其他国家和地区对银行技术风险的监管

（二）其他国家和地区对银行技术风险的监管

1.欧盟国家对电子银行技术风险的监管

欧盟对电子银行监管的主要目标有两个：一是提供一个清晰、透明的法律环境。二是坚持适度审慎的监管原则和保护消费者的原则。针对电子银行监管的地域范围界限，欧盟将建立在“注册国和业务发生国”基础上的监管规则替换为“起始国”（Country of Origin）规则，以达到增强监管合作，提高监管效率和控制电子银行风险的目的。

目前，欧盟对电子银行技术风险的监管主要是分散在各个国家进行的。虽然1998年12月欧盟成立了金融服务政策组（Financial Services Policy Group，FSPG），旨在建立欧盟地区统一的金融市场和金融监管框架，为修改和制定新的法律法规提出建议。而且，FSPG成立至今召开了多次研讨会议，关注的问题之一就是欧盟区域内的电子商务和电子金融服务的发展及其相关法律法规的适应性。但FSPG目前只是协调各个国家监管当局的监管，并没有发布相应的指南或指引。

（1）欧洲银行业标准委员会的监管。对欧洲银行业的技术风险管理有重要影响的是欧洲银行业标准委员会（European Committee for Banking Standards，ECBS）。ECBS成立于1992年12月，主要宗旨是解释或制定欧洲银行业技术标准。ECBS发表了许多银行业技术报告和标准实施指南，其出版物包括支付卡（Payment card）、跨境支付（Cross-border payment）、安全（Security）、电子服务（Electronic services）四种。ECBS制定或发表的与电子银行相关的主要报告有：《电子银行业务安全》（Secure Banking over the Internet，1997年3月）、《电子银行业务》（Electronic Banking，1999年10月）、《欧洲电子银行标准框架》（European Electronic Banking Standards Framework，2001年7月）、 《电子银行安全指引：基于巴塞尔电子银行风险管理原则的应用》第二版（Security Guidelines for E-banking：application of basel risk management principles，2004年8月）、 《移动支付的业务和功能需求》（Business and Functional Requirements for Mobile Payments，2003年2月）、 《移动支付的实施指引》（Implementation Guidelines for Mobile Payments，2005年3月）等。

（2）英国金融服务局（FSA）对电子银行的监管。英国是欧盟国家中对网络银行监管最具代表性的国家之一。英国金融服务局（Financial Services Authority，FSA）认为，网络银行的发展客观上使“权力”由银行向客户回归，有利于提高银行的服务质量。但网络银行自由发展到一定阶段，必然在某些方面引起公众担忧，监管部门应提前制定审慎性监管指引，但要防止阻碍金融创新。

①监管目标与任务。根据《 2000年金融服务与市场法》 ，FSA的监管目标是：维护市场信心、提高公众意识、保护消费者权益和减少金融犯罪。在这个目标下，FSA设定的网络银行监管任务是：维护金融市场有序竞争，帮助消费者达成公平交易。

②关注的主要问题。FSA对网络银行持“技术中性”态度，即不因网络银行服务渠道的产生而改变基本监管原则，FSA仅把网络银行作为银行拓展业务的一种渠道，没有专门针对网络银行的管理规章。但主要关注以下安全问题：银行是否对黑客威胁和拒绝服务攻击有充分的评估;银行对加密、备份系统、防火墙、应急计划的评估;银行对数字签名法律地位的确认和严谨的认证标准;网络银行的发展对洗钱的影响;银行如何为客户保守秘密。

③网络银行的市场准入监管。FSA规定，现有银行新开办网络银行业务不需经过事先批准。但要求网络银行业务不能对其监管目标构成威胁，并应在以下方面得到满意的答复：管理层有足够的管理能力，业务计划可信，有配套的技术系统和控制措施。银行在开通网络银行业务前必须提交由独立第三方（通常为会计师事务所）出具的评估报告。对新设立的网络银行机构，FSA要求必须事先经过批准，并满足4个条件：一是法律形式必须是公司或合伙制;二是在英国注册的网络银行必须将总部设在英国;三是该机构必须具备充分的财务及人力资源;四是高级管理人员必须经任职资格审查。

④网络银行的持续监管。FSA对网络银行持续监管的原则：一是采取的监管手段与风险匹配;二是尽可能高效利用有限的监管资源。在网络银行业务的风险评级上采用与其他银行业务一致的计量方法，通过“问题发生带来的影响×问题发生的概率”判断风险的大小。根据风险评级的结果采取相应的监管行动。

2.新加坡金融管理局对电子银行技术风险的监管

新加坡金融管理局（Monetary Authority of Singapore，MAS）十分重视电子银行的监管，特别是电子银行技术风险的监管。MAS于2000年7月发布了《MAS网络银行声明》 ，规定了网络银行牌照发放条件，要求银行管理部门必须特别关注“安全性风险、与技术相关的风险、流动性风险和操作风险，因为这些风险在网络银行中可能会凸显”。2001年11月发布了《网络银行业务的安全责任》。2002年1月发布了《MAS电子支付系统前端新风险措施通知》。2002年11月颁布了《金融机构技术风险管理指引》 ，要求金融机构能够识别组织的信息资产;根据价值划分信息资产的优先级;能够识别、分析、量化和减缓技术风险;实施适当的安全政策保护信息资产的完整性和可靠性;保护信息资产免遭外部和内部的威胁;采取强有力措施防止对其网络和系统进行的攻击。

MAS认为，电子银行所产生的风险并不是新的，或者和传统银行风险并没有本质的区别，因此MAS将电子银行和传统银行置于同样的审慎监管框架下，新牌照的发放、风险监管等也基本适用同样的程序和标准。

