謝宗曉 陳琳

摘要：梳理了電子銀行安全相關(guān)的監(jiān)管制度，包括巴塞爾銀行監(jiān)管委員會(huì)發(fā)布的報(bào)告、中國(guó)人民銀行和中國(guó)銀行業(yè)監(jiān)督管理委員會(huì)發(fā)布的監(jiān)管文件，以及新加坡金融管理局和香港金融管理局的相關(guān)監(jiān)管制度。

關(guān)鍵詞： 電子銀行 金融監(jiān)管 網(wǎng)絡(luò)銀行/網(wǎng)上銀行

Electronic Banking Risk Management and Supervision

Xie Zongxiao （ China Financial Certification Authority ）

Chen Lin （ Shandong University of Science and Technology ）

Abstract： This paper reviews the regulatory system of electronic banking security， including the report issued by the Basel Committee on Banking Supervision， the regulatory documents issued by the PBC and the CBEC， and the relevant regulatory systems of the MAS and the HKMA.

Key words： electronic banking/e-banking， financial supervision， internet banking

1 概念

電子銀行（electronic banking or e-banking）是一個(gè)廣義的概念，在《電子銀行業(yè)務(wù)管理辦法》（中國(guó)銀行業(yè)監(jiān)督管理委員會(huì)令〔2006〕第5號(hào)）中將其定義為商業(yè)銀行等銀行業(yè)金融機(jī)構(gòu)利用面向社會(huì)公眾開放的通訊通道或開放型公眾網(wǎng)絡(luò)，以及銀行為特定自助服務(wù)設(shè)施或客戶建立的專用網(wǎng)絡(luò)，向客戶提供的銀行服務(wù)。根據(jù)這個(gè)定義，電子銀行及其風(fēng)險(xiǎn)主要如圖1所示。

圖1 電子銀行的業(yè)務(wù)分類

如圖1所示，一般認(rèn)為，網(wǎng)上銀行/網(wǎng)絡(luò)銀行（Internet Banking）是電子銀行的一種，這個(gè)包含關(guān)系在《香港貨幣銀行用語(yǔ)匯編》[1]中也有清晰的 定義。

2 巴塞爾銀行監(jiān)管委員會(huì)相關(guān)報(bào)告

對(duì)電子銀行的監(jiān)管最早始于國(guó)際清算銀行（Bank for International Settlements）巴塞爾銀行監(jiān)管委員會(huì)（Basel Committee on Banking Supervision）在1998年3月發(fā)布的《電子銀行與電子貨幣風(fēng)險(xiǎn)管理》（Risk Management for Electronic Banking and Electronic Money Activities），但是在該報(bào)告中，電子銀行的范圍主要指通過電子渠道提供零售與小額銀行產(chǎn)品和服務(wù)，包括商業(yè)POS機(jī)終端，ATM自動(dòng)柜員機(jī)，電話自動(dòng)應(yīng)答服務(wù)，個(gè)人計(jì)算機(jī)，智能卡等。在腳注中，特別指出電子銀行業(yè)務(wù)不包括大額電子支付以及其他電子方式傳送的批發(fā)銀行業(yè)務(wù)。

1999年11月，巴塞爾銀行監(jiān)管委員會(huì)建立電子銀行組（Electronic Banking Group，EBG），并在2000年10月發(fā)布了《電子銀行組倡議及白皮書》（Electronic Banking Group Initiatives and White Papers），在該白皮書中，加入了新的媒介，例如Internet，但是電子銀行的定義與范圍并沒有大的 變化。

2001年5月，EBG 發(fā)布了《電子銀行風(fēng)險(xiǎn)管理原則》（Risk Management Principles for Electronic Banking），并且在2003年7月進(jìn)行了改版，這個(gè)報(bào)告對(duì)電子銀行的定義特別強(qiáng)調(diào)了電子銀行包括大額電子支付以及其他電子方式傳送的批發(fā)銀行業(yè)務(wù)?！峨娮鱼y行風(fēng)險(xiǎn)管理原則》包含了14項(xiàng)原則，其中特別指出，這不是“最佳實(shí)踐”，而是“指南”。

巴塞爾銀行監(jiān)管委員會(huì)發(fā)布的相關(guān)報(bào)告順序，如圖2所示。

3 國(guó)內(nèi)的電子銀行監(jiān)管文件梳理

國(guó)內(nèi)對(duì)于電子銀行以及網(wǎng)上銀行的監(jiān)管也比較早，一般認(rèn)為，最早發(fā)布的監(jiān)管文件是《網(wǎng)上銀行業(yè)務(wù)管理暫行辦法》（中國(guó)人民銀行令〔2001〕第6號(hào)）（以下簡(jiǎn)稱《暫行辦法》），其中第三條中指出了“本辦法所稱網(wǎng)上銀行業(yè)務(wù)，是指銀行通過因特網(wǎng)提供的金融服務(wù)?！痹谥袊?guó)人民銀行公告 〔2007〕 第4號(hào)，宣布該文廢止。更有指導(dǎo)意義的是中國(guó)人民銀行發(fā)布的 JR/T 0068—2012《網(wǎng)上銀行系統(tǒng)信息安全通用規(guī)范》[2]。

