《电子银行业务管理办法(征求意见稿)

　　第一章 总则

　　第一条 为加强电子银行业务的风险管理，保障客户及银行的合法权益，促进电子银行业务健康有序发展，根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》和《中华人民共和国外资金融机构管理条例》等有关法律法规，制定本办法。

　　第二条 本办法所称电子银行业务，是指金融机构利用面向社会公众开放的通讯渠道和公众网络，以及银行为特定自助服务设施或客户建立的专用网络提供的银行业务。

　　电子银行业务包括利用计算机和互联网开展的银行业务(以下简称“网上银行业务”)利用电话等声讯设备和电信网络开展的银行业务(以下简称“电话银行业务”)，利用移动电话和互联网开展的银行业务(以下简称“手机银行业务”)，以及利用其他外部电子服务设备提供的由客户自助服务的银行业务。

　　第三条 在中华人民共和国境内设立的银行业金融机构，以及依据《中华人民共和国外资金融机构管理条例》设立的外资金融机构，应当按照本办法的规定开展电子银行业务。

　　在中华人民共和国境内设立的金融资产管理公司、信托投资公司、财务公司、金融租赁公司以及经中国银行业监督管理委员会(以下简称中国银监会)批准设立的其他金融机构，开展有关电子金融服务业务，适用本办法对金融机构开展电子银行业务的有关规定。

　　第四条 经审查批准，银行业金融机构、外资金融机构可以在中华人民共和国境内开办电子银行业务，向中华人民共和国境内企业、居民等客户提供电子银行服务。

　　第五条 开展电子银行业务的金融机构，应当按照合理规划、统一管理、保障系统安全运行的原则，加强对电子银行业务风险的管理，保证电子银行业务的健康、有序发展。

　　第六条 开办电子银行业务的金融机构应根据电子银行业务的特性，建立健全电子银行业务的风险管理体系和内部控制体系，设立相应的管理机构，明确电子银行业务管理的责任，有效地识别、监测和控制电子银行业务风险。

　　第七条 中国银监会统一负责对境内及跨境电子银行业务实施监管。

　　第二章 申请与变更

　　第八条 金融机构在中华人民共和国境内开办电子银行业务，应当依照有关法律法规的规定，报经中国银监会审查批准。

　　未经中国银监会批准，任何单位或者个人不得在境内开办电子银行业务或者利用公众电子网络从事银行业金融机构的业务活动。

　　第九条 金融机构开办电子银行业务，应当具备下列条件：

　　(一)内部控制机制健全，具有有效的识别、计量、监测和控制传统银行业务风险和电子银行业务风险的管理制度;(二)制定了电子银行业务的发展战略和发展规划，以及电子银行业务发展的安全策略;(三)根据有关规划建立了电子银行业务运营的基础设施和系统，并对有关设施和系统进行了必要的安全检测和业务连续性测试;(四)对电子银行业务运营的设施和系统进行了经中国银监会认可的安全评估机构的安全评估;(五)建立了明确的电子银行业务管理部门，配备了合格的管理人员和技术人员;(六)中国银监会要求的其他条件。

　　第十条 开办以互联网为媒介的网上银行业务、手机银行业务等电子银行业务，除应具备第九条所列条件外，还应具备以下条件：

　　(一)具备适当的计算机设备、容量和能力，保证电子银行不间断运行;(二)建立了有效的计算机外部攻击侦测机制;(三)中资银行业金融机构的电子银行业务运营系统和业务处理服务器应设置在中华人民共和国境内;(四)外资金融机构的电子银行业务运营系统和业务处理服务器可以设置在中华人民共和国境外，但在中华人民共和国境内应设置可以记录和保存有关境内业务数据的设备，能够满足金融监管部门非现场监管和现场检查的要求，在出现法律纠纷时，能够满足中国司法机构调查取证的要求。

　　第十一条 外资金融机构开办电子银行业务，除应具备第九条、第十条所列条件外，还应当按照法律、行政法规的要求在中华人民共和国境内设有营业性分支机构，其所在国(地区)监管当局具备对电子银行业务进行监管的法律框架和监管能力。

　　第十二条 银行业金融机构开办电子银行业务，应由其总行统一向中国银监会申请。外资金融机构开办电子银行业务，应由其指定的在中华人民共和国境内的分支机构向中国银监会申请。

