首页 电子银行业务管理办法 电子银行业务管理办法(2006年) 发布机关 中国银行业监督管理委员会 效力 现行有效 第一章 总则 第一条 为加强电子银行业务的风险管理,保障客户及银行的合法权益,促进电子银行业务的健康有序发展,根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》和《… 第二条 本办法所称电子银行业务,是指商业银行等银行业金融机构利用面向社会公众开放的通讯通道或开放型公众网络,以及银行为特定自助服务设施或客户建立的专用网络,向客户提供的… 第三条 银行业金融机构和依据《中华人民共和国外资金融机构管理条例》设立的外资金融机构(以下通称为金融机构),应当按照本办法的规定开展电子银行业务。 第四条 经中国银监会批准,金融机构可以在中华人民共和国境内开办电子银行业务,向中华人民共和国境内企业、居民等客户提供电子银行服务,也可按照本办法的有关规定开展跨境电子银… 第五条 金融机构应当按照合理规划、统一管理、保障系统安全运行的原则,开展电子银行业务,保证电子银行业务的健康、有序发展。 第六条 金融机构应根据电子银行业务特性,建立健全电子银行业务风险管理体系和内部控制体系,设立相应的管理机构,明确电子银行业务管理的责任,有效地识别、评估、监测和控制电子… 第七条 中国银监会负责对电子银行业务实施监督管理。 第二章 申请与变更 第八条 金融机构在中华人民共和国境内开办电子银行业务,应当依照本办法的有关规定,向中国银监会申请或报告。 第九条 金融机构开办电子银行业务,应当具备下列条件: 第十条 金融机构开办以互联网为媒介的网上银行业务、手机银行业务等电子银行业务,除应具备第九条所列条件外,还应具备以下条件: 第十一条 外资金融机构开办电子银行业务,除应具备第九条、第十条所列条件外,还应当按照法律、行政法规的有关规定,在中华人民共和国境内设有营业性机构,其所在国家(地区)监管当… 第十二条 金融机构申请开办电子银行业务,根据电子银行业务的不同类型,分别适用审批制和报告制。 第十三条 金融机构申请开办需要审批的电子银行业务之前,应先就拟申请的业务与中国银监会进行沟通,说明拟申请的电子银行业务系统和基础设施设计、建设方案,以及基本业务运营模式等… 第十四条 金融机构申请开办电子银行业务时,可以在一个申请报告中同时申请不同类型的电子银行业务,但在申请中应注明所申请的电子银行业务类型。 第十五条 金融机构向中国银监会或其派出机构申请开办电子银行业务,应提交以下文件、资料(一式三份): 第十六条 中国银监会或其派出机构在收到金融机构的有关申请材料后,根据监管需要,要求商业银行补充材料时,应一次性将有关要求告知金融机构。 第十七条 中国银监会或其派出机构在收到金融机构申请开办需要审批的电子银行业务完整申请材料3个月内,作出批准或者不批准的书面决定;决定不批准的,应当说明理由。 第十八条 金融机构在一份申请报告中申请了多个类型的电子银行业务时,中国银监会或其派出机构可以根据有关规定和要求批准全部或部分电子银行业务类型的申请。 第十九条 金融机构开办适用于报告制的电子银行业务类型,不需申请,但应参照第十五条的有关规定,在开办电子银行业务之前1个月,将相关材料报送中国银监会或其派出机构。 第二十条 金融机构开办电子银行业务后,可以利用电子银行平台进行传统银行产品和服务的宣传、销售,也可以根据电子银行业务的特点开发新的业务类型。 第二十一条 金融机构根据业务发展需要,增加或变更电子银行业务类型,适用审批制或报告制。 第二十二条 金融机构增加或者变更以下电子银行业务类型,适用审批制: 第二十三条 金融机构增加或变更需要审批的电子银行业务类型,应向中国银监会或其派出机构报送以下文件和资料(一式三份): 第二十四条 业务经营活动不受地域限制的银行业金融机构(以下简称全国性金融机构),申请开办电子银行业务或增加、变更需要审批的电子银行业务类型,应由其总行(公司)统一向中国银监… 第二十五条 中国银监会或其派出机构在收到金融机构增加或变更需要审批的电子银行业务类型完整申请材料3个月内,做出批准或者不批准的书面决定;决定不批准的,应当说明理由。 