6.3.3 电子银行相关法律制度
1.电子银行有关法律法规
自20世纪90年代以来,随着电子商务的发展,对在线支付的需求使得我国商业银行的电子银行业务迅速发展起来。2001年,中国人民银行制定颁布了《网上银行业务管理暂行办法》,该法明确了网上银行业务的市场准入、风险管理以及责任承担等法律问题,对电子银行业务的发展起到的积极的作用。但是随着商业银行电子银行业务的不断发展,一些新型的电子银行业务如手机银行业务、个人数字辅助(PDA)银行业务逐渐发展起来,电子银行业务的运作方式和管理方式也在发展中不断探索改进,那么与之相关的监管规章也要根据技术发展和管理方式的改变而因地制宜地调整,才能有效控制电子银行业务风险,尽快完善电子银行业务的监管规章体系。因此,银监会制定了《电子银行业务管理办法》和《电子银行安全评估指引》(下面简称《办法》和《指引》),这两部规章已于2006年3月1日正式实施。
《办法》共七章99条,包括了总则、电子银行业务申请与变更、风险管理、数据交换与转移管理、跨境电子银行业务管理以及日常监管等内容,明确电子银行业务的范围、对电子银行业务的审批方式做了调整,在研究和参考了大量境外相关机构的有关规定的基础上,实现了电子银行监管方式、信息技术标准、监管原则等方面的国际接轨。《指引》共五章57条,明确了电子银行安全评估的含义,规定了安全评估机构的种类、条件、资质认定以及电子银行安全评估的基本流程、评估内容和评估方式等内容。由于电子银行业务相较于传统银行业务不仅存在金融风险,更存在着技术风险,所以对电子银行的安全评估需要有相关的标准和要求,保证电子银行安全评估的客观性、及时性、全面性和有效性。
2.电子银行相关法律制度
1)电子银行业务范围及市场准入
A.电子银行的业务范围
根据《办法》第2条的规定,目前电子银行业务主要包括利用计算机和互联网开展的网上银行业务、电话等声讯设备和电信网络开展的电话银行业务以及利用移动电话和无线网络开展的手机银行业务。《办法》也规定了电子银行业务范围的兜底条款,即对于利用其他利用电子服务设备和网络,并由客户通过自助服务方式完成金融交易的银行业务也是电子银行业务。
B.电子银行业务的市场准入
《办法》对电子银行业务的主体、设立条件、设立程序都做了具体的规定。
开办主体:《办法》规定目前只有商业银行等银行业金融机构才能开办电子银行业务,包括在我国境内设立的金融资产管理公司、信托投资公司、财务公司、金融租赁公司、经中国银监会批准设立的其他金融机构以及依法设立的外资金融机构。
开办条件:
《办法》第9条规定,金融机构开展电子银行业务应具备下列条件:
(1)经营管理方面,要求金融机构的经营活动正常,建立了较为完善的风险管理体系和内部控制制度,在申请开办电子银行业务的前一年内,金融机构的主要信息管理系统和业务处理系统没有发生过重大事故;
(2)战略规划与制度建设方面,要求金融机构制定了电子银行业务的总体发展战略、发展规划和电子银行安全策略,建立了电子银行业务风险管理的组织体系和制度体系;
(3)基础设施方面,要求金融机构建立电子银行业务运营的基础设施和系统,并对相关设施和系统进行了必要的安全检测和业务测试;
(4)安全评估方面,要求金融机构对电子银行业务风险管理情况和业务运营设施与系统等,进行了符合监管要求的安全评估;
(5)部门和人员方面,要求建立了明确的电子银行业务管理部门,配备了合格的管理人员和技术人员;
(6)中国银监会要求的其他条件。
《办法》第10条规定,如果金融机构开办以互联网为媒介的网上银行业务、手机银行业务等电子银行业务,除应具备第九条所列条件外,还应具备以下条件:
(1)电子银行基础设施设备能够保障电子银行的正常运行;
(2)电子银行系统具备必要的业务处理能力,能够满足客户适时业务处理的需要;
(3)建立了有效的外部攻击侦测机制;
(4)中资银行业金融机构的电子银行业务运营系统和业务处理服务器设置在中华人民共和国境内;
(5)外资金融机构的电子银行业务运营系统和业务处理服务器可以设置在中华人民共和国境内或境外。设置在境外时,应在中华人民共和国境内设置可以记录和保存业务交易数据的设施设备,能够满足金融监管部门现场检查的要求,在出现法律纠纷时,能够满足中国司法机构调查取证的要求。
《办法》第11条规定,外资金融机构开办电子银行业务,除应具备第9条、第10条所列条件外,还应当按照法律、行政法规的有关规定,在中华人民共和国境内设有营业性机构,其所在国家(地区)监管当局具备对电子银行业务进行监管的法律框架和监管能力。
开办程序:目前,根据开办的电子银行业务的类型不同,采取审批制和报告制两种设立程序。适用审批制的电子银行业务包括:
(1)利用互联网等开放性网络或无线网络开办的网上银行业务、手机银行业务和利用掌上电脑等个人数据辅助设备开办的电子银行业务;
(2)利用银行为特定自助服务设施或与客户建立的专用网络开办的电子银行业务,法律法规或者行政规章规定须经审批的;
