工程总承包中分包单位的法律地位及责任/宋仲春

作者:法律资料网 时间:2024-06-29 07:34:40   浏览:8234   来源:法律资料网
下载地址: 点击此处下载
工程总承包中分包单位的法律地位及责任

——评天津市某工程总承包中施工承包纠纷案件

上海建纬律师事务所 宋仲春

一、案件背景
天津某生产企业(下称“业主”)将新建厂房项目(包括厂房及办公楼,下称“工程项目”)以工程总承包方式发包给一设计单位(下称“工程总承包单位”),2005年4月18日工程总承包单位将其承包范围中除桩基、主体钢结构以外的土建、安装工程施工任务分包给某建筑企业(下称“施工单位”)承建,桩基、钢结构由工程总承包单位另行发包。为此,工程总承包单位与施工单位签订了施工合同,合同约定的开工日期为2005年3月29日,竣工日期为2005年11月20日;并约定除尾项工程外,工程竣工验收合格后,施工单位应向工程总承包单位提交结算文件进行结算。
施工合同签订后,施工单位按约进场施工,2005年10月8日业主启用联合厂房进行生产设备安装, 2005年11月28日启用办公室办公使用,于2006年1月18日至20日开始试生产;2006年3月15日,现场门卫正式由业主接管并由各方成立验收小组着手准备对工程正式验收。2006年4月4日业主全面对整个工程进行接收,但直至2006年7月2日施工单位提起仲裁时整个工程项目仍未进行竣工验收。
在施工合同履行过程中,工程总承包单位与施工单位因竣工时间与工程价款结算发生争议,2006年3月26日,施工单位向工程总承包单位递交了结算文件,工程总承包单在收到的结算文件后50天内未对施工单位的结算文件作任何答复,于2006年6月28日,施工单位向工程总承包单位人发出终止合同通知书。
2006年7月2日,按照施工合同约定的仲裁条款,施工单位向天津仲裁委员会提起仲裁请求,要求终止施工合同,并要求工程总承包单位支付工程款及拖欠工程款利息,工程总承包单位则以整个工程未经竣工验收,施工单位应与工程承包单位一起向业主承担整个工程逾期竣工的连带责任,施工单位无权要求结算并提起反请求要求施工单位承担逾期完工的责任。
本案的主要争议焦点在于:1、施工合同中约定的“工程竣工验收合格后,施工单位应向工程总承包单位提交结算文件进行结算”中的“工程竣工验收合格”是指整个工程竣工验收合格还是施工单位承包范围内工程竣工验收合格?2、工程项目未经正式验收程序,业主提前使用,如何确定具体竣工时间?
笔者认为,要解决上述案件中两个争议焦点问题,必须首先明确采用工程总承包模式中,工程总承包单位与承建施工任务的施工单位之间的法律关系,以及各自应该承担的责任。其次要认定工程在未经竣工验收,业主提前使用整个工程,分包工程竣工时间的认定。
二、工程总承包中工程总承包单位与分包单位的法律关系及各自应承担的责任
1、工程总承包的概念
我国《建筑法》第24条规定:“提倡对建筑工程实行总承包,禁止将建筑工程肢解发包。建筑工程的发包单位可以将建筑工程的勘察、设计、施工、设备采购一并发包给一个工程总承包单位,也可以将建筑工程勘察、设计、施工、设备采购的一项或者多项发包给一个工程总承包单位;但是,不得将应当由一个承包单位完成的建筑工程肢解成若干部分发包给几个承包单位。”按照建设部《关于培育发展工程总承包和工程项目管理企业的指导意见》(建市[2003]30号)的规定,工程总承包是指从事工程总承包的企业受业主委托,按照合同约定对工程项目的勘察、设计、采购、施工、试运行(竣工验收)等实行全过程或若干阶段的承包。
