摘要：梳理了電子銀行安全相關(guān)的監(jiān)管制度，包括巴塞爾銀行監(jiān)管委員會發(fā)布的報告、中國人民銀行和中國銀行業(yè)監(jiān)督管理委員會發(fā)布的監(jiān)管文件，以及新加坡金融管理局和香港金融管理局的相關(guān)監(jiān)管制度。

　　關(guān)鍵詞：電子銀行金融監(jiān)管網(wǎng)絡銀行/網(wǎng)上銀行

　　1概念

　　電子銀行(electronicbankingore-banking)是一個廣義的概念，在《電子銀行業(yè)務管理辦法》(中國銀行業(yè)監(jiān)督管理委員會令〔2006〕第5號)中將其定義為商業(yè)銀行等銀行業(yè)金融機構(gòu)利用面向社會公眾開放的通訊通道或開放型公眾網(wǎng)絡，以及銀行為特定自助服務設施或客戶建立的專用網(wǎng)絡，向客戶提供的銀行服務。根據(jù)這個定義，電子銀行及其風險主要如圖1所示。

　　如圖1所示，一般認為，網(wǎng)上銀行/網(wǎng)絡銀行(InternetBanking)是電子銀行的一種，這個包含關(guān)系在《香港貨幣銀行用語匯編》[1]中也有清晰的定義。

　　2巴塞爾銀行監(jiān)管委員會相關(guān)報告

　　對電子銀行的監(jiān)管最早始于國際清算銀行(BankforInternationalSettlements)巴塞爾銀行監(jiān)管委員會(BaselCommitteeonBankingSupervision)在1998年3月發(fā)布的《電子銀行與電子貨幣風險管理》(RiskManagementforElectronicBankingandElectronicMoneyActivities)，但是在該報告中，電子銀行的范圍主要指通過電子渠道提供零售與小額銀行產(chǎn)品和服務，包括商業(yè)POS機終端，ATM自動柜員機，電話自動應答服務，個人計算機，智能卡等。在腳注中，特別指出電子銀行業(yè)務不包括大額電子支付以及其他電子方式傳送的批發(fā)銀行業(yè)務。

　　1999年11月，巴塞爾銀行監(jiān)管委員會建立電子銀行組(ElectronicBankingGroup，EBG)，并在2000年10月發(fā)布了《電子銀行組倡議及白皮書》(ElectronicBankingGroupInitiativesandWhitePapers)，在該白皮書中，加入了新的媒介，例如Internet，但是電子銀行的定義與范圍并沒有大的變化。

　　2001年5月，EBG發(fā)布了《電子銀行風險管理原則》(RiskManagementPrinciplesforElectronicBanking)，并且在2003年7月進行了改版，這個報告對電子銀行的定義特別強調(diào)了電子銀行包括大額電子支付以及其他電子方式傳送的批發(fā)銀行業(yè)務�！峨娮鱼y行風險管理原則》包含了14項原則，其中特別指出，這不是“最佳實踐”，而是“指南”。

　　巴塞爾銀行監(jiān)管委員會發(fā)布的相關(guān)報告順序，如圖2所示。

　　3國內(nèi)的電子銀行監(jiān)管文件梳理

　　國內(nèi)對于電子銀行以及網(wǎng)上銀行的監(jiān)管也比較早，一般認為，最早發(fā)布的監(jiān)管文件是《網(wǎng)上銀行業(yè)務管理暫行辦法》(中國人民銀行令〔2001〕第6號)(以下簡稱《暫行辦法》)，其中第三條中指出了“本辦法所稱網(wǎng)上銀行業(yè)務，是指銀行通過因特網(wǎng)提供的金融服務。”在中國人民銀行公告〔2007〕第4號，宣布該文廢止。更有指導意義的是中國人民銀行發(fā)布的JR/T0068—2012《網(wǎng)上銀行系統(tǒng)信息安全通用規(guī)范》[2]。

　　中國人民銀行發(fā)布的主要監(jiān)管文件的梳理，如圖3所示。

　　中國銀行業(yè)監(jiān)督管理委員會在2006年公布了《電子銀行業(yè)務管理辦法》(中國銀行業(yè)監(jiān)督管理委員會令〔2006〕第5號)和《電子銀行安全評估指引》(銀監(jiān)發(fā)〔2006〕9號)，這兩個監(jiān)管文件同時為了解決《暫行辦法》中存在的一些問題，具體引述如下[3]：

