电子银行营业治理办法

(2006年1月26日中国银行业监督管理委员会令2006年第5号公布 自2006年3月1日起施行)

第一章 总 则

第一条 为加强电子银行业务的风险管理，保障客户及银行的合法权柄，促进电子银行业务的康健有序发展，根据《中华公民共和国银行业监督管理法》、《中华公民共和国商业银行法》和《中华公民共和国外资金融机构管理条例》等法律法规，制订本办法。

第二条 本办法所称电子银行业务，是指商业银行等银行业金融机构利用面向社会公众开放的通讯通道或开放型"大众网络，以及银行为特定自助做事举动步伐或客户建立的专用网络，向客户供应的银行做事。

电子银行业务包括利用打算机和互联网开展的银行业务（以下简称网上银行业务），利用电话等声讯设备和电信网络开展的银行业务（以下简称电话银行业务），利用移动电话和无线网络开展的银行业务（以下简称手机银行业务），以及其他利用电子做事设备和网络，由客户通过自助做事办法完成金融交易的银行业务。

第三条 银行业金融机构和依据《中华公民共和国外资金融机构管理条例》设立的外资金融机构（以下通称为金融机构），应该按照本办法的规定开展电子银行业务。

在中华公民共和国境内设立的金融资产管理公司、相信投资公司、财务公司、金融租赁公司以及经中国银行业监督管理委员会（以下简称中国银监会）批准设立的其他金融机构，开办具有电子银行性子的电子金融业务，适用本办法对金融机构开展电子银行业务的有关规定。

第四条 经中国银监会批准，金融机构可以在中华公民共和国境内开办电子银行业务，向中华公民共和国境内企业、居民等客户供应电子银行做事，也可按照本办法的有关规定开展跨境电子银行做事。

第五条 金融机构应该按照合理方案、统一管理、保障系统安全运行的原则，开展电子银行业务，担保电子银行业务的康健、有序发展。

第六条 金融机构应根据电子银行业务特性，建立健全电子银行业务风险管理体系和内部掌握体系，设立相应的管理机构，明确电子银行业务管理的任务，有效地识别、评估、监测和掌握电子银行业务风险。

第七条 中国银监会卖力对电子银行业务履行监督管理。

第二章 申请与变更

第八条 金融机构在中华公民共和国境内开办电子银行业务，应该依照本办法的有关规定，向中国银监会申请或报告。

第九条 金融机构开办电子银行业务，应该具备下列条件：

（一） 金融机构的经营活动正常，建立了较为完善的风险管理体系和内部掌握制度，在申请开办电子银行业务的前一年内，金融机构的紧张信息管理系统和业务处理系统没有发生过重大事件；

（二） 制订了电子银行业务的总体发展计策、发展方案和电子银行安全策略，建立了电子银行业务风险管理的组织体系和制度体系；

（三） 按照电子银行业务发展方案和安全策略，建立了电子银行业务运营的根本举动步伐和系统，并对干系举动步伐和系统进行了必要的安全检测和业务测试；

（四） 对电子银行业务风险管理情形和业务运营举动步伐与系统等，进行了符合监管哀求的安全评估；

（五） 建立了明确的电子银行业务管理部门，配备了合格的管理职员和技能职员；

（六） 中国银监会哀求的其他条件。

第十条 金融机构开办以互联网为媒介的网上银行业务、手机银行业务等电子银行业务，除应具备第九条 所列条件外，还应具备以下条件：

（一） 电子银行根本举动步伐设备能够保障电子银行的正常运行；

（二） 电子银行系统具备必要的业务处理能力，能够知足客户应时业务处理的须要；

（三） 建立了有效的外部攻击侦测机制；

（四） 中资银行业金融机构的电子银行业务运营系统和业务处理做事器设置在中华公民共和国境内；

（五） 外资金融机构的电子银行业务运营系统和业务处理做事器可以设置在中华公民共和国境内或境外。
设置在境外时，应在中华公民共和国境内设置可以记录和保存业务交易数据的举动步伐设备，能够知足金融监管部门现场检讨的哀求，在涌现法律轇轕时，能够知足中国法律机构调查取证的哀求。

