謝宗曉 陳琳

摘要：梳理了電子銀行安全相關(guān)的監(jiān)管制度，包括巴塞爾銀行監(jiān)管委員會發(fā)布的報告、中國人民銀行和中國銀行業(yè)監(jiān)督管理委員會發(fā)布的監(jiān)管文件，以及新加坡金融管理局和香港金融管理局的相關(guān)監(jiān)管制度。

關(guān)鍵詞： 電子銀行 金融監(jiān)管 網(wǎng)絡(luò)銀行/網(wǎng)上銀行

Electronic Banking Risk Management and Supervision

Xie Zongxiao （ China Financial Certification Authority ）

Chen Lin （ Shandong University of Science and Technology ）

Abstract： This paper reviews the regulatory system of electronic banking security， including the report issued by the Basel Committee on Banking Supervision， the regulatory documents issued by the PBC and the CBEC， and the relevant regulatory systems of the MAS and the HKMA.

Key words： electronic banking/e-banking， financial supervision， internet banking

1 概念

電子銀行（electronic banking or e-banking）是一個廣義的概念，在《電子銀行業(yè)務(wù)管理辦法》（中國銀行業(yè)監(jiān)督管理委員會令〔2006〕第5號）中將其定義為商業(yè)銀行等銀行業(yè)金融機(jī)構(gòu)利用面向社會公眾開放的通訊通道或開放型公眾網(wǎng)絡(luò)，以及銀行為特定自助服務(wù)設(shè)施或客戶建立的專用網(wǎng)絡(luò)，向客戶提供的銀行服務(wù)。根據(jù)這個定義，電子銀行及其風(fēng)險主要如圖1所示。

圖1 電子銀行的業(yè)務(wù)分類

如圖1所示，一般認(rèn)為，網(wǎng)上銀行/網(wǎng)絡(luò)銀行（Internet Banking）是電子銀行的一種，這個包含關(guān)系在《香港貨幣銀行用語匯編》[1]中也有清晰的 定義。

2 巴塞爾銀行監(jiān)管委員會相關(guān)報告

對電子銀行的監(jiān)管最早始于國際清算銀行（Bank for International Settlements）巴塞爾銀行監(jiān)管委員會（Basel Committee on Banking Supervision）在1998年3月發(fā)布的《電子銀行與電子貨幣風(fēng)險管理》（Risk Management for Electronic Banking and Electronic Money Activities），但是在該報告中，電子銀行的范圍主要指通過電子渠道提供零售與小額銀行產(chǎn)品和服務(wù)，包括商業(yè)POS機(jī)終端，ATM自動柜員機(jī)，電話自動應(yīng)答服務(wù)，個人計算機(jī)，智能卡等。在腳注中，特別指出電子銀行業(yè)務(wù)不包括大額電子支付以及其他電子方式傳送的批發(fā)銀行業(yè)務(wù)。

1999年11月，巴塞爾銀行監(jiān)管委員會建立電子銀行組（Electronic Banking Group，EBG），并在2000年10月發(fā)布了《電子銀行組倡議及白皮書》（Electronic Banking Group Initiatives and White Papers），在該白皮書中，加入了新的媒介，例如Internet，但是電子銀行的定義與范圍并沒有大的 變化。

2001年5月，EBG 發(fā)布了《電子銀行風(fēng)險管理原則》（Risk Management Principles for Electronic Banking），并且在2003年7月進(jìn)行了改版，這個報告對電子銀行的定義特別強(qiáng)調(diào)了電子銀行包括大額電子支付以及其他電子方式傳送的批發(fā)銀行業(yè)務(wù)?！峨娮鱼y行風(fēng)險管理原則》包含了14項原則，其中特別指出，這不是“最佳實踐”，而是“指南”。

巴塞爾銀行監(jiān)管委員會發(fā)布的相關(guān)報告順序，如圖2所示。

3 國內(nèi)的電子銀行監(jiān)管文件梳理

國內(nèi)對于電子銀行以及網(wǎng)上銀行的監(jiān)管也比較早，一般認(rèn)為，最早發(fā)布的監(jiān)管文件是《網(wǎng)上銀行業(yè)務(wù)管理暫行辦法》（中國人民銀行令〔2001〕第6號）（以下簡稱《暫行辦法》），其中第三條中指出了“本辦法所稱網(wǎng)上銀行業(yè)務(wù)，是指銀行通過因特網(wǎng)提供的金融服務(wù)。”在中國人民銀行公告 〔2007〕 第4號，宣布該文廢止。更有指導(dǎo)意義的是中國人民銀行發(fā)布的 JR/T 0068—2012《網(wǎng)上銀行系統(tǒng)信息安全通用規(guī)范》[2]。

