对我国电子银行业务外包立法的启示

四、对我国电子银行业务外包立法的启示

1.我国电子银行业务外包立法现状

与发达国家相比，我国金融服务外包尚处于萌芽阶段。^[15]但近些年来金融外包在我国发展迅速，然而我国早先出台的主要的金融立法均未提及对其监管问题，直到2006年1月26日《电子银行业务管理办法》(以下简称《办法》)的颁布才开始弥补立法的空白。该《办法》在第五章中用了九个条文规定了电子银行业务外包问题。首先对外包进行了界定，指出电子银行业务外包，是指金融机构将电子银行部分系统的开发、建设，电子银行业务的部分服务与技术支持，电子银行系统的维护等专业化程度较高的业务工作，委托给外部专业机构承担的活动。随后规定了外包中金融机构的责任，金融机构在将业务外包过程中必须:合理确定外包的原则和范围，分析外包风险;在选择服务商时应谨慎;与服务商签订书面合同;充分认识外包服务供应商对电子银行业务风险控制的影响，并将其纳入总体安全策略之中;建立完整的业务外包风险评估与监测程序，审慎管理业务外包产生的风险;对外包的风险管理应当符合金融机构的风险管理标准，并应建立针对电子银行业务外包风险的应急计划;与外包服务供应商建立有效的联络、沟通和信息交流机制，并应制定在意外情况下能够实现外包服务供应商顺利变更，保证外包服务不间断的应急预案;将重要业务如电子银行业务处理系统、授权管理系统、数据备份系统的总体设计开发，以及其他涉及机密数据管理与传递环节的系统进行外包时，应经过金融机构董事会或者法人代表批准，并应在业务外包实施前向中国银监会报告。

《办法》的出台首次将外包风险纳入到银行风险管理中，为金融机构进行电子银行业务外包提供了一套准则。这对我国金融秩序的良好发展、减少或避免金融机构因外包而产生的风险，保护客户的利益具有可取之处。但是，参照CEBS的经验，对比国际上金融外包立法的发展，我国金融外包监管立法上的缺陷是很明显的。我国缺乏普遍的金融外包风险管理法律体系。而且，《办法》中对电子银行业务外包的规定太笼统，缺乏可操作性，一些用语还不是法律术语。

2.我国电子银行业务外包立法之完善

借鉴国际上电子银行业务外包立法、包括CEBS的基本经验，结合我国实际，笔者认为应该从总体上完善我国的金融外包监管法律体系，并对现行《办法》的相关规定进行修正。

首先，制定普遍的金融外包风险监管法。

外包是所有金融机构面临的共同问题，而我国现有的立法只涉及电子银行业务外包部分，对其他金融外包行为的风险管理没有规定。这就使得金融机构进行其他金融外包行为时缺乏一套风险监管准则，也使金融监管机构对其他金融外包行为的监管处于无法可依的状态。因此，我国有必要制定普遍的金融外包监管法。借鉴CEBS的经验，笔者认为普遍的金融外包立法应该注意几个问题。第一，注意刚性条款和弹性条款相结合，从而处理好监管和鼓励金融外包之间的平衡关系。第二，监管标准上，应该区分外包业务重要性的不同规定不同的监管标准。同时，也应该考虑不同的外包商可能给外包风险带来的影响，就集团内部/外部、国内/跨境外包以及外包商本身是否受到监管进行一定的区别管理。第三，应注意对外包的全程监管。从金融机构最初外包政策的制定、外包商的选择、外包合同的签订、外包合同的履行到外包合同终止，整个程序都应该制定一套管理规则或者指引。第四，应明确金融外包机构以及金融监管部门二者的监管责任。