第十一条 外资金融机构开办电子银行业务，除应具备第九条 、第十条 所列条件外，还应该按照法律、行政法规的有关规定，在中华公民共和国境内设有业务性机构，其所在国家（地区）监管当局具备对电子银行业务进行监管的法律框架和监管能力。

第十二条 金融机构申请开办电子银行业务，根据电子银行业务的不同类型，分别适用审批制和报告制。

（一） 利用互联网等开放性网络或无线网络开办的电子银行业务，包括网上银行、手机银行和利用掌上电脑等个人数据赞助设备开办的电子银行业务，适用审批制；

（二） 利用境内或地区性电信网络、有线网络等开办的电子银行业务，适用报告制；

（三） 利用银行为特定自助做事举动步伐或与客户建立的专用网络开办的电子银行业务，法律法规和行政规章另有规定的遵照其规定，没有规定的适用报告制。

金融机构开办电子银行业务后，与其特定客户建立直接管集连接供应干系做事，属于电子银行日常做事，不属于开办电子银行业务申请的类型。

第十三条 金融机构申请开办须要审批的电子银行业务之前，应先就拟申请的业务与中国银监会进行沟通，解释拟申请的电子银行业务系统和根本举动步伐设计、培植方案，以及基本业务运营模式等，并根据沟通情形，对有关方案进行调度。

进行监管沟通后，金融机构应根据调度完善后的方案开展电子银行系统培植，并应在申请前完成对干系系统的内部测试事情。

内部测试工具仅限于金融机构内部职员、外包机构干系事情职员和干系机构的事情职员，不得扩展到一样平常客户。

第十四条 金融机构申请开办电子银行业务时，可以在一个申请报告中同时申请不同类型的电子银行业务，但在申请中应注明所申请的电子银行业务类型。

第十五条 金融机构向中国银监会或其派出机构申请开办电子银行业务，应提交以下文件、资料（一式三份）：

（一） 由金融机构法定代表人签署的开办电子银行业务的申请报告；

（二） 拟申请的电子银行业务类型及拟开展的业务种类；

（三） 电子银行业务发展方案；

（四） 电子银行业务运营举动步伐与技能系统先容；

（五） 电子银行业务系统测试报告；

（六） 电子银行安全评估报告；

（七） 电子银行业务运行应急操持和业务连续性操持；

（八） 电子银行业务风险管理体系及相应的规章制度；

（九） 电子银行业务的管理部门、管理职责，以及紧张卖力人先容；

（十） 申请单位联系人以及联系电话、传真、电子邮件信箱等联系办法；

（十一） 中国银监会哀求供应的其他文件和资料。

第十六条 中国银监会或其派出机构在收到金融机构的有关申请材料后，根据监管须要，哀求商业银行补充材料时，应一次性将有关哀求奉告金融机构。

金融机构应根据中国银监会或其派出机构的哀求，重新体例和装订申请材料，并更正材料递交日期。

第十七条 中国银监会或其派出机构在收到金融机构申请开办须要审批的电子银行业务完全申请材料3个月内，作出批准或者分歧意的书面决定；决定分歧意的，应该解释情由。

第十八条 金融机构在一份申请报告中申请了多个类型的电子银行业务时，中国银监会或其派出机构可以根据有关规定和哀求批准全部或部分电子银行业务类型的申请。

对付中国银监会或其派出机构未批准的电子银行业务类型，金融机构可按有关规定重新申请。

第十九条 金融机构开办适用于报告制的电子银行业务类型，不需申请，但应参照第十五条 的有关规定，在开办电子银行业务之前1个月，将干系材料报送中国银监会或其派出机构。

第二十条 金融机构开办电子银行业务后，可以利用电子银行平台进行传统银行产品和做事的宣扬、发卖，也可以根据电子银行业务的特点开拓新的业务类型。

金融机构利用电子银行平台宣扬有关银行产品或做事时，应该遵守干系法律法规和业务管理规章的有关规定。
利用电子银行平台发卖有关银行产品或做事时，应负责剖析选择适应电子银行发卖的产品，不得利用电子银行发卖须要对客户进行当面评估后才能发卖的，或者须要客户当面确认才能发卖的银行产品，法律法规和行政规章另有规定的除外。