第二十六条 其他电子银行业务类型适用报告制,金融机构增加或变更时不需申请,但应在开办该业务类型前1个月内,参照第二十三条的有关规定,将有关材料报送中国银监会或其派出机构。 第二十七条 已经实现业务数据集中处理和系统整合(以下简称数据集中处理)的银行业金融机构,获准开办电子银行业务后,可以授权其分支机构开办部分或全部电子银行业务。其分支机构在开… 第二十八条 已开办电子银行业务的金融机构按计划决定终止全部电子银行服务或部分类型的电子银行服务时,应提前3个月就终止电子银行服务的原因及相关问题处置方案等,报告中国银监会,… 第二十九条 金融机构终止电子银行服务或停办部分业务类型后,需要重新开办电子银行业务或者重新开展已停办的业务类型时,应按照相关规定重新申请或办理。 第三十条 金融机构因电子银行系统升级、调试等原因,需要按计划暂时停止电子银行服务的,应选择适当的时间,尽可能减少对客户的影响,并至少提前3天在其网站上予以公告。 第三章 风险管理 第三十一条 金融机构应当将电子银行业务风险管理纳入本机构风险管理的总体框架之中,并应根据电子银行业务的运营特点,建立健全电子银行风险管理体系和电子银行安全、稳健运营的内部控… 第三十二条 金融机构的电子银行风险管理体系和内部控制体系应当具有清晰的管理架构、完善的规章制度和严格的内部授权控制机制,能够对电子银行业务面临的战略风险、运营风险、法律风险… 第三十三条 金融机构针对传统业务风险制定的审慎性风险管理原则和措施等,同样适用于电子银行业务,但金融机构应根据电子银行业务环境和运行方式的变化,对原有风险管理制度、规则和程… 第三十四条 金融机构的董事会和高级管理层应根据本机构的总体发展战略和实际经营情况,制订电子银行发展战略和可行的经营投资战略,对电子银行的经营进行持续性的综合效益分析,科学评… 第三十五条 在制定电子银行发展战略时,金融机构应加强电子银行业务的知识产权保护工作。 第三十六条 金融机构应当针对电子银行不同系统、风险设施、信息和其他资源的重要性及其对电子银行安全的影响进行评估分类,制定适当的安全策略,建立健全风险控制程序和安全操作规程,… 第三十七条 金融机构应当保障电子银行运营设施设备,以及安全控制设施设备的安全,对电子银行的重要设施设备和数据,采取适当的保护措施。 第三十八条 金融机构应采用适当的加密技术和措施,保证电子交易数据传输的安全性与保密性,以及所传输交易数据的完整性、真实性和不可否认性。 第三十九条 金融机构应当与客户签订电子银行服务协议或合同,明确双方的权利与义务。 第四十条 金融机构应采取适当的措施和采用适当的技术,识别与验证使用电子银行服务客户的真实、有效身份,并应依照与客户签订的有关协议对客户作业权限、资金转移或交易限额等实施有… 第四十一条 金融机构应当建立相应的机制,搜索、监测和处理假冒或有意设置类似于金融机构的电话、网站、短信号码等信息骗取客户资料的活动。 第四十二条 金融机构应尽可能使用统一的电子银行服务电话、域名、短信号码等,并应在与客户签订的协议中明确客户启动电子银行业务的合法途径、意外事件的处理办法,以及联系方式等。 第四十三条 金融机构应建立电子银行入侵侦测与入侵保护系统,实时监控电子银行的运行情况,定期对电子银行系统进行漏洞扫描,并建立对非法入侵的甄别、处理和报告机制。 第四十四条 金融机构开展电子银行业务,需要对客户信息和交易信息等使用电子签名或电子认证时,应遵照国家有关法律法规的规定。 第四十五条 金融机构应定期评估可供客户使用的电子银行资源充足情况,采取必要的措施保障线路接入通畅,保证客户对电子银行服务的可用性。 第四十六条 金融机构应制定电子银行业务连续性计划,保证电子银行业务的连续正常运营。 第四十七条 金融机构应制定电子银行应急计划和事故处理预案,并定期对这些计划和预案进行测试,以管理、控制和减少意外事件造成的危害。 第四十八条 金融机构应定期对电子银行关键设备和系统进行检测,并详细记录检测情况。 