网上银行使用全攻略 网上银行, 攻略

伦敦上空的鹰

名词解释

电子银行:

电子银行是基于电子商务平台和银行支付系统的网上金融服务系统，用户使用电子银行可以在网上实现银行账户资金查询、银企对账、银企转账、银行账号挂失、公共信息查询等银行业务；还可以通过网上银行实现网上购物、网上缴费等应用。由CTCA提供网上安全认证服务，可保证网上交易的安全性和不可抵赖性。将极大地方便您的生活和工作，提高您的工作效率。人或企业客户可以足不出户地通过网上银行或电话银行办理从查询、转账、汇款、缴费到证券、外汇、基金等一系列业务，享受更贴身、更值得信赖的金融服务。电子银行是电话银行、网上银行、手机银行、自助银行的统称。目前电话银行和网上银行被广大客户使用。


网上银行：

又称网络银行、在线银行，是指银行利用网络技术，通过网络向客户提供开户、销户、查询、对账、行内转账、跨行转账、信贷、网上证券、投资理财等传统服务项目，使客户可以足不出户就能够安全便捷地管理活期和定期存款、支票、信用卡及个人投资等。可以说，网上银行是在网络上的虚拟银行柜台。按目前各家银行开通的网上银行服务系统，一般分为个人网上银行和企业网上银行。


网上支付：

网上支付是通过第三方提供的与银行之间的支付接口进行的即时支付方式，这种方式的好处在于可以直接把资金从用户的银行卡中转账到网站账户中，汇款马上到账，不需要人工确认。客户和商家之间可采用信用卡、电子钱包、电子支票和电子现金等多种电子支付方式进行网上支付，采用在网上电子支付的方式节省了交易的开销。


电话银行：

电话银行是银行的一种电话呼叫服务系统。客户只需拨打客户服务热线，就可以享受到外汇买卖、缴费、查询、转账、挂失、咨询等一系列金融服务。客户只要跟随语音提示操作，可以不受时空、设备的限制，就可完成相应的金融交易。其功能远远多于热线电话。

手机银行：

手机银行是指银行按照客户通过手机发送的短信指令，为客户办理查询、转账、汇款、捐款、消费、缴费、消费支付、捐款、金融信息查询等业务的一种新型金融服务方式。它与原有基于STK方式的手机银行不同，是客户通过编辑发送特定格式短信到银行的特服号码，银行按照客户指令，为客户办理相关业务，并将交易结果以短信方式通知客户的新服务方式。


电子钱包：

电子钱包(E-wallet)是一个可以由持卡人用来进行安全电子交易和储存交易记录的软件，就像生活中随身携带的钱包一样。主要用于网上消费、账户管理，这类软件通常与银行账户或银行卡账户是连接在一起的。在使用电子钱包时，将有关的应用软件安装到电子商务服务器上，利用电子钱包服务系统就可以把自己的各种电子货币或电子金融卡上的数据输入进去。在发生收付款时，如果用户要用电子信用卡付款，例如用Visa卡或者MasterCard卡等收付款时，用户只要单击一下相应项目（或相应图标）即可完成。


自动缴费业务：

自助缴费业务是指个人客户通过多功能电子银行自助设备自助办理查询、转账、缴费、补登存折、打印对账单和查询金融信息等业务。同时，客户还可以通过多媒体自助终端直接访问相应银行网站，了解丰富多彩的金融资讯，并可以自助注册网上银行，享受个人网上银行带来的轻松便利。

伦敦上空的鹰

由于电子银行大多是通过网络、电话或手机进行交易，在人们享受方便的同时，也存在着许多安全隐患，给许多不法分子带来了可乘之机。目前存在的主要骗局有以下几点：

手段一：建立假冒网站骗取用户账号密码实施盗窃

犯罪分子建立起域名和网页内容都与真正的网上银行系统、网上证券交易平台极为相似的网站，引诱用户输入账号密码等信息，进而通过真正的网上银行、网上证券系统或者伪造银行储蓄卡、证券交易卡盗窃资金；还有的利用跨站脚本，即利用合法网站服务器程序上的漏洞，在站点的某些网页中插入恶意Html代码，屏蔽一些可以用来辨别网站真假的重要信息，来窃取用户的真实信息。例如，曾出现过的某假冒银行网站，网址为1cbc.com.cn。而真正银行网站是icbc.com.cn，犯罪分子利用数字1和字母i非常相近的特点企图蒙蔽粗心的用户。如果用户登录该网页输入账号、密码，账户存款就会被盗。还有些犯罪分子可能会假冒银行名义发送邮件给客户，要求修改网银密码，从而窃取客户信息。

手段二：诈骗短信骗密码

手机的普及使犯罪分子觉得利用手机短信进行诈骗，十分方便而又快捷。于是，近年来利用手机短信进行诈骗的活动猖獗起来。由一部储存着手机号码的电脑控制的“群发器”，平均3秒就发出一条短信息。“某某银行通知，你在某某超市刷卡消费4800元，如果有疑问请致电某某某”，据了解，不少人都曾经收到过这样的短信。但是如果根据短信上提供的电话号码打过去咨询，对方会冒充公安局、银联工作人员，套出市民银行卡上的卡号和密码。如果银行卡开通网上银行，案犯就利用网上银行将银行卡上的钱财洗劫一空。

手段三：网上黑手盗密码

一些不法分子在网吧等公共电脑上安装一些黑客软件，如果使用这些电脑登录网上银行，个人银行卡所有信息将可能泄露，银行卡中的存款自然也存在不安全的因素。不法分子利用一些人喜欢下载、打开一些来路不明的程序、游戏、邮件等习惯，有可能将一些病毒植入计算机内，一旦客户登录网上银行，客户输入账号、密码等信息，就有可能被窃取。目前常见的网银病毒包括“快乐耳朵”、“网银大盗”、“特洛伊木马”等。这些病毒通过邮件或程序下载进入他人电脑，在受害者进行网银交易时偷取其信息。前不久有人举报他在登录工行网上个人银行时，系统突然弹出电子银行系统正在升级并要求修改密码的提示，于是他按要求再次输入登录和支付密码，然而当点击“确定”后，电脑中的“江民密保”软件突然发出“不明程序向外发送密码”的警示，于是他紧急与工行联系，才发现工行根本就没有升级电子银行系统，是感染了电脑病毒，并庆幸自己发现的及时，要不账户中的存款就易手他人了。还有一些不法分子利用部分用户贪图方便的特点，在一些网站设置弱口令的漏洞，对银行卡密码进行破解。


其实，银行方面对于网上银行交易的安全性已经采取了多种安全防范措施，人们只需要掌握相关的安全知识，就可以充分享受到网络银行的方便和快捷。

对策一：使用前核对网址。其是从搜索引擎上面搜索到的银行网站，更要先核对所登录的网址与网络银行协议书中的法定网址是否相符。建议直接键入地址，而不是通过搜索的方式，而且要仔细核对网址，对一些来历不明的连接网站不要轻易访问。

对策二：为自己的银行账户申请手机银行服务可以实时掌握账户资金的情况，但应学会自我保护。首先，各家银行的服务热线一般都提供24小时服务，对来历不明的短信和电话要高度警惕，不要拨打短信中的联系电话，若有疑问应拨打各家银行的服务热线；其次，在任何情况下都不要向陌生人透露自己银行卡的账号、密码及身份证号码等信息；再次，在柜面办理电子银行签约时，设置的网上银行密码尽量与银行卡密码不同，并不告知任何人，且必须亲自下载网银证书，妥善保存。

对策三：不要在公共场合如网吧使用网络银行，这是最重要的一点。公共场合由于计算机公用，在系统还原、系统配置、防火墙、杀毒软件等方面没有任何保证，另外公共场合人多口杂，隔墙有“眼”。只要客户不随意下载或打开不明邮件或程序，不要上一些不太了解的网站，不要执行从网上下载从未经过杀毒处理的软件，不要打开msn或者QQ上传送过来的不明文件，经常更新自己计算机的防火墙就可以让病毒无机可乘。使用电话银行的时候也尽量选择家里的电话。

对策四：妥善选择和保管密码。不要选用身份证号码、出生日期、电话号码、车牌号等与个人信息有关的数字作为密码，也不要选择和自己的邮箱、MSN等相同的密码。建议选用字母、数字混合的方式。同时，网络银行的密码不要与自己的取款密码相同。密码应牢记在心，如果怕忘记，千万不要随手记在纸上、名片上，然后放在钱包里，或者记在电脑未加密的文档中，要专门记在家庭理财的账本或软件中，加以妥善保管。

对策五：做好交易记录。在使用网络银行的时候，应对各笔交易做好记录，有条件的打印对账单和凭条，如发现异常交易或账务差错，立即与银行联系，避免损失。

以上这五个方面的安全知识，请使用电子银行的朋友要记好。只要我们做到了处处小心、留意，脑中常有安全防范的意识，那么使用网络银行，还是安全、方便和快捷的。但是如果损失真的发生了，一定要以第一时间和银行取得联系，修改密码，尽量挽回损失，避免损失进一步发生。

伦敦上空的鹰

电子银行这个名词现在对人们已不陌生,足不出户享受金融服务，是电子银行最得意的宣传语。自1996年我国首家网上银行开通至今,短短十年时间，电子银行在我国已经进入了高速发展时期。形成了网上银行、电话银行、手机银行和自助银行的电子银行体系。现在，银行用户只要用鼠标轻轻一点，或者是发条短信、打个电话就可以完成几乎所有的银行业务了。截止到2005年底,我国网上银行用户数达到3000多万户，网上银行业务已高达72.6万亿元。特别是个人网上银行用户已达3460万户，交易额也从2004年的6000亿元增长到2.4万亿元，增长率高达300％。中国排名规模最大的50家商业银行中设立银行网站的已有37家，提供网上银行业务的有25家。同时，外资银行也纷纷在我国发展电子银行业务，目前已有花旗、汇丰、东亚、德意志等数十家外资银行获准在华开办网上银行业务。