第二十一条 金融机构根据业务发展须要，增加或变更电子银行业务类型，适用审批制或报告制。

第二十二条 金融机构增加或者变更以下电子银行业务类型，适用审批制：

（一） 有关法律法规和行政规章规定须要审批但金融机构尚未申请批准，并准备利用电子银行开办的；

（二） 金融机构将已获批准的业务运用于电子银行时，须要与证券业、保险业干系机构进行直接实时数据交流才能履行的；

（三） 金融机构之间通过互联电子银行平台联合开展的；

（四） 供应跨境电子银行做事的。

第二十三条 金融机构增加或变更须要审批的电子银行业务类型，应向中国银监会或其派出机构报送以下文件和资料（一式三份）：

（一）由金融机构法定代表人签署的增加或变更业务类型的申请；

（二）拟增加或变更业务类型的定义和操作流程；

（三）拟增加或变更业务类型的风险特色和戒备方法；

（四）有关管理规章制度；

（五）申请单位联系人以及联系电话、传真、电子邮件信箱等联系办法；

（六）中国银监会哀求供应的其他文件和资料。

第二十四条 业务经营活动不受地域限定的银行业金融机构（以下简称全国性金融机构），申请开办电子银行业务或增加、变更须要审批的电子银行业务类型，应由其总行（公司）统一向中国银监会申请。

按照有关规定只能在某一城市或地区内从事业务经营活动的银行业金融机构（以下简称地区性金融机构），申请开办电子银行业务或增加、变更须要审批的电子银行业务类型，应由其法人机构向所在地中国银监会派出机构申请。

外资金融机构申请开办电子银行业务或增加、变更须要审批的电子银行业务类型，应由其总行（公司）或在中华公民共和国境内的主报告行向中国银监会申请。

第二十五条 中国银监会或其派出机构在收到金融机构增加或变更须要审批的电子银行业务类型完全申请材料3个月内，做出批准或者分歧意的书面决定；决定分歧意的，应该解释情由。

第二十六条 其他电子银行业务类型适用报告制，金融机构增加或变更时不需申请，但应在开办该业务类型前1个月内，参照第二十三条 的有关规定，将有关材料报送中国银监会或其派出机构。

第二十七条 已经实现业务数据集中处理和系统整合（以下简称数据集中处理）的银行业金融机构，获准开办电子银行业务后，可以授权其分支机构开办部分或全部电子银行业务。
其分支机构在开办干系业务之前，应向所在地中国银监会派出机构报告。

未实现数据集中处理的银行业金融机构，如果其分支机构的电子银行业务处理系统独立于总部，该分支机构开办电子银行业务按照地区性金融机构开办电子银行业务的环境管理，应持其总行授权文件，按照有关规定向所在地中国银监会派出机构申请或报告。
其他分支机构只需持其总行授权文件，在开办干系业务之前，向所在地中国银监会派出机构报告。

外资金融机构获准开办电子银行业务后，其境内分支机构开办电子银行业务，应持其总行（公司）授权文件向所在地中国银监会派出机构报告。

第二十八条 已开办电子银行业务的金融机构按操持决定终止全部电子银行做事或部分类型的电子银行做事时，应提前3个月就终止电子银行做事的缘故原由及干系问题处置方案等，报告中国银监会，并同时予以公告。

金融机构按操持决定停办部分电子银行业务类型时，应于停办该业务前1个月内向中国银监会报告，并予以公告。

金融机构终止电子银行做事或停办部分业务类型，必须采纳有效的方法保护客户的合法权柄，并针对可能涌现的问题制订有效的处置方案。

第二十九条 金融机构终止电子银行做事或停办部分业务类型后，须要重新开办电子银行业务或者重新开展已停办的业务类型时，应按照干系规定重新申请或办理。

第三十条 金融机构因电子银行系统升级、调试等缘故原由，须要按操持暂时停滞电子银行做事的，应选择适当的韶光，尽可能减少对客户的影响，并至少提前3天在其网站上予以公告。

