当的安全策略，建立健全风险控制程序和安全操作规程，采取相应的安全管理措施。

　　 对各类安全控制措施应定期检查、测试，并根据实际情况适时调整，保证安全措施的持续有效和及时更新。

　　 第三十七条 金融机构应当保障电子银行运营设施设备，以及安全控制设施设备的安全，对电子银行的重要设施设备和数据，采取适当的保护措施。

　　 （一） 有形场所的物理安全控制，必须符合国家有关法律法规和安全标准的要求，对尚没有统一安全标准的有形场所的安全控制，金融机构应确保其制定的安全制度有效地覆盖可能面临的主要风险；

　　 （二） 以开放型网络为媒介的电子银行系统，应合理设置和使用防火墙、防病毒软件等安全产品与技术，确保电子银行有足够的反攻击能力、防病毒能力和入侵防护能力；

　　 （三） 对重要设施设备的接触、检查、维修和应急处理，应有明确的权限界定、责任划分和操作流程，并建立日志文件管理制度，如实记录并妥善保管相关记录；

　　 （四） 对重要技术参数，应严格控制接触权限，并建立相应的技术参数调整与变更机制，并保证在更换关键人员后，能够有效防止有关技术参数的泄漏；

　　 （五） 对电子银行管理的关键岗位和关键人员，应实行轮岗和强制性休假制度，建立严格的内部监督管理制度。

　　 第三十八条 金融机构应采用适当的加密技术和措施，保证电子交易数据传输的安全性与保密性，以及所传输交易数据的完整性、真实性和不可否认性。

　　 金融机构采用的数据加密技术应符合国家有关规定，并根据电子银行业务的安全性需要和科技信息技术的发展，定期检查和评估所使用的加密技术和算法的强度，对加密方式进行适时调整。

　　 第三十九条 金融机构应当与客户签订电子银行服务协议或合同，明确双方的权利与义务。

　　 在电子银行服务协议中，金融机构应向客户充分揭示利用电子银行进行交易可能面临的风险，金融机构已经采取的风险控制措施和客户应采取的风险控制措施，以及相关风险的责任承担。

　　 第四十条 金融机构应采取适当的措施和采用适当的技术，识别与验证使用电子银行服务客户的真实、有效身份，并应依照与客户签订的有关协议对客户作业权限、资金转移或交易限额等实施有效管理。

　　 第四十一条 金融机构应当建立相应的机制，搜索、监测和处理假冒或有意设置类似于金融机构的电话、网站、短信号码等信息骗取客户资料的活动。

　　 金融机构发现假冒电子银行的非法活动后，应向公安部门报案，并向中国银监会报告。同时，金融机构应及时在其网站、电话语音提示系统或短信平台上，提醒客户注意。

　　 第四十二条 金融机构应尽可能使用统一的电子银行服务电话、域名、短信号码等，并应在与客户签订的协议中明确客户启动电子银行业务的合法途径、意外事件的处理办法，以及联系方式等。

　　 已实现数据集中处理的银行业金融机构开展网上银行类业务，总行（公司）与其分支机构应使用统一的域名；未实现数据集中处理的银行业金融机构开展网上银行类业务时，应由总行（公司）设置统一的接入站点，在其主页内设置其分支机构网站链接。

　　 第四十三条 金融机构应建立电子银行入侵侦测与入侵保护系统，实时监控电子银行的运行情况，定期对电子银行系统进行漏洞扫描，并建立对非法入侵的甄别、处理和报告机制。

　　 第四十四条 金融机构开展电子银行业务，需要对客户信息和交易信息等使用电子签名或电子认证时，应遵照国家有关法律法规的规定。

　　 金融机构使用第三方认证系统，应对第三方认证机构进行定期评估，保证有关认证安全可靠和具有公信力。

　　 第四十五条 金融机构应定期评估可供客户使用的电子银行资源充足情况，采取必要的措施保障线路接入通畅，保证客户对电子银行服务的可用性。

　　 第四十六条 金融机构应制定电子银行业务连续性计划，保证电子银行业务的连续正常运营。

　　 金融机构电子银行业务连续性计划应充分考虑第三方服务供应商对业务连续性的影响，并应采取适当的预防措施。

　　 第四十七条 金融机构应制定电子银行应急计划和事故处理预案，并定期对这些计划和预案进行测试，以管理、控制和减少意外事件造成的危害。

　　 第四十八条 金融机构应定期对电子银行关键设备和系统进行检测，并详细记录检测情况。

　　 第四十九条 金融机构应明确电子银行管理、运营等各个环节的主要权限、职责和相互监督方式，有效隔离电子银行应用系统、验证系统、业务处理系统和数据库管理系统之间的风险。

　　 第五十条 金融机构应建立健全电子银行业务的内部审计制度，定期对电子银行业务进行审计。

　　 第五十一条 金融机构应采取适当的方法和技术，记录并妥善保存电子银行业务数据，电子银行业务数据的保存期限应符合法律法规的有关要求。

　　 第五十二条 金融机构应采取适当措施，保证电子银行业务符合相关法律法规对客户信息和隐私保护的规定。

　　 第五十三条 金融机构应针对电子银行业务发展与管理的实际情况，制订多层次的培训计划，对电子银行管理人员和业务人员进行持续培训。

　　第四章 数据交换与转移管理

　　 第五十四条 电子银行业务的数据交换与转移，是指金融机构根据业务发展和管理的需要，利用电子银行平台与外部组织或机构相互交换电子银行业务信息和数据，或者将有关电子银行业务数据转移至外部组织或机构的活动。