自助银行和网上银行目前是市场的主流，据业内调查，使用过自助银行业务的人最多，占整体人群的68.1%。使用最多的功能就是ATM取款,占82.1%。对网上银行的使用率也超过了50%。我国的电子银行业务还处在高速发展的时期,因此也面临着许多的问题。首先是方便和安全永远不可兼得。目前网络技术时刻面临着黑客的攻击和网络病毒的威胁，银行的数据安全不能得到保证，刚刚爆出的网银被盗维权事件让人深感不安。而且目前也还没有有效控制电子银行交易风险的法律法规出台，以明确交易各方的权利、责任和义务。其次国内信用体系的不健全，客户对网上交易方式心存疑虑，导致消费者对电子银行业务的信心不足，宁肯多费时间和精力到传统的营业网点进行金融交易，也不愿意坐在家里或办公室轻松完成金融业务。最后是观念问题。一方面，国内消费者已习惯长期的现金消费模式，其使用的便捷性使消费者很难改变现金支付习惯；另一方面，电子货币的受理环境薄弱，也间接制约了消费者采用新支付模式的动力。


虽然有很多问题存在,但是电子银行也在一步步改变着人们的生活:由于电子银行的出现，银行开始变得更加平易近人。以前传统银行中经常出现的排队现象以及柜面服务人员的服务质量问题都可以迎刃而解,在网上银行，用户永远看到的都是友善的界面，随时都可以便捷、安全地完成交易。目前,电子银行也越来越朝着多样化和个性化的方向发展。客户可以根据个人喜好定制个性化的界面,银行也可以突破传统方式积极与客户联系并获取反馈意见，如通过电子邮件、自动电话调查、ATM提示等；有的银行还开始试办网上小额质押贷款、住房按揭贷款等授信业务。电子银行必将越来越成为老百姓生活中不可缺少的一部分，在享受便利的同时，也不得不提醒使用者要提高自身的安全意识，避免安全隐患的产生。

伦敦上空的鹰

多家网银已推安全新招数

最近，随着电子银行的普及，网上银行资金被盗的事件也频频发生。为保证网银安全，目前包括工行在内的多家网银提供“双重密码”的设置方式，即登录密码和支付密码不同，即使登录密码泄露，不法分子只要没有掌握支付密码，也划不走钱。以下简介一些银行在网银安全方面推出的新招数：

●工商银行推出动态密码

该行正在酝酿推出网银动态密码，网银使用者每次登录时输入的密码都不一样。动态密码的使用者将获得一张刮刮卡，上面有多个密码，均被涂层覆盖。用户登录网银时，系统会提示“请输入**位置的密码”，使用者刮开相应位置的涂层，将该位置的密码输入。这个位置的密码用过一次即告作废。

●交通银行推出一次性短信动态密码

需要进行小额转账的用户，可到交通银行网点签约网上银行，通过注册设置太平洋卡每日转账限额和预留注册手机号后，设置每日0至5万元的转账限额。转账确认时，用户需要输入短信动态密码。通过网络发送给客户的一次性短信动态密码，无法在互联网上被截取，从而保证客户资金账户的安全。需要经常进行大额转账的用户，可到交通银行网点签约网上银行，通过注册设置太平洋卡每日转账限额和购买USBKEY后，可以进行“卡卡转账”。用户可以根据自己的需要设置每日转账限额为0至100万元。数字证书存放在US-BKEY中，不可进行复制，客户登录和进行转账类交易时，需要使用USBKEY并输入保护PIN值，转账时需要进行数字签名，从而保证客户的网上银行交易安全。

●浦东发展银行两种安全保障手段

该行提供数字证书、动态密码两种安全保障手段。前一种方式为：按照银行交给用户的密码信封，在网上银行“证书下载”页面上输入信息，就能将证书下载到用户的计算机里，或者装在形似U盘的芯片中随身携带。用户在网上银行进行操作时，证书会形成电子签名附在其发给银行的交易指令上，从而使银行能够认定使用者的身份，使他人无法破解、修改用户和银行间互相传递的信息。而动态密码方式是，通过网上银行进行汇款、投资（例如银证通、外汇宝、基金）、融资（例如贷款）时，该行会向用户的手机上发送短信，告知一个一次有效的密码，或者提示其查看该行交给的包含上百个密码的卡片，在对应位置找到此次适用的密码。这样一来，用户就在查询密码、交易密码之外又多了一重保障，而且，由于这个密码每次都不同，彼此之间毫无规律，黑客即使窃取了，也无法对用户造成伤害。

●汇丰银行两道密码的双重认证

该银行的网络银行用户都需强制使用动态密码机，第一次申请机器免费，除了以使用者代号、自设密码登录外，需再输入动态密码机上的1组动态密码，每位客户都有自己专属的密码机，因此银行可由这组动态密码确认账户为本人使用，从而产生两道密码的双重认证。

此外，该行实施的动态密码仅供1次使用，6位数字的动态密码，将在16秒后自动消失，可以避免密码遭窃。

伦敦上空的鹰

选择题：

1.如何申请网上银行？()

A.直接在网上注册B.到营业网点办理注册C.A和B都可以

2.网上银行不包括的业务有哪些？()

A.转账服务B.在线缴费业务C.外汇、证券交易业务D.以上都不对

3.申请手机银行业务需要的证件号码不包括以下哪个？()

A.银行卡卡号B.驾驶证号C.身份证号D.手机号

4.自助注册中国工商银行的手机银行业务的流程不包括以下哪个？()

A.打服务热线确认已注册成功B.登录工行网站C.输入银行卡号、密码及证件号码D.认真阅读业务须知

5.关于手机银行下列说法错误的是？()

A.手机银行可享受账户查询、转账汇款、捐款、缴费及消费支付等八大类服务

B.可以享受7×24小时全天候的服务

C.手机银行业务不收手续费

D.可以通过工行网站自助注册手机银行，也可通过工行营业网点办理注册

6.电话银行注册方法不包括以下哪项？()

A.直接在网上注册B.到营业网点办理注册C.拨打服务热线注册

7.关于电话银行下列说法错误的是？()

A.可以享受24小时不间断地服务

B.拨打电话银行收取的除了市话费，还有额外的费用

C.每个银行全国各地号码都一样，可以漫游（香港除外）

D.能够为客户提供账户管理、缴费服务、证券投资、外汇买卖、黄金交易、电话支付、国际卡服务等一揽子金融业务

8.关于电子银行下列说法最正确的是？()

A.可以足不出户办理几乎所有的银行业务

B.收费合理，节约时间

C.电子银行包括电话银行、网上银行、手机银行、自助银行

D.以上说法都正确

9.关于自助缴费机下列说法错误的是？()

A.自助缴费机支持操作的卡种仅限于本地卡，暂不支持异地卡、国际卡和他行卡

B.自助缴费机可以处理个人和企业业务

C.可以在自助缴费机上查询存贷款利率、各类资费等金融信息

D.自助缴费机可以提取现金


答案：

CDBACABDD


来源: 北京青年报

伦敦上空的鹰

为规范电子支付业务，防范支付风险，保证资金安全，维护银行及其客户在电子支付活动中的合法权益，促进电子支付业务健康发展，中国人民银行制定了《电子支付指引(第一号)》，现予公布。本公告自公布之日起施行。

    中国人民银行

    二○○五年十月二十六日



    电子支付指引(第一号)

