第四章-电子支付安全管理课件.ppt

1、第第4章章 电子支付安全管理电子支付安全管理4.1 电子支付安全管理的思路电子支付安全管理的思路 4.1.1 数字化数字化 4.1.2 开放性和标准化开放性和标准化 4.1.3 业务工具的高科技性业务工具的高科技性 4.1.4 支付流程的高效性支付流程的高效性4.2 电子支付安全法律保障电子支付安全法律保障 4.2.1 消费者权益保护消费者权益保护 4.2.2 维护金融安全维护金融安全 4.2.3 打击金融犯罪打击金融犯罪 4.2.4 电子支付中主要法律责任问题电子支付中主要法律责任问题 4.2.5 国内外电子支付法律规定国内外电子支付法律规定4.3 电子支付安全管理保障电子支付安全管理保障

2、4.3.1 办法办法适用范围适用范围 4.3.2 办法办法对电子银行申请与变更规定对电子银行申请与变更规定 4.3.3 风险管理风险管理 4.3.4 数据交换与转移管理数据交换与转移管理 4.3.5 监督管理监督管理4.4 电子支付安全技术保障电子支付安全技术保障 4.4.1 安全支付防范技术安全支付防范技术 4.4.2 安全支付加密技术安全支付加密技术 4.4.3 安全支付认证技术安全支付认证技术 4.4.4 安全交易协议与支付技术安全交易协议与支付技术4.1 电子支付安全管理的思路电子支付安全管理的思路 4.1.1 数字化数字化 4.1.2 开放性和标准化开放性和标准化 4.1.3 业务工

3、具的高科技性业务工具的高科技性 4.1.4 支付流程的高效性支付流程的高效性4.1.1 数字化数字化电子支付是采用先进的技术通过数电子支付是采用先进的技术通过数字流转来完成信息传输的，其各种字流转来完成信息传输的，其各种支付方式都是通过数字化的方式进支付方式都是通过数字化的方式进行款项支付的；行款项支付的；而传统的支付方式则是通过现金的而传统的支付方式则是通过现金的流转、票据的转让及银行的汇兑等流转、票据的转让及银行的汇兑等物理实体来完成款项支付的。物理实体来完成款项支付的。 4.1.2 开放性和标准化开放性和标准化电子支付的工作环境基于一电子支付的工作环境基于一个开放的系统平台（即互联个开放

4、的系统平台（即互联网）；网）；而传统支付则是在较为封闭而传统支付则是在较为封闭的系统中运作。的系统中运作。 4.1.3 业务工具的高科技性业务工具的高科技性电子支付使用的是最先进的通信手电子支付使用的是最先进的通信手段，如段，如Internet、Extranet，而传，而传统支付使用的则是传统的通信媒介；统支付使用的则是传统的通信媒介；电子支付对软、硬件设施的要求很电子支付对软、硬件设施的要求很高，一般要求有联网的微机、相关高，一般要求有联网的微机、相关的软件及其他一些配套设施，而传的软件及其他一些配套设施，而传统支付则没有这么高的要求。统支付则没有这么高的要求。 4.1.4 支付流程的高效性

5、支付流程的高效性电子支付具有方便、快捷、高效、电子支付具有方便、快捷、高效、经济的优势。用户只要拥有一台上经济的优势。用户只要拥有一台上网的网的PC机，便可足不出户，在很短机，便可足不出户，在很短的时间内完成整个支付过程。支付的时间内完成整个支付过程。支付费用仅相当于传统支付的几十分之费用仅相当于传统支付的几十分之一，甚至几百分之一。一，甚至几百分之一。 而传统的支付方式必须到具体的营而传统的支付方式必须到具体的营业地点去办理结算业务。业地点去办理结算业务。4.2 电子支付安全法律保障电子支付安全法律保障 4.2.1 消费者权益保护消费者权益保护 4.2.2 维护金融安全维护金融安全 4.2.

6、3 打击金融犯罪打击金融犯罪 4.2.4 电子支付中主要法律责任问题电子支付中主要法律责任问题 4.2.5 国内外电子支付法律规定国内外电子支付法律规定4.2.1 消费者权益保护消费者权益保护可能因欺诈、盗窃、电子支付可能因欺诈、盗窃、电子支付技术系统损坏或电子支付服务者技术系统损坏或电子支付服务者的运营错误产生经济损失的运营错误产生经济损失支付不及时或不完全的风险支付不及时或不完全的风险因电子支付产品而产生的信息因电子支付产品而产生的信息被泄露导致的被他人用于欺诈或被泄露导致的被他人用于欺诈或者其他损害其利益的风险者其他损害其利益的风险4.2.2 维护金融安全维护金融安全随着我国金融体制改革