其次，完善我国《办法》中对电子银行业务外包的规定。

第一，重新定义电子银行业务外包。《办法》中的定义只是列举了可能外包的一些业务，指出外包服务商是外部专业机构。从该定义，人们无法将外包与金融机构的其他行为如购买区分开来。此外，该定义强调将“专业化程度较高”的业务工作委托给外部专业机构承担才称之为外包，就使得《办法》不能含括所有的电子银行业务外包行为，这与CEBS以及大多数国家所持的应将所有的外包行为纳入风险管理的理念不符。因此，对电子银行业务外包的定义应当重新进行。借鉴CEBS以及联合论坛强调外包是金融机构“持续性”利用外包服务商完成业务活动的做法，可以将“电子银行业务外包”定义为金融机构持续的利用外包服务商来完成以前由自身承担的电子银行方面的业务活动。同时，应当阐释外包和购买的不同，以使对外包的认识更加明确。

第二，明确金融机构对电子银行业务的监管标准。《办法》涉及监管标准的条款主要是第63条和第70条。第63条指出金融机构在进行电子银行业务外包时，应根据“实际需要”确定外包风险以及风险防范问题。第70条指出对于几类影响十分重大的业务外包应该经过董事会或法人代表批准，并应在业务外包实施前向中国银监管会报告。第63条的“实际需要”用语太笼统，缺乏针对性。而第70条只是对特殊业务的特殊处理，并没有规定普遍的监管标准。因此，有必要在《办法》中确定金融机构对电子银行业务外包的监管标准。借鉴CEBS的做法，可以区别外包业务的重要性确定不同的监管标准。同时，也应当注意外包商的类别对外包风险的影响。

第三，将外包合同的规定具体化。《办法》第65条对外包合同进行了非常简短的规定，即外包必须采取书面的合同形式，且合同中应该包含保密条款。对比CEBS的规定，可以看出《办法》中外包合同的内容太少，对金融外包机构签订外包合同没有实质性的指导作用。因此，笔者认为，应该增加第63条的内容。明确外包合同中除了现有的强制性规定外，一般还应该包括以下一些条款:外包的具体业务;外包要达成的目标;外包服务应达到的水平以及对该服务水平的评估方式;合同的终止及解除条款;金融机构对外包商履行合同的监管;金融监管机构对外包商履行合同的监管;在情况发生重大变化时，外包商及时通知金融机构及金融监管机构的义务等。

第四，明确金融机构内部高级管理人员以及金融监管部门对金融外包的监管责任。从CEBS的规定来看，对外包进行监管的责任在于金融机构以及金融监管部门，且金融机构对外包的最终责任由其高级管理人员负责。而我国现有规定只是在第70条中规定重要的业务外包要经过董事会或者法人代表的批准。对于高级管理人员在其他业务外包中的责任没有涉及。而且，我国对金融监管部门在外包中的监管责任也规定甚少，除了第70条规定某些重要业务外包在实施前要向中国银监会报告外，《办法》的其他部分均未提及金融监管部门对外包的监管责任。专门规定金融监管部门监管职责的第七章“监督管理”虽然规定了一系列中国银监会对电子银行业务的监管措施，但对外包风险监管只字未提。因此，《办法》应该加强这方面的规定。同时，还应该就某些重要业务外包事前报告的形式，银监会对报告的处理方式、处理时间等程序性问题进行明确，以使第70条具有可操作性。

第五，明确电子银行业务外包中的法律责任问题。综观各国以及CEBS对外包的规定，可以得出这样的结论，即金融机构将业务外包，不影响金融机构应当承担的责任。这种责任包括对金融监管部门的责任，也包括对银行客户的责任。反观我国《办法》中的法律责任部分，没有任何明确的用语表达了这种理念，特别是没有明确因业务外包给客户造成损失时，金融机构应当承担的责任，这对客户利益的保护明显不利。因此，在现行法律责任部分有必要增加类似“因外包给客户利益造成损失时，其责任由金融外包机构承担”的条款。

第六，修改某些术语，将《办法》中的“法人代表”修改为“法定代表人”。“法定代表人”是一个确定的法律概念，《中华人民共和国民法通则》第38条对此进行了明确:依照法律或者法人组织章程规定，代表法人行使职权的负责人，是法人的法定代表人。而“法人代表”虽然在实践中经常被采用，但并不是一个独立的法律概念，对其有多种不同的解释。因此，从立法的角度，在《办法》中使用“法定代表人”更为准确。