中信银行电子银行业务管理办法

　　第六十三条　金融机构在进行电子银行业务外包时，应根据实际需要，合理确定外包的原则和范围，认真分析和评估业务外包存在的潜在风险，建立健全有关规章制度，制定相应的风险防范措施。

　　第六十四条　金融机构在选择电子银行业务外包服务供应商时，应充分审查、评估外包服务供应商的经营状况、财务状况和实际风险控制与责任承担能力，进行必要的尽职调查。

　　第六十五条　金融机构应当与外包服务供应商签订书面合同，明确双方的权利、义务。

　　在合同中，应明确规定外包服务供应商的保密义务、保密责任。

　　第六十六条　金融机构应充分认识外包服务供应商对电子银行业务风险控制的影响，并将其纳入总体安全策略之中。

　　第六十七条　金融机构应建立完整的业务外包风险评估与监测程序，审慎管理业务外包产生的风险。

　　第六十八条　电子银行业务外包风险的管理应当符合金融机构的风险管理标准，并应建立针对电子银行业务外包风险的应急计划。

　　第六十九条　金融机构应与外包服务供应商建立有效的联络、沟通和信息交流机制，并应制定在意外情况下能够实现外包服务供应商顺利变更，保证外包服务不间断的应急预案。

　　第七十条　金融机构对电子银行业务处理系统、授权管理系统、数据备份系统的总体设计开发，以及其他涉及机密数据管理与传递环节的系统进行外包时，应经过金融机构董事会或者法人代表批准，并应在业务外包实施前向中国银监会报告。

第六章　跨境业务活动管理

　　第七十一条　电子银行的跨境业务活动，是指开办电子银行业务的金融机构利用境内的电子银行系统，向境外居民或企业提供的电子银行服务活动。

　　金融机构的境内客户在境外使用电子银行服务，不属于跨境业务活动。

　　第七十二条　金融机构提供跨境电子银行服务，除应遵守中国法律法规和外汇管理政策等规定外，还应遵守境外居民所在国家（地区）的法律规定。

　　境外电子银行监管部门对跨境电子银行业务要求审批的，金融机构在提供跨境业务活动之前，应获得境外电子银行监管部门的批准。

　　第七十三条　金融机构开展跨境电子银行业务，除应按照第二章的有关规定向中国银监会申请外，还应当向中国银监会提供以下文件资料：

　　（一） 跨境电子银行服务的国家（地区），以及该国（地区）对电子银行业务管理的法律规定；

　　（二） 跨境电子银行服务的主要对象及服务内容；

　　（三） 未来三年跨境电子银行业务发展规模、客户规模的分析预测；

　　（四） 跨境电子银行业务法律与合规性分析。

　　第七十四条　金融机构向客户提供跨境电子银行服务，必须签订相关服务协议。

　　金融机构与客户的服务协议文本，应当使用中文和客户所在国家或地区（或客户同意的其他国语言）两种文字，两种文字的文本应具有同等法律效力。

第七章　监督管理

　　第七十五条　中国银监会依法对电子银行业务实施非现场监管、现场检查和安全监测，对电子银行安全评估实施管理，并对电子银行的行业自律组织进行指导和监督。

　　第七十六条　开展电子银行业务的金融机构应当建立电子银行业务统计体系，并按照相关规定向中国银监会报送统计数据。

　　商业银行向中国银监会报送的电子银行业务统计数据、报送办法等，由中国银监会另行制定。

　　第七十七条　金融机构应定期对电子银行业务发展与管理情况进行自我评估，并应每年编制《电子银行年度评估报告》。

　　第七十八条　金融机构的《电子银行年度评估报告》应至少包括以下几方面内容：

　　（一） 本年度电子银行业务的发展计划与实际发展情况，以及对本年度电子银行发展状况的分析评价；

　　（二） 本年度电子银行业务经营效益的分析、比较与评价，以及主要业务收入和主要业务的服务价格；

　　（三） 电子银行业务风险管理状况的分析与评估，以及本年度电子银行面临的主要风险；

　　（四） 其他需要说明的重要事项。

　　第七十九条　金融机构的《电子银行年度评估报告》（一式两份）应于下一年度的3月底之前报送中国银监会。

　　第八十条　金融机构应当建立电子银行业务重大安全事故和风险事件的报告制度，并保持与监管部门的经常性沟通。

　　对于电子银行系统被恶意攻破并已出现客户或银行损失，电子银行被病毒感染并导致机密资料外泄，以及可能会引发其他金融机构电子银行系统风险的事件，金融机构应在事件发生后48小时内向中国银监会报告。

　　第八十一条　中国银监会根据监管的需要，可以依法对金融机构的电子银行业务实施现场检查，也可以聘请外部专业机构对电子银行业务系统进行安全漏洞扫描、攻击测试等检查。

　　第八十二条　中国银监会对电子银行业务实施现场检查时，除应按照现场检查的有关规定组成检查组并进行相关业务培训外，还应邀请被检查机构的电子银行业务管理和技术人员介绍其电子银行系统架构、运营管理模式以及关键设备接触要求。