中國人民銀行發(fā)布的主要監(jiān)管文件的梳理，如圖3所示。

中國銀行業(yè)監(jiān)督管理委員會在2006年公布了《電子銀行業(yè)務(wù)管理辦法》（中國銀行業(yè)監(jiān)督管理委員會令〔2006〕第5號）和《電子銀行安全評估指引》（銀監(jiān)發(fā)〔2006〕9號），這兩個監(jiān)管文件同時為了解決《暫行辦法》中存在的一些問題，具體引述如下[3]：

《暫行辦法》僅對網(wǎng)上銀行業(yè)務(wù)（Online Banking）1）進(jìn)行規(guī)范，一方面導(dǎo)致對同一電子銀行平臺上相同風(fēng)險的監(jiān)管，因客戶所使用的設(shè)備不同而產(chǎn)生差異，監(jiān)管網(wǎng)上銀行有依據(jù)，而監(jiān)管其他類似銀行業(yè)務(wù)“無法可依”，不利于真正控制電子銀行的風(fēng)險；另一方面《暫行辦法》也與國際上以網(wǎng)絡(luò)銀行（Internet Banking）或電子銀行（Electronic Banking， E-Banking）作為法律規(guī)范對象的通常做法差異較大，不利于跨境電子銀行業(yè)務(wù)的監(jiān)管。

中國銀行業(yè)監(jiān)督管理委員會的主要監(jiān)管文件梳理，如圖4所示。

4 其他可以參考的監(jiān)管制度

國外對電子銀行的監(jiān)管制度，我們主要參考新加坡金融管理局（Monetary Authority of Singapore，MAS）和香港金融管理局（Hong Kong Monetary Authority，HKMA）。

新加坡金融管理局的監(jiān)管制度有一個明顯的特點，就是在風(fēng)險管理的框架下考慮技術(shù)安全問題。MAS在2001年3月公布了《網(wǎng)絡(luò)銀行技術(shù)風(fēng)險管理》（Internet Banking Technology Risk Management），并在之后經(jīng)歷了數(shù)次改版，無論哪個版本，都提供了風(fēng)險管理框架。在2013年7月發(fā)布的《技術(shù)風(fēng)險管理指南》（Technology Risk Management Guidelines），依然保持了這個風(fēng)格，其中，第4章，將風(fēng)險管理的過程分為：風(fēng)險識別、風(fēng)險評估、風(fēng)險應(yīng)對、風(fēng)險監(jiān)視與報告。

值得指出的是，MAS在2008年版《網(wǎng)絡(luò)銀行技術(shù)風(fēng)險管理》的定義明確指出，“在合適的場合，網(wǎng)絡(luò)銀行可以認(rèn)為是在線（網(wǎng)上）金融服務(wù)的同義詞?！边@個論斷也佐證了圖1的分類。

新加坡金融管理局的主要監(jiān)管文件梳理，如圖5所示：

香港金融管理局在2000年7月發(fā)布了《電子銀行服務(wù)安全風(fēng)險管理》（Management of Security Risks in Electronic Banking Services），在本文中討論的諸多概念也參考了《香港貨幣銀行用語匯編》。

5 小結(jié)

普遍認(rèn)為，信息安全的主要目標(biāo)是控制風(fēng)險，因此，對于電子銀行技術(shù)風(fēng)險而言，在整體的風(fēng)險管理框架下考慮更為合理。例如，現(xiàn)有的風(fēng)險管理框架一般要包括：風(fēng)險識別、風(fēng)險評價、風(fēng)險評估和風(fēng)險應(yīng)對等多個過程[4-6]，組織可以由此結(jié)合巴塞爾銀行監(jiān)管委員會發(fā)布的《電子銀行風(fēng)險管理原則》，建立適合組織特點的電子銀行風(fēng)險管理框架，然后在此基礎(chǔ)上，再考慮具體的技術(shù)細(xì)節(jié)。

參考文獻(xiàn)

http：//www.hkma.gov.hk/gdbook/gb_chi/main/index_c.shtml.

李東榮. 《網(wǎng)上銀行系統(tǒng)信息安全通用規(guī)范》解讀[M]. 北京：中國金融出版社，2017.

中國銀監(jiān)會就電子銀行安全評估指引答問（實錄）[EB/OL]，http：//www.huaxia.com/xw/dl/2006/00417661.html.

謝宗曉. 信息安全風(fēng)險管理相關(guān)詞匯定義與解析[J]. 中國標(biāo)準(zhǔn)導(dǎo)報，2016（04）：26-29.

謝宗曉，劉立科. 信息安全風(fēng)險評估/管理相關(guān)國家標(biāo)準(zhǔn)介紹[J]. 中國標(biāo)準(zhǔn)導(dǎo)報，2016（05）：30-33.

趙戰(zhàn)生，謝宗曉. 信息安全風(fēng)險評估（第2版）[M]. 北京：中國標(biāo)準(zhǔn)出版社，2016.