    第一章    总    则

    第一条  为规范和引导电子支付的健康发展，保障当事人的合法权益，防范支付风险，确保银行和客户资金的安全，制定本指引。

    第二条  电子支付是指单位、个人(以下简称客户)直接或授权他人通过电子终端发出支付指令，实现货币支付与资金转移的行为。

    电子支付的类型按电子支付指令发起方式分为网上支付、电话支付、移动支付、销售点终端交易、自动柜员机交易和其他电子支付。

    境内银行业金融机构(以下简称银行)开展电子支付业务，适用本指引。

    第三条  银行开展电子支付业务应当遵守国家有关法律、行政法规的规定，不得损害客户和社会公共利益。

    银行与其他机构合作开展电子支付业务的，其合作机构的资质要求应符合有关法规制度的规定，银行要根据公平交易的原则，签订书面协议并建立相应的监督机制。

    第四条  客户办理电子支付业务应在银行开立银行结算账户(以下简称账户)，账户的开立和使用应符合《人民币银行结算账户管理办法》、《境内外汇账户管理规定》等规定。

    第五条  电子支付指令与纸质支付凭证可以相互转换，二者具有同等效力。

    第六条  本指引下列用语的含义为：

    (一)“发起行”，是指接受客户委托发出电子支付指令的银行。

    (二)“接收行”，是指电子支付指令接收人的开户银行；接收人未在银行开立账户的，指电子支付指令确定的资金汇入银行。

    (三)“电子终端”，是指客户可用以发起电子支付指令的计算机、电话、销售点终端、自动柜员机、移动通讯工具或其他电子设备。

    第二章    电子支付业务的申请

    第七条  银行应根据审慎性原则，确定办理电子支付业务客户的条件。

    第八条  办理电子支付业务的银行应公开披露以下信息：

    (一)银行名称、营业地址及联系方式；

    (二)客户办理电子支付业务的条件；

    (三)所提供的电子支付业务品种、操作程序和收费标准等；

    (四)电子支付交易品种可能存在的全部风险，包括该品种的操作风险、未采取的安全措施、无法采取安全措施的安全漏洞等；

    (五)客户使用电子支付交易品种可能产生的风险；

    (六)提醒客户妥善保管、使用或授权他人使用电子支付交易存取工具(如卡、密码、密钥、电子签名制作数据等)的警示性信息；

    (七)争议及差错处理方式。

    第九条  银行应认真审核客户申请办理电子支付业务的基本资料，并以书面或电子方式与客户签订协议。

    银行应按会计档案的管理要求妥善保存客户的申请资料，保存期限至该客户撤销电子支付业务后5年。

    第十条  银行为客户办理电子支付业务，应根据客户性质、电子支付类型、支付金额等，与客户约定适当的认证方式，如密码、密钥、数字证书、电子签名等。

    认证方式的约定和使用应遵循《中华人民共和国电子签名法》等法律法规的规定。

    第十一条  银行要求客户提供有关资料信息时，应告知客户所提供信息的使用目的和范围、安全保护措施、以及客户未提供或未真实提供相关资料信息的后果。

    第十二条  客户可以在其已开立的银行结算账户中指定办理电子支付业务的账户。该账户也可用于办理其他支付结算业务。

    客户未指定的银行结算账户不得办理电子支付业务。

    第十三条  客户与银行签订的电子支付协议应包括以下内容：

    (一)客户指定办理电子支付业务的账户名称和账号；

    (二)客户应保证办理电子支付业务账户的支付能力；

    (三)双方约定的电子支付类型、交易规则、认证方式等；

    (四)银行对客户提供的申请资料和其他信息的保密义务；

    (五)银行根据客户要求提供交易记录的时间和方式；

    (六)争议、差错处理和损害赔偿责任。

    第十四条  有以下情形之一的，客户应及时向银行提出电子或书面申请：

    (一)终止电子支付协议的；

    (二)客户基本资料发生变更的；

    (三)约定的认证方式需要变更的；

    (四)有关电子支付业务资料、存取工具被盗或遗失的；

    (五)客户与银行约定的其他情形。

    第十五条  客户利用电子支付方式从事违反国家法律法规活动的，银行应按照有权部门的要求停止为其办理电子支付业务。

    第三章    电子支付指令的发起和接收

    第十六条  客户应按照其与发起行的协议规定，发起电子支付指令。

    第十七条  电子支付指令的发起行应建立必要的安全程序，对客户身份和电子支付指令进行确认，并形成日志文件等记录，保存至交易后5年。

    第十八条  发起行应采取有效措施，在客户发出电子支付指令前，提示客户对指令的准确性和完整性进行确认。

    第十九条  发起行应确保正确执行客户的电子支付指令，对电子支付指令进行确认后，应能够向客户提供纸质或电子交易回单。

    发起行执行通过安全程序的电子支付指令后，客户不得要求变更或撤销电子支付指令。

    第二十条  发起行、接收行应确保电子支付指令传递的可跟踪稽核和不可篡改。

    第二十一条  发起行、接收行之间应按照协议规定及时发送、接收和执行电子支付指令，并回复确认。

    第二十二条  电子支付指令需转换为纸质支付凭证的，其纸质支付凭证必须记载以下事项(具体格式由银行确定)：

    (一)付款人开户行名称和签章；

    (二)付款人名称、账号；

    (三)接收行名称；

    (四)收款人名称、账号；

    (五)大写金额和小写金额；

    (六)发起日期和交易序列号。

    第四章 安全控制

    第二十三条  银行开展电子支付业务采用的信息安全标准、技术标准、业务标准等应当符合有关规定。

    第二十四条  银行应针对与电子支付业务活动相关的风险，建立有效的管理制度。

    第二十五条  银行应根据审慎性原则并针对不同客户，在电子支付类型、单笔支付金额和每日累计支付金额等方面做出合理限制。

    银行通过互联网为个人客户办理电子支付业务，除采用数字证书、电子签名等安全认证方式外，单笔金额不应超过1000元人民币，每日累计金额不应超过5000元人民币。

    银行为客户办理电子支付业务，单位客户从其银行结算账户支付给个人银行结算账户的款项，其单笔金额不得超过5万元人民币，但银行与客户通过协议约定，能够事先提供有效付款依据的除外。

    银行应在客户的信用卡授信额度内，设定用于网上支付交易的额度供客户选择，但该额度不得超过信用卡的预借现金额度。

    第二十六条  银行应确保电子支付业务处理系统的安全性，保证重要交易数据的不可抵赖性、数据存储的完整性、客户身份的真实性，并妥善管理在电子支付业务处理系统中使用的密码、密钥等认证数据。

    第二十七条  银行使用客户资料、交易记录等，不得超出法律法规许可和客户授权的范围。

    银行应依法对客户的资料信息、交易记录等保密。除国家法律、行政法规另有规定外，银行应当拒绝除客户本人以外的任何单位或个人的查询。

    第二十八条  银行应与客户约定，及时或定期向客户提供交易记录、资金余额和账户状态等信息。

    第二十九条  银行应采取必要措施保护电子支付交易数据的完整性和可靠性：

    (一)制定相应的风险控制策略，防止电子支付业务处理系统发生有意或无意的危害数据完整性和可靠性的变化，并具备有效的业务容量、业务连续性计划和应急计划;

    (二)保证电子支付交易与数据记录程序的设计发生擅自变更时能被有效侦测；

    (三)有效防止电子支付交易数据在传送、处理、存储、使用和修改过程中被篡改，任何对电子支付交易数据的篡改能通过交易处理、监测和数据记录功能被侦测；

    (四)按照会计档案管理的要求，对电子支付交易数据，以纸介质或磁性介质的方式进行妥善保存，保存期限为5年，并方便调阅。

    第三十条  银行应采取必要措施为电子支付交易数据保密：

    (一)对电子支付交易数据的访问须经合理授权和确认；

    (二)电子支付交易数据须以安全方式保存，并防止其在公共、私人或内部网络上传输时被擅自查看或非法截取；

    (三)第三方获取电子支付交易数据必须符合有关法律法规的规定以及银行关于数据使用和保护的标准与控制制度；

    (四)对电子支付交易数据的访问均须登记，并确保该登记不被篡改。

    第三十一条  银行应确保对电子支付业务处理系统的操作人员、管理人员以及系统服务商有合理的授权控制：

    (一)确保进入电子支付业务账户或敏感系统所需的认证数据免遭篡改和破坏。对此类篡改都应是可侦测的，而且审计监督应能恰当地反映出这些篡改的企图。

    (二)对认证数据进行的任何查询、添加、删除或更改都应得到必要授权，并具有不可篡改的日志记录。

    第三十二条  银行应采取有效措施保证电子支付业务处理系统中的职责分离：

    (一)对电子支付业务处理系统进行测试，确保职责分离；

    (二)开发和管理经营电子支付业务处理系统的人员维持分离状态；

    (三)交易程序和内控制度的设计确保任何单个的雇员和外部服务供应商都无法独立完成一项交易。

    第三十三条  银行可以根据有关规定将其部分电子支付业务外包给合法的专业化服务机构，但银行对客户的义务及相应责任不因外包关系的确立而转移。

    银行应与开展电子支付业务相关的专业化服务机构签订协议，并确立一套综合性、持续性的程序，以管理其外包关系。

    第三十四条  银行采用数字证书或电子签名方式进行客户身份认证和交易授权的，提倡由合法的第三方认证机构提供认证服务。如客户因依据该认证服务进行交易遭受损失，认证服务机构不能证明自己无过错，应依法承担相应责任。

    第三十五条  境内发生的人民币电子支付交易信息处理及资金清算应在境内完成。

    第三十六条  银行的电子支付业务处理系统应保证对电子支付交易信息进行完整的记录和按有关法律法规进行披露。

    第三十七条  银行应建立电子支付业务运作重大事项报告制度，及时向监管部门报告电子支付业务经营过程中发生的危及安全的事项。

    第五章 差错处理

    第三十八条  电子支付业务的差错处理应遵守据实、准确和及时的原则。

    第三十九条  银行应指定相应部门和业务人员负责电子支付业务的差错处理工作，并明确权限和职责。

    第四十条  银行应妥善保管电子支付业务的交易记录，对电子支付业务的差错应详细备案登记，记录内容应包括差错时间、差错内容与处理部门及人员姓名、客户资料、差错影响或损失、差错原因、处理结果等。

    第四十一条  由于银行保管、使用不当，导致客户资料信息被泄露或篡改的，银行应采取有效措施防止因此造成客户损失，并及时通知和协助客户补救。

    第四十二条  因银行自身系统、内控制度或为其提供服务的第三方服务机构的原因，造成电子支付指令无法按约定时间传递、传递不完整或被篡改，并造成客户损失的，银行应按约定予以赔偿。

    因第三方服务机构的原因造成客户损失的，银行应予赔偿，再根据与第三方服务机构的协议进行追偿。

    第四十三条  接收行由于自身系统或内控制度等原因对电子支付指令未执行、未适当执行或迟延执行致使客户款项未准确入账的，应及时纠正。

    第四十四条  客户应妥善保管、使用电子支付交易存取工具。有关电子支付业务资料、存取工具被盗或遗失，应按约定方式和程序及时通知银行。

    第四十五条  非资金所有人盗取他人存取工具发出电子支付指令，并且其身份认证和交易授权通过发起行的安全程序的，发起行应积极配合客户查找原因，尽量减少客户损失。

    第四十六条  客户发现自身未按规定操作，或由于自身其他原因造成电子支付指令未执行、未适当执行、延迟执行的，应在协议约定的时间内，按照约定程序和方式通知银行。银行应积极调查并告知客户调查结果。