2、工程总承包的基本特征
我国《建筑法》第29条规定能够:“建筑工程总承包单位可以将承包工程中的部分工程发包给具有相应资质条件的分包单位;但是,除总承包合同中约定的分包外,必须经建设单位认可。施工总承包的,建筑工程主体结构的施工必须由总承包单位自行完成。建筑工程总承包单位按照总承包合同的约定对建设单位负责;分包单位按照分包合同的约定对总承包单位负责。总承包单位和分包单位就分包工程对建设单位承担连带责任。禁止总承包单位将工程分包给不具备相应资质条件的单位。禁止分包单位将其承包的工程再分包。”
笔者认为,依据我国《建筑法》第24条、第29条规的,工程总承包具有下列基本特征:
(1)工程总承包企业按照合同约定对工程项目的质量、工期、造价等向业主负责。
(2)工程总承包企业可依法将所承包工程中的部分工作发包给具有相应资质的分包企业;分包企业按照分包合同的约定对总承包企业负责。
(3)工程总承包企业可以将建筑工程的勘察、设计、施工、设备采购一并发包给一个工程总承包单位,也可以将建筑工程勘察、设计、施工、设备采购的一项或者多项发包给一个工程总承包单位。
(4)不得将应当由一个承包单位完成的建筑工程肢解成若干部分发包给几个承包单位。
3、本案中工程总承包单位与施工单位之间为总分包关系,施工单位仅就承包范围内的工程承担责任
本案中工程总承包单位以工程总承包方式承包了业主新厂建设工程的设计及施工任务,是该工程的工程总承包单位。工程总承包单位将部分土建、安装工程分包给施工单位承建,施工单位仅是总承包单位选定的土建、安装工程施工单位之一。笔者认为,本案中工程总承包单位与施工单位之间的关系完全符合我国《建筑法》第24、29条的有关规定,即工程总承包单位与施工单位之间为总分包关系,工程总承包单位就整个工程向业主承担责任,施工单位仅应就承包范围内的分包工程向工程总承包单位承担责任,同时施工单位应就承包范围内分包工程与工程总承包单位一起向业主承担连带责任。可以明确的是,施工单位无论是向工程总承包单位还是向业主均仅就承包范围内的分包工程承担责任。
因此,笔者认为,虽然工程总承包单位与施工单位签订的施工合同中“除尾项工程外,工程竣工验收合格”,可以理解为整个工程竣工验收合格,也可以理解为分包工程竣工验收合格,但在未有明确约定该处“竣工验收合格”是指整个工程竣工验收合格的情况下,按照施工单位仅应就承包范围内的分包工程承担责任的基本原则,本案中工程总承包单位与施工单位签订的施工合同中约定的“工程竣工验收合格”应理解为施工单位承包范围内分包工程竣工验收合格,而非整个工程的竣工验收合格。当然笔者认为,在工程总承包或施工总承包模式中,如果分包合同要以工程竣工验收合格作为提交结算文件的前提条件,最好明确约定是整个工程竣工验收合格还是分包工程竣工验收合格,以避免产生不必要的争议。
三、工程在未经竣工验收,业主提前使用整个工程,分包工程竣工时间的认定
我国《建筑法》第61条第2款规定:“建筑工程竣工经验收合格后,方可交付使用;未经验收或者验收不合格的,不得交付使用。”本案中整个工程未经竣工验收,业主就提前使用,按照《最高人民法院关于审理建设工程施工合同纠纷案件适用法律问题的解释》(下称“司法解释”)第14条规定:“当事人对建设工程实际竣工日期有争议的,按照以下情形分别处理:(一)建设工程经竣工验收合格的,以竣工验收合格之日为竣工日期;(二)承包人已经提交竣工验收报告,发包人拖延验收的,以承包人提交验收报告之日为竣工日期;(三)建设工程未经竣工验收,发包人擅自使用的,以转移占有建设工程之日为竣工日期。”司法解释适用的范围为建设工程施工合同,是否能适用为工程总承包合同,以及能否适用于本案中工程总承包单位与施工单位之间施工合同关系。
