商业银行数据合规体系构想(二):电子银行业务数据合规要点
商业银行数据合规体系构想(二):电子银行业务数据合规要点
根据中国银监会于2006年颁布的《电子银行业务管理办法》中的定义,"电子银行业务"是指"商业银行等银行业金融机构利用面向社会公众开放的通讯通道或开放型公众网络,以及银行为特定自助服务设施或客户建立的专用网络,向客户提供的银行服务,具体包括网上银行业务、电话银行业务、手机银行业务以及其他利用电子服务设备和网络,由客户通过自助服务方式完成金融交易的银行业务"。根据中国银行业协会《2019年银行业服务报告》显示,2019年商业银行的网上银行交易笔数达1637.84亿笔,同比增长7.42%;手机银行交易笔数达1214.51亿笔,同比增长38.88%;电商平台交易笔数达0.83亿笔,全行业离柜率为89.77%。由此可见,采取网上银行、手机银行等电子银行渠道完成金融交易已经成为商业银行向客户提供交易服务的常态,并逐渐成为主要方式之一。本文拟结合电子银行的业务监管规则和数据合规要求,研究商业银行在开展电子银行业务时应当注意的数据合规问题。
一
电子银行业务的相关监管规则
目前,我国针对电子银行业务制定颁布的相关法律法规及政策文件主要包括如下:
名称 |
制定机关 |
生效时间 |
电子银行业务管理办法 |
中国银行监督管理委员会 |
2006年3月1日 |
电子银行安全评估指引 |
中国银行监督管理委员会 |
2006年3月1日 |
关于做好网上银行风险管理和服务的通知 |
中国银行监督管理委员会 |
2007年7月1日 |
关于防范商业机构以中国银监会名义推介销售电子银行相关服务和产品的通知 |
中国银行监督管理委员会办公厅 |
2007年7月6日 |
关于加强电子银行客户信息管理工作的通知 |
中国银行监督管理委员会 |
2011年8月9日 |
二
电子银行业务的数据合规要点
根据上述规定,目前电子银行业务中应注意的数据合规主要包括如下内容:
(一)电子银行的个人信息保护合规
商业银行在大规模发展电子银行、开发移动互联网应用程序(App)方便客户办理业务的同时,其本身也成为了"网络运营者",应当按照《网络安全法》的要求,采取技术措施和其他必要措施,保护客户的个人信息,履行作为网络运营者的个人信息保护义务。商业银行在收集、使用个人信息时,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。另外,商业银行不得收集与其提供的服务无关的个人信息,并应当依照法律、行政法规的规定和与用户的约定,处理其保存的个人信息。
(二)风险管理机制和人员配备合规
商业银行应当将电子银行业务风险管理纳入本机构风险管理的总体框架之中,并应根据电子银行业务的运营特点,建立健全电子银行风险管理体系和保障电子银行安全、稳健运营的内部控制体系。银行内部应当建立明确的电子银行业务管理部门,配备合格的管理人员和技术人员。其中,对于电子银行管理的关键岗位和关键人员,应实行轮岗和强制性休假制度,建立严格的内部监督管理制度。另外,应制订多层次的培训计划,对电子银行管理人员和业务人员进行持续培训。
(三)电子银行协议订立及履行合规
《民法典》第四百九十一条规定,"当事人一方通过互联网等信息网络发布的商品或者服务信息符合要约条件的,对方选择该商品或者服务并提交订单成功时合同成立,但是当事人另有约定的除外。"在实践当中,各方确认的电子合同的设立通常需要四方的介入:合同签订人(客户和商业银行)、权威认证机构(PKI基础设施)、电子合同服务平台、可信第三方时间戳服务中心。