    银行发现因客户原因造成电子支付指令未执行、未适当执行、延迟执行的，应主动通知客户改正或配合客户采取补救措施。

    第四十七条  因不可抗力造成电子支付指令未执行、未适当执行、延迟执行的，银行应当采取积极措施防止损失扩大。

    第六章 附则

    第四十八条  本指引由中国人民银行负责解释和修改。

    第四十九条  本指引自发布之日起施行。

  

来源：中国人民银行

伦敦上空的鹰

中国银行业监督管理委员会令

    2006年第5号

    《电子银行业务管理办法》已经2005年11月10日中国银行业监督管理委员会第40次主席会议通过。现予公布，自2006年3月1日起施行。

    主席刘明康

    二○○六年一月二十六日



电子银行业务管理办法

    第一章总  则

    第一条 为加强电子银行业务的风险管理，保障客户及银行的合法权益，促进电子银行业务的健康有序发展，根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》和《中华人民共和国外资金融机构管理条例》等法律法规，制定本办法。

    第二条 本办法所称电子银行业务，是指商业银行等银行业金融机构利用面向社会公众开放的通讯通道或开放型公众网络，以及银行为特定自助服务设施或客户建立的专用网络，向客户提供的银行服务。

    电子银行业务包括利用计算机和互联网开展的银行业务(以下简称网上银行业务)，利用电话等声讯设备和电信网络开展的银行业务(以下简称电话银行业务)，利用移动电话和无线网络开展的银行业务(以下简称手机银行业务)，以及其他利用电子服务设备和网络，由客户通过自助服务方式完成金融交易的银行业务。

    第三条 银行业金融机构和依据《中华人民共和国外资金融机构管理条例》设立的外资金融机构(以下通称为金融机构)，应当按照本办法的规定开展电子银行业务。

    在中华人民共和国境内设立的金融资产管理公司、信托投资公司、财务公司、金融租赁公司以及经中国银行业监督管理委员会(以下简称中国银监会)批准设立的其他金融机构，开办具有电子银行性质的电子金融业务，适用本办法对金融机构开展电子银行业务的有关规定。

    第四条 经中国银监会批准，金融机构可以在中华人民共和国境内开办电子银行业务，向中华人民共和国境内企业、居民等客户提供电子银行服务，也可按照本办法的有关规定开展跨境电子银行服务。

    第五条 金融机构应当按照合理规划、统一管理、保障系统安全运行的原则，开展电子银行业务，保证电子银行业务的健康、有序发展。

    第六条 金融机构应根据电子银行业务特性，建立健全电子银行业务风险管理体系和内部控制体系，设立相应的管理机构，明确电子银行业务管理的责任，有效地识别、评估、监测和控制电子银行业务风险。

    第七条 中国银监会负责对电子银行业务实施监督管理。

    第二章 申请与变更

    第八条 金融机构在中华人民共和国境内开办电子银行业务，应当依照本办法的有关规定，向中国银监会申请或报告。

    第九条 金融机构开办电子银行业务，应当具备下列条件：

    (一)金融机构的经营活动正常，建立了较为完善的风险管理体系和内部控制制度，在申请开办电子银行业务的前一年内，金融机构的主要信息管理系统和业务处理系统没有发生过重大事故；

    (二)制定了电子银行业务的总体发展战略、发展规划和电子银行安全策略，建立了电子银行业务风险管理的组织体系和制度体系；

    (三)按照电子银行业务发展规划和安全策略，建立了电子银行业务运营的基础设施和系统，并对相关设施和系统进行了必要的安全检测和业务测试；

    (四)对电子银行业务风险管理情况和业务运营设施与系统等，进行了符合监管要求的安全评估；

    (五)建立了明确的电子银行业务管理部门，配备了合格的管理人员和技术人员；

    (六)中国银监会要求的其他条件。

    第十条 金融机构开办以互联网为媒介的网上银行业务、手机银行业务等电子银行业务，除应具备第九条 所列条件外，还应具备以下条件：

    (一)电子银行基础设施设备能够保障电子银行的正常运行；

    (二)电子银行系统具备必要的业务处理能力，能够满足客户适时业务处理的需要；

    (三)建立了有效的外部攻击侦测机制；

    (四)中资银行业金融机构的电子银行业务运营系统和业务处理服务器设置在中华人民共和国境内；

    (五)外资金融机构的电子银行业务运营系统和业务处理服务器可以设置在中华人民共和国境内或境外。设置在境外时，应在中华人民共和国境内设置可以记录和保存业务交易数据的设施设备，能够满足金融监管部门现场检查的要求，在出现法律纠纷时，能够满足中国司法机构调查取证的要求。

    第十一条 外资金融机构开办电子银行业务，除应具备第九条 、第十条 所列条件外，还应当按照法律、行政法规的有关规定，在中华人民共和国境内设有营业性机构，其所在国家(地区)监管当局具备对电子银行业务进行监管的法律框架和监管能力。

    第十二条 金融机构申请开办电子银行业务，根据电子银行业务的不同类型，分别适用审批制和报告制。

    (一)利用互联网等开放性网络或无线网络开办的电子银行业务，包括网上银行、手机银行和利用掌上电脑等个人数据辅助设备开办的电子银行业务，适用审批制；

    (二)利用境内或地区性电信网络、有线网络等开办的电子银行业务，适用报告制；

    (三)利用银行为特定自助服务设施或与客户建立的专用网络开办的电子银行业务，法律法规和行政规章另有规定的遵照其规定，没有规定的适用报告制。

    金融机构开办电子银行业务后，与其特定客户建立直接网络连接提供相关服务，属于电子银行日常服务，不属于开办电子银行业务申请的类型。

    第十三条 金融机构申请开办需要审批的电子银行业务之前，应先就拟申请的业务与中国银监会进行沟通，说明拟申请的电子银行业务系统和基础设施设计、建设方案，以及基本业务运营模式等，并根据沟通情况，对有关方案进行调整。

    进行监管沟通后，金融机构应根据调整完善后的方案开展电子银行系统建设，并应在申请前完成对相关系统的内部测试工作。

    内部测试对象仅限于金融机构内部人员、外包机构相关工作人员和相关机构的工作人员，不得扩展到一般客户。

    第十四条 金融机构申请开办电子银行业务时，可以在一个申请报告中同时申请不同类型的电子银行业务，但在申请中应注明所申请的电子银行业务类型。

    第十五条 金融机构向中国银监会或其派出机构申请开办电子银行业务，应提交以下文件、资料(一式三份)：

    (一)由金融机构法定代表人签署的开办电子银行业务的申请报告；

    (二)拟申请的电子银行业务类型及拟开展的业务种类；

    (三)电子银行业务发展规划；

    (四)电子银行业务运营设施与技术系统介绍；

    (五)电子银行业务系统测试报告；

    (六)电子银行安全评估报告；

    (七)电子银行业务运行应急计划和业务连续性计划；

    (八)电子银行业务风险管理体系及相应的规章制度；

    (九)电子银行业务的管理部门、管理职责，以及主要负责人介绍；

    (十)申请单位联系人以及联系电话、传真、电子邮件信箱等联系方式；

    (十一)中国银监会要求提供的其他文件和资料。

    第十六条 中国银监会或其派出机构在收到金融机构的有关申请材料后，根据监管需要，要求商业银行补充材料时，应一次性将有关要求告知金融机构。

    金融机构应根据中国银监会或其派出机构的要求，重新编制和装订申请材料，并更正材料递交日期。

    第十七条 中国银监会或其派出机构在收到金融机构申请开办需要审批的电子银行业务完整申请材料3个月内，作出批准或者不批准的书面决定；决定不批准的，应当说明理由。

    第十八条 金融机构在一份申请报告中申请了多个类型的电子银行业务时，中国银监会或其派出机构可以根据有关规定和要求批准全部或部分电子银行业务类型的申请。

    对于中国银监会或其派出机构未批准的电子银行业务类型，金融机构可按有关规定重新申请。

    第十九条 金融机构开办适用于报告制的电子银行业务类型，不需申请，但应参照第十五条 的有关规定，在开办电子银行业务之前1个月，将相关材料报送中国银监会或其派出机构。

    第二十条 金融机构开办电子银行业务后，可以利用电子银行平台进行传统银行产品和服务的宣传、销售，也可以根据电子银行业务的特点开发新的业务类型。

    金融机构利用电子银行平台宣传有关银行产品或服务时，应当遵守相关法律法规和业务管理规章的有关规定。利用电子银行平台销售有关银行产品或服务时，应认真分析选择适应电子银行销售的产品，不得利用电子银行销售需要对客户进行当面评估后才能销售的，或者需要客户当面确认才能销售的银行产品，法律法规和行政规章另有规定的除外。

    第二十一条 金融机构根据业务发展需要，增加或变更电子银行业务类型，适用审批制或报告制。

    第二十二条 金融机构增加或者变更以下电子银行业务类型，适用审批制：

    (一)有关法律法规和行政规章规定需要审批但金融机构尚未申请批准，并准备利用电子银行开办的；

    (二)金融机构将已获批准的业务应用于电子银行时，需要与证券业、保险业相关机构进行直接实时数据交换才能实施的；

    (三)金融机构之间通过互联电子银行平台联合开展的；

    (四)提供跨境电子银行服务的。

    第二十三条 金融机构增加或变更需要审批的电子银行业务类型，应向中国银监会或其派出机构报送以下文件和资料(一式三份)：

    (一)由金融机构法定代表人签署的增加或变更业务类型的申请；

    (二)拟增加或变更业务类型的定义和操作流程；

    (三)拟增加或变更业务类型的风险特征和防范措施；

    (四)有关管理规章制度；

    (五)申请单位联系人以及联系电话、传真、电子邮件信箱等联系方式；

    (六)中国银监会要求提供的其他文件和资料。

    第二十四条 业务经营活动不受地域限制的银行业金融机构(以下简称全国性金融机构)，申请开办电子银行业务或增加、变更需要审批的电子银行业务类型，应由其总行(公司)统一向中国银监会申请。