　　《暫行辦法》僅對網(wǎng)上銀行業(yè)務(OnlineBanking)1)進行規(guī)范，一方面導致對同一電子銀行平臺上相同風險的監(jiān)管，因客戶所使用的設備不同而產(chǎn)生差異，監(jiān)管網(wǎng)上銀行有依據(jù)，而監(jiān)管其他類似銀行業(yè)務“無法可依”，不利于真正控制電子銀行的風險;另一方面《暫行辦法》也與國際上以網(wǎng)絡銀行(InternetBanking)或電子銀行(ElectronicBanking,E-Banking)作為法律規(guī)范對象的通常做法差異較大，不利于跨境電子銀行業(yè)務的監(jiān)管。

　　中國銀行業(yè)監(jiān)督管理委員會的主要監(jiān)管文件梳理，如圖4所示。

　　4其他可以參考的監(jiān)管制度

　　境外對電子銀行的監(jiān)管制度，我們主要參考新加坡金融管理局(MonetaryAuthorityofSingapore，MAS)和香港金融管理局(HongKongMonetaryAuthority，HKMA)。

　　新加坡金融管理局的監(jiān)管制度有一個明顯的特點，就是在風險管理的框架下考慮技術(shù)安全問題。MAS在2001年3月公布了《網(wǎng)絡銀行技術(shù)風險管理》(InternetBankingTechnologyRiskManagement)，并在之后經(jīng)歷了數(shù)次改版，無論哪個版本，都提供了風險管理框架。在2013年7月發(fā)布的《技術(shù)風險管理指南》(TechnologyRiskManagementGuidelines)，依然保持了這個風格，其中，第4章，將風險管理的過程分為：風險識別、風險評估、風險應對、風險監(jiān)視與報告。

　　值得指出的是，MAS在2008年版《網(wǎng)絡銀行技術(shù)風險管理》的定義明確指出，“在合適的場合，網(wǎng)絡銀行可以認為是在線(網(wǎng)上)金融服務的同義詞。”這個論斷也佐證了圖1的分類。

　　新加坡金融管理局的主要監(jiān)管文件梳理，如圖5所示：

　　香港金融管理局在2000年7月發(fā)布了《電子銀行服務安全風險管理》(ManagementofSecurityRisksinElectronicBankingServices)，在本文中討論的諸多概念也參考了《香港貨幣銀行用語匯編》。

　　5小結(jié)

　　普遍認為，信息安全的主要目標是控制風險，因此，對于電子銀行技術(shù)風險而言，在整體的風險管理框架下考慮更為合理。例如，現(xiàn)有的風險管理框架一般要包括：風險識別、風險評價、風險評估和風險應對等多個過程[4-6]，組織可以由此結(jié)合巴塞爾銀行監(jiān)管委員會發(fā)布的《電子銀行風險管理原則》，建立適合組織特點的電子銀行風險管理框架，然后在此基礎(chǔ)上，再考慮具體的技術(shù)細節(jié)。

　　參考文獻

　　[1]http://www.hkma.gov.hk/gdbook/gb_chi/main/index_c.shtml.

　　[2]李東榮.《網(wǎng)上銀行系統(tǒng)信息安全通用規(guī)范》解讀[M].北京：中國金融出版社，2017.

　　[3]中國銀監(jiān)會就電子銀行安全評估指引答問(實錄)[EB/OL]，http://www.huaxia.com/xw/dl/2006/00417661.html.

　　[4]謝宗曉.信息安全風險管理相關(guān)詞匯定義與解析[J].中國標準導報，2016(04)：26-29.

　　[5]謝宗曉，劉立科.信息安全風險評估/管理相關(guān)國家標準介紹[J].中國標準導報，2016(05)：30-33.

　　[6]趙戰(zhàn)生，謝宗曉.信息安全風險評估(第2版)[M].北京：中國標準出版社，2016.

---

轉(zhuǎn)載請注明來自：http://www.jinnzone.com/yinhanglw/67789.html