《暂行办法》所确立的监管制度主要包含三方面内容:
1、对网上银行业务的市场准入监管。主要包括对开展网上银行业务的银行资格的管理以及对业务范围的管理。
(1)对开业资格的监管
银行机构要获得网上银行业务的开业资格必须符合
《暂行办法》所规定的法定要件,包括严格的程序规则和必备的实质条件。
其中,获许从事网上银行业务的主体必须满足的实质性条件主要有:①拥有健全的内部控制机制和有效的风险管理制度;②银行内部具备良好的电子化基础设施,形成了统一标准的计算机系统和运行良好的计算机网络;③银行现有业务经营状况合理健康;④配备了合格的管理人员和技术人员。尤其是银行高级管理人员应具有必要的网上银行业务经营管理知识,能有效地管理和控制网上银行业务风险;⑤对申请开办网上银行业务的外国银行分行则要审查其总行所在国或地区监管当局是否具备对网上银行业务进行监管的法律框架和监管能力;⑥要符合银行业监管机构要求的其他条件。
(2)关于业务品种与范围的监管
《暂行办法》没有明确概括和列举银行机构可以从事哪些类型的网上银行业务,不能开设哪些网上银行业务品种,能否开展跨境网上银行业务等有关网上银行业务品种与范围的问题,只是简要地规定由银行业监管机构负责进一步解释。从理论上讲,这似乎可理解为在确定网上银行业务范围时可由银行业监管机构在具体审查过程中视具体情况个案处理。
对于跨境网上银行业务,根据
《暂行办法》第
4条第2款 似可推断,我国银行监管机关原则上是允许银行机构开展跨境网上银行业务的,只不过需要具备一定条件和经过银行业监管机构的核准。
作为一种有效的风险防范措施,市场准入管理可以将那些不具备基本经营资格和风险控制能力等法定要求的不合格银行机构事先排除在网上银行业务之外,还可以限制银行机构通过互联网开展一些风险性较大而自身又缺乏风险控制力或承受力的业务类型,减少银行机构遭受损失的可能性,从而在根本上降低了网上银行业务的系统性风险,具有防患于未然的功效。
2、对网上银行业务风险的管理。
《暂行办法》第3章集中阐明了银行从事网上银行业务的风险监控要求。这些要求是具体针对网上银行业务的特殊风险尤其是技术性风险而制订的,它们主要包含八个方面:(1)合规性要求,即要求银行在开展网上银行业务时,遵守国家有关计算机信息系统安全、商用密码管理以及消费者权益保护等方面的法律法规。(2)战略规划要求。即要求银行董事会和高级管理层确立网上银行业务发展战略和运行安全策略,依法制订全面而系统的业务管理规章,对网上银行业务运行及其存在的风险实施有效之管理。(3)系统安全和系统运行连续性要求,包括物理安全和逻辑安全两层含义。一方面,它要求银行制订实施充分的物理安全措施,有效防范外部或内部非授权人员对关键设备的非法接触;另一方面,逻辑安全包括要求银行采用合适的加密技术和措施,以确认用户身份与授权,保证网上交易数据传输的保密性、真实性、信息的完整性及交易的不可否认性;要求银行实施有效措施防止业务交易系统遭到计算机病毒侵袭;要求银行制定必要的系统运行考核指标,定期或不定期地测试网络系统和业务操作系统的运作情况,以便即使发现系统隐患和黑客入侵;以及要求银行将网上银行业务操作系统纳入银行应急计划和业务连续性计划。(4)适当披露要求。规定银行以适当方式向客户说明或公开其各种网上银行业务品种交易规则,在客户申请某项业务时,向其说明该品种之交易风险及其具体权利义务。(5)审计要求。强调银行因该配备专门的网上银行业审计力量,定期对该业务进行审计。(6)软硬件更新发展要求。要求银行根据业务发展需要,对从业人员进行相关培训以及对系统安全保障技术与设备及时更新。(7)建立重大事项报告制度之要求。即要求对网上银行业务经营过程中发生的重大泄密、黑客入侵、网址更名等重大事项及时向监管当局报告。(8)外部机构评估要求。即要求银行接受银行业监管机构所认可之权威评估机构对其业务操作系统的安全性评估。
上述网上银行业务风险防控的具体制度和要求突出强调了银行机构对网上银行业务风险的内部控制机制的建立和完善,将使银行机构真正具备防范和控制与该业务相关的各种特殊风险的能力,从而真正降低该业务之系统风险,它也是各国银行监管机构制订网上银行业务风险监管法律规范的最重要和最核心内容。
3、关于银行机构法律责任的规定。
《暂行办法》第4章就银行机构开办和经营网上银行业务过程中需要承担法律责任的情形作了规定,从而在一定程度上有力保障了有关银行机构对网上银行业务的相关监管规则的具体落实和遵行。