7、的深化和随着我国金融体制改革的深化和金融业的进一步开放，金融安全金融业的进一步开放，金融安全问题的复杂性日益凸显。问题的复杂性日益凸显。提高金融安全意识，健全金融安提高金融安全意识，健全金融安全体系，加强和改进金融监管，全体系，加强和改进金融监管，是维护金融安全的关键。是维护金融安全的关键。4.2.3 打击金融犯罪打击金融犯罪避免电子支付活动用来避免电子支付活动用来洗钱、避税以及非法赌博洗钱、避税以及非法赌博4.2.4 电子支付中主要法律责任问题电子支付中主要法律责任问题 消费者未经授权划转的消费者未经授权划转的责任限制责任限制 举证责任举证责任 金融机构责任金融机构责任 赔偿责任范围赔偿责任

8、范围4.2.5 国内外电子支付法律规定国内外电子支付法律规定2004年的年的8月月28日，日，电子签名法电子签名法获得获得全国人大常委会审议通过，以国家主席胡全国人大常委会审议通过，以国家主席胡锦涛签署的第锦涛签署的第18号主席令的方式对外公布，号主席令的方式对外公布，全称为全称为中华人民共和国电子签名法中华人民共和国电子签名法，自自2005年年4月月1日起实施。日起实施。2005年年10月月26日开始实施的日开始实施的电子支付指电子支付指引（第一号）引（第一号）文件只是央行整饬电子支文件只是央行整饬电子支付市场的开始。付市场的开始。2005年中华人民共和国公年中华人民共和国公安部第安部第82

9、号令发布的号令发布的互联网安全保护技互联网安全保护技术措施规定术措施规定2006年年3月月1日起在全国实施。日起在全国实施。2006年底之前，第二号和第三号指引都将年底之前，第二号和第三号指引都将出台。中国银监会发布了出台。中国银监会发布了电子银行业务电子银行业务管理办法管理办法和和电子银行安全评估指引电子银行安全评估指引，于于2006年年3月月1日起开始施行。日起开始施行。2007年年4月，月，国务院办公厅下发了国务院办公厅下发了关于社会信用体系关于社会信用体系建设的若干意见建设的若干意见（国办发（国办发200717号。号。为了全面贯彻为了全面贯彻国务院办公厅关于加快电国务院办公厅关于加快电

10、子商务发展的若干意见子商务发展的若干意见（国办（国办20052号），国家食品药品监督管理局于近日制号），国家食品药品监督管理局于近日制定了定了互联网药品交易服务审批暂行规定互联网药品交易服务审批暂行规定2008年年12月月1日起正式施行。中国人民银日起正式施行。中国人民银行下发了行下发了中国人民银行信用评级管理指中国人民银行信用评级管理指导意见导意见。 联合国电子支付立法现状联合国电子支付立法现状 1996年年6月，联合国贸法会提出了制订月，联合国贸法会提出了制订电子商务示范电子商务示范法法设想，同年设想，同年12月，将其多次修订的月，将其多次修订的电子数据交换电子数据交换和有关数据通信手段法

11、律方面的统一规则草案修订条文和有关数据通信手段法律方面的统一规则草案修订条文交由联合国大会讨论，并且以大会交由联合国大会讨论，并且以大会51/162号决议的形式号决议的形式通过，通过，正式命名为正式命名为电子贸易示范法电子贸易示范法（以下简称（以下简称“示范法示范法”）。为各国电子商务立法提供了一个范）。为各国电子商务立法提供了一个范本。本。示范法示范法是迄今为止世界上第一个关于电子商务是迄今为止世界上第一个关于电子商务的法律。的法律。该示范法出台的目的是促进协调和统一国际贸该示范法出台的目的是促进协调和统一国际贸易法、消除因贸易法不充分和差异而对国际贸易造成不易法、消除因贸易法不充分和差异而

12、对国际贸易造成不必要的阻碍，为各国在制定相关法律时提供一个值得参必要的阻碍，为各国在制定相关法律时提供一个值得参考的示范法规。它不仅能够帮助那些在传递和存储信息考的示范法规。它不仅能够帮助那些在传递和存储信息的现行法规不够完善或者已经过时的国家去完善和健全的现行法规不够完善或者已经过时的国家去完善和健全其法律法规和惯例，也有助于所有国家增强他们使用的其法律法规和惯例，也有助于所有国家增强他们使用的通讯和信息办法的立法，并有利于那些目前尚无这种立通讯和信息办法的立法，并有利于那些目前尚无这种立法的国家制定相关的法律、法规。法的国家制定相关的法律、法规。 4.3 电子支付安全管理保障电子支付安全管