受突发事宜或有时成分影响非操持停息电子银行做事，在正常事情韶光内超过4个小时或者在正常事情韶光外超过8个小时的，金融机构应在停息做事后24小时内将有关情形报告中国银监会，并应在事件处理基本结束后3日内，将事件缘故原由、影响、补救方法及处理情形等，报告中国银监会。

第三章 风险管理

第三十一条 金融机构应该将电子银行业务风险管理纳入本机构风险管理的总体框架之中，并应根据电子银行业务的运营特点，建立健全电子银行风险管理体系和电子银行安全、稳健运营的内部掌握体系。

第三十二条 金融机构的电子银行风险管理体系和内部掌握体系应该具有清晰的管理架构、完善的规章制度和严格的内部授权掌握机制，能够对电子银行业务面临的计策风险、运营风险、法律风险、荣誉风险、信用风险、市场风险等履行有效的识别、评估、监测和掌握。

第三十三条 金融机构针对传统业务风险制订的谨严性风险管理原则和方法等，同样适用于电子银行业务，但金融机构应根据电子银行业务环境和运行办法的变革，对原有风险管理制度、规则和程序进行必要的和适当的改动。

第三十四条 金融机构的董事会和高等管理层应根据本机构的总体发展计策和实际经营情形，订定电子银行发展计策和可行的经营投资计策，对电子银行的经营进行持续性的综合效益剖析，科学评估电子银行业务对金融机构总体风险的影响。

第三十五条 在制订电子银行发展计策时，金融机构应加强电子银行业务的知识产权保护事情。

第三十六条 金融机构应该针对电子银行不同系统、风险举动步伐、信息和其他资源的主要性及其对电子银行安全的影响进行评估分类，制订适当的安全策略，建立健全风险掌握程序和安全操作规程，采纳相应的安全管理方法。

对各种安全掌握方法应定期检讨、测试，并根据实际情形应时调度，担保安全方法的持续有效和及时更新。

第三十七条 金融机构应该保障电子银走运营举动步伐设备，以及安全掌握举动步伐设备的安全，对电子银行的主要举动步伐设备和数据，采纳适当的保护方法。

（一）有形场所的物理安全掌握，必须符合国家有关法律法规和安全标准的哀求，对尚没有统一安全标准的有形场所的安全掌握，金融机构应确保其制订的安全制度有效地覆盖可能面临的紧张风险；

（二）以开放型网络为媒介的电子银行系统，应合理设置和利用防火墙、防病毒软件等安全产品与技能，确保电子银行有足够的反攻击能力、防病毒能力和入侵防护能力；

（三）对主要举动步伐设备的打仗、检讨、维修和应急处理，应有明确的权限界定、任务划分和操作流程，并建立日志文件管理制度，如实记录并妥善保管干系记录；

（四）对主要技能参数，应严格掌握打仗权限，并建立相应的技能参数调度与变更机制，并担保在改换关键职员后，能够有效防止有关技能参数的泄露；

（五）对电子银行管理的关键岗位和关键职员，应实施轮岗和逼迫性休假制度，建立严格的内部监督管理制度。

第三十八条 金融机构应采取适当的加密技能和方法，担保电子交易数据传输的安全性与保密性，以及所传输交易数据的完全性、真实性和不可否认性。

金融机构采取的数据加密技能应符合国家有关规定，并根据电子银行业务的安全性须要和科技信息技能的发展，定期检讨和评估所利用的加密技能和算法的强度，对加密办法进行应时调度。

第三十九条 金融机构应该与客户签订电子银行做事协议或条约，明确双方的权利与责任。

在电子银行做事协议中，金融机构应向客户充分揭示利用电子银行进行交易可能面临的风险，金融机构已经采纳的风险掌握方法和客户应采纳的风险掌握方法，以及干系风险的任务承担。

第四十条 金融机构应采纳适当的方法和采取适当的技能，识别与验证利用电子银行做事客户的真实、有效身份，并应依照与客户签订的有关协议对客户作业权限、资金转移或交易限额等履行有效管理。

