大多数银行家认为,网络银行有利于增强市场竞争力,扩大市场占有份额。网络吸引的也都是高价值客户,占据最有利的业务,网络银行遵循边际收益递增规律具有广阔前景,网络银行将成为21世纪银行发展的主流。为了抓住网络银行发展的先机,各国及各有关国际组织都十分重视网络银行的立法,以促进网络银行沿着法制的轨道顺利、健康地发展。
全球网络银行立法现状
一、美国网络银行立法现状
美国作为网络银行最为发达的国家,充分意识到网络银行是创新性银行,技术更新是网络银行的生命。所以美国对网络银行采取了较为宽松的监管态度,对网络银行的立法也主要是立足于现行法律、法规对传统银行业的监管布局与监管轮廓。这些既存监管立法的相关规定也将会继续适用于网络银行相关业务的监管上,各监管机构也照常对自己监管的对象所开展的网络银行业务负有监管之责。除此之外,美国银行业监管当局还针对网络银行业务的特征制定了一些特殊监管规则。所以,美国对网络银行的立法基本是采取了以现有立法为基础,在现有立法的基础上作出一些变通规定,以使得传统银行立法也适用于网络银行,并针对网络银行新的风险特征作出了专门性的补充监管规定。
首先,我们来看一下传统银行立法的变通规定。为了进一步鼓励网络银行的发展,为其提供法律支持,《金融服务现代化法》第729条为开展网络银行业务监管问题的深入研究表明了积极的态度,并提供了初步的指导。该条取名为“网络银行业务和网络贷款业务对现行法律要求适应情况的研究和报告”,它明确指出,“联邦银行管理机关应对有关金融服务机关提供的银行业条例进行研究”,并要求上述监管机构在该法颁布之日起两年内,就调查结果和研究所得的结论向国会呈交一份报告,其中应包括这些机构提出的其认为适当的立法或有关监管行动的建议。又如,《联邦银行法》是规制联邦银行及其业务活动的基本法律规范,它为将网络银行业务活动纳入法制轨道,为传统银行法律作出适应网络银行业务活动之调整,以及制定适合网络银行业务及其风险特征的新的监管规则提供了最基本的法律依据。《联邦银行法》允许银行利用所有能够促进其银行业务的剩余权限,还规定联邦银行可以从事开展银行业务所必须的附带业务。货币监理署在其一系列的行政解释函和有关行政立法文件中往往以上述规定为依据作出允许银行开展网络银行业务活动的决定。根据《电子资金划拨法》的有关规定,从事网络银行业务的银行机构应当遵循其中关于扣抵客户账户款项的操作程序;此外,依《诚实储蓄法》和《诚实信贷法》规定,网络银行在客户开户之前同样要揭示和披露有关存款利率以及其他关系到存款权益的业务信息;在办理放贷业务时,也应对客户披露授予信用的条件以及其他影响借款人权益的业务资讯等。
其次,我们再来看一下当前美国关于网络银行业务风险监管的专门立法构建。在上述既存的传统监管法律制度的基础上,美国各银行监管机构还另外制定了一系列新的更为具体的专门针对网络银行业务及其风险的管制规则。这些规则或拨开传统银行监管法制的迷雾,使关系到网络银行业务的监管问题更为明朗化;或突破传统监管法制的藩篱为网络业务的开展扫除法律障碍;或通过扩充传统监管法律以使其内涵能够将新的网络银行业务的特殊问题囊括其中。
从联邦层面看主要涉及以下几个方面:(1)财政部货币监理署发布的系列与网络银行业务相关的监管法律文件和规则,主要包括:1998年2月发布的为联邦银行正确监控网络银行业务与技术相关风险提供指导的《技术风险管理---银行业者与审查人员指南》;1998年发布的《技术风险管理---个人电脑银行业务》;1999年3月发布的《来自网络空间恐怖分子的基础设施威胁》;1999年10月颁布的《网络银行业务---监理手册》;2000年5月发布的《基础设施威胁---入侵风险指南》;2001年1月发布的《互联网与国民银行章程》;2001年2月发布的《确立保护客户信息的标准指引》以及2001年8月发布的调整和修改那些影响到联邦银行运用新技术(包括互联网技术)的法规,并为从事网络银行业务的银行提供更为简明清晰指南的《建议规则》等。