13、理保障 4.3.1 办法办法适用范围适用范围 4.3.2 办法办法对电子银行申对电子银行申 请与变更规定请与变更规定 4.3.3 风险管理风险管理 4.3.4 数据交换与转移管理数据交换与转移管理 4.3.5 监督管理监督管理4.3.1 办法办法适用范围适用范围电子银行业务管理办法电子银行业务管理办法已经已经2005年年11月月10日中国银行业监督管理委员会第日中国银行业监督管理委员会第40次主次主席会议通过。现予公布，自席会议通过。现予公布，自2006年年3月月1日日起施行。起施行。为加强电子银行业务的风险管理，保障客户为加强电子银行业务的风险管理，保障客户及银行的合法权益，促进电子银行业务

14、的健及银行的合法权益，促进电子银行业务的健康有序发展，根据康有序发展，根据中华人民共和国银行业中华人民共和国银行业监督管理法监督管理法、中华人民共和国商业银行中华人民共和国商业银行法法和和中华人民共和国外资金融机构管理中华人民共和国外资金融机构管理条例条例等法律法规，制定本办法。等法律法规，制定本办法。 本办法所称电子银行业务，是指商业银行等本办法所称电子银行业务，是指商业银行等银行业金融机构利用面向社会公众开放的通银行业金融机构利用面向社会公众开放的通讯通道或开放型公众网络，以及银行为特定讯通道或开放型公众网络，以及银行为特定自助服务设施或客户建立的专用网络，向客自助服务设施或客户建立的专用

15、网络，向客户提供的银行服务。户提供的银行服务。电子银行业务包括利用计算机和互联网开展电子银行业务包括利用计算机和互联网开展的银行业务（以下简称网上银行业务），利的银行业务（以下简称网上银行业务），利用电话等声讯设备和电信网络开展的银行业用电话等声讯设备和电信网络开展的银行业务（以下简称电话银行业务），利用移动电务（以下简称电话银行业务），利用移动电话和无线网络开展的银行业务（以下简称手话和无线网络开展的银行业务（以下简称手机银行业务），以及其他利用电子服务设备机银行业务），以及其他利用电子服务设备和网络，由客户通过自助服务方式完成金融和网络，由客户通过自助服务方式完成金融交易的银行业务。交易的

16、银行业务。在中华人民共和国境内设立的金融资产管在中华人民共和国境内设立的金融资产管理公司、信托投资公司、财务公司、金融理公司、信托投资公司、财务公司、金融租赁公司以及经中国银行业监督管理委员租赁公司以及经中国银行业监督管理委员会（以下简称中国银监会）批准设立的其会（以下简称中国银监会）批准设立的其他金融机构，开办具有电子银行性质的电他金融机构，开办具有电子银行性质的电子金融业务，适用本办法对金融机构开展子金融业务，适用本办法对金融机构开展电子银行业务的有关规定。电子银行业务的有关规定。经中国银监会批准，金融机构可以在中华经中国银监会批准，金融机构可以在中华人民共和国境内开办电子银行业务，向中人

17、民共和国境内开办电子银行业务，向中华人民共和国境内企业、居民等客户提供华人民共和国境内企业、居民等客户提供电子银行服务，也可按照本办法的有关规电子银行服务，也可按照本办法的有关规定开展跨境电子银行服务。定开展跨境电子银行服务。 金融机构应当按照合理规划、统一管理、保金融机构应当按照合理规划、统一管理、保障系统安全运行的原则，开展电子银行业务，障系统安全运行的原则，开展电子银行业务，保证电子银行业务的健康、有序发展。保证电子银行业务的健康、有序发展。金融机构应根据电子银行业务特性，建立健金融机构应根据电子银行业务特性，建立健全电子银行业务风险管理体系和内部控制体全电子银行业务风险管理体系和内部控

18、制体系，设立相应的管理机构，明确电子银行业系，设立相应的管理机构，明确电子银行业务管理的责任，有效地识别、评估、监测和务管理的责任，有效地识别、评估、监测和控制电子银行业务风险。控制电子银行业务风险。中国银监会负责对电子银行业务实施监督管中国银监会负责对电子银行业务实施监督管理。理。4.3.2 办法办法对电子银行申请与变更规定对电子银行申请与变更规定金融机构在中华人民共和国境内开办电子金融机构在中华人民共和国境内开办电子银行业务，应当依照本办法的有关规定，银行业务，应当依照本办法的有关规定，向中国银监会申请或报告。向中国银监会申请或报告。金融机构开办电子银行业务，应当具备下金融机构开办电子银行

19、业务，应当具备下列条件：列条件：金融机构的经营活动正常，建立了较为金融机构的经营活动正常，建立了较为完善的风险管理体系和内部控制制度，在完善的风险管理体系和内部控制制度，在申请开办电子银行业务的前一年内，金融申请开办电子银行业务的前一年内，金融机构的主要信息管理系统和业务处理系统机构的主要信息管理系统和业务处理系统没有发生过重大事故；没有发生过重大事故；制定了电子银行业务的总体发展战略、制定了电子银行业务的总体发展战略、发展规划和电子银行安全策略，建立了电发展规划和电子银行安全策略，建立了电子银行业务风险管理的组织体系和制度体子银行业务风险管理的组织体系和制度体系；系；按照电子银行业务发展规划