    按照有关规定只能在某一城市或地区内从事业务经营活动的银行业金融机构(以下简称地区性金融机构)，申请开办电子银行业务或增加、变更需要审批的电子银行业务类型，应由其法人机构向所在地中国银监会派出机构申请。

    外资金融机构申请开办电子银行业务或增加、变更需要审批的电子银行业务类型，应由其总行(公司)或在中华人民共和国境内的主报告行向中国银监会申请。

    第二十五条 中国银监会或其派出机构在收到金融机构增加或变更需要审批的电子银行业务类型完整申请材料3个月内，做出批准或者不批准的书面决定；决定不批准的，应当说明理由。

    第二十六条 其他电子银行业务类型适用报告制，金融机构增加或变更时不需申请，但应在开办该业务类型前1个月内，参照第二十三条 的有关规定，将有关材料报送中国银监会或其派出机构。

    第二十七条 已经实现业务数据集中处理和系统整合(以下简称数据集中处理)的银行业金融机构，获准开办电子银行业务后，可以授权其分支机构开办部分或全部电子银行业务。其分支机构在开办相关业务之前，应向所在地中国银监会派出机构报告。

    未实现数据集中处理的银行业金融机构，如果其分支机构的电子银行业务处理系统独立于总部，该分支机构开办电子银行业务按照地区性金融机构开办电子银行业务的情形管理，应持其总行授权文件，按照有关规定向所在地中国银监会派出机构申请或报告。其他分支机构只需持其总行授权文件，在开办相关业务之前，向所在地中国银监会派出机构报告。

    外资金融机构获准开办电子银行业务后，其境内分支机构开办电子银行业务，应持其总行(公司)授权文件向所在地中国银监会派出机构报告。

    第二十八条 已开办电子银行业务的金融机构按计划决定终止全部电子银行服务或部分类型的电子银行服务时，应提前3个月就终止电子银行服务的原因及相关问题处置方案等，报告中国银监会，并同时予以公告。

    金融机构按计划决定停办部分电子银行业务类型时，应于停办该业务前1个月内向中国银监会报告，并予以公告。

    金融机构终止电子银行服务或停办部分业务类型，必须采取有效的措施保护客户的合法权益，并针对可能出现的问题制定有效的处置方案。

    第二十九条 金融机构终止电子银行服务或停办部分业务类型后，需要重新开办电子银行业务或者重新开展已停办的业务类型时，应按照相关规定重新申请或办理。

    第三十条 金融机构因电子银行系统升级、调试等原因，需要按计划暂时停止电子银行服务的，应选择适当的时间，尽可能减少对客户的影响，并至少提前3天在其网站上予以公告。

    受突发事件或偶然因素影响非计划暂停电子银行服务，在正常工作时间内超过4个小时或者在正常工作时间外超过8个小时的，金融机构应在暂停服务后24小时内将有关情况报告中国银监会，并应在事故处理基本结束后3日内，将事故原因、影响、补救措施及处理情况等，报告中国银监会。

    第三章 风险管理

    第三十一条 金融机构应当将电子银行业务风险管理纳入本机构风险管理的总体框架之中，并应根据电子银行业务的运营特点，建立健全电子银行风险管理体系和电子银行安全、稳健运营的内部控制体系。

    第三十二条 金融机构的电子银行风险管理体系和内部控制体系应当具有清晰的管理架构、完善的规章制度和严格的内部授权控制机制，能够对电子银行业务面临的战略风险、运营风险、法律风险、声誉风险、信用风险、市场风险等实施有效的识别、评估、监测和控制。

    第三十三条 金融机构针对传统业务风险制定的审慎性风险管理原则和措施等，同样适用于电子银行业务，但金融机构应根据电子银行业务环境和运行方式的变化，对原有风险管理制度、规则和程序进行必要的和适当的修正。

    第三十四条 金融机构的董事会和高级管理层应根据本机构的总体发展战略和实际经营情况，制订电子银行发展战略和可行的经营投资战略，对电子银行的经营进行持续性的综合效益分析，科学评估电子银行业务对金融机构总体风险的影响。

    第三十五条 在制定电子银行发展战略时，金融机构应加强电子银行业务的知识产权保护工作。

    第三十六条 金融机构应当针对电子银行不同系统、风险设施、信息和其他资源的重要性及其对电子银行安全的影响进行评估分类，制定适当的安全策略，建立健全风险控制程序和安全操作规程，采取相应的安全管理措施。

    对各类安全控制措施应定期检查、测试，并根据实际情况适时调整，保证安全措施的持续有效和及时更新。

    第三十七条 金融机构应当保障电子银行运营设施设备，以及安全控制设施设备的安全，对电子银行的重要设施设备和数据，采取适当的保护措施。

    (一)有形场所的物理安全控制，必须符合国家有关法律法规和安全标准的要求，对尚没有统一安全标准的有形场所的安全控制，金融机构应确保其制定的安全制度有效地覆盖可能面临的主要风险；

    (二)以开放型网络为媒介的电子银行系统，应合理设置和使用防火墙、防病毒软件等安全产品与技术，确保电子银行有足够的反攻击能力、防病毒能力和入侵防护能力；

    (三)对重要设施设备的接触、检查、维修和应急处理，应有明确的权限界定、责任划分和操作流程，并建立日志文件管理制度，如实记录并妥善保管相关记录；

    (四)对重要技术参数，应严格控制接触权限，并建立相应的技术参数调整与变更机制，并保证在更换关键人员后，能够有效防止有关技术参数的泄漏；

    (五)对电子银行管理的关键岗位和关键人员，应实行轮岗和强制性休假制度，建立严格的内部监督管理制度。

    第三十八条 金融机构应采用适当的加密技术和措施，保证电子交易数据传输的安全性与保密性，以及所传输交易数据的完整性、真实性和不可否认性。

    金融机构采用的数据加密技术应符合国家有关规定，并根据电子银行业务的安全性需要和科技信息技术的发展，定期检查和评估所使用的加密技术和算法的强度，对加密方式进行适时调整。

    第三十九条 金融机构应当与客户签订电子银行服务协议或合同，明确双方的权利与义务。

    在电子银行服务协议中，金融机构应向客户充分揭示利用电子银行进行交易可能面临的风险，金融机构已经采取的风险控制措施和客户应采取的风险控制措施，以及相关风险的责任承担。

    第四十条 金融机构应采取适当的措施和采用适当的技术，识别与验证使用电子银行服务客户的真实、有效身份，并应依照与客户签订的有关协议对客户作业权限、资金转移或交易限额等实施有效管理。

    第四十一条 金融机构应当建立相应的机制，搜索、监测和处理假冒或有意设置类似于金融机构的电话、网站、短信号码等信息骗取客户资料的活动。

    金融机构发现假冒电子银行的非法活动后，应向公安部门报案，并向中国银监会报告。同时，金融机构应及时在其网站、电话语音提示系统或短信平台上，提醒客户注意。

    第四十二条 金融机构应尽可能使用统一的电子银行服务电话、域名、短信号码等，并应在与客户签订的协议中明确客户启动电子银行业务的合法途径、意外事件的处理办法，以及联系方式等。

    已实现数据集中处理的银行业金融机构开展网上银行类业务，总行(公司)与其分支机构应使用统一的域名；未实现数据集中处理的银行业金融机构开展网上银行类业务时，应由总行(公司)设置统一的接入站点，在其主页内设置其分支机构网站链接。

    第四十三条 金融机构应建立电子银行入侵侦测与入侵保护系统，实时监控电子银行的运行情况，定期对电子银行系统进行漏洞扫描，并建立对非法入侵的甄别、处理和报告机制。

    第四十四条 金融机构开展电子银行业务，需要对客户信息和交易信息等使用电子签名或电子认证时，应遵照国家有关法律法规的规定。

    金融机构使用第三方认证系统，应对第三方认证机构进行定期评估，保证有关认证安全可靠和具有公信力。

    第四十五条 金融机构应定期评估可供客户使用的电子银行资源充足情况，采取必要的措施保障线路接入通畅，保证客户对电子银行服务的可用性。

    第四十六条 金融机构应制定电子银行业务连续性计划，保证电子银行业务的连续正常运营。

    金融机构电子银行业务连续性计划应充分考虑第三方服务供应商对业务连续性的影响，并应采取适当的预防措施。

    第四十七条 金融机构应制定电子银行应急计划和事故处理预案，并定期对这些计划和预案进行测试，以管理、控制和减少意外事件造成的危害。

    第四十八条 金融机构应定期对电子银行关键设备和系统进行检测，并详细记录检测情况。

    第四十九条 金融机构应明确电子银行管理、运营等各个环节的主要权限、职责和相互监督方式，有效隔离电子银行应用系统、验证系统、业务处理系统和数据库管理系统之间的风险。

    第五十条 金融机构应建立健全电子银行业务的内部审计制度，定期对电子银行业务进行审计。

    第五十一条 金融机构应采取适当的方法和技术，记录并妥善保存电子银行业务数据，电子银行业务数据的保存期限应符合法律法规的有关要求。

    第五十二条 金融机构应采取适当措施，保证电子银行业务符合相关法律法规对客户信息和隐私保护的规定。

    第五十三条 金融机构应针对电子银行业务发展与管理的实际情况，制订多层次的培训计划，对电子银行管理人员和业务人员进行持续培训。

    第四章 数据交换与转移管理

    第五十四条 电子银行业务的数据交换与转移，是指金融机构根据业务发展和管理的需要，利用电子银行平台与外部组织或机构相互交换电子银行业务信息和数据，或者将有关电子银行业务数据转移至外部组织或机构的活动。