(2)联邦储备局发布的网络银行业务相关监管规则,如1997年12月的《网络信息安全稳健操作指南》和1998年4月发布的《信息技术风险指引》等。(3)联邦存款保险制定的有关监管规章,如1998年6月发布的《电子银行业务---安全与稳健审查程序》等。(4)联邦金融机构检查委员会所公布的或多个监管机构共同制定或发布的文件。例如,2000年11月的《外包技术服务风险管理》和2001年8月的《电子银行业务环境下的验证》就是由联邦金融机构检查委员会发布的文件。此外,如《关于电子金融服务和消费者守法之指南》和《信息安全指引》等则是由货币监理署、联邦储备局、联邦存款保险公司、互济贷款机构监督署联合发布的。
从上述美国当前关于网络银行业务的专门监管法规中,我们不难看出,绝大部分是与网络银行业务风险监控有着直接或间接的关联,而且大多是围绕着与技术密切相关的风险监控问题展开的。其中有一些则是针对网络银行业务基本法律问题的处理专门规定的,这些问题的初步解决有助于改善大量网络银行业务相关问题悬而未决的不确定状态,从客观上起到了降低网络银行业务法律风险的作用,并且为网络银行业务的开展提供了一个较为健全的法律平台。
以财政部货币监理署发布的规章为例,我们来剖析一下美国对网络银行的立法态度。货币监理署作为联邦银行监管机构对联邦银行能否开展某一网络银行业务拥有审批权。目前,货币监理署主要通过个案核准的方式逐一审查申请银行所从事的网络银行业务活动是否符合联邦银行法中所称的“从事银行业务所必须的附带业务”,借以决定是否予以批准。实践中经过货币监理署审核而获准经营网络银行业务的实例并不少见。货币监理署也从这些实际案例中总结出了一些规则,为了给联邦银行从事网络银行业务创造明确的基本法律依据,也为了便利联邦银行从事网络银行业务,货币监理署不仅在其解释函、文告及案件裁决中就涉及的网络银行业务权限、范围等管制方面的问题提出了许多具体的解释与意见,还将其中的重要观点综合起来形成了对相关现有法规条款的具体修订意见,这些意见主要反映在其提出的所谓《建议规则》中。该规则主要就联邦银行以电子方式行使联邦之授权的问题、联邦银行法意义上的从事网络银行业务的联邦银行的所在地,以及银行通过其网址上的超链接或其他共享的方式使其客户接入其他服务供应商所要求披露等问题制定了新的规则。这些规则明确了从事网络银行业务的法律授权和审批标准,网络银行所在地之确定标准以及网络银行在特定情形下的披露义务等事项。美国这种以实践为基础的立法态度,不仅解决了网络银行业务中的一些基本问题,而且为网络银行业务的风险监管提供了更为具体的监控指导,而且这些规则一般都具有针对性和可操作性。
货币监理署关于网络银行业务风险管理的规定散见于多个文件中。其中《网络银行业务---监理手册》可谓最为综合和全面。它是货币监理署特别针对网络银行业务颁布的专门性监理手册,它一开始便详细介绍了网络银行业务及其风险的状况,特别将网络银行业务分为信息型、互动型与交易型三类等级。指出应依其所涉风险高低之不同而制定不同的规范。在此基础上,又针对金融机构内部控制、互联网服务外包以及其他影响公众对于网络银行业务信心的议题详加规范。制定了网络银行业务审查程序,根据该《监理手册》的规定,其创立的网络银行业务风险监管制度框架主要包括以下几个方面的内容:
第一,网络银行业务风险监管的总体战略目标。网络银行业务的风险监管目标与传统银行风险监管的战略目标应当保持一致,即确保银行机构以安全和稳健的方式从事业务活动,保持金融系统的稳定性和信心,降低存款人和金融体系的风险。其实,制定任何风险监管框架都不能从根本上消除风险,因为银行业本身是一个充满高风险的行业,银行监管是不可能改变这个性质的。风险监管的目的只是最大限度地降低风险,以使风险控制在金融机构和整个社会能够承受和调控的范围之内。
第二,银行董事会和高级管理层在制定网络银行业务开发战略和该业务风险管理规程方面的职责。货币监理署对网络银行业务的风险监管具体是通过银行的决策管理层履行职责的行为而付诸实施的。银行管理层是否合格、能力的强弱都直接关系到风险监管的实施效果。这便意味着在风险监管中实际起关键作用的乃是银行机构的决策管理部门,即银行董事会和高级管理层。也正因为如此,各银行监管法律制度中在涉及银行注册之审查批准程序时,往往将银行股权机构和主要决策管理层人员组成规定为主要的考察内容之一,银行董事会和高级管理层在网络银行风险监管中的重要地位可见一斑。