20、和安全策略，按照电子银行业务发展规划和安全策略，建立了电子银行业务运营的基础设施和系建立了电子银行业务运营的基础设施和系统，并对相关设施和系统进行了必要的安统，并对相关设施和系统进行了必要的安全检测和业务测试；全检测和业务测试；对电子银行业务风险管理情况和业务运对电子银行业务风险管理情况和业务运营设施与系统等，进行了符合监管要求的营设施与系统等，进行了符合监管要求的安全评估；安全评估；建立了明确的电子银行业务管理部门，建立了明确的电子银行业务管理部门，配备了合格的管理人员和技术人员；配备了合格的管理人员和技术人员；中国银监会要求的其他条件。中国银监会要求的其他条件。金融机构开办以互联网为媒介的

21、金融机构开办以互联网为媒介的网上银行业务、手机银行业务等电网上银行业务、手机银行业务等电子银行业务，除应具备上述所列条子银行业务，除应具备上述所列条件外，还应具备以下条件：件外，还应具备以下条件：电子银行基础设施设备能够保障电子银行基础设施设备能够保障电子银行的正常运行；电子银行的正常运行；电子银行系统具备必要的业务处电子银行系统具备必要的业务处理能力，能够满足客户适时业务处理能力，能够满足客户适时业务处理的需要；理的需要；建立了有效的外部攻击侦测机制；建立了有效的外部攻击侦测机制；中资银行业金融机构的电子银行中资银行业金融机构的电子银行业务运营系统和业务处理服务器设业务运营系统和业务处理服务

22、器设置在中华人民共和国境内；置在中华人民共和国境内；外资金融机构的电子银行业务运外资金融机构的电子银行业务运营系统和业务处理服务器可以设置营系统和业务处理服务器可以设置在中华人民共和国境内或境外。设在中华人民共和国境内或境外。设置在境外时，应在中华人民共和国置在境外时，应在中华人民共和国境内设置可以记录和保存业务交易境内设置可以记录和保存业务交易数据的设施设备，能够满足金融监数据的设施设备，能够满足金融监管部门现场检查的要求，在出现法管部门现场检查的要求，在出现法律纠纷时，能够满足中国司法机构律纠纷时，能够满足中国司法机构调查取证的要求。调查取证的要求。外资金融机构开办电子银行业外资金融机构开

23、办电子银行业务，除应具备上述所列条件外，务，除应具备上述所列条件外，还应当按照法律、行政法规的有还应当按照法律、行政法规的有关规定，在中华人民共和国境内关规定，在中华人民共和国境内设有营业性机构，其所在国家设有营业性机构，其所在国家（地区）监管当局具备对电子银（地区）监管当局具备对电子银行业务进行监管的法律框架和监行业务进行监管的法律框架和监管能力。管能力。金融机构申请开办电子银行业金融机构申请开办电子银行业务，根据电子银行业务的不同类务，根据电子银行业务的不同类型，分别适用审批制和报告制。型，分别适用审批制和报告制。 利用互联网等开放性网络或无线网络开办的利用互联网等开放性网络或无线网络开办

24、的电子银行业务，包括网上银行、手机银行和电子银行业务，包括网上银行、手机银行和利用掌上电脑等个人数据辅助设备开办的电利用掌上电脑等个人数据辅助设备开办的电子银行业务，适用审批制；子银行业务，适用审批制； 利用境内或地区性电信网络、有线网络等开利用境内或地区性电信网络、有线网络等开办的电子银行业务，适用报告制；办的电子银行业务，适用报告制； 利用银行为特定自助服务设施或与客户建立利用银行为特定自助服务设施或与客户建立的专用网络开办的电子银行业务，法律法规的专用网络开办的电子银行业务，法律法规和行政规章另有规定的遵照其规定，没有规和行政规章另有规定的遵照其规定，没有规定的适用报告制。定的适用报告制

25、。金融机构开办电子银行业务后，与其特定客金融机构开办电子银行业务后，与其特定客户建立直接网络连接提供相关服务，属于电户建立直接网络连接提供相关服务，属于电子银行日常服务，不属于开办电子银行业务子银行日常服务，不属于开办电子银行业务申请的类型。申请的类型。金融机构申请开办金融机构申请开办需要审批的电子银行业需要审批的电子银行业务之前务之前，应先就拟申请的业务与中国银监，应先就拟申请的业务与中国银监会进行沟通，说明拟申请的电子银行业务会进行沟通，说明拟申请的电子银行业务系统和基础设施设计、建设方案，以及基系统和基础设施设计、建设方案，以及基本业务运营模式等，并根据沟通情况，对本业务运营模式等，并根

