联合风险管理委员会的规章制度、工作规程、会议纪要和有关决议等，应抄报中国银监会。

　　第五十七条 金融机构根据业务发展或管理的需要，可以与非银行业金融机构直接交换或转移部分电子银行业务数据。

　　金融机构向非银行业金融机构交换或转移部分电子银行业务数据时，应签订数据交换（转移）用途与范围明确、管理职责清晰的书面协议，并明确各方的数据保密责任。

　　第五十八条 金融机构在确保电子银行业务数据安全并被恰当使用的情况下，可以向非金融机构转移部分电子银行业务数据。

　　（一）金融机构由于业务外包、系统测试（调试）、数据恢复与救援等为维护电子银行正常安全运营的需要而向非金融机构转移电子银行业务数据的，应当事先签订书面保密合同，并指派专人负责监督有关数据的使用、保管、传递和销毁；

　　（二）金融机构由于业务拓展、业务合作等需要向非金融机构转移电子银行业务数据的，除应签订书面保密合同和指定专人监督外，还应建立对数据接收方的定期检查制度，一旦发现数据接收方不当使用、保管或传递电子银行业务数据，应立即停止相关数据转移，并应采取必要的措施预防电子银行客户的合法权益受到损害，法律法规另有规定的除外；

　　（三）金融机构不得向无业务往来的非金融机构转移电子银行业务数据，不得出售电子银行业务数据，不得损害客户权益利用电子银行业务数据谋取利益。

　　第五十九条 金融机构可以为电子商务经营者提供网上支付平台。为电子商务提供网上支付平台时，金融机构应严格审查合作对象，签订书面合作协议，建立有效监督机制，防范不法机构或人员利用电子银行支付平台从事违法资金转移或其他非法活动。

　　第六十条 外资金融机构因业务或管理需要确需向境外总行（公司）转移有关电子银行业务数据的，应遵守有关法律法规的规定，采取必要的措施保护客户的合法权益，并遵守有关数据交换和转移的规定。

　　第六十一条 未经电子银行业务数据转出机构的允许，数据接收机构不得将有关电子银行业务数据向第三方转移。法律法规另有规定的除外。

第五章 业务外包管理

　　第六十二条 电子银行业务外包，是指金融机构将电子银行部分系统的开发、建设，电子银行业务的部分服务与技术支持，电子银行系统的维护等专业化程度较高的业务工作，委托给外部专业机构承担的活动。

　　第六十三条 金融机构在进行电子银行业务外包时，应根据实际需要，合理确定外包的原则和范围，认真分析和评估业务外包存在的潜在风险，建立健全有关规章制度，制定相应的风险防范措施。

　　第六十四条 金融机构在选择电子银行业务外包服务供应商时，应充分审查、评估外包服务供应商的经营状况、财务状况和实际风险控制与责任承担能力，进行必要的尽职调查。

　　第六十五条 金融机构应当与外包服务供应商签订书面合同，明确双方的权利、义务。

　　在合同中，应明确规定外包服务供应商的保密义务、保密责任。

　　第六十六条 金融机构应充分认识外包服务供应商对电子银行业务风险控制的影响，并将其纳入总体安全策略之中。

　　第六十七条 金融机构应建立完整的业务外包风险评估与监测程序，审慎管理业务外包产生的风险。

　　第六十八条 电子银行业务外包风险的管理应当符合金融机构的风险管理标准，并应建立针对电子银行业务外包风险的应急计划。

　　第六十九条 金融机构应与外包服务供应商建立有效的联络、沟通和信息交流机制，并应制定在意外情况下能够实现外包服务供应商顺利变更，保证外包服务不间断的应急预案。

　　第七十条 金融机构对电子银行业务处理系统、授权管理系统、数据备份系统的总体设计开发，以及其他涉及机密数据管理与传递环节的系统进行外包时，应经过金融机构董事会或者法人代表批准，并应在业务外包实施前向中国银监会报告。