2003年6月MAS发布了《电子银行技术风险管理指引》 ，要求开展电子银行业务的金融机构要能够：

（1）识别、分类和评估电子银行的操作风险。

（2）制定包括控制这些风险的策略、做法和过程的书面计划。

（3）实施和进行常规性测试计划。

（4）监测风险以及计划的有效性。

（5）根据技术、法律和内外部业务环境对信息安全威胁的不断变化而不断更新风险控制计划。

（6）采取适当的风险管理原则，以帮助其建立稳健的技术风险管理过程，加强系统的可用性、安全性与恢复能力;利用强大的密码和管理活动来保护客户数据等。

（7）所有开展电子银行业务的银行能够建立有效的技术风险识别、评估、度量和相应的风险管理过程。

3.香港金融管理局对电子银行技术风险的监管

香港金融管理局（Hong Kong Monetary Authority，HKMA），简称金管局，是行使中华人民共和国香港特别行政区银行监管职责的机构。金管局于1997 年7月成立了“电子银行工作组” ，该研究小组由银行、信息科技界、电信及因特网服务业、安全顾问及审计公司的代表组成。其职责主要是：探讨香港电子银行业的现状，并评估发展的条件及潜力;研究本地及全球电子银行趋势，尤其是新产品及服务的发展及市场接受程度，并评估这些新发展可能带来的需求及影响;就电子银行的具体事项，如安全标准、消费者保障、保密安排及竞争影响等提出意见;根据上述情况提出改善电子银行基础建设的方法，并就政策及监管制度向金管局提出建议，为电子银行的发展提供稳健的基础。2001年，金管局银行业拓展部内设“网络银行专责处” ，其主要职能是：监管各银行网络银行业务;制定网络银行监管政策、与政府其他部门在因特网安全问题上进行合作。

（1）金管局电子银行监管的目的。金管局电子银行监管的目的是建立及维持安全与稳健的环境，以促进电子银行在香港的健康发展。为达到这个目的，金管局认为在技术方面保持中立是非常重要的。金管局并没有就电子银行定下绝对的风险管理要求或一成不变的技术标准，监管的大原则是金融机构应实施“适合”的风险管理措施，即能与其特有的交易类型及金额所涉及的风险、采用的电子传递渠道及风险管理系统相匹配。

（2）金管局电子银行监管框架。金管局就电子银行的监管目标、电子银行业务的市场准入、安全及其评估、风险管理等颁布（发表）了一系列的监管文献，说明对电子银行服务的监管方式，并就有关的风险管理提供建议给认可机构参考。目前金管局已基本建立了电子银行业务及技术风险的监管框架。主要监管文献包括：

①2000年5月金管局根据《银行业条例》第16（10）条发出《虚拟银行的认可指引》 ，列出了虚拟银行如果申请在香港经营银行业务，金融监管人员在决定是否给予其资格时所考虑的原则。实际上是虚拟银行的市场准入原则。

②2003年6月发布《科技风险管理一般原则》 ，主要就监管技术相关风险时应考虑的一般原则向金融机构提供建议。

③2004年2月发布《电子银行监管手册》 ，列出了金管局对认可机构的电子银行业的监管模式，以及向认可机构提供有关电子银行风险管理一般原则的指引。

金管局的电子银行监管制度是依据风险为本的监管原则，对认可机构的电子银行业务做出适当水平的持续监管。这套监管制度包含了有效的电子银行持续监管模式，及确保认可机构管理层对电子银行服务进行适当的风险管理。图4－1描述了金管局电子银行监管框架。^[3]

（3）金管局对网络银行市场准入环节的监管。根据《虚拟银行的认可指引》 ，金管局不反对在香港设立网络银行，但必须满足银行条例中列示的最低条件。所需条件包括：必须在香港设立实体办事机构;必须具有和其业务类别相适应的安全系统;必须分析其承受的风险类别的性质，以及制定适当政策、程序以及控制措施来处理这些风险;必须提出适当的业务计划，能够在扩展市场占有率和利润回报两者间取得合理平衡;必须在其服务规章及条款内列明客户的权利和义务等。除了上面的一般原则外，香港本地注册和海外注册的网络银行还需满足不同的具体准则。

图4－1　香港金管局电子银行监管制度

网络银行在推出新的服务前，必须提供独立第三方（审计师或咨询公司）出具的安全评估报告，对独立评估的范畴及必须汇报的项目金管局都有明确规定（具体见《电子银行监管手册》附件A）。其后至少每年进行一次正式风险评估，以确定是否需要再进行任何独立评估。

（4）金管局对电子银行技术风险的持续监管。金管局的现场检查分三组：董事会及高层管理层监察、涉及电子银行的主要技术相关控制措施、客户安全及其他风险管理措施。董事会及高层管理层监察包括规划和组织、风险管理程序、制定信息安全政策等。涉及电子银行的主要技术相关管控措施包括认证客户身份、资料的保密和完整性、应用程序安全、因特网基础建设及安全检查、事故应变及管理、持续运作的考虑等几个方面。客户安全及其他风险管理措施包括客户权利的保护、电子银行账户的管理、资金转账的管控措施、监察异常活动、预防虚假电子邮件或网站的管控措施、客户教育、法律及声誉风险管理等方面。

（5）跨境监管。一般而言，本地注册认可机构如计划在其没有实体办事处的另一个地区推出跨境网络银行服务，应预先与金管局商讨。认可机构须要令金管局相信其已进行充分的严格调查（例如认可机构已咨询适当的当地监管机构），以确定有关的海外地区的法例、规例及监管标准的适用情况。此外，认可机构应具备有效及持续的风险管理程序，以管理其跨境网络银行业务的风险。其他要求遵照巴塞尔委员会2003年6月的《跨境电子银行业务的管理及监管》文件及其他相关文件。