關於做好網上銀行風險管理和服務的通知
銀監辦發[2007]134號

各銀監局，各政策性銀行、國有商業銀行、股份制商業銀行，郵儲銀行：

    近一時期，我國商業銀行網上銀行業務規模高速增長，服務效率穩步提高，網上資金交易和轉移日益頻繁，銀行客戶對電子渠道服務的依賴程度不斷加深，為促進網上銀行健康持續發展，積極防範針對網上銀行的不法活動，維護商業銀行和客戶權益，現就商業銀行做好網上銀行風險管理和服務提出如下要求：

    一、加強用戶身份驗證管理。各商業銀行最遲于2007年12月31日前應對所有網上銀行高風險賬戶操作統一使用雙重身份認證。雙重身份認證由基本身份認證和附加身份認證組成。基本身份認證是指網上銀行用戶知曉並使用，預先註冊在銀行的本人用戶名及口令/密碼；附加身份認證是指網上銀行用戶持有、保管並使用可實現其他身份認證方式的信息（物理介質或電子設備等）。附加身份認證信息應不易被複製、修改和破解。

    商業銀行可根據業務發展需要和風險控制要求對本行網上銀行高風險賬戶操作進行具體界定。高風險賬戶操作應至少包括：向非本人（不含與本行簽訂業務合作等法律協議和客戶預先約定的指定賬戶，如：代收費、第三方支付、貸款還款帳戶等）賬戶轉移資金單筆超過1000元或日累計超過5000元。對於身份認證強度相對較弱的網上銀行賬戶操作，商業銀行應充分評估風險，相應進一步採取控制措施（如：限制資金轉移功能、限定資金轉移額度等）進行有效防範。商業銀行還應積極研發和應用各類維護網上銀行使用安全的技術和手段，保證安全技術和管理水平能夠持續適應網上銀行業務發展的安全要求。

    商業銀行應綜合平衡經濟效益和社會效益，不斷降低網上銀行客戶雙重身份認證的使用成本，促進雙重身份認證的推廣普及。

    對於其他電子銀行業務類型，商業銀行可依據其安全程度自行確定是否參照網上銀行管理，但應保證其他電子銀行業務類型不構成網上銀行的安全管理漏洞。

    二、加強公眾網上銀行安全教育。商業銀行應切實承擔起對網上銀行客戶的安全教育責任，內容應至少包括：（一）通過各種宣傳渠道向公眾明示本行正確的網上銀行官方網址和呼叫中心號碼；（二）在本行網站首頁顯著位置開設網上銀行（電子銀行）安全教育欄目；（三）印製並向客戶配發語言通俗，形象直觀的網上銀行安全宣傳折頁或手冊；（四）在網上銀行使用過程中應在電腦屏幕上向用戶醒目提示相關的安全注意事項等。

    三、加強網上銀行安全防範，及時進行風險提示。商業銀行應將掃描查找假冒本行網上銀行網站及其它針對電子銀行的犯罪活動納入日常工作程序，定期搜索與本行相關的假冒網站（郵件、電話、短信號碼等），檢查本行網頁上對外鏈結的可靠性，並開闢專門渠道接受公眾舉報。發現風險應立即採取防範措施，並通過本行網站及其他渠道向公眾進行通報提示。

    四、妥善處理客戶投訴，減少投訴事件的發生。商業銀行應建立規範的網上銀行（電子銀行）業務投訴處理機制，建立客戶投訴的登記、統計制度，指定專門的人員或部門及時處理客戶投訴，並對客戶投訴情況進行研究分析。對於客戶投訴集中的電子銀行業務環節和産品，應及時制定有效的解決措施，加以改正。

    五、加強對第三方機構的法律責任約束。商業銀行應加強對與本行系統存在技術和業務連接的第三方機構的管理，通過正式法律協議明確雙方的糾紛處理、賠償等相關法律責任，向客戶充分披露銀行與第三方機構的業務流程和責權關係，積極防範法律風險和聲譽風險。

    六、其他銀行業金融機構開展網上銀行（電子銀行）業務，應按照本通知中的各項要求執行。

    請各銀監局將本通知轉發至轄內各銀行業金融機構。