26、据沟通情况，对有关方案进行调整。有关方案进行调整。进行监管沟通后，金融机构应根据调整完进行监管沟通后，金融机构应根据调整完善后的方案开展电子银行系统建设，并应善后的方案开展电子银行系统建设，并应在申请前完成对相关系统的内部测试工作。在申请前完成对相关系统的内部测试工作。内部测试对象仅限于金融机构内部人员、内部测试对象仅限于金融机构内部人员、外包机构相关工作人员和相关机构的工作外包机构相关工作人员和相关机构的工作人员，不得扩展到一般客户。人员，不得扩展到一般客户。金融机构申请开办电子银行业务时，金融机构申请开办电子银行业务时，可以在一个申请报告中同时申请不同可以在一个申请报告中同时申请不同类型的

27、电子银行业务，但在申请中应类型的电子银行业务，但在申请中应注明所申请的电子银行业务类型。注明所申请的电子银行业务类型。金融机构向中国银监会或其派出机构金融机构向中国银监会或其派出机构申请开办电子银行业务，应提交以下申请开办电子银行业务，应提交以下文件、资料（一式三份）：文件、资料（一式三份）：由金融机构法定代表人签署的开办由金融机构法定代表人签署的开办电子银行业务的申请报告；电子银行业务的申请报告；拟申请的电子银行业务类型及拟开拟申请的电子银行业务类型及拟开展的业务种类；展的业务种类；电子银行业务发展规划；电子银行业务发展规划；电子银行业务运营设施与技术系统介绍；电子银行业务运营设施与技术系统

28、介绍；电子银行业务系统测试报告；电子银行业务系统测试报告；电子银行安全评估报告；电子银行安全评估报告；电子银行业务运行应急计划和业务连续电子银行业务运行应急计划和业务连续性计划；性计划；电子银行业务风险管理体系及相应的规电子银行业务风险管理体系及相应的规 章制度；章制度；电子银行业务的管理部门、管理职责，电子银行业务的管理部门、管理职责， 以及主要负责人介绍；以及主要负责人介绍；申请单位联系人以及联系电话、传真、申请单位联系人以及联系电话、传真、 电子邮件信箱等联系方式；电子邮件信箱等联系方式；中国银监会要求提供的其他文件和资料。中国银监会要求提供的其他文件和资料。中国银监会或其派出机构在收到

29、金融中国银监会或其派出机构在收到金融机构的有关申请材料后，根据监管需机构的有关申请材料后，根据监管需要，要求商业银行补充材料时，应一要，要求商业银行补充材料时，应一次性将有关要求告知金融机构。次性将有关要求告知金融机构。金融机构应根据中国银监会或其派出金融机构应根据中国银监会或其派出机构的要求，重新编制和装订申请材机构的要求，重新编制和装订申请材料，并更正材料递交日期。料，并更正材料递交日期。中国银监会或其派出机构在收到金融中国银监会或其派出机构在收到金融机构申请开办需要审批的电子银行业机构申请开办需要审批的电子银行业务完整申请材料务完整申请材料3个月内，作出批准或个月内，作出批准或者不批准的

30、书面决定；决定不批准的，者不批准的书面决定；决定不批准的，应当说明理由。应当说明理由。金融机构在一份申请报告中申请了多金融机构在一份申请报告中申请了多个类型的电子银行业务时，中国银监个类型的电子银行业务时，中国银监会或其派出机构可以根据有关规定和会或其派出机构可以根据有关规定和要求批准全部或部分电子银行业务类要求批准全部或部分电子银行业务类型的申请。型的申请。对于中国银监会或其派出机构未批准对于中国银监会或其派出机构未批准的电子银行业务类型，金融机构可按的电子银行业务类型，金融机构可按有关规定重新申请。有关规定重新申请。金融机构开办适用于报告制的电子银金融机构开办适用于报告制的电子银行业务类型

31、，不需申请，但应参照有行业务类型，不需申请，但应参照有关规定，在开办电子银行业务之前关规定，在开办电子银行业务之前1个个月，将相关材料报送中国银监会或其月，将相关材料报送中国银监会或其派出机构。派出机构。金融机构开办电子银行业务后，可以利用电金融机构开办电子银行业务后，可以利用电子银行平台进行传统银行产品和服务的宣传、子银行平台进行传统银行产品和服务的宣传、销售，也可以根据电子银行业务的特点开发销售，也可以根据电子银行业务的特点开发新的业务类型。新的业务类型。金融机构利用电子银行平台宣传有关银行产金融机构利用电子银行平台宣传有关银行产品或服务时，应当遵守相关法律法规和业务品或服务时，应当遵守相