中國(guó)人民銀行發(fā)布的主要監(jiān)管文件的梳理，如圖3所示。

中國(guó)銀行業(yè)監(jiān)督管理委員會(huì)在2006年公布了《電子銀行業(yè)務(wù)管理辦法》（中國(guó)銀行業(yè)監(jiān)督管理委員會(huì)令〔2006〕第5號(hào)）和《電子銀行安全評(píng)估指引》（銀監(jiān)發(fā)〔2006〕9號(hào)），這兩個(gè)監(jiān)管文件同時(shí)為了解決《暫行辦法》中存在的一些問題，具體引述如下[3]：

《暫行辦法》僅對(duì)網(wǎng)上銀行業(yè)務(wù)（Online Banking）1）進(jìn)行規(guī)范，一方面導(dǎo)致對(duì)同一電子銀行平臺(tái)上相同風(fēng)險(xiǎn)的監(jiān)管，因客戶所使用的設(shè)備不同而產(chǎn)生差異，監(jiān)管網(wǎng)上銀行有依據(jù)，而監(jiān)管其他類似銀行業(yè)務(wù)“無(wú)法可依”，不利于真正控制電子銀行的風(fēng)險(xiǎn)；另一方面《暫行辦法》也與國(guó)際上以網(wǎng)絡(luò)銀行（Internet Banking）或電子銀行（Electronic Banking， E-Banking）作為法律規(guī)范對(duì)象的通常做法差異較大，不利于跨境電子銀行業(yè)務(wù)的監(jiān)管。

中國(guó)銀行業(yè)監(jiān)督管理委員會(huì)的主要監(jiān)管文件梳理，如圖4所示。

4 其他可以參考的監(jiān)管制度

國(guó)外對(duì)電子銀行的監(jiān)管制度，我們主要參考新加坡金融管理局（Monetary Authority of Singapore，MAS）和香港金融管理局（Hong Kong Monetary Authority，HKMA）。

新加坡金融管理局的監(jiān)管制度有一個(gè)明顯的特點(diǎn)，就是在風(fēng)險(xiǎn)管理的框架下考慮技術(shù)安全問題。MAS在2001年3月公布了《網(wǎng)絡(luò)銀行技術(shù)風(fēng)險(xiǎn)管理》（Internet Banking Technology Risk Management），并在之后經(jīng)歷了數(shù)次改版，無(wú)論哪個(gè)版本，都提供了風(fēng)險(xiǎn)管理框架。在2013年7月發(fā)布的《技術(shù)風(fēng)險(xiǎn)管理指南》（Technology Risk Management Guidelines），依然保持了這個(gè)風(fēng)格，其中，第4章，將風(fēng)險(xiǎn)管理的過程分為：風(fēng)險(xiǎn)識(shí)別、風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)應(yīng)對(duì)、風(fēng)險(xiǎn)監(jiān)視與報(bào)告。

值得指出的是，MAS在2008年版《網(wǎng)絡(luò)銀行技術(shù)風(fēng)險(xiǎn)管理》的定義明確指出，“在合適的場(chǎng)合，網(wǎng)絡(luò)銀行可以認(rèn)為是在線（網(wǎng)上）金融服務(wù)的同義詞?！边@個(gè)論斷也佐證了圖1的分類。

新加坡金融管理局的主要監(jiān)管文件梳理，如圖5所示：

香港金融管理局在2000年7月發(fā)布了《電子銀行服務(wù)安全風(fēng)險(xiǎn)管理》（Management of Security Risks in Electronic Banking Services），在本文中討論的諸多概念也參考了《香港貨幣銀行用語(yǔ)匯編》。

5 小結(jié)

普遍認(rèn)為，信息安全的主要目標(biāo)是控制風(fēng)險(xiǎn)，因此，對(duì)于電子銀行技術(shù)風(fēng)險(xiǎn)而言，在整體的風(fēng)險(xiǎn)管理框架下考慮更為合理。例如，現(xiàn)有的風(fēng)險(xiǎn)管理框架一般要包括：風(fēng)險(xiǎn)識(shí)別、風(fēng)險(xiǎn)評(píng)價(jià)、風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)應(yīng)對(duì)等多個(gè)過程[4-6]，組織可以由此結(jié)合巴塞爾銀行監(jiān)管委員會(huì)發(fā)布的《電子銀行風(fēng)險(xiǎn)管理原則》，建立適合組織特點(diǎn)的電子銀行風(fēng)險(xiǎn)管理框架，然后在此基礎(chǔ)上，再考慮具體的技術(shù)細(xì)節(jié)。

參考文獻(xiàn)

http：//www.hkma.gov.hk/gdbook/gb_chi/main/index_c.shtml.

李東榮. 《網(wǎng)上銀行系統(tǒng)信息安全通用規(guī)范》解讀[M]. 北京：中國(guó)金融出版社，2017.

中國(guó)銀監(jiān)會(huì)就電子銀行安全評(píng)估指引答問（實(shí)錄）[EB/OL]，http：//www.huaxia.com/xw/dl/2006/00417661.html.

謝宗曉. 信息安全風(fēng)險(xiǎn)管理相關(guān)詞匯定義與解析[J]. 中國(guó)標(biāo)準(zhǔn)導(dǎo)報(bào)，2016（04）：26-29.

謝宗曉，劉立科. 信息安全風(fēng)險(xiǎn)評(píng)估/管理相關(guān)國(guó)家標(biāo)準(zhǔn)介紹[J]. 中國(guó)標(biāo)準(zhǔn)導(dǎo)報(bào)，2016（05）：30-33.

趙戰(zhàn)生，謝宗曉. 信息安全風(fēng)險(xiǎn)評(píng)估（第2版）[M]. 北京：中國(guó)標(biāo)準(zhǔn)出版社，2016.