笔者认为,虽然司法解释是针对审理建设工程施工合同纠纷案件出台的,并未明确是否适用于处理工程总承包合同纠纷,但司法解释的仍然可以适用于处理工程总承包合同纠纷。笔者的理由是,工程总承包合同实际实际上包含了下述几种合同关系,即勘查合同关系、设计合同关系、施工合同关系、采购合同关系,因此工程总承包中的纠纷中有关施工合同纠纷应适用司法解释。至于本案中工程总承包单位与施工单位之间的法律关系属建设工程施工合同关系,理应适用司法解释。
按照司法解释第14条规定,本案中整个工程的竣工时间应以业主转移占有整个工程之日作为实际竣工日期。那么,本案中到底应从何时认定“擅自使用”?应以哪个时间点为“转移占有之日”即“竣工日期”?
有人认为司法解释中“擅自使用”是指发包人未经承包人同意而使用工程,如果发包人使用工程获得了承包人的同意,就不应该认定为“擅自使用”。笔者认为,这是对司法解释中“擅自使用”的误解, 司法解释中的“擅自使用”是相对于《建筑法》第61条的规定,在工程未经竣工验收或竣工验收不合格的情况下,业主对工程进行使用的行为。所谓“使用”,就是利用该工程的使用功能的行为。对于厂房来说,就是用厂房来安装设备、组织生产;对于办公楼,就是用作办公场所开展办公活动;对于住宅,就是搬入住房进行生活起居。因此,业主在车间内进行设备安装活动就是对厂房的使用行为,搬入办公楼办公,就是对办公楼的使用行为。本案中,2005年10月8日业主启用联合厂房进行生产设备安装, 2005年11月28日启用办公室办公使用,2006年3月15日,现场门卫正式由业主接管并由各方成立验收小组着手准备对工程正式验收。2006年4月4日业主全面对整个工程进行接收。因此应认定施工单位承包范围内的分包工程于2005年11月28日已经竣工,整个工程于2006年4月4日也已经竣工。
四、问题及建议
在工程总承包模式中,设计单位作为工程总承包单位的情况下,工程总承包单位本身不承担具体的施工任务,而将是将工程施工任务分包给一个或几个施工单位承建。在工程总承包单位将施工任务分包给几个施工单位承建的情况下,由于整个工程竣工验收是由业主与工程总承包单位来进行,而通常工程总承包单位、业主、分包单位不会针对分包工程进行专门的竣工验收,如果工程总承包单位怠于向业主提请竣工验收,则分包工程的实际竣工时间往往难以确定。即使工程总承包单位在整个工程竣工后,及时向业主提前工程竣工验收,则也只能将整个工程竣工的时间视为分包工程的竣工时间,这与分包单位仅应就承包范围内的分包工程承担责任的原则不符。除分包合同明确约定分包工程的竣工时间以整个工程的竣工时间为竣工时间外,如果一方面要求分包单位仅应就承包范围内的分包工程承担责任,一方面又实际上以整个工程竣工时间作为分包工程的竣工时间,对于分包单位来说显属不公。
因此,笔者建议,除分包合同明确约定分包工程的竣工时间以整个工程的竣工时间为竣工时间外,为了避免以整个工程竣工时间作为分包工程竣工时间而对分包单位不公的情况,在分包合同中应对分包工程的竣工时间以及分包工程的验收进行专门的约定,即约定在分包工程完工后,由业主、工程总承包单位、监理单位对分包工程进行专门的竣工验收程序。