    第五十五条 金融机构根据业务发展需要，可以与其他开展电子银行业务的金融机构建立电子银行系统数据交换机制，实现电子银行业务平台的直接连接，进行境内实时信息交换和跨行资金转移。

    第五十六条 建立电子银行业务数据交换机制的金融机构，或者电子银行平台实现相互连接的金融机构，应当建立联合风险管理委员会，负责协调跨行间的业务风险管理与控制。

    所有参加数据交换或电子银行平台连接的金融机构都应参加联合风险管理委员会，共同制定并遵守联合风险管理委员会的规章制度和工作规程。

    联合风险管理委员会的规章制度、工作规程、会议纪要和有关决议等，应抄报中国银监会。

    第五十七条 金融机构根据业务发展或管理的需要，可以与非银行业金融机构直接交换或转移部分电子银行业务数据。

    金融机构向非银行业金融机构交换或转移部分电子银行业务数据时，应签订数据交换(转移)用途与范围明确、管理职责清晰的书面协议，并明确各方的数据保密责任。

    第五十八条 金融机构在确保电子银行业务数据安全并被恰当使用的情况下，可以向非金融机构转移部分电子银行业务数据。

    (一)金融机构由于业务外包、系统测试(调试)、数据恢复与救援等为维护电子银行正常安全运营的需要而向非金融机构转移电子银行业务数据的，应当事先签订书面保密合同，并指派专人负责监督有关数据的使用、保管、传递和销毁；

    (二)金融机构由于业务拓展、业务合作等需要向非金融机构转移电子银行业务数据的，除应签订书面保密合同和指定专人监督外，还应建立对数据接收方的定期检查制度，一旦发现数据接收方不当使用、保管或传递电子银行业务数据，应立即停止相关数据转移，并应采取必要的措施预防电子银行客户的合法权益受到损害，法律法规另有规定的除外；

    (三)金融机构不得向无业务往来的非金融机构转移电子银行业务数据，不得出售电子银行业务数据，不得损害客户权益利用电子银行业务数据谋取利益。

    第五十九条 金融机构可以为电子商务经营者提供网上支付平台。为电子商务提供网上支付平台时，金融机构应严格审查合作对象，签订书面合作协议，建立有效监督机制，防范不法机构或人员利用电子银行支付平台从事违法资金转移或其他非法活动。

    第六十条 外资金融机构因业务或管理需要确需向境外总行(公司)转移有关电子银行业务数据的，应遵守有关法律法规的规定，采取必要的措施保护客户的合法权益，并遵守有关数据交换和转移的规定。

    第六十一条 未经电子银行业务数据转出机构的允许，数据接收机构不得将有关电子银行业务数据向第三方转移。法律法规另有规定的除外。

    第五章 业务外包管理

    第六十二条 电子银行业务外包，是指金融机构将电子银行部分系统的开发、建设，电子银行业务的部分服务与技术支持，电子银行系统的维护等专业化程度较高的业务工作，委托给外部专业机构承担的活动。

    第六十三条 金融机构在进行电子银行业务外包时，应根据实际需要，合理确定外包的原则和范围，认真分析和评估业务外包存在的潜在风险，建立健全有关规章制度，制定相应的风险防范措施。

    第六十四条 金融机构在选择电子银行业务外包服务供应商时，应充分审查、评估外包服务供应商的经营状况、财务状况和实际风险控制与责任承担能力，进行必要的尽职调查。

    第六十五条 金融机构应当与外包服务供应商签订书面合同，明确双方的权利、义务。

    在合同中，应明确规定外包服务供应商的保密义务、保密责任。

    第六十六条 金融机构应充分认识外包服务供应商对电子银行业务风险控制的影响，并将其纳入总体安全策略之中。

    第六十七条 金融机构应建立完整的业务外包风险评估与监测程序，审慎管理业务外包产生的风险。

    第六十八条 电子银行业务外包风险的管理应当符合金融机构的风险管理标准，并应建立针对电子银行业务外包风险的应急计划。

    第六十九条 金融机构应与外包服务供应商建立有效的联络、沟通和信息交流机制，并应制定在意外情况下能够实现外包服务供应商顺利变更，保证外包服务不间断的应急预案。

    第七十条 金融机构对电子银行业务处理系统、授权管理系统、数据备份系统的总体设计开发，以及其他涉及机密数据管理与传递环节的系统进行外包时，应经过金融机构董事会或者法人代表批准，并应在业务外包实施前向中国银监会报告。

    第六章 跨境业务活动管理

    第七十一条 电子银行的跨境业务活动，是指开办电子银行业务的金融机构利用境内的电子银行系统，向境外居民或企业提供的电子银行服务活动。

    金融机构的境内客户在境外使用电子银行服务，不属于跨境业务活动。

    第七十二条 金融机构提供跨境电子银行服务，除应遵守中国法律法规和外汇管理政策等规定外，还应遵守境外居民所在国家(地区)的法律规定。

    境外电子银行监管部门对跨境电子银行业务要求审批的，金融机构在提供跨境业务活动之前，应获得境外电子银行监管部门的批准。

    第七十三条 金融机构开展跨境电子银行业务，除应按照第二章的有关规定向中国银监会申请外，还应当向中国银监会提供以下文件资料：

    (一)跨境电子银行服务的国家(地区)，以及该国(地区)对电子银行业务管理的法律规定；

    (二)跨境电子银行服务的主要对象及服务内容；

    (三)未来三年跨境电子银行业务发展规模、客户规模的分析预测；

    (四)跨境电子银行业务法律与合规性分析。

    第七十四条 金融机构向客户提供跨境电子银行服务，必须签订相关服务协议。

    金融机构与客户的服务协议文本，应当使用中文和客户所在国家或地区(或客户同意的其他国语言)两种文字，两种文字的文本应具有同等法律效力。

    第七章 监督管理

    第七十五条 中国银监会依法对电子银行业务实施非现场监管、现场检查和安全监测，对电子银行安全评估实施管理，并对电子银行的行业自律组织进行指导和监督。

    第七十六条 开展电子银行业务的金融机构应当建立电子银行业务统计体系，并按照相关规定向中国银监会报送统计数据。

    商业银行向中国银监会报送的电子银行业务统计数据、报送办法等，由中国银监会另行制定。

    第七十七条 金融机构应定期对电子银行业务发展与管理情况进行自我评估，并应每年编制《电子银行年度评估报告》。

    第七十八条 金融机构的《电子银行年度评估报告》应至少包括以下几方面内容：

    (一)本年度电子银行业务的发展计划与实际发展情况，以及对本年度电子银行发展状况的分析评价；

    (二)本年度电子银行业务经营效益的分析、比较与评价，以及主要业务收入和主要业务的服务价格；

    (三)电子银行业务风险管理状况的分析与评估，以及本年度电子银行面临的主要风险；

    (四)其他需要说明的重要事项。

    第七十九条 金融机构的《电子银行年度评估报告》(一式两份)应于下一年度的3月底之前报送中国银监会。

    第八十条 金融机构应当建立电子银行业务重大安全事故和风险事件的报告制度，并保持与监管部门的经常性沟通。

    对于电子银行系统被恶意攻破并已出现客户或银行损失，电子银行被病毒感染并导致机密资料外泄，以及可能会引发其他金融机构电子银行系统风险的事件，金融机构应在事件发生后48小时内向中国银监会报告。

    第八十一条 中国银监会根据监管的需要，可以依法对金融机构的电子银行业务实施现场检查，也可以聘请外部专业机构对电子银行业务系统进行安全漏洞扫描、攻击测试等检查。

    第八十二条 中国银监会对电子银行业务实施现场检查时，除应按照现场检查的有关规定组成检查组并进行相关业务培训外，还应邀请被检查机构的电子银行业务管理和技术人员介绍其电子银行系统架构、运营管理模式以及关键设备接触要求。

    检查人员在实施现场检查过程中，应当遵守被检查机构电子银行安全管理的有关规定。

    第八十三条 金融机构的总行(公司)，以及已实现数据集中处理的金融机构分支机构电子银行业务的现场检查，由中国银监会负责；未实现数据集中处理的金融机构的分支机构，外资金融机构的分支机构，以及地区性金融机构电子银行业务的现场检查，由所在地银监局负责。

    第八十四条 中国银监会聘用外部专业机构对金融机构电子银行系统进行检查时，应与被委托机构签订书面合同和保密协议，明确规定被委托机构可以使用的技术手段和使用方式，并指派专人全程参与并监督外部机构的监测测试活动。

    银监局与拟聘用的外部专业机构签订合同之前，应报请银监会批准。

    第八十五条 电子银行安全评估是金融机构开办或持续经营电子银行业务的必要条件，也是金融机构电子银行业务风险管理与监管的重要手段。

    金融机构应按照中国银监会的有关规定，定期对电子银行系统进行安全评估，并将其作为电子银行风险管理的重要组成部分。

    第八十六条 金融机构电子银行安全评估工作，应当由符合一定资质条件、具备相应评估能力的评估机构实施。

    中国银监会负责制定评估机构开展电子银行安全评估业务的资质条件和电子银行安全评估的相关制度，并负责对评估机构参与电子银行安全评估的业务资质进行认定。

    第八十七条 中国银监会对评估机构电子银行安全评估业务资质的认定，不作为评估机构开展电子银行安全评估业务的必要条件。

    电子银行安全评估机构开展电子银行安全评估业务，如需中国银监会对其资质进行专业认定，应按照有关规定申请办理。

    第八十八条 金融机构聘请未经中国银监会认定的安全评估机构实施电子银行安全评估时，应按照中国银监会制定的有关条件和标准选择评估机构，并应于签订评估协议前4周将拟聘用机构的有关情况报中国银监会。

