中国银行业监督管理委员会关于做好网上银行风险管理和服务的通知
银监办发[2007]134号
各银监局,各政策性银行、国有商业银行、股份制商业银行,邮储银行:
近一时期,我国商业银行网上银行业务规模高速增长,服务效率稳步提高,网上资金交易和转移日益频繁,银行客户对电子渠道服务的依赖程度不断加深,为促进网上银行健康持续发展,积极防范针对网上银行的不法活动,维护商业银行和客户权益,现就商业银行做好网上银行风险管理和服务提出如下要求:
一、加强用户身份验证管理。各商业银行最迟于2007年12月31日前应对所有网上银行高风险账户操作统一使用双重身份认证。双重身份认证由基本身份认证和附加身份认证组成。基本身份认证是指网上银行用户知晓并使用,预先注册在银行的本人用户名及口令/密码;附加身份认证是指网上银行用户持有、保管并使用可实现其他身份认证方式的信息(物理介质或电子设备等)。附加身份认证信息应不易被复制、修改和破解。
商业银行可根据业务发展需要和风险控制要求对本行网上银行高风险账户操作进行具体界定。高风险账户操作应至少包括:向非本人(不含与本行签订业务合作等法律协议和客户预先约定的指定账户,如:代收费、第三方支付、贷款还款帐户等)账户转移资金单笔超过1000元或日累计超过5000元。对于身份认证强度相对较弱的网上银行账户操作,商业银行应充分评估风险,相应进一步采取控制措施(如:限制资金转移功能、限定资金转移额度等)进行有效防范。商业银行还应积极研发和应用各类维护网上银行使用安全的技术和手段,保证安全技术和管理水平能够持续适应网上银行业务发展的安全要求。
商业银行应综合平衡经济效益和社会效益,不断降低网上银行客户双重身份认证的使用成本,促进双重身份认证的推广普及。
对于其他电子银行业务类型,商业银行可依据其安全程度自行确定是否参照网上银行管理,但应保证其他电子银行业务类型不构成网上银行的安全管理漏洞。
二、加强公众网上银行安全教育。商业银行应切实承担起对网上银行客户的安全教育责任,内容应至少包括:
(一)通过各种宣传渠道向公众明示本行正确的网上银行官方网址和呼叫中心号码;
(二)在本行网站首页显著位置开设网上银行(电子银行)安全教育栏目;
(三)印制并向客户配发语言通俗,形象直观的网上银行安全宣传折页或手册;
(四)在网上银行使用过程中应在电脑屏幕上向用户醒目提示相关的安全注意事项等。
三、加强网上银行安全防范,及时进行风险提示。商业银行应将扫描查找假冒本行网上银行网站及其它针对电子银行的犯罪活动纳入日常工作程序,定期搜索与本行相关的假冒网站(邮件、电话、短信号码等),检查本行网页上对外链接的可靠性,并开辟专门渠道接受公众举报。发现风险应立即采取防范措施,并通过本行网站及其他渠道向公众进行通报提示。
四、妥善处理客户投诉,减少投诉事件的发生。商业银行应建立规范的网上银行(电子银行)业务投诉处理机制,建立客户投诉的登记、统计制度,指定专门的人员或部门及时处理客户投诉,并对客户投诉情况进行研究分析。对于客户投诉集中的电子银行业务环节和产品,应及时制定有效的解决措施,加以改正。
五、加强对第三方机构的法律责任约束。商业银行应加强对与本行系统存在技术和业务连接的第三方机构的管理,通过正式法律协议明确双方的纠纷处理、赔偿等相关法律责任,向客户充分披露银行与第三方机构的业务流程和责权关系,积极防范法律风险和声誉风险。
六、其他银行业金融机构开展网上银行(电子银行)业务,应按照本通知中的各项要求执行。
请各银监局将本通知转发至辖内各银行业金融机构。
二○○七年六月三十日 |