本报记者李涛发自北京
昨天(19日),银监会在其《电子银行业务管理办法(征求意见稿)》(下称“征求意见稿”)中要求金融机构应当建立健全电子银行业务的风险管理体系和电子银行安全、稳健运营的内部控制体系。
征求意见稿中还注明利用互联网等开放性网络或无线网络开展的电子银行业务,包括网上银行、手机银行、个人数据辅助设备银行等,适用于审批制;利用境内或地区性电信网络、有线网络等开展的电子银行业务,适用于备案制。
中国互联网络信息中心公布的相关调查报告显示,不愿选择网上银行的客户中有76%是出于安全考虑。
这份征求意见稿中显示,银监会要求金融机构应根据电子银行业务环境和运行方式的变化,对原有传统风险管理制度、规则和程序进行必要的和适当的修正。而且,金融机构针对传统业务风险已经制定的稳健性风险管理原则,同样适用于电子银行业务。征求意见稿要求金融机构对各类安全控制措施应定期检查、审核,根据实际情况适时调整。
另外,征求意见稿还要求建立安全隐患和事故的报告、审查和处置程序,保证安全措施的持续有效和及时更新。建立电子银行系统内部审计机制,定期对电子银行业务进行审计,确保对全部的电子银行交易具有明确的审计监督。
针对“网上黑客”,银监会要求金融机构应在物理控制和软件控制两个方面,建立对非法进入或越权进入的甄别、处理和报告机制;金融机构应保证所有的电子银行交易都有清晰的跟踪记录,并且采用适当的技术和措施保存这些数据以及符合有关法律法规的时限要求。
至于外资金融机构的电子银行业务运营系统和业务处理服务器是否可以设置境外,征求意见稿持肯定的态度,但要求在境内应设置可以记录和保存有关境内业务数据的设备,能够满足金融监管部门非现场监管和现场检查的要求,在出现法律纠纷时,能够满足中国司法机构调查取证的要求。
另外,金融机构在根据业务需要向境外居民提供跨境电子银行服务方面,利用电子银行系统开展离岸金融业务,应报银监会备案。
在电子银行业务的监督检查方面,征求意见稿指出,银监会根据监管的需要,可以独立或者聘请外部机构对电子银行业务系统进行安全漏洞扫描、攻击测试等,开展电子银行业务的金融机构应当积极配合,并严格保密有关结果,不得将有关结论用于宣传活动中。
银监会同时公布了《电子银行安全评估指引(征求意见稿)》,其中强调银监会认可的电子银行安全评估机构,以及有关资格认定撤销决定等信息,仅向开展电子银行业务的各金融机构通报,不向社会公布。金融机构不得向第三方泄露银监会的有关通报信息,影响外部机构的其他业务活动,也不得将有关信息用于与电子银行安全评估活动无关的其他业务活动。
转自搜狐