    第八章 法律责任

    第八十九条 金融机构在提供电子银行服务时，因电子银行系统存在安全隐患、金融机构内部违规操作和其他非客户原因等造成损失的，金融机构应当承担相应责任。

    因客户有意泄漏交易密码，或者未按照服务协议尽到应尽的安全防范与保密义务造成损失的，金融机构可以根据服务协议的约定免于承担相应责任，但法律法规另有规定的除外。

    第九十条 金融机构未经批准擅自开办电子银行业务，或者未经批准增加或变更需要审批的电子银行业务类型，造成客户损失的，金融机构应承担全部责任。法律法规明确规定应由客户承担的责任除外。

    第九十一条 金融机构已经按照有关法律法规和行政规章的要求，尽到了电子银行风险管理和安全管理的相应职责，但因其他金融机构或者其他金融机构的外包服务商失职等原因，造成客户损失的，由其他金融机构承担相应责任，但提供电子银行服务的金融机构有义务协助其客户处理有关事宜。

    第九十二条 金融机构开展电子银行业务违反审慎经营规则但尚不构成违法违规，并导致电子银行系统存在较大安全隐患的，中国银监会将责令限期改正；逾期未改正，或者其安全隐患在短时间难以解决的，中国银监会可以区别情形，采取下列措施：

    (一)暂停批准增加新的电子银行业务类型；

    (二)责令金融机构限制发展新的电子银行客户；

    (三)责令调整电子银行管理部门负责人。

    第九十三条 金融机构在开展电子银行业务过程中，违反有关法律法规和行政规章的，中国银监会将依据有关法律法规和行政规章的规定予以处罚。

    第九章 附则

    第九十四条 金融机构利用为特定自助服务设施或客户建立的专用网络提供电子银行业务，有相关业务管理规定的，遵照其规定，但网络安全、技术风险等管理应参照本办法的有关规定执行；没有相关业务规定的，遵照本办法。

    第九十五条 本办法实施前，经监管部门批准已经开办网上银行业务的金融机构，其已开办的电子银行业务不需再行审批，但应于本办法实施后1个月内将已开办的电子银行业务类型、开办时间、审批文件等相关材料报中国银监会。

    本办法实施后，上述机构开办尚未开办的电子银行业务类型，应按本办法的有关规定进行申请或报告。

    第九十六条 本办法实施前，已经开办网上银行业务但尚未报批或已经申请但尚未获得监管部门批准的金融机构，其开办的网上银行、手机银行，以及其他以互联网或无线网络为媒介的电子银行业务，应在本办法实施后6个月内按本办法提交有关申请；已经递交申请材料的，应按照本办法的要求补充有关材料。

    上述机构已经开办适用于报告制的电子银行业务，应于本办法实施后1个月内将已开办的电子银行业务类型、开办时间等报中国银监会。

    上述机构新开办其他电子银行业务，应遵照本办法的规定。

    第九十七条 本办法实施前，未开办网上银行业务但已开办电话银行业务的金融机构，应于本办法实施后1个月内将已开办的电子银行业务类型、开办时间等报中国银监会。

    上述机构新开办其他电子银行业务，应遵照本办法的规定。

    第九十八条 本办法由中国银监会负责解释。

    第九十九条 本办法自2006年3月1日起施行。

伦敦上空的鹰

电子银行安全评估指引

第一章  总    则

    第一条  为加强电子银行业务的安全与风险管理，保证电子银行安全评估的客观性、及时性、全面性和有效性，依据《电子银行业务管理办法》的有关规定，制定本指引。
    第二条  电子银行的安全评估，是指金融机构在开展电子银行业务过程中，对电子银行的安全策略、内控制度、风险管理、系统安全、客户保护等方面进行的安全测试和管控能力的考察与评价。
    第三条  开展电子银行业务的金融机构，应根据其电子银行发展和管理的需要，至少每2年对电子银行进行一次全面的安全评估。
    第四条  金融机构可以利用外部专业化的评估机构对电子银行进行安全评估，也可以利用内部独立于电子银行业务运营和管理部门的评估部门对电子银行进行安全评估。
    第五条  金融机构应建立电子银行安全评估的规章制度体系和工作规程，保证电子银行安全评估能够及时、客观地得以实施。
    第六条  金融机构的电子银行安全评估，应接受中国银行业监督管理委员会（以下简称中国银监会）的监督指导。


第二章  安全评估机构

    第七条  承担金融机构电子银行安全评估工作的机构，可以是金融机构外部的社会专业化机构，也可以是金融机构内部具备相应条件的相对独立部门。
    第八条  外部机构从事电子银行安全评估，应具备以下条件：
    （一） 具有较为完善的开展电子银行安全评估业务的管理制度和操作规程；
    （二） 制定了系统、全面的评估手册或评估指导文件，评估手册或评估指导文件的内容应至少包括评估程序、评估方法和依据、评估标准等；
    （三） 拥有与电子银行安全评估相关的各类专业人才，了解国际和中国相关行业的行业标准；
    （四） 中国银监会规定的其他从事电子银行安全评估应当具备的条件。
    第九条  金融机构内部部门从事电子银行安全评估，除应具备第八条  规定的有关条件外，还应具备以下条件：
    （一） 必须独立于电子银行业务系统开发部门、运营部门和管理部门；
    （二） 未直接参与过有关电子银行设备的选购工作。
    第十条  中国银监会负责电子银行安全评估机构资质认定工作。
电子银行安全评估机构在开展金融机构电子银行安全评估业务前，可以向中国银监会申请对其资质进行认定。
    第十一条  金融机构在进行电子银行安全评估时，可以选择经中国银监会资质认定的安全评估机构，也可以选择未经中国银监会资质认定的安全评估机构。
金融机构选择经中国银监会资质认定的安全评估机构时，有关安全评估机构的管理适用本指引有关规定。金融机构选择未经中国银监会资质认定的安全评估机构时，安全评估机构的选择标准应不低于第八条、第九条规定的条件要求，并应按照《电子银行业务管理办法》的有关规定，报送相关材料。
电子银行安全评估机构无论是否经过中国银监会资质认定，在开展电子银行安全评估活动时，都应遵守有关电子银行安全评估实施和管理的规定。
     第十二条  中国银监会每年将组织一次电子银行安全评估机构资质认定工作，评定时间应提前1个月公告。
    第十三条  申请资质认定的电子银行安全评估机构，应在中国银监会公告规定的时限内提交以下材料（一式七份）：
    （一） 电子银行安全评估资质认定申请报告；
    （二） 机构介绍；
    （三） 安全评估业务管理框架、管理制度、操作规程等；
    （四） 评估手册或评估指导文件；
    （五） 主要评估人员简历；
    （六） 中国银监会要求提供的其他文件、资料。
    第十四条  中国银监会收到安全评估机构资质认定申请完整材料后，组织有关专家和监管人员对申请材料进行评议，采用投票的办法评定电子银行安全评估机构是否达到了有关资质要求。
    第十五条  中国银监会对评估机构资质评议后，出具《电子银行安全评估机构资质认定意见书》，载明评议意见，对评估机构的资质做出认定。
    第十六条  中国银监会出具的《电子银行安全评估机构资质认定意见书》，仅供评估机构与金融机构商恰有关电子银行安全评估业务时使用，不影响评估机构开展其他经营活动。
    评估机构不得将《电子银行安全评估机构资质认定意见书》用于宣传或其他活动。
    第十七条  经中国银监会评议并被认为达到有关资质要求的评估机构，每次资质认定的有效期限为2年。
     经评议不符合认定资质的，评估机构可在下一年度重新申请资质认定。
    第十八条  在资质认定的有效期限内，电子银行安全评估机构如果出现下列情况，中国银监会将撤销已做出的评议和认定意见：
    （一） 评估机构管理不善，其工作人员泄露被评估机构秘密的；
    （二） 评估工作质量低下，评估活动出现重要遗漏的；
    （三） 未按要求提交评估报告，或评估报告中存在不实表述的；
    （四） 将《电子银行安全评估机构资质认定意见书》用于宣传和其他经营活动的；
    （五） 存在其他严重不尽职行为的。
    第十九条  评估机构有下列行为之一的，中国银监会将在一定期限或无限期不再受理评估机构的资质认定申请，金融机构不应再委托该评估机构进行安全评估：
    （一） 与委托机构合谋，共同隐瞒在安全评估过程中发现的安全漏洞，未按要求写入评估报告的；
    （二） 在评估过程中弄虚作假，编造安全评估报告的；
    （三） 泄漏被评估机构机密信息，或不当使用被评估机构机密资料的。
金融机构内部评估机构出现以上情况之一的，中国银监会将依法对相关机构和责任人进行处罚。
     第二十条  中国银监会认可的电子银行安全评估机构，以及有关资质认定、撤销等信息，仅向开展电子银行业务的各金融机构通报，不向社会发布。
金融机构不得向第三方泄露中国银监会的有关通报信息，影响有关机构的其他业务活动，也不得将有关信息用于与电子银行安全评估活动无关的其他业务活动。
    第二十一条  金融机构可以在中国银监会认定的评估机构范围内，自主选择电子银行安全评估机构。
    第二十二条  电子银行主要系统设置于境外并在境外实施电子银行安全评估的外资金融机构，以及需要按照所在地监管部门的要求在境外实施电子银行安全评估的中资金融机构境外分支机构，电子银行安全评估机构的选择应遵循所在国家或地区的法律要求。
    所在国家或地区没有相关法律要求的，金融机构应参照本指引的有关规定开展安全评估活动。
第二十三条  金融机构应与聘用的电子银行安全评估机构签订书面服务协议，在服务协议中，必须含有明确的保密条  款和保密责任。
金融机构选择内部部门作为评估机构时，应由电子银行管理部门与评估部门签订评估责任确定书。
第二十四条  安全评估机构应根据评估协议的规定，认真履行评估职责，真实评估被评估机构电子银行安全状况。