　　 第五十五条 金融机构根据业务发展需要，可以与其他开展电子银行业务的金融机构建立电子银行系统数据交换机制，实现电子银行业务平台的直接连接，进行境内实时信息交换和跨行资金转移。

　　 第五十六条 建立电子银行业务数据交换机制的金融机构，或者电子银行平台实现相互连接的金融机构，应当建立联合风险管理委员会，负责协调跨行间的业务风险管理与控制。

　　 所有参加数据交换或电子银行平台连接的金融机构都应参加联合风险管理委员会，共同制定并遵守联合风险管理委员会的规章制度和工作规程。

　　 联合风险管理委员会的规章制度、工作规程、会议纪要和有关决议等，应抄报中国银监会。

　　 第五十七条 金融机构根据业务发展或管理的需要，可以与非银行业金融机构直接交换或转移部分电子银行业务数据。

　　 金融机构向非银行业金融机构交换或转移部分电子银行业务数据时，应签订数据交换（转移）用途与范围明确、管理职责清晰的书面协议，并明确各方的数据保密责任。

　　 第五十八条 金融机构在确保电子银行业务数据安全并被恰当使用的情况下，可以向非金融机构转移部分电子银行业务数据。

　　 （一）金融机构由于业务外包、系统测试（调试）、数据恢复与救援等为维护电子银行正常安全运营的需要而向非金融机构转移电子银行业务数据的，应当事先签订书面保密合同，并指派专人负责监督有关数据的使用、保管、传递和销毁；

　　 （二）金融机构由于业务拓展、业务合作等需要向非金融机构转移电子银行业务数据的，除应签订书面保密合同和指定专人监督外，还应建立对数据接收方的定期检查制度，一旦发现数据接收方不当使用、保管或传递电子银行业务数据，应立即停止相关数据转移，并应采取必要的措施预防电子银行客户的合法权益受到损害，法律法规另有规定的除外；

　　 （三）金融机构不得向无业务往来的非金融机构转移电子银行业务数据，不得出售电子银行业务数据，不得损害客户权益利用电子银行业务数据谋取利益。

　　 第五十九条 金融机构可以为电子商务经营者提供网上支付平台。为电子商务提供网上支付平台时，金融机构应严格审查合作对象，签订书面合作协议，建立有效监督机制，防范不法机构或人员利用电子银行支付平台从事违法资金转移或其他非法活动。

　　 第六十条 外资金融机构因业务或管理需要确需向境外总行（公司）转移有关电子银行业务数据的，应遵守有关法律法规的规定，采取必要的措施保护客户的合法权益，并遵守有关数据交换和转移的规定。

　　 第六十一条 未经电子银行业务数据转出机构的允许，数据接收机构不得将有关电子银行业务数据向第三方转移。法律法规另有规定的除外。

　　第五章 业务外包管理

　　 第六十二条 电子银行业务外包，是指金融机构将电子银行部分系统的开发、建设，电子银行业务的部分服务与技术支持，电子银行系统的维护等专业化程度较高的业务工作，委托给外部专业机构承担的活动。

　　 第六十三条 金融机构在进行电子银行业务外包时，应根据实际需要，合理确定外包的原则和范围，认真分析和评估业务外包存在的潜在风险，建立健全有关规章制度，制定相应的风险防范措施。

　　 第六十四条 金融机构在选择电子银行业务外包服务供应商时，应充分审查、评估外包服务供应商的经营状况、财务状况和实际风险控制与责任承担能力，进行必要的尽职调查。

　　 第六十五条 金融机构应当与外包服务供应商签订书面合同，明确双方的权利、义务。

　　 在合同中，应明确规定外包服务供应商的保密义务、保密责任。

　　 第六十六条 金融机构应充分认识外包服务供应商对电子银行业务风险控制的影响，并将其纳入总体安全策略之中。

　　 第六十七条 金融机构应建立完整的业务外包风险评估与监测程序，审慎管理业务外包产生的风险。

　　 第六十八条 电子银行业务外包风险的管理应当符合金融机构的风险管理标准，并应建立针对电子银行业务外包风险的应急计划。

　　 第六十九条 金融机构应与外包服务供应商建立有效的联络、沟通和信息交流机制，并应制定在意外情况下能够实现外包服务供应商顺利变更，保证外包服务不间断的应急预案。

　　 第七十条 金融机构对电子银行业务处理系统、授权管理系统、数据备份系统的总体设计开发，以及其他涉及机密数据管理与传递环节的系统进行外包时，应经过金融机构董事会或者法人代表批准，并应在业务外包实施前向中国银监会报告。

　　第六章 跨境业务活动管理

　　第七十一条 电子银行的跨境业务活动，是指开办电子银行业务的金融机构利用境内的电子银行系统，向境外居民或企业提供的电子银行服务活动。

上一页  1 2 3  下一页