(3)跨境电子银行业务;
(4)金融机构将已获批准的业务应用于电子银行时,需要与证券业、保险业相关机构进行直接实时数据交换才能实施的;
(5)金融机构之间通过互联电子银行平台联合开展的。
需要指出的是,后三项业务金融机构不能作为首次开展电子银行业务提出申请,而是在已经获得批准从事电子银行业务后,需要增加或变更电子银行业务时向银监会提出申请。对于采用报告制的电子业务类型,根据《办法》第12条的规定,利用银行为特定自助服务设施或与客户建立的专用网络开办的电子银行业务以及其他类型的电子银行业务,法律法规或者行政规章没有规定采取审批制的则适用报告制。
(1)审批制的电子银行业务开办程序:金融机构要开办须经审批的电子银行业务,要先与银监会就电子银行业务系统和基础设施设计、建设方案以及基本业务运营模式等进行沟通,根据双方沟通结果对方案进行调整,金融机构根据调整后的方案向银监会提起申请,并在申请前完成电子银行系统建设的内部测试工作。银监会对申请材料予以核查决定是否批准。
(2)报告制的电子银行业务开办程序:金融机构开办不须审批的电子银行业务,只需要在开办电子银行业务前1个月将相关材料报送中国银监会或其派出机构。
2)电子银行业务的风险管理
电子银行业务兼具金融业务的风险和信息技术风险,而电子银行业务关涉金融机构的利益、客户的财产安全,甚至是整个电子商务的健康发展,所以《办法》对电子银行业务的风险管理制度作了详细的规定,主要包括:
A.风险制度控制
(1)电子银行自我评估制度。金融机构应定期对电子银行业务发展与管理情况进行自我评估,每年须编制《电子银行年度评估报告》上报至银监会。评估报告包括对本年度电子银行业务的发展规划、发展情况的评估、对本年度电子银行经营效益的分析比较以及风险管理状况的评估。
(2)重大安全事故和风险事件报告制度。《办法》第80条规定,金融机构应当建立电子银行业务重大安全事故和风险事件的报告制度,并保持与监管部门的经常性沟通。对于电子银行系统被恶意攻破并已出现客户或银行损失,电子银行被病毒感染并导致机密资料外泄以及可能会引发其他金融机构电子银行系统风险的事件,金融机构应在事件发生后48小时内向中国银监会报告。
(3)电子银行安全评估制度。《办法》第86、87条规定了电子银行业务的安全评估制度,电子银行业务应由符合一定资质条件、具备相应评估能力的评估机构实施。与《办法》同期出台的《电子银行安全评估指引》就是专门针对电子银行安全评估而制定的。
B.技术风险控制
金融机构需要采取相关措施来控制电子银行业务存在的技术风险。这主要包括以下几个方面:
(1)采用技术手段如防火墙、防病毒软件等设备技术,提高电子银行防病毒入侵能力。
(2)采取适当的加密技术和措施,保证电子交易数据传输的安全性与保密性,以及所传输交易性的完整性、真实性和不可否认性。
(3)建立相应的机制,搜索、监测和处理假冒或有意设置类似于金融机构的电话、网站、短信号码等信息骗取客户资料的活动。
(4)采取必要措施为电子支付交易数据保密,如访问交易数据须有权限且有不被篡改的登记,以安全方式保存交易数据,防止其被擅自查看或者非法截取。
C.法律风险防范
银行与客户之间是金融服务法律关系。《办法》第39条规定金融机构应与客户签订电子银行服务协议或者合同,明确双方的权利与义务。在电子银行服务协议中,金融机构应向客户充分揭示利用电子银行进行交易可能面临的风险,金融机构已经采取的风险控制措施和客户应采取的风险控制措施以及相关风险的责任承担。
3)从事电子银行业务的相关法律责任
A.民事责任
金融机构在向客户提供电子银行服务时,双方可以通过服务协议或者合同约定彼此权利义务及责任承担。《办法》第89、90、91条也规定了三种情况下,提供电子银行业务的金融机构应承担的民事法律责任:
(1)因电子银行系统存在安全隐患、金融机构内部违规操作和其他非客户原因等造成损失的;
(2)金融机构未经批准擅自开办电子银行业务,或者未经批准增加或变更需要审批的电子银行业务类型,造成客户损失的;
(3)金融机构已经按照有关法律、法规和行政规章的要求,尽到了电子银行风险管理和安全管理的相应职责,但因其他金融机构或者其他金融机构的外包服务商失职等原因,造成客户损失的,由其他金融机构承担相应责任,但是提供电子银行服务的金融机构有义务协助客户处理相关事宜。
金融机构可以在服务协议中约定因客户有意泄露交易密码或者未按照服务协议尽到应尽的安全防范与保密义务的,金融机构可以免于承担相应责任,但是此种约定不得违背法律法规强制性规定。
B.行政责任
《办法》第93条规定,金融机构在开展电子银行业务中,如果违背法律法规或者行政规章,中国银监会将依据有关法律法规和行政规章的规定予以处罚。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。