第四十一条 金融机构应该建立相应的机制，搜索、监测和处理假冒或故意设置类似于金融机构的电话、网站、短旗子暗记码等信息骗取客户资料的活动。

金融机构创造假冒电子银行的造孽活动后，应向公安部门报案，并向中国银监会报告。
同时，金融机构应及时在其网站、电话语音提示系统或短信平台上，提醒客户把稳。

第四十二条 金融机构应尽可能利用统一的电子银行做事电话、域名、短旗子暗记码等，并应在与客户签订的协议中明确客户启动电子银行业务的合法路子、意外事宜的处理办法，以及联系办法等。

已实现数据集中处理的银行业金融机构开展网上银行类业务，总行（公司）与其分支机构应利用统一的域名；未实现数据集中处理的银行业金融机构开展网上银行类业务时，应由总行（公司）设置统一的接入站点，在其主页内设置其分支机构网站链接。

第四十三条 金融机构应建立电子银行入侵侦测与入侵保护系统，实时监控电子银行的运行情形，定期对电子银行系统进行漏洞扫描，并建立对造孽入侵的甄别、处理和报告机制。

第四十四条 金融机构开展电子银行业务，须要对客户信息和交易信息等利用电子署名或电子认证时，应遵照国家有关法律法规的规定。

金融机构利用第三方认证系统，应对第三方认证机构进行定期评估，担保有关认证安全可靠和具有公信力。

第四十五条 金融机构应定期评估可供客户利用的电子银行资源充足情形，采纳必要的方法保障线路接入通畅，担保客户对电子银行做事的可用性。

第四十六条 金融机构应制订电子银行业务连续性操持，担保电子银行业务的连续正常运营。

金融机构电子银行业务连续性操持应充分考虑第三方做事供应商对业务连续性的影响，并应采纳适当的预防方法。

第四十七条 金融机构应制订电子银行应急操持和事件处理预案，并定期对这些操持和预案进行测试，以管理、掌握和减少意外事宜造成的危害。

第四十八条 金融机构应定期对电子银行关键设备和系统进行检测，并详细记录检测情形。

第四十九条 金融机构应明确电子银行管理、运营等各个环节的紧张权限、职责和相互监督办法，有效隔离电子银行运用系统、验证系统、业务处理系统和数据库管理系统之间的风险。

第五十条 金融机构应建立健全电子银行业务的内部审计制度，定期对电子银行业务进行审计。

第五十一条 金融机构应采纳适当的方法和技能，记录并妥善保存电子银行业务数据，电子银行业务数据的保存期限应符合法律法规的有关哀求。

第五十二条 金融机构应采纳适当方法，担保电子银行业务符合干系法律法规对客户信息和隐私保护的规定。

第五十三条 金融机构应针对电子银行业务发展与管理的实际情形，订定多层次的培训操持，对电子银行管理职员和业务职员进行持续培训。

第四章 数据交流与转移管理

第五十四条 电子银行业务的数据交流与转移，是指金融机构根据业务发展和管理的须要，利用电子银行平台与外部组织或机构相互交流电子银行业务信息和数据，或者将有关电子银行业务数据转移至外部组织或机构的活动。

第五十五条 金融机构根据业务发展须要，可以与其他开展电子银行业务的金融机构建立电子银行系统数据交流机制，实现电子银行业务平台的直接连接，进行境内实时信息交流和跨行资金转移。

第五十六条 建立电子银行业务数据交流机制的金融机构，或者电子银行平台实现相互连接的金融机构，应该建立联合风险管理委员会，卖力折衷跨行间的业务风险管理与掌握。

所有参加数据交流或电子银行平台连接的金融机构都应参加联合风险管理委员会，共同制订并遵守联合风险管理委员会的规章制度和事情规程。

联合风险管理委员会的规章制度、事情规程、会议纪要和有关决议等，应抄报中国银监会。

第五十七条 金融机构根据业务发展或管理的须要，可以与非银行业金融机构直接交流或转移部分电子银行业务数据。

金融机构向非银行业金融机构交流或转移部分电子银行业务数据时，应签订数据交流（转移）用场与范围明确、管理职责清晰的书面协议，并明确各方的数据保密任务。

第五十八条 金融机构在确保电子银行业务数据安全并被恰当利用的情形下，可以向非金融机构转移部分电子银行业务数据。

（一）金融机构由于业务外包、系统测试（调试）、数据规复与接济等为掩护电子银行正常安全运营的须要而向非金融机构转移电子银行业务数据的，应该事先签订书面保密条约，并指派专人卖力监督有关数据的利用、保管、通报和销毁；