　　第十三条 电子银行业务实行分类审批或备案制度。利用互联网等开放性网络或无线网络开展的电子银行业务，包括网上银行、手机银行、个人数据辅助设备银行等，适用于审批制;利用境内或地区性电信网络、有线网络等开展的电子银行业务，适用于备案制。

　　金融机构在申请开办电子银行业务时，可以在一个申请报告中同时申请不同类型的电子银行业务，但在申请中应注明所申请的电子银行种类。

　　第十四条 向中国银监会申请开办电子银行业务，应提交以下文件、资料(一式三份)：

　　(一)开办电子银行业务的申请报告;(二)电子银行业务发展规划; (三)电子银行业务运营设施与技术系统介绍;(三)电子银行业务系统测试报告;(四)安全评估报告;(五)电子银行业务运行应急计划和业务连续性计划;(六)电子银行业务风险管理体系及相应的规章制度;(七)电子银行的管理部门、管理职责，以及主要负责人介绍;(八)申请单位联系人、联系电话、传真电话、电子邮件信箱;(九)中国银监会要求提供的其他文件和资料。

　　第十五条 对于开办电子银行业务的申请，中国银监会可以批准或同意备案全部或部分电子银行类型。中国银监会在收到正式申请文件三个月内，作出批准或者不批准的书面决定，或者发出备案通知书;决定不批准或不予备案的，应当说明理由。

　　第十六条 银行业金融机构经批准获得开办电子银行业务的资格后，可以授权其分支机构同时开办部分或全部已获批准的电子银行业务。银行业金融机构的分支机构应及时就其开办的电子银行业务情况，向当地银监会分支机构报告。

　　未实现数据集中处理和管理的金融机构，其分支机构开办电子银行业务或变更需要审批、备案的电子银行业务品种，应持其总行的相应授权文件，向所在地中国银监会的分支机构备案。

　　第十七条 金融机构获准开办电子银行业务的，可以利用电子银行平台，进行传统银行产品和服务的宣传、销售，也可以根据电子银行业务的特点开发新的业务品种。

　　第十八条 金融机构增加或者变更以下电子银行业务品种，应当经中国银监会审查批准：

　　(一)中国银监会批准的业务范围以外的业务品种;(二)经批准的业务范围以内，但与证券业、保险业直接相关且与相关机构有直接数据交换的的业务品种;(三)中国银监会规定的其他业务品种。

　　第十九条 金融机构增加或者变更以下电子银行业务品种，应当向中国银监会备案：

　　(一)第三方需要读取银行业金融机构数据库才能开展的;(二)针对互联网或其他公开网络系统重新开发设计的，与已批准的业务范围内传统业务品种有显著差异的;(三)中国银监会规定的其他业务品种。

　　第二十条 利用电子银行平台开办中国银监会已经批准的业务范围内的其他业务品种，不需审查批准或备案。

　　增加或变更不需审批或备案的电子银行业务品种，应在开办该品种后一个月之内报告中国银监会。

　　第二十一条 金融机构增加或变更需要审查批准的电子银行业务品种，应向中国银监会报送以下文件和资料(一式三份)：

　　(一)增加或变更业务品种的申请;(二)拟增加或变更业务品种的定义和操作流程;(三)拟增加或变更业务品种的风险特征和防范措施;(三)有关管理规章制度;(四)申请单位联系人、联系电话、传真电话、电子邮件信箱;(五)中国银监会要求提供的其他文件和资料。

　　第二十二条 对于增加或变更需要审批的电子银行业务品种的申请，中国银监会在收到正式申请文件三个月内，作出批准或者不批准的书面决定;决定不批准或不予备案的，应当说明理由。

　　增加或变更应当备案的电子银行业务品种，中国银监会应在收到正式备案文件三个月内，发出备案通知书。

　　第二十三条 已开办电子银行业务的金融机构决定终止电子银行服务，应提前三个月就终止电子银行服务的原因及相关问题的处置方案等报中国银监会备案，并同时予以公告。

　　金融机构决定终止部分电子银行业务品种时，应于终止该业务品种前一个月向中国银监会备案，并针对可能出现的问题制定有效的处置措施。

　　终止电子银行服务，或者终止经审批或备案的电子银行业务品种后，金融机构又计划重新开办电子银行或者相关业务时，应重新申请。

　　第二十四条 金融机构因电子银行系统升级、测试等原因，需要按计划暂时停止电子银行服务的，应选择恰当的时间，尽可能减少对客户的影响，并提前一周予以公告，并同时将有关情况报告中国银监会。