32、关法律法规和业务管理规章的有关规定。利用电子银行平台销管理规章的有关规定。利用电子银行平台销售有关银行产品或服务时，应认真分析选择售有关银行产品或服务时，应认真分析选择适应电子银行销售的产品，不得利用电子银适应电子银行销售的产品，不得利用电子银行销售需要对客户进行当面评估后才能销售行销售需要对客户进行当面评估后才能销售的，或者需要客户当面确认才能销售的银行的，或者需要客户当面确认才能销售的银行产品，法律法规和行政规章另有规定的除外。产品，法律法规和行政规章另有规定的除外。金融机构根据业务发展需要，增加或变更电金融机构根据业务发展需要，增加或变更电子银行业务类型，适用审批制或报告制。子银行业务类

33、型，适用审批制或报告制。金融机构增加或者变更以下电子银行金融机构增加或者变更以下电子银行业务类型，适用审批制：业务类型，适用审批制： 有关法律法规和行政规章规定需要审有关法律法规和行政规章规定需要审批但金融机构尚未申请批准，并准备批但金融机构尚未申请批准，并准备利用电子银行开办的；利用电子银行开办的； 金融机构将已获批准的业务应用于电金融机构将已获批准的业务应用于电子银行时，需要与证券业、保险业相子银行时，需要与证券业、保险业相关机构进行直接实时数据交换才能实关机构进行直接实时数据交换才能实施的；施的； 金融机构之间通过互联电子银行平台金融机构之间通过互联电子银行平台联合开展的；联合开展的；

34、提供跨境电子银行服务的。提供跨境电子银行服务的。金融机构增加或变更需要审批的电子银行金融机构增加或变更需要审批的电子银行业务类型，应向中国银监会或其派出机构业务类型，应向中国银监会或其派出机构报送以下文件和资料（一式三份）：报送以下文件和资料（一式三份）： 由金融机构法定代表人签署的增加或变更由金融机构法定代表人签署的增加或变更业务类型的申请；业务类型的申请； 拟增加或变更业务类型的定义和操作流程；拟增加或变更业务类型的定义和操作流程； 拟增加或变更业务类型的风险特征和防范拟增加或变更业务类型的风险特征和防范措施；措施； 有关管理规章制度；有关管理规章制度； 申请单位联系人以及联系电话、传真、

35、电申请单位联系人以及联系电话、传真、电子邮件信箱等联系方式；子邮件信箱等联系方式； 中国银监会要求提供的其他文件和资料。中国银监会要求提供的其他文件和资料。业务经营活动不受地域限制的业务经营活动不受地域限制的银行业银行业金融金融机构（以下简称全国性金融机构），申请机构（以下简称全国性金融机构），申请开办电子银行业务或增加、变更需要审批开办电子银行业务或增加、变更需要审批的电子银行业务类型，应由其总行（公司）的电子银行业务类型，应由其总行（公司）统一向中国银监会申请。统一向中国银监会申请。按照有关规定只能在某一城市或地区内从按照有关规定只能在某一城市或地区内从事业务经营活动的银行业金融机构（以下

36、事业务经营活动的银行业金融机构（以下简称地区性金融机构），申请开办电子银简称地区性金融机构），申请开办电子银行业务或增加、变更需要审批的电子银行行业务或增加、变更需要审批的电子银行业务类型，应由其法人机构向所在地中国业务类型，应由其法人机构向所在地中国银监会派出机构申请。银监会派出机构申请。外资金融机构申请开办电子银行业务或增外资金融机构申请开办电子银行业务或增加、变更需要审批的电子银行业务类型，加、变更需要审批的电子银行业务类型，应由其总行（公司）或在中华人民共和国应由其总行（公司）或在中华人民共和国境内的主报告行向中国银监会申请。境内的主报告行向中国银监会申请。中国银监会或其派出机构在收到

37、金融机构增中国银监会或其派出机构在收到金融机构增加或变更需要审批的电子银行业务类型完整加或变更需要审批的电子银行业务类型完整申请材料申请材料3个月内，做出批准或者不批准的个月内，做出批准或者不批准的书面决定；决定不批准的，应当说明理由。书面决定；决定不批准的，应当说明理由。其他电子银行业务类型适用报告制，金融机其他电子银行业务类型适用报告制，金融机构增加或变更时不需申请，但应在开办该业构增加或变更时不需申请，但应在开办该业务类型前务类型前1个月内，参照第二十三条的有关个月内，参照第二十三条的有关规定，将有关材料报送中国银监会或其派出规定，将有关材料报送中国银监会或其派出机构。机构。已经实现业务

38、数据集中处理和系统整合（以已经实现业务数据集中处理和系统整合（以下简称数据集中处理）的银行业金融机构，下简称数据集中处理）的银行业金融机构，获准开办电子银行业务后，可以授权其分支获准开办电子银行业务后，可以授权其分支机构开办部分或全部电子银行业务。其分支机构开办部分或全部电子银行业务。其分支机构在开办相关业务之前，应向所在地中国机构在开办相关业务之前，应向所在地中国银监会派出机构报告。银监会派出机构报告。未实现数据集中处理的银行业金融机构，未实现数据集中处理的银行业金融机构，如果其分支机构的电子银行业务处理系统如果其分支机构的电子银行业务处理系统独立于总部，该分支机构开办电子银行业独立于总部，