第六章 跨境业务活动管理

　　第七十一条 电子银行的跨境业务活动，是指开办电子银行业务的金融机构利用境内的电子银行系统，向境外居民或企业提供的电子银行服务活动。

　　金融机构的境内客户在境外使用电子银行服务，不属于跨境业务活动。

　　第七十二条 金融机构提供跨境电子银行服务，除应遵守中国法律法规和外汇管理政策等规定外，还应遵守境外居民所在国家（地区）的法律规定。

　　境外电子银行监管部门对跨境电子银行业务要求审批的，金融机构在提供跨境业务活动之前，应获得境外电子银行监管部门的批准。

　　第七十三条 金融机构开展跨境电子银行业务，除应按照第二章的有关规定向中国银监会申请外，还应当向中国银监会提供以下文件资料：

　　（一）跨境电子银行服务的国家（地区），以及该国（地区）对电子银行业务管理的法律规定；

　　（二）跨境电子银行服务的主要对象及服务内容；

　　（三）未来三年跨境电子银行业务发展规模、客户规模的分析预测；

　　（四）跨境电子银行业务法律与合规性分析。

　　第七十四条 金融机构向客户提供跨境电子银行服务，必须签订相关服务协议。

　　金融机构与客户的服务协议文本，应当使用中文和客户所在国家或地区（或客户同意的其他国语言）两种文字，两种文字的文本应具有同等法律效力。

第七章 监督管理

　　第七十五条 中国银监会依法对电子银行业务实施非现场监管、现场检查和安全监测，对电子银行安全评估实施管理，并对电子银行的行业自律组织进行指导和监督。

　　第七十六条 开展电子银行业务的金融机构应当建立电子银行业务统计体系，并按照相关规定向中国银监会报送统计数据。

　　商业银行向中国银监会报送的电子银行业务统计数据、报送办法等，由中国银监会另行制定。

　　第七十七条 金融机构应定期对电子银行业务发展与管理情况进行自我评估，并应每年编制《电子银行年度评估报告》。

　　第七十八条 金融机构的《电子银行年度评估报告》应至少包括以下几方面内容：

　　（一）本年度电子银行业务的发展计划与实际发展情况，以及对本年度电子银行发展状况的分析评价；

　　（二）本年度电子银行业务经营效益的分析、比较与评价，以及主要业务收入和主要业务的服务价格；

　　（三）电子银行业务风险管理状况的分析与评估，以及本年度电子银行面临的主要风险；

　　（四）其他需要说明的重要事项。

　　第七十九条 金融机构的《电子银行年度评估报告》（一式两份）应于下一年度的3月底之前报送中国银监会。

　　第八十条 金融机构应当建立电子银行业务重大安全事故和风险事件的报告制度，并保持与监管部门的经常性沟通。

　　对于电子银行系统被恶意攻破并已出现客户或银行损失，电子银行被病毒感染并导致机密资料外泄，以及可能会引发其他金融机构电子银行系统风险的事件，金融机构应在事件发生后48小时内向中国银监会报告。

　　第八十一条 中国银监会根据监管的需要，可以依法对金融机构的电子银行业务实施现场检查，也可以聘请外部专业机构对电子银行业务系统进行安全漏洞扫描、攻击测试等检查。

　　第八十二条 中国银监会对电子银行业务实施现场检查时，除应按照现场检查的有关规定组成检查组并进行相关业务培训外，还应邀请被检查机构的电子银行业务管理和技术人员介绍其电子银行系统架构、运营管理模式以及关键设备接触要求。

　　检查人员在实施现场检查过程中，应当遵守被检查机构电子银行安全管理的有关规定。

　　第八十三条 金融机构的总行（公司），以及已实现数据集中处理的金融机构分支机构电子银行业务的现场检查，由中国银监会负责；未实现数据集中处理的金融机构的分支机构，外资金融机构的分支机构，以及地区性金融机构电子银行业务的现场检查，由所在地银监局负责。

　　第八十四条 中国银监会聘用外部专业机构对金融机构电子银行系统进行检查时，应与被委托机构签订书面合同和保密协议，明确规定被委托机构可以使用的技术手段和使用方式，并指派专人全程参与并监督外部机构的监测测试活动。

　　银监局与拟聘用的外部专业机构签订合同之前，应报请银监会批准。

　　第八十五条 电子银行安全评估是金融机构开办或持续经营电子银行业务的必要条件，也是金融机构电子银行业务风险管理与监管的重要手段。

　　金融机构应按照中国银监会的有关规定，定期对电子银行系统进行安全评估，并将其作为电子银行风险管理的重要组成部分。

　　第八十六条 金融机构电子银行安全评估工作，应当由符合一定资质条件、具备相应评估能力的评估机构实施。

　　中国银监会负责制定评估机构开展电子银行安全评估业务的资质条件和电子银行安全评估的相关制度，并负责对评估机构参与电子银行安全评估的业务资质进行认定。

　　第八十七条 中国银监会对评估机构电子银行安全评估业务资质的认定，不作为评估机构开展电子银行安全评估业务的必要条件。

　　电子银行安全评估机构开展电子银行安全评估业务，如需中国银监会对其资质进行专业认定，应按照有关规定申请办理。

　　第八十八条 金融机构聘请未经中国银监会认定的安全评估机构实施电子银行安全评估时，应按照中国银监会制定的有关条件和标准选择评估机构，并应于签订评估协议前4周将拟聘用机构的有关情况报中国银监会。

第八章 法律责任

　　第八十九条 金融机构在提供电子银行服务时，因电子银行系统存在安全隐患、金融机构内部违规操作和其他非客户原因等造成损失的，金融机构应当承担相应责任。

　　因客户有意泄漏交易密码，或者未按照服务协议尽到应尽的安全防范与保密义务造成损失的，金融机构可以根据服务协议的约定免于承担相应责任，但法律法规另有规定的除外。

　　第九十条 金融机构未经批准擅自开办电子银行业务，或者未经批准增加或变更需要审批的电子银行业务类型，造成客户损失的，金融机构应承担全部责任。法律法规明确规定应由客户承担的责任除外。