另外,根据《电子银行业务管理办法》第四十条规定,商业银行"应采取适当的措施和采用适当的技术,识别与验证使用电子银行服务客户的真实、有效身份"。实践中,银行向客户提供电子银行服务,一般会事先与客户约定某个具体的身份认证要素,如密码、USB密钥、动态口令、签约设置的手机号码等。
(四)电子银行相关安全设施设备合规
商业银行应当保障电子银行运营设施设备,以及安全控制设施设备的安全;对电子银行的重要设施设备和数据,应采取适当的保护措施。例如,以开放型网络为媒介的电子银行系统,应合理设置和使用防火墙、防病毒软件等安全产品与技术,确保电子银行有足够的反攻击能力、防病毒能力和入侵防护能力。对重要设施设备的接触、检查、维修和应急处理,应有明确的权限界定、责任划分和操作流程,并建立日志文件管理制度,如实记录并妥善保管相关记录。
(五)电子银行业务相关保密措施合规
商业银行应采用适当的加密技术和措施,保证电子交易数据传输的安全性与保密性,以及所传输交易数据的完整性、真实性和不可否认性。同时,采用的数据加密技术应符合国家有关规定,并根据电子银行业务的安全性需要和科技信息技术的发展,定期检查和评估所使用的加密技术和算法的强度,对加密方式进行适时调整。此外,对涉及电子银行业务的重要技术参数,应严格控制接触权限,并建立相应的技术参数调整与变更机制,并保证在更换关键人员后,能够有效防止有关技术参数的泄漏。
(六)外资商业银行的本地化合规
根据《电子银行业务管理办法》要求,外资商业银行的电子银行业务运营系统和业务处理服务器可以设置在中国境内或境外。若系统或处理器设置在境外时,应在中华人民共和国中国境内设置可以记录和保存业务交易数据的设施设备,且能够满足金融监管部门现场检查的要求,在出现法律纠纷时,能够满足中国司法机构调查取证的要求。
(七)开展电子银行业务的其他数据合规要求
商业银行开展电子银行业务,需要对客户信息和交易信息等使用电子签名或电子认证时,应遵照国家有关法律法规的规定,使用第三方认证系统,应对第三方认证机构进行定期评估,保证有关认证安全可靠和具有公信力。商业银行也可以根据业务发展或管理的需要,与非商业银行直接交换或转移部分电子银行业务数据。但在交换或转移部分电子银行业务数据时,应签订数据交换(转移)用途与范围明确、管理职责清晰的书面协议,并明确各方的数据保密责任。
(八)金融信息业务外包的制度合规
商业银行由于业务外包等为维护电子银行正常安全运营的需要而向非金融机构转移电子银行业务数据的,应当事先签订书面保密合同,并指派专人负责监督有关数据的使用、保管、传递和销毁。商业银行"对电子银行业务处理系统、授权管理系统、数据备份系统的总体设计开发,以及其他涉及机密数据管理与传递环节的系统进行外包时,应经过商业银行的董事会或者法人代表批准,并应在业务外包实施前向中国银监会报告"。商业银行在实施重要外包(如数据中心和信息科技基础设施等)应格外谨慎,在准备实施重要外包时应以书面材料正式报告银监会或其派出机构。
另外,根据《中国人民银行关于银行业金融机构做好个人金融信息保护工作的通知》第七条规定:"银行业金融机构与外包服务供应商签订服务协议时,应当明确其保护个人金融信息的职责和保密义务,并采取必要措施保证外包服务供应商履行上述职责和义务,确保个人金融信息安全。银行业金融机构应要求外包服务供应商在外包业务终止后,及时销毁因外包业务而获得的个人金融信息。"
结语
综上,商业银行的数据合规是随着互联网技术的不断发展和监管政策的发展而产生的新型合规问题,也是商业银行在扩展电子银行业务时需要注意的重要方面。虽然金融信息保护监管体系和《网络安全法》等相关法律法规已经在不断完善,但新的业务形态和越来越多的业务流程也将通过电子银行开展,给商业银行的数据合规管理带来了新的挑战。本文通过对电子银行业务运营及数据合规等方面的研究,希望对各商业银行的业务实践有所帮助。
The End