第四十九条 金融机构应明确电子银行管理、运营等各个环节的主要权限、职责和相互监督方式,有效隔离电子银行应用系统、验证系统、业务处理系统和数据库管理系统之间的风险。 第五十条 金融机构应建立健全电子银行业务的内部审计制度,定期对电子银行业务进行审计。 第五十一条 金融机构应采取适当的方法和技术,记录并妥善保存电子银行业务数据,电子银行业务数据的保存期限应符合法律法规的有关要求。 第五十二条 金融机构应采取适当措施,保证电子银行业务符合相关法律法规对客户信息和隐私保护的规定。 第五十三条 金融机构应针对电子银行业务发展与管理的实际情况,制订多层次的培训计划,对电子银行管理人员和业务人员进行持续培训。 第四章 数据交换与转移管理 第五十四条 电子银行业务的数据交换与转移,是指金融机构根据业务发展和管理的需要,利用电子银行平台与外部组织或机构相互交换电子银行业务信息和数据,或者将有关电子银行业务数据转… 第五十五条 金融机构根据业务发展需要,可以与其他开展电子银行业务的金融机构建立电子银行系统数据交换机制,实现电子银行业务平台的直接连接,进行境内实时信息交换和跨行资金转移。 第五十六条 建立电子银行业务数据交换机制的金融机构,或者电子银行平台实现相互连接的金融机构,应当建立联合风险管理委员会,负责协调跨行间的业务风险管理与控制。 第五十七条 金融机构根据业务发展或管理的需要,可以与非银行业金融机构直接交换或转移部分电子银行业务数据。 第五十八条 金融机构在确保电子银行业务数据安全并被恰当使用的情况下,可以向非金融机构转移部分电子银行业务数据。 第五十九条 金融机构可以为电子商务经营者提供网上支付平台。为电子商务提供网上支付平台时,金融机构应严格审查合作对象,签订书面合作协议,建立有效监督机制,防范不法机构或人员利… 第六十条 外资金融机构因业务或管理需要确需向境外总行(公司)转移有关电子银行业务数据的,应遵守有关法律法规的规定,采取必要的措施保护客户的合法权益,并遵守有关数据交换和转… 第六十一条 未经电子银行业务数据转出机构的允许,数据接收机构不得将有关电子银行业务数据向第三方转移。法律法规另有规定的除外。 第五章 业务外包管理 第六十二条 电子银行业务外包,是指金融机构将电子银行部分系统的开发、建设,电子银行业务的部分服务与技术支持,电子银行系统的维护等专业化程度较高的业务工作,委托给外部专业机构… 第六十三条 金融机构在进行电子银行业务外包时,应根据实际需要,合理确定外包的原则和范围,认真分析和评估业务外包存在的潜在风险,建立健全有关规章制度,制定相应的风险防范措施。 第六十四条 金融机构在选择电子银行业务外包服务供应商时,应充分审查、评估外包服务供应商的经营状况、财务状况和实际风险控制与责任承担能力,进行必要的尽职调查。 第六十五条 金融机构应当与外包服务供应商签订书面合同,明确双方的权利、义务。 第六十六条 金融机构应充分认识外包服务供应商对电子银行业务风险控制的影响,并将其纳入总体安全策略之中。 第六十七条 金融机构应建立完整的业务外包风险评估与监测程序,审慎管理业务外包产生的风险。 第六十八条 电子银行业务外包风险的管理应当符合金融机构的风险管理标准,并应建立针对电子银行业务外包风险的应急计划。 第六十九条 金融机构应与外包服务供应商建立有效的联络、沟通和信息交流机制,并应制定在意外情况下能够实现外包服务供应商顺利变更,保证外包服务不间断的应急预案。 第七十条 金融机构对电子银行业务处理系统、授权管理系统、数据备份系统的总体设计开发,以及其他涉及机密数据管理与传递环节的系统进行外包时,应经过金融机构董事会或者法人代表批… 第六章 跨境业务活动管理 第七十一条 电子银行的跨境业务活动,是指开办电子银行业务的金融机构利用境内的电子银行系统,向境外居民或企业提供的电子银行服务活动。 第七十二条 金融机构提供跨境电子银行服务,除应遵守中国法律法规和外汇管理政策等规定外,还应遵守境外居民所在国家(地区)的法律规定。 第七十三条 金融机构开展跨境电子银行业务,除应按照第二章的有关规定向中国银监会申请外,还应当向中国银监会提供以下文件资料: 第七十四条 金融机构向客户提供跨境电子银行服务,必须签订相关服务协议。 