具体就网络银行业务风险监管制度而言,它要求银行除了具备传统银行风险管理规程外,还应具备一种能够识别、衡量、监督和控制技术上风险的管理程序。这种与新技术特别是互联网技术紧密相关的风险监管制度主要包括以下三个基本要素:一是对技术运用的规划;二是对技术的实施;三是对风险的衡量和监控手段。其中风险规划程序由银行董事会和高级管理层负责,技术实施及风险的衡量和控制均由经理层负责。因此,在网络银行业务技术风险规划阶段,风险监管框架的形成要求银行董事会与高级管理层具备管理网络银行业务技术及相关风险的专业知识与技能;要求董事会就可能给银行风险管理造成重大影响的网络银行技术项目进行研究、审批和监督;要求董事会确定有关网络银行业务技术与产品是否同银行的整体战略目标保持一致,是否能够满足某一市场需求;要求高级管理层具备评估所采用的技术与风险的技能;或者聘请审计人员或咨询员对网络银行业务技术与产品作出独立评估等。在技术实施阶段,风险监管框架的实施要求管理层具备相关技能,有效评估与该业务有关的技术与产品,作出正确的技术组合选择,并确保所选择的技术安装无误。当银行本身不具备此类专业技能时,要求银行考虑以外包的方式将此类业务承包给专业人士,或与拥有互补性技术的另一个网络银行业务提供者结成联盟。在衡量和监控风险阶段,风险监管制度则要求管理层具有有效识别、衡量、监督和控制网络银行业务相关风险的技能,要求其定期向董事会提交一份关于所用技术的情况、所存在的风险以及如何对这些风险加以管理的报告,要求银行确保其网络银行业务系统具有质量性能保证和有效的稽核程序,并要求银行对系统是否符合性能标准进行定期检查等。
第三,网络银行业务系统的内部控制机制。内部控制机制是监控网络银行业务操作与系统安全风险的重要手段。这种内控机制所要实现的目标集中表现为:(1)保持网络银行业务技术规划同银行的整体战略目标(如银行内部政策、法律要求、经济目标等)的一致性;(2)保证数据的持续可用性;(3)保证数据的完整性;(4)保证对数据的保密和对隐私的保护;(5)确保所管理的信息系统的可靠性。为实现系统的持续可用性,风险监管制度要求银行监测系统的业务容量、处理能力、冗余度以及业务恢复能力等达到一定的要求;为实现系统数据的完整性,则要求银行具备健全的集预防、预测和纠正为一体的内部控制系统;为核实网络银行业务交易中信息与身份的真伪,监管当局要求银行在风险评估的基础上,做到安全需求与系统功能及成本之间的平衡,决定自己所要采用的密码编码技术;为实现网络银行业务系统的可靠性,要求银行采取全面有效的内控机制,此外,还可以借助于可靠的第三方如认证中心来对交易当事人的身份进行确认。总之,为了实现这些目标,银行管理层必须建立起适当、有效且健全的内控系统。这种内控系统基本上包含三个层次:(1)对可能发生的差错或非法活动的预防性控制,如利用一定的控制软件对网络进入人员进行限制,比如只允许那些授权人员通过使用用户名和密码的方式进入网络;(2)对已发生的活动加以辨识并进行侦测控制,如可对非法入侵活动发出警报就是一种方法;(3)对某种被侦测到的情况进行纠正控制,如用于恢复遭病毒侵害的档案或数据库的软件恢复系统就属此类纠正控制。若遇到风险最大、状况最为复杂的情形,如交易型网络银行业务,则要求银行具备相应的更高层次的内部控制机制,例如增加对交易活动的监控,查找不合规之处,对非法登录行为进行监督,运用跟踪技术,识别请求的来源并将其与已知客户相配对等。此外,内部控制还要求对不寻常交易进行定期报告和检查。
第四,网络银行业务外包情况下相关风险的控制。网络银行业务混合了不同层次和特定领域的技术,涉及安全、运营、计划和监控等方面,从而导致全国性银行将其全部或部分网络银行委托外部技术力量来制作。银行在业务外包的情况下,应定期对其技术支持来源进行重新评估,以确定已有的方案是否继续适合其业务计划,是否有足够的弹性来满足预期的将来需求。
此外,《网络银行业务---监理手册》还包含了一套旨在确定银行机构有关网络银行业务的政策、程序及内部控制充分与否的详尽的审查程序,它规定了审查评估所必须的文件依据,为监管机构评价某银行网络银行业务风险的数量及其对网络银行业务的风险管理质量设定了范围,保障了工作效率,提高了审查标准。
二、欧洲国家网络银行立法现状
除美国以外,欧洲的网络银行业务也开展得如火如荼,对该业务的监管方面也采取了一系列的配套措施。