（二）金融机构由于业务拓展、业务互助等须要向非金融机构转移电子银行业务数据的，除应签订书面保密条约和指定专人监督外，还应建立对数据吸收方的定期检讨制度，一旦创造数据吸收方不当利用、保管或通报电子银行业务数据，应立即停滞干系数据转移，并应采纳必要的方法预防电子银行客户的合法权柄受到危害，法律法规另有规定的除外；

（三）金融机构不得向无业务往来的非金融机构转移电子银行业务数据，不得出售电子银行业务数据，不得危害客户权柄利用电子银行业务数据谋取利益。

第五十九条 金融机构可以为电子商务经营者供应网上支付平台。
为电子商务供应网上支付平台时，金融机构应严格审查合为难刁难象，签订书面互助协议，建立有效监督机制，戒备不法机构或人员利用电子银行支付平台从事违法资金转移或其他造孽活动。

第六十条 外资金融机构因业务或管理须要确需向境外总行（公司）转移有关电子银行业务数据的，应遵守有关法律法规的规定，采纳必要的方法保护客户的合法权柄，并遵守有关数据交流和转移的规定。

第六十一条 未经电子银行业务数据转出机构的许可，数据吸收机构不得将有关电子银行业务数据向第三方转移。
法律法规另有规定的除外。

第五章 业务外包管理

第六十二条 电子银行业务外包，是指金融机构将电子银行部分系统的开拓、培植，电子银行业务的部分做事与技能支持，电子银行系统的掩护等专业化程度较高的业务事情，委托给外部专业机构承担的活动。

第六十三条 金融机构在进行电子银行业务外包时，应根据实际须要，合理确定外包的原则和范围，负责剖析和评估业务外包存在的潜在风险，建立健全有关规章制度，制订相应的风险戒备方法。

第六十四条 金融机构在选择电子银行业务外经办事供应商时，应充分审查、评估外经办事供应商的经营状况、财务状况和实际风险掌握与任务承担能力，进行必要的尽职调查。

第六十五条 金融机构应该与外经办事供应商签订书面条约，明确双方的权利、责任。

在条约中，应明确规定外经办事供应商的保密责任、保密任务。

第六十六条 金融机构应充分认识外经办事供应商对电子银行业务风险掌握的影响，并将其纳入总体安全策略之中。

第六十七条 金融机构应建立完全的业务外包风险评估与监测程序，谨严管理业务外包产生的风险。

第六十八条 电子银行业务外包风险的管理应该符合金融机构的风险管理标准，并应建立针对电子银行业务外包风险的应急操持。

第六十九条 金融机构应与外经办事供应商建立有效的联结、沟通和信息互换机制，并应制订在意外情形下能够实现外经办事供应商顺利变更，担保外经办事不间断的应急预案。

第七十条 金融机构对电子银行业务处理系统、授权管理系统、数据备份系统的总体设计开拓，以及其他涉及机密数据管理与通报环节的系统进行外包时，应经由金融机构董事会或者法人代表批准，并应在业务外包履行前向中国银监会报告。