39、该分支机构开办电子银行业务按照地区性金融机构开办电子银行业务务按照地区性金融机构开办电子银行业务的情形管理，应持其总行授权文件，按照的情形管理，应持其总行授权文件，按照有关规定向所在地中国银监会派出机构申有关规定向所在地中国银监会派出机构申请或报告。其他分支机构只需持其总行授请或报告。其他分支机构只需持其总行授权文件，在开办相关业务之前，向所在地权文件，在开办相关业务之前，向所在地中国银监会派出机构报告。中国银监会派出机构报告。外资金融机构获准开办电子银行业务后，外资金融机构获准开办电子银行业务后，其境内分支机构开办电子银行业务，应持其境内分支机构开办电子银行业务，应持其总行（公司）授权文件向

40、所在地中国银其总行（公司）授权文件向所在地中国银监会派出机构报告。监会派出机构报告。已开办电子银行业务的金融机构按计划决已开办电子银行业务的金融机构按计划决定终止全部电子银行服务或部分类型的电定终止全部电子银行服务或部分类型的电子银行服务时，应提前子银行服务时，应提前3个月就终止电子银个月就终止电子银行服务的原因及相关问题处置方案等，报行服务的原因及相关问题处置方案等，报告中国银监会，并同时予以公告。告中国银监会，并同时予以公告。金融机构按计划决定停办部分电子银行业金融机构按计划决定停办部分电子银行业务类型时，应于停办该业务前务类型时，应于停办该业务前1个月内向中个月内向中国银监会报告，并予以

41、公告。国银监会报告，并予以公告。金融机构终止电子银行服务或停办部分业务类型，金融机构终止电子银行服务或停办部分业务类型，必须采取有效的措施保护客户的合法权益，并针必须采取有效的措施保护客户的合法权益，并针对可能出现的问题制定有效的处置方案。对可能出现的问题制定有效的处置方案。金融机构终止电子银行服务或停办部分业务类型金融机构终止电子银行服务或停办部分业务类型后，需要重新开办电子银行业务或者重新开展已后，需要重新开办电子银行业务或者重新开展已停办的业务类型时，应按照相关规定重新申请或停办的业务类型时，应按照相关规定重新申请或办理。办理。金融机构因电子银行系统升级、调试等原金融机构因电子银行系统升

42、级、调试等原因，需要按计划暂时停止电子银行服务的，因，需要按计划暂时停止电子银行服务的，应选择适当的时间，尽可能减少对客户的应选择适当的时间，尽可能减少对客户的影响，并至少提前影响，并至少提前3天在其网站上予以公告。天在其网站上予以公告。受突发事件或偶然因素影响非计划暂停电受突发事件或偶然因素影响非计划暂停电子银行服务，在正常工作时间内超过子银行服务，在正常工作时间内超过4个小个小时或者在正常工作时间外超过时或者在正常工作时间外超过8个小时的，个小时的，金融机构应在暂停服务后金融机构应在暂停服务后24小时内将有关小时内将有关情况报告中国银监会，并应在事故处理基情况报告中国银监会，并应在事故处理

43、基本结束后本结束后3日内，将事故原因、影响、补救日内，将事故原因、影响、补救措施及处理情况等，报告中国银监会。措施及处理情况等，报告中国银监会。4.3.3 风险管理风险管理金融机构应当将电子银行业务风险管理纳金融机构应当将电子银行业务风险管理纳入本机构风险管理的总体框架之中，并应入本机构风险管理的总体框架之中，并应根据电子银行业务的运营特点，建立健全根据电子银行业务的运营特点，建立健全电子银行风险管理体系和电子银行安全、电子银行风险管理体系和电子银行安全、稳健运营的内部控制体系。稳健运营的内部控制体系。金融机构的电子银行风险管理体系和内部金融机构的电子银行风险管理体系和内部控制体系应当具有清晰

44、的管理架构、完善控制体系应当具有清晰的管理架构、完善的规章制度和严格的内部授权控制机制，的规章制度和严格的内部授权控制机制，能够对电子银行业务面临的战略风险、运能够对电子银行业务面临的战略风险、运营风险、法律风险、声誉风险、信用风险、营风险、法律风险、声誉风险、信用风险、市场风险等实施有效的识别、评估、监测市场风险等实施有效的识别、评估、监测和控制。和控制。金融机构针对传统业务风险制定的审慎性金融机构针对传统业务风险制定的审慎性风险管理原则和措施等，同样适用于电子风险管理原则和措施等，同样适用于电子银行业务，但金融机构应根据电子银行业银行业务，但金融机构应根据电子银行业务环境和运行方式的变化，