　　检查人员在实施现场检查过程中，应当遵守被检查机构电子银行安全管理的有关规定。

　　第八十三条　金融机构的总行（公司），以及已实现数据集中处理的金融机构分支机构电子银行业务的现场检查，由中国银监会负责；未实现数据集中处理的金融机构的分支机构，外资金融机构的分支机构，以及地区性金融机构电子银行业务的现场检查，由所在地银监局负责。

　　第八十四条　中国银监会聘用外部专业机构对金融机构电子银行系统进行检查时，应与被委托机构签订书面合同和保密协议，明确规定被委托机构可以使用的技术手段和使用方式，并指派专人全程参与并监督外部机构的监测测试活动。

　　银监局与拟聘用的外部专业机构签订合同之前，应报请银监会批准。

　　第八十五条　电子银行安全评估是金融机构开办或持续经营电子银行业务的必要条件，也是金融机构电子银行业务风险管理与监管的重要手段。

　　金融机构应按照中国银监会的有关规定，定期对电子银行系统进行安全评估，并将其作为电子银行风险管理的重要组成部分。

　　第八十六条　金融机构电子银行安全评估工作，应当由符合一定资质条件、具备相应评估能力的评估机构实施。

　　中国银监会负责制定评估机构开展电子银行安全评估业务的资质条件和电子银行安全评估的相关制度，并负责对评估机构参与电子银行安全评估的业务资质进行认定。

　　第八十七条　中国银监会对评估机构电子银行安全评估业务资质的认定，不作为评估机构开展电子银行安全评估业务的必要条件。

　　电子银行安全评估机构开展电子银行安全评估业务，如需中国银监会对其资质进行专业认定，应按照有关规定申请办理。

　　第八十八条　金融机构聘请未经中国银监会认定的安全评估机构实施电子银行安全评估时，应按照中国银监会制定的有关条件和标准选择评估机构，并应于签订评估协议前4周将拟聘用机构的有关情况报中国银监会。

第八章　法律责任

　　第八十九条　金融机构在提供电子银行服务时，因电子银行系统存在安全隐患、金融机构内部违规操作和其他非客户原因等造成损失的，金融机构应当承担相应责任。

　　因客户有意泄漏交易密码，或者未按照服务协议尽到应尽的安全防范与保密义务造成损失的，金融机构可以根据服务协议的约定免于承担相应责任，但法律法规另有规定的除外。

　　第九十条　金融机构未经批准擅自开办电子银行业务，或者未经批准增加或变更需要审批的电子银行业务类型，造成客户损失的，金融机构应承担全部责任。法律法规明确规定应由客户承担的责任除外。

　　第九十一条　金融机构已经按照有关法律法规和行政规章的要求，尽到了电子银行风险管理和安全管理的相应职责，但因其他金融机构或者其他金融机构的外包服务商失职等原因，造成客户损失的，由其他金融机构承担相应责任，但提供电子银行服务的金融机构有义务协助其客户处理有关事宜。

　　第九十二条　金融机构开展电子银行业务违反审慎经营规则但尚不构成违法违规，并导致电子银行系统存在较大安全隐患的，中国银监会将责令限期改正；逾期未改正，或者其安全隐患在短时间难以解决的，中国银监会可以区别情形，采取下列措施：

　　（一）暂停批准增加新的电子银行业务类型；

　　（二）责令金融机构限制发展新的电子银行客户；

　　（三）责令调整电子银行管理部门负责人。

　　第九十三条　金融机构在开展电子银行业务过程中，违反有关法律法规和行政规章的，中国银监会将依据有关法律法规和行政规章的规定予以处罚。

第九章　附则

　　第九十四条　金融机构利用为特定自助服务设施或客户建立的专用网络提供电子银行业务，有相关业务管理规定的，遵照其规定，但网络安全、技术风险等管理应参照本办法的有关规定执行；没有相关业务规定的，遵照本办法。

　　第九十五条　本办法实施前，经监管部门批准已经开办网上银行业务的金融机构，其已开办的电子银行业务不需再行审批，但应于本办法实施后1个月内将已开办的电子银行业务类型、开办时间、审批文件等相关材料报中国银监会。

　　本办法实施后，上述机构开办尚未开办的电子银行业务类型，应按本办法的有关规定进行申请或报告。

　　第九十六条　本办法实施前，已经开办网上银行业务但尚未报批或已经申请但尚未获得监管部门批准的金融机构，其开办的网上银行、手机银行，以及其他以互联网或无线网络为媒介的电子银行业务，应在本办法实施后6个月内按本办法提交有关申请；已经递交申请材料的，应按照本办法的要求补充有关材料。

　　上述机构已经开办适用于报告制的电子银行业务，应于本办法实施后1个月内将已开办的电子银行业务类型、开办时间等报中国银监会。

　　上述机构新开办其他电子银行业务，应遵照本办法的规定。

　　第九十七条　本办法实施前，未开办网上银行业务但已开办电话银行业务的金融机构，应于本办法实施后1个月内将已开办的电子银行业务类型、开办时间等报中国银监会。

　　上述机构新开办其他电子银行业务，应遵照本办法的规定。

　　第九十八条　本办法由中国银监会负责解释。

　　第九十九条　本办法自2006年3月1日起施行。