第六章 跨境业务活动管理

第七十一条 电子银行的跨境业务活动，是指开办电子银行业务的金融机构利用境内的电子银行系统，向境外居民或企业供应的电子银行做事活动。

金融机构的境内客户在境外利用电子银行做事，不属于跨境业务活动。

第七十二条 金融机构供应跨境电子银行做事，除应遵守中国法律法规和外汇管理政策等规定外，还应遵守境外居民所在国家（地区）的法律规定。

境外电子银行监管部门对跨境电子银行业务哀求审批的，金融机构在供应跨境业务活动之前，应得到境外电子银行监管部门的批准。

第七十三条 金融机构开展跨境电子银行业务，除应按照第二章的有关规定向中国银监会申请外，还应该向中国银监会供应以下文件资料：

（一）跨境电子银行做事的国家（地区），以及该国（地区）对电子银行业务管理的法律规定；

（二）跨境电子银行做事的紧张工具及做事内容；

（三）未来三年跨境电子银行业务发展规模、客户规模的剖析预测；

（四）跨境电子银行业务法律与合规性剖析。

第七十四条 金融机构向客户供应跨境电子银行做事，必须签订干系做事协议。

金融机构与客户的做事协议文本，应该利用中文和客户所在国家或地区（或客户赞许的其他国措辞）两种笔墨，两种笔墨的文本应具有同等法律效力。

第七章 监督管理

第七十五条 中国银监会依法对电子银行业务履行非现场监管、现场检讨和安全监测，对电子银行安全评估履行管理，并对电子银行的行业自律组织进行辅导和监督。

第七十六条 开展电子银行业务的金融机构应该建立电子银行业务统计体系，并按照干系规定向中国银监会报送统计数据。

商业银行向中国银监会报送的电子银行业务统计数据、报送办法等，由中国银监会另行制订。

第七十七条 金融机构应定期对电子银行业务发展与管理情形进行自我评估，并应每年体例《电子银行年度评估报告》。

第七十八条 金融机构的《电子银行年度评估报告》应至少包括以下几方面内容：

（一）本年度电子银行业务的发展操持与实际发展情形，以及对本年度电子银行发展状况的剖析评价；

（二）本年度电子银行业务经营效益的剖析、比较与评价，以及紧张业务收入和紧张业务的做事价格；

（三）电子银行业务风险管理状况的剖析与评估，以及本年度电子银行面临的紧张风险；

（四）其他须要解释的主要事变。

第七十九条 金融机构的《电子银行年度评估报告》（一式两份）应于下一年度的3月尾之前报送中国银监会。

第八十条 金融机构应该建立电子银行业务重大安全事件和风险事宜的报告制度，并保持与监管部门的常常性沟通。

对付电子银行系统被恶意攻破并已涌现客户或银行丢失，电子银行被病毒传染并导致机密资料外泄，以及可能会引发其他金融机构电子银行系统风险的事宜，金融机构应在事宜发生后48小时内向中国银监会报告。

第八十一条 中国银监会根据监管的须要，可以依法对金融机构的电子银行业务履行现场检讨，也可以聘请外部专业机构对电子银行业务系统进行安全漏洞扫描、攻击测试等检讨。

第八十二条 中国银监会对电子银行业务履行现场检讨时，除应按照现场检讨的有关规定组成检讨组并进行干系业务培训外，还应约请被检讨机构的电子银行业务管理和技能职员先容其电子银行系统架构、运营管理模式以及关键设备打仗哀求。

检讨职员在履行现场检讨过程中，应该遵守被检讨机构电子银行安全管理的有关规定。

第八十三条 金融机构的总行（公司），以及已实现数据集中处理的金融机构分支机构电子银行业务的现场检讨，由中国银监会卖力；未实现数据集中处理的金融机构的分支机构，外资金融机构的分支机构，以及地区性金融机构电子银行业务的现场检讨，由所在地银监局卖力。

第八十四条 中国银监会聘任外部专业机构对金融机构电子银行系统进行检讨时，应与被委托机构签订书面条约和保密协议，明确规定被委托机构可以利用的技能手段和利用办法，并指派专人全程参与并监督外部机构的监测测试活动。