第三章  安全评估的实施

    第二十五条  评估机构在开始电子银行安全评估之前，应就评估的范围、重点、时间与要求等问题，与被评估机构进行充分的沟通，制定评估计划，由双方签字认可。
    第二十六条  依据评估计划，评估机构进场对委托机构的电子银行安全进行评估。
电子银行安全评估应真实、全面地评价电子银行系统的安全性。
    第二十七条  电子银行安全评估至少应包括以下内容：
    （一） 安全策略；
    （二） 内控制度建设；
    （三） 风险管理状况；
    （四） 系统安全性；
    （五） 电子银行业务运行连续性计划；
    （六） 电子银行业务运行应急计划；
    （七） 电子银行风险预警体系；
    （八） 其他重要安全环节和机制的管理。
    第二十八条  电子银行安全策略的评估，至少应包括以下内容：
    （一） 安全策略制定的流程与合理性；
    （二） 系统设计与开发的安全策略；
    （三） 系统测试与验收的安全策略；
    （四） 系统运行与维护的安全策略；
    （五） 系统备份与应急的安全策略；
    （六） 客户信息安全策略。
    评估机构对金融机构安全策略的评估，不仅要评估安全策略、规章制度和程序是否存在，还要评估这些制度是否得到贯彻执行，是否及时更新，是否全面覆盖电子银行业务系统。
    第二十九条  电子银行内控制度的评估，应至少包括以下内容：
    （一） 内部控制体系总体建设的科学性与适宜性；
    （二） 董事会和高级管理层在电子银行安全和风险管理体系中的职责，以及相关部门职责和责任的合理性；
    （三） 安全监控机制的建设与运行情况；
    （四） 内部审计制度的建设与运行情况。
    第三十条  电子银行风险管理状况的评估，应至少包括以下内容：
    （一） 电子银行风险管理架构的适应性和合理性；
   （二） 董事会和高级管理层对电子银行安全与风险管理的认知能力与相关政策、策略的制定执行情况；
   （三） 电子银行管理机构职责设置的合理性及对相关风险的管控能力；
   （四） 管理人员配备与培训情况；
   （五） 电子银行风险管理的规章制度与操作规定、程序等的执行情况；
   （六） 电子银行业务的主要风险及管理状况；
   （七） 业务外包管理制度建设与管理状况。
    第三十一条  电子银行系统安全性的评估，应至少包括以下内容：
    （一） 物理安全；
    （二） 数据通讯安全；
    （三） 应用系统安全；
    （四） 密钥管理；
    （五） 客户信息认证与保密；
    （六） 入侵监测机制和报告反应机制。
    评估机构应突出对数据通讯安全和应用系统安全的评估，客观评价金融机构是否采用了合适的加密技术、合理设计和配置了服务器和防火墙，银行内部运作系统和数据库是否安全等，以及金融机构是否制定了控制和管理修改电子银行系统的制度和控制程序，并能保证各种修改得到及时测试和审核。
    第三十二条  电子银行业务运行连续性计划的评估，应至少包括以下内容：
    （一） 保障业务连续运营的设备和系统能力；
    （二） 保证业务连续运营的制度安排和执行情况。
    第三十三条  电子银行业务运行应急计划的评估，应至少包括以下内容：
    （一） 电子银行应急制度建设与执行情况；
    （二） 电子银行应急设施设备配备情况；
    （三） 定期、持续性检测与演练情况；
    （四） 应对意外事故或外部攻击的能力。
    第三十四条  评估机构应制定本机构电子银行安全评定标准，在进行安全评估时，应根据委托机构的实际情况，确定不同评估内容对电子银行总体风险影响程度的权重，对每项评估内容进行评分，综合计算出被评估机构电子银行的风险等级。
    第三十五条  评估完成后，评估机构应及时撰写评估报告，并于评估完成后1个月内向委托机构提交由其法定代表人或其授权委托人签字认可的评估报告。
    第三十六条  评估报告应至少包括以下内容：
    （一） 评估的时间、范围及其他协议中重要的约定；
    （二） 评估的总体框架、程序、主要方法及主要评估人员介绍；
    （三） 不同评估内容风险权重的确定标准，风险等级的计算方法，以及风险等级的定义；
    （四） 评估内容与评估活动描述；
    （五） 评估结论；
    （六） 对被评估机构电子银行安全管理的建议；
    （七） 其他需要说明的问题；
    （八） 主要术语定义和所采用的国际或国内标准介绍（可作为附件）；
    （九） 评估工作流程记录表（可作为附件）；
    （十） 评估机构参加评估人员名单（可作为附件）。
    在评估结论中，评估机构应采用量化的办法表明被评估机构电子银行的风险等级，说明被评估机构电子银行安全管理中存在的主要问题与隐患，并提出整改建议。
    第三十七条  评估报告完成并提交委托机构后，如需修改，应将修改的原因、依据和修改意见作为附件附在原报告之后，不得直接修改原报告。


第四章  安全评估活动的管理

    第三十八条  金融机构在申请开办电子银行业务时，应当按照有关规定对完成测试的电子银行系统进行安全评估。
    第三十九条  金融机构开办电子银行业务后，有下列情形之一的，应立即组织安全评估：
    （一） 由于安全漏洞导致系统被攻击瘫痪，修复运行的；
    （二） 电子银行系统进行重大更新或升级后，出现系统意外停机12小时以上的；
    （三） 电子银行关键设备与设施更换后，出现重大事故修复后仍不能保持连续不间断运行的；
    （四） 基于电子银行安全管理需要立即评估的。
    第四十条  金融机构对电子银行外部安全评估机构的选聘，应由金融机构的董事会或高级管理层负责。
    第四十一条  已实现数据集中管理的银行业金融机构，其分支机构开展电子银行业务不需单独进行安全评估，在总行（公司）的电子银行安全评估中应包含对其分支机构电子银行安全管理状况的评估。
    第四十二条  未实现数据集中管理的银行业金融机构，其分支机构开展电子银行业务且拥有独立的业务处理设备与系统的，分支机构的电子银行系统应在总行（公司）的统一管理和指导下，按照有关规定进行安全评估。
    第四十三条  电子银行主要业务处理系统设置在境外的外资金融机构，其境外总行（公司）已经进行了安全评估且符合本指引有关规定的，其境内分支机构开展电子银行业务不需单独进行安全评估，但应按照本指引的有关要求，向监管部门报送安全评估报告。
    第四十四条  电子银行主要业务处理系统设置在境内的外资金融机构，或者虽设置在境外但其境外总行（公司）未进行安全评估或安全评估不符合本指引有关规定的，应按规定开展电子银行安全评估工作。
    第四十五条  电子银行安全评估工作，确需由多个评估机构共同承担或实施时，金融机构应确定一个主要的评估机构协调总体评估工作，负责总体评估报告的编制。
    金融机构将电子银行系统委托给不同的评估机构进行安全评估，应当明确每个评估机构安全评估的范围，并保证全面覆盖了应评估的事项，没有遗漏。
    第四十六条  金融机构应在签署评估协议后两周内，将评估机构简介、拟采用的评估方案和评估步骤等，报送中国银监会。
    第四十七条  中国银监会根据监管工作的需要，可派员参加金融机构电子银行安全评估工作，但不作为正式评估人员，不提供评估意见。
    第四十八条  评估机构应本着客观、公正、真实和自主的原则，开展评估活动，并严格保守在评估过程中获悉的商业机密。
    第四十九条  在评估过程中，委托机构和评估机构之间应建立信息保密工作机制：
    （一） 评估过程中，调阅相关资料、复制相关文件或数据等，都应建立登记、签字制度；
    （二） 调阅的文件资料应在指定的场所阅读，不得带出指定场所；
    （三） 复制的文件或数据一般也不应带出工作场所，如确需带出的，必须详细登记带出文件或数据名称、数量、带出原因、文件与数据的最终处理方式、责任人等，并由相关负责人签字确认；
    （四） 评估过程中废弃的文件、材料和不再使用的数据，应立即予以销毁或删除；
    （五） 评估工作结束后，双方应就有关机密数据、资料等的交接情况签署说明。
     第五十条  金融机构在收到评估机构评估报告的1个月内，应将评估报告报送中国银监会。
    金融机构报送评估报告时，可对评估报告中的有关问题作必要的说明。
    第五十一条  未经监管部门批准，电子银行安全评估报告不得作为广告宣传资料使用，也不得提供给除监管部门以外的第三方机构。
    第五十二条  对未按有关要求进行的安全评估，或者评估程序、方法和评估报告存在重要缺陷的安全评估，中国银监会可以要求金融机构进行重新评估。
    第五十三条  中国银监会根据监管工作的需要，可以自己组织或委托评估机构对金融机构的电子银行系统进行安全评估，金融机构应予以配合。
    第五十四条  中国银监会根据监管工作的需要，可直接向评估机构了解其评估的方法、范围和程序等。
    第五十五条  对于评估报告中所反映出的问题，金融机构应采取有效的措施加以纠正。


第五章  附则

    第五十六条  本指引由中国银监会负责解释。

    第五十七条  本指引自2006年3月1日起施行。


来源：中国银行业监督管理委员会