45、对原有风险管务环境和运行方式的变化，对原有风险管理制度、规则和程序进行必要的和适当的理制度、规则和程序进行必要的和适当的修正。修正。金融机构的董事会和高级管理层应根据本金融机构的董事会和高级管理层应根据本机构的总体发展战略和实际经营情况，制机构的总体发展战略和实际经营情况，制订电子银行发展战略和可行的经营投资战订电子银行发展战略和可行的经营投资战略，对电子银行的经营进行持续性的综合略，对电子银行的经营进行持续性的综合效益分析，科学评估电子银行业务对金融效益分析，科学评估电子银行业务对金融机构总体风险的影响。机构总体风险的影响。在制定电子银行发展战略时，金融机构应在制定电子银行发展战略时，金融机

46、构应加强电子银行业务的知识产权保护工作。加强电子银行业务的知识产权保护工作。金融机构应当针对电子银行不同系统、金融机构应当针对电子银行不同系统、风险设施、信息和其他资源的重要性风险设施、信息和其他资源的重要性及其对电子银行安全的影响进行评估及其对电子银行安全的影响进行评估分类，制定适当的安全策略，建立健分类，制定适当的安全策略，建立健全风险控制程序和安全操作规程，采全风险控制程序和安全操作规程，采取相应的安全管理措施。取相应的安全管理措施。对各类安全控制措施应定期检查、测对各类安全控制措施应定期检查、测试，并根据实际情况适时调整，保证试，并根据实际情况适时调整，保证安全措施的持续有效和及时更新

47、。安全措施的持续有效和及时更新。金融机构应当保障电子银行运营设施金融机构应当保障电子银行运营设施设备，以及安全控制设施设备的安全，设备，以及安全控制设施设备的安全，对电子银行的重要设施设备和数据，对电子银行的重要设施设备和数据，采取适当的保护措施。采取适当的保护措施。 有形场所的物理安全控制，必须符合国家有形场所的物理安全控制，必须符合国家有关法律法规和安全标准的要求，对尚没有关法律法规和安全标准的要求，对尚没有统一安全标准的有形场所的安全控制，有统一安全标准的有形场所的安全控制，金融机构应确保其制定的安全制度有效地金融机构应确保其制定的安全制度有效地覆盖可能面临的主要风险；覆盖可能面临的主要

48、风险； 以开放型网络为媒介的电子银行系统，应以开放型网络为媒介的电子银行系统，应合理设置和使用防火墙、防病毒软件等安合理设置和使用防火墙、防病毒软件等安全产品与技术，确保电子银行有足够的反全产品与技术，确保电子银行有足够的反攻击能力、防病毒能力和入侵防护能力；攻击能力、防病毒能力和入侵防护能力； 对重要设施设备的接触、检查、维修和应对重要设施设备的接触、检查、维修和应急处理，应有明确的权限界定、责任划分急处理，应有明确的权限界定、责任划分和操作流程，并建立日志文件管理制度，和操作流程，并建立日志文件管理制度，如实记录并妥善保管相关记录；如实记录并妥善保管相关记录；对重要技术参数，应严格控对重要

49、技术参数，应严格控制接触权限，并建立相应的制接触权限，并建立相应的技术参数调整与变更机制，技术参数调整与变更机制，并保证在更换关键人员后，并保证在更换关键人员后，能够有效防止有关技术参数能够有效防止有关技术参数的泄漏；的泄漏；对电子银行管理的关键岗位对电子银行管理的关键岗位和关键人员，应实行轮岗和和关键人员，应实行轮岗和强制性休假制度，建立严格强制性休假制度，建立严格的内部监督管理制度。的内部监督管理制度。金融机构应采用适当的加密技术和措金融机构应采用适当的加密技术和措施，保证电子交易数据传输的安全性施，保证电子交易数据传输的安全性与保密性，以及所传输交易数据的完与保密性，以及所传输交易数据的

50、完整性、真实性和不可否认性。整性、真实性和不可否认性。金融机构采用的数据加密技术应符合金融机构采用的数据加密技术应符合国家有关规定，并根据电子银行业务国家有关规定，并根据电子银行业务的安全性需要和科技信息技术的发展，的安全性需要和科技信息技术的发展，定期检查和评估所使用的加密技术和定期检查和评估所使用的加密技术和算法的强度，对加密方式进行适时调算法的强度，对加密方式进行适时调整。整。金融机构应当与客户签订电子银行服金融机构应当与客户签订电子银行服务协议或合同，明确双方的权利与义务协议或合同，明确双方的权利与义务。务。在电子银行服务协议中，金融机构应向客在电子银行服务协议中，金融机构应向客户充分