　　受突发事件或偶然因素影响非计划暂停电子银行服务，在正常工作时间内超过1个小时或者在正常工作时间外超过2个小时的，金融机构应在暂停服务后24小时之内，将事故原因、影响、补救措施及处理情况等，向中国银监会报告。

　　第三章 风险管理

　　第二十五条 金融机构应当将电子银行业务的风险管理纳入本机构风险管理的总体框架，并根据电子银行业务运行的特点，加强对电子银行业务面临的战略风险、信誉风险、运营风险、法律风险、信用风险、市场风险等风险的管理。

　　第二十六条 金融机构应当明确电子银行在本机构发展和管理中的地位，建立健全电子银行业务的风险管理体系和电子银行安全、稳健运营的内部控制体系，形成清晰的电子银行管理框架，制定并保证相关制度规则和程序得到有效执行。

　　金融机构针对传统业务风险已经制定的稳健性风险管理原则，同样适用于电子银行业务，但金融机构应根据电子银行业务环境和运行方式的变化，对原有风险管理制度、规则和程序进行必要的和适当的修正。

　　第二十七条 金融机构的董事会和高级管理层应根据本机构的总体发展战略和实际经营情况，制订电子银行的发展战略和可行的经营投资战略，对电子银行的经营进行持续性的综合效益分析，科学评估电子银行业务对总体风险的综合影响。

　　第二十八条 在制定电子银行发展战略时，应当加强电子银行业务的知识产权保护工作。

　　第二十九条 金融机构的董事会和高级管理层应当针对电子银行不同系统、风险设施、信息和其他资源的重要性及其对电子银行安全的影响进行评估分类，制定适当的安全策略，建立健全风险控制程序和安全操作守则，采取相应的安全管理措施。

　　对各类安全控制措施应定期检查、审核，根据实际情况适时调整。建立安全隐患和事故的报告、审查和处置程序，保证安全措施的持续有效和及时更新。

　　第三十条 金融机构应当保障电子银行运营设施设备，以及安全控制设施设备的安全，对电子银行的重要设施设备和数据，采取适当的保护措施。

　　(一)有形场所的物理安全控制，必须符合国家有关法律法规和安全标准的要求。对尚没有统一安全标准的有形场所安全控制，金融机构应确保其制定的安全制度有效地覆盖了可能面临的风险;(二)应合理设置和使用防火墙等安全产品和技术，确保网上银行有足够的反攻击能力和防病毒能力，保证网络安全;(三)对重要设施设备的接触、检查、维修和应急处理，应有明确的权限界定、责任划分和操作流程;(四)对重要技术参数，应严格控制接触权限，并建立相应技术参数的调整与变更机制，以便于在更换了关键人员后，防止有关技术参数的泄漏。

　　第三十一条 金融机构应采用适当的加密技术和措施，保证电子交易数据传输的保密性、真实性，以及交易数据的完整性和交易的不可否认性。

　　金融机构采取的数据加密技术应符合国家有关规定，并根据电子银行的业务安全性需求和信息技术的发展，定期检查和评估所采用加密技术和算法的强度，对加密方式进行适时调整。

　　第三十二条 金融机构开展需要对相关客户信息和交易信息等进行认证的电子银行业务，采用电子签名时，应使用符合国家法律、法规的安全可靠、具有公信力和相应法律效力的第三方认证系统，并定期评估第三方认证机构的可信性和安全性。

　　第三十三条 金融机构应建立合理措施，确保电子银行系统、数据库及应用程序的充分职责分离，具有合理授权管理机制，从技术设计、制度安排等方面，有效隔离应用系统、验证系统、处理系统和数据库等各系统间的风险传递。

　　第三十四条 金融机构应及时检查其电子银行可供客户使用的容量，采取必要的措施保证接入线路的通畅，并采用适当的备份和负载均衡技术，保证客户对电子银行服务的可用性。