我国电子银行监管的现状与问题

（四）我国电子银行监管的现状与问题

伴随着金融信息化的发展，特别是网络银行等电子银行的迅速发展，我国银行监管当局已经充分认识到技术风险监管的重要性。2002年4月，中国人民银行组织社会各方面专家，成立了“网络银行发展与监管工作组”。经过一系列的研究，对国内外网络银行发展现状和趋势、网络银行的风险、网络银行的监管方法和监管工具、我国网络银行的监管框架等问题都有了一定的认识和理解。中国银行业监督管理委员会成立以来，十分重视银行技术风险的监管，2005年银监会发布了《关于征求〈电子银行业务管理办法（征求意见稿）〉和〈电子银行安全评估指引（征求意见稿）〉意见》的公告。但由于我国银行信息化建设起步较晚，对信息安全的认识和教育还处于起步阶段，无论是国家对信息系统安全的立法，还是银行监管当局的监管法规建设都不够完善，我国电子银行技术风险监管还没有形成有效的体系，在电子银行技术风险监管中还存在一些急需解决的问题。

1.缺乏保障有效开展电子银行业务的法律法规框架

世界银行专家Thomas Glaessner，Tom Kellermann，Valerie McNevin将法律框架作为电子金融安全的第一支柱，^[4]这足以说明法律法规在技术风险监管中的重要性。我国电子银行相关法律法规的发展远远落后于电子银行业务本身的发展。一般来说，电子银行的法律体系至少应包括国家级和银行监管当局两个层面的法律法规。国家层面的信息技术法规由全国人大组织制定，国务院颁布，如电子交易和电子商务法、电子签名法、隐私法、计算机犯罪法、合同法、专利法、票据法等。2004年8月28日第十届全国人民代表大会常务委员会第十一次会议通过《中华人民共和国电子签名法》 ，2005年4月1日起施行。这部法律有利于规范电子签名行为，确立电子签名的法律效力，维护有关各方的合法权益。该法规定，可靠的电子签名与手写签名或者盖章具有同等的法律效力。除此以外，我国目前这几项立法还有相当一部分都是空白，已有的法规也已不能适应信息技术发展的需要，需要进行相应的修订和补充。第二层面的法规是由银行监管当局制定的有关电子银行的行政法规和规章制度，在这方面我国只有非常有限的办法和制度，如中国人民银行于2001年6月颁布的《网络银行业务管理暂行办法》 ，但该办法主要明确了网络银行业务的市场准入及其风险管理问题，无法满足开展电子银行业务的其他法律需求。有关电子银行风险管理、电子银行监管程序、电子银行的安全评估标准、银行网站建设规范、客户隐私保密等方面的制度还处于研究制定阶段，使我国电子银行活动面临着较大的法律风险。

2.电子银行技术风险监管基本处于空缺状态

美国银行监管当局已将电子银行监管融入银行的常规现场检查而成为其重要组成部分，制定了非常详细的现场检查程序和标准。我国对电子银行的监管尚处于起步阶段，《网络银行业务管理暂行办法》只解决了网络银行业务的市场准入问题，没有解决网络银行机构的市场准入及持续性监管问题。我国目前既没有规范化、制度化的技术风险现场检查和风险评估制度，也没有建立银行业统一的技术风险非现场监测系统。

3.商业银行内控体系比较薄弱

电子银行技术风险的防范，不仅仅是技术问题，需要管理、制度和技术的相互配合。从国内商业银行的发展现状看，大多数商业银行的内控机制不健全，缺乏一套成熟的技术风险识别、度量、监测和控制体系。特别是电子银行内部审计基本处于空缺状态，内部审计部门不具备制约和监督电子银行技术风险的能力，难以保证对电子银行技术风险进行有效控制。

目前，国内只有少数几家银行成立了电子银行专门的管理部门（网络银行部或电子银行部），大部分国内银行仍将电子银行的管理按条块进行划分：技术由科技部门负责，业务由相应的业务部门负责，结算由会计部门负责。这种管理方式导致各部门分散制定各自的规章制度，制度重合与制度真空并存，难以形成全面、综合、有效的管理体系。

4.银行监管人员的知识结构无法满足技术风险监管的要求

电子银行技术风险监管要求其监管人员不但要掌握传统的银行业务知识及电子交易、电子认证、电子货币等新知识，还应具备管理决策、计算机及其应用等方面的能力，而我国银行监管当局目前主要开展对传统银行业风险的监管，使监管人员的知识结构无法满足技术风险监管的需要。

5.信息技术（IT）安全审计体系不够完善

电子银行以计算机技术为基础，具有很强的专业性，所以需要借助外部评估机构对其进行监管。外部评估机构拥有信息技术审计方面的专业人才，甚至拥有一套完备的信息技术安全标准和评级系统，可以保证对技术风险监督的专业性。但外部评估机构一般要接受银行监管当局的审查，具体包括信息安全评估人员的充足性，信息安全评估内容、程序、方法和标准的科学性等内容，若通过审查才给予资格认定。目前，我国存在两方面的问题：一是外部安全评估机构较少，权威性不足;二是银行监管当局对外部评估机构的监管不足，缺乏标准的审查程序和方法。

6.缺乏一套技术风险评估的指标体系和模型

对银行技术风险的现场检查，需要进行定性和定量分析，在具体分析过程中，需要借助相应的风险分析指标，而我国目前尚未制定出技术风险评估指标体系，难以保证现场检查结论的科学性与客观性。另外，在某个或整个银行系统内，有关“拒绝提供服务”、盗窃、非法入侵、内部人员犯罪等技术犯罪的准确信息都没有进行系统报告、收集和管理，缺乏综合的技术风险分析和预测模型，限制了银行所能提供的安全方案和银行监管当局对技术风险的预警。