第七章 监督管理 第七十五条 中国银监会依法对电子银行业务实施非现场监管、现场检查和安全监测,对电子银行安全评估实施管理,并对电子银行的行业自律组织进行指导和监督。 第七十六条 开展电子银行业务的金融机构应当建立电子银行业务统计体系,并按照相关规定向中国银监会报送统计数据。 第七十七条 金融机构应定期对电子银行业务发展与管理情况进行自我评估,并应每年编制《电子银行年度评估报告》。 第七十八条 金融机构的《电子银行年度评估报告》应至少包括以下几方面内容: 第七十九条 金融机构的《电子银行年度评估报告》(一式两份)应于下一年度的3月底之前报送中国银监会。 第八十条 金融机构应当建立电子银行业务重大安全事故和风险事件的报告制度,并保持与监管部门的经常性沟通。 第八十一条 中国银监会根据监管的需要,可以依法对金融机构的电子银行业务实施现场检查,也可以聘请外部专业机构对电子银行业务系统进行安全漏洞扫描、攻击测试等检查。 第八十二条 中国银监会对电子银行业务实施现场检查时,除应按照现场检查的有关规定组成检查组并进行相关业务培训外,还应邀请被检查机构的电子银行业务管理和技术人员介绍其电子银行系… 第八十三条 金融机构的总行(公司),以及已实现数据集中处理的金融机构分支机构电子银行业务的现场检查,由中国银监会负责;未实现数据集中处理的金融机构的分支机构,外资金融机构的… 第八十四条 中国银监会聘用外部专业机构对金融机构电子银行系统进行检查时,应与被委托机构签订书面合同和保密协议,明确规定被委托机构可以使用的技术手段和使用方式,并指派专人全程… 第八十五条 电子银行安全评估是金融机构开办或持续经营电子银行业务的必要条件,也是金融机构电子银行业务风险管理与监管的重要手段。 第八十六条 金融机构电子银行安全评估工作,应当由符合一定资质条件、具备相应评估能力的评估机构实施。 第八十七条 中国银监会对评估机构电子银行安全评估业务资质的认定,不作为评估机构开展电子银行安全评估业务的必要条件。 第八十八条 金融机构聘请未经中国银监会认定的安全评估机构实施电子银行安全评估时,应按照中国银监会制定的有关条件和标准选择评估机构,并应于签订评估协议前4周将拟聘用机构的有关… 第八章 法律责任 第八十九条 金融机构在提供电子银行服务时,因电子银行系统存在安全隐患、金融机构内部违规操作和其他非客户原因等造成损失的,金融机构应当承担相应责任。 第九十条 金融机构未经批准擅自开办电子银行业务,或者未经批准增加或变更需要审批的电子银行业务类型,造成客户损失的,金融机构应承担全部责任。法律法规明确规定应由客户承担的责… 第九十一条 金融机构已经按照有关法律法规和行政规章的要求,尽到了电子银行风险管理和安全管理的相应职责,但因其他金融机构或者其他金融机构的外包服务商失职等原因,造成客户损失的… 第九十二条 金融机构开展电子银行业务违反审慎经营规则但尚不构成违法违规,并导致电子银行系统存在较大安全隐患的,中国银监会将责令限期改正;逾期未改正,或者其安全隐患在短时间难… 第九十三条 金融机构在开展电子银行业务过程中,违反有关法律法规和行政规章的,中国银监会将依据有关法律法规和行政规章的规定予以处罚。 第九章 附则 第九十四条 金融机构利用为特定自助服务设施或客户建立的专用网络提供电子银行业务,有相关业务管理规定的,遵照其规定,但网络安全、技术风险等管理应参照本办法的有关规定执行;没有… 第九十五条 本办法实施前,经监管部门批准已经开办网上银行业务的金融机构,其已开办的电子银行业务不需再行审批,但应于本办法实施后1个月内将已开办的电子银行业务类型、开办时间、… 第九十六条 本办法实施前,已经开办网上银行业务但尚未报批或已经申请但尚未获得监管部门批准的金融机构,其开办的网上银行、手机银行,以及其他以互联网或无线网络为媒介的电子银行业… 第九十七条 本办法实施前,未开办网上银行业务但已开办电话银行业务的金融机构,应于本办法实施后1个月内将已开办的电子银行业务类型、开办时间等报中国银监会。 第九十八条 本办法由中国银监会负责解释。 第九十九条 本办法自2006年3月1日起施行。