银监局与拟聘任的外部专业机构签订条约之前，应报请银监会批准。

第八十五条 电子银行安全评估是金融机构开办或持续经营电子银行业务的必要条件，也是金融机构电子银行业务风险管理与监管的主要手段。

金融机构应按照中国银监会的有关规定，定期对电子银行系统进行安全评估，并将其作为电子银行风险管理的主要组成部分。

第八十六条 金融机构电子银行安全评估事情，应该由符合一定资质条件、具备相应评估能力的评估机构履行。

中国银监会卖力制订评估机构开展电子银行安全评估业务的资质条件和电子银行安全评估的干系制度，并卖力对评估机构参与电子银行安全评估的业务资质进行认定。

第八十七条 中国银监会对评估机构电子银行安全评估业务资质的认定，不作为评估机构开展电子银行安全评估业务的必要条件。

电子银行安全评估机构开展电子银行安全评估业务，如需中国银监会对其资质进行专业认定，应按照有关规定申请办理。

第八十八条 金融机构聘请未经中国银监会认定的安全评估机构履行电子银行安全评估时，应按照中国银监会制订的有关条件和标准选择评估机构，并应于签订评估协议前4周将拟聘任机构的有关情形报中国银监会。

第八章 法律任务

第八十九条 金融机构在供应电子银行做事时，因电子银行系统存在安全隐患、金融机构内部违规操作和其他非客户缘故原由等造成丢失的，金融机构应该承担相应任务。

因客户故意泄露交易密码，或者未按照做事协议尽到应尽的安全戒备与保密责任造成丢失的，金融机构可以根据做事协议的约定免于承担相应任务，但法律法规另有规定的除外。

第九十条 金融机构未经批准擅自开办电子银行业务，或者未经批准增加或变更须要审批的电子银行业务类型，造成客户丢失的，金融机构答允担全部任务。
法律法规明确规定应由客户承担的任务除外。

第九十一条 金融机构已经按照有关法律法规和行政规章的哀求，尽到了电子银行风险管理和安全管理的相应职责，但因其他金融机构或者其他金融机构的外经办事商失落职等缘故原由，造成客户丢失的，由其他金融机构承担相应任务，但供应电子银行做事的金融机构有责任帮忙其客户处理有关事宜。

第九十二条 金融机构开展电子银行业务违反谨严经营规则但尚不构成违法违规，并导致电子银行系统存在较大安全隐患的，中国银监会将责令限期改正；过时未改正，或者其安全隐患在短韶光难以办理的，中国银监会可以差异环境，采纳下列方法：

（一）停息批准增加新的电子银行业务类型；

（二）责令金融机构限定发展新的电子银行客户；

（三）责令调度电子银行管理部门卖力人。

第九十三条 金融机构在开展电子银行业务过程中，违反有关法律法规和行政规章的，中国银监会将依据有关法律法规和行政规章的规定予以惩罚。

第九章 附则

第九十四条 金融机构利用为特定自助做事举动步伐或客户建立的专用网络供应电子银行业务，有干系业务管理规定的，遵照其规定，但网络安全、技能风险等管理应参照本办法的有关规定实行；没有干系业务规定的，遵照本办法。

第九十五条 本办法履行前，经监管部门批准已经开办网上银行业务的金融机构，其已开办的电子银行业务不需再行审批，但应于本办法履行后1个月内将已开办的电子银行业务类型、开办韶光、审批文件等干系材料报中国银监会。

本办法履行后，上述机构开办尚未开办的电子银行业务类型，应按本办法的有关规定进行申请或报告。

第九十六条 本办法履行前，已经开办网上银行业务但尚未报批或已经申请但尚未得到监管部门批准的金融机构，其开办的网上银行、手机银行，以及其他以互联网或无线网络为媒介的电子银行业务，应在本办法履行后6个月内按本办法提交有关申请；已经递交申请材料的，应按照本办法的哀求补充有关材料。

上述机构已经开办适用于报告制的电子银行业务，应于本办法履行后1个月内将已开办的电子银行业务类型、开办韶光等报中国银监会。

上述机构新开办其他电子银行业务，应遵照本办法的规定。

第九十七条 本办法履行前，未开办网上银行业务但已开办电话银行业务的金融机构，应于本办法履行后1个月内将已开办的电子银行业务类型、开办韶光等报中国银监会。

上述机构新开办其他电子银行业务，应遵照本办法的规定。

第九十八条 本办法由中国银监会卖力阐明。

第九十九条 本办法自2006年3月1日起施行。