下载地址: 点击此处下载

中华人民共和国政府和印度共和国政府旅游合作协定

中国 印度


中华人民共和国政府和印度共和国政府旅游合作协定


  中华人民共和国政府与印度共和国政府(以下简称“双方”),为了增进双方友谊,促进两国人民相互了解,在平等互利的基础上发展两国在旅游领域的合作,达成协议如下:

  第一条

  为了更好地了解对方国家的历史、文化和生活方式,双方将特别注意发展和扩大两国间旅游关系。

  第二条

  双方将努力推动两国间旅游关系的发展,包括探讨印度成为中国公民自费出国旅游目的地的可能性;双方将鼓励两国官方旅游机构、企业、协会、组织、旅行商、旅行代理商、连锁饭店以及学术机构开展旅游合作。

  第三条

  双方将在设立旅游办事处和办事处开展工作方面相互提供便利和协助。

  第四条

  双方将研究两国相关组织和机构间开展专业人员旅游培训交流的可能性。为了提高技术和专业人员的培训水平,双方还将进行旅游教学课程和科研方面的交流。

  第五条

  双方将鼓励企业按照各自国内法律规定进行旅游投资。

  第六条

  为了进一步推动两国间旅游往来,双方将相互通报在各自境内举行的国际旅游交易会的信息并为参展展品入出境提供便利。

  第七条

  双方将为包括旅游信息和宣传资料、胶片和展览会资料在内的宣传材料的出入境提供便利。

  第八条

  双方将在旅游资源、饭店管理和其他住宿设施的管理、旅游法规、重点旅游项目以及自然、文化旅游景区资源的保护工作等领域开展信息、技术和经验的交流。

  第九条

  双方同意,世界旅游组织建立的收集和介绍国内和国际旅游统计数据的参数标准是进行信息交流的可靠依据。

  第十条

  双方将在互利的基础上交流各自在专项旅游方面的发展、管理、促销的经验、技术和信息。

  第十一条

  双方将成立工作组来实施本协定。工作组由两国代表组成,双方人数对等,其中可以包括来自私营旅游机构的成员。工作组将在双方合适的时间和地点在两国轮流召开会议。

  第十二条

  本协定可以在双方商定的任何时间进行修订和补充。除非另行商定,终止本协定将不影响本协定有效期内确定的计划和项目。

  第十三条

  本协定自双方签字之日起生效,有效期五年;除非协议中的一方在本协定终止日期前三个月通过外交途径书面通知对方终止本协定,本协定将自动延长五年,并依此法顺延。

  谨证明双方签字代表由各自政府授权签署本协定。

  本协定于二〇〇二年一月十四日在新德里签订,一式两份,分别用中文、印地文和英文写成,三种文本同等作准。如对文本的解释发生分歧,以英文文本为准。

  中华人民共和国政府代表 印度共和国政府代表

  石广生


电子银行安全评估指引

中国银行业监督管理委员会


电子银行安全评估指引



第一章 总 则



第一条 为加强电子银行业务的安全与风险管理,保证电子银行安全评估的客观性、及时性、全面性和有效性,依据《电子银行业务管理办法》的有关规定,制定本指引。
第二条 电子银行的安全评估,是指金融机构在开展电子银行业务过程中,对电子银行的安全策略、内控制度、风险管理、系统安全、客户保护等方面进行的安全测试和管控能力的考察与评价。
第三条 开展电子银行业务的金融机构,应根据其电子银行发展和管理的需要,至少每2年对电子银行进行一次全面的安全评估。
第四条 金融机构可以利用外部专业化的评估机构对电子银行进行安全评估,也可以利用内部独立于电子银行业务运营和管理部门的评估部门对电子银行进行安全评估。
第五条 金融机构应建立电子银行安全评估的规章制度体系和工作规程,保证电子银行安全评估能够及时、客观地得以实施。
第六条 金融机构的电子银行安全评估,应接受中国银行业监督管理委员会(以下简称中国银监会)的监督指导。


第二章 安全评估机构


第七条 承担金融机构电子银行安全评估工作的机构,可以是金融机构外部的社会专业化机构,也可以是金融机构内部具备相应条件的相对独立部门。
第八条 外部机构从事电子银行安全评估,应具备以下条件:
(一) 具有较为完善的开展电子银行安全评估业务的管理制度和操作规程;
(二) 制定了系统、全面的评估手册或评估指导文件,评估手册或评估指导文件的内容应至少包括评估程序、评估方法和依据、评估标准等;
(三) 拥有与电子银行安全评估相关的各类专业人才,了解国际和中国相关行业的行业标准;
(四) 中国银监会规定的其他从事电子银行安全评估应当具备的条件。
第九条 金融机构内部部门从事电子银行安全评估,除应具备第八条 规定的有关条件外,还应具备以下条件:
(一) 必须独立于电子银行业务系统开发部门、运营部门和管理部门;
(二) 未直接参与过有关电子银行设备的选购工作。
第十条 中国银监会负责电子银行安全评估机构资质认定工作。
电子银行安全评估机构在开展金融机构电子银行安全评估业务前,可以向中国银监会申请对其资质进行认定。
第十一条 金融机构在进行电子银行安全评估时,可以选择经中国银监会资质认定的安全评估机构,也可以选择未经中国银监会资质认定的安全评估机构。
金融机构选择经中国银监会资质认定的安全评估机构时,有关安全评估机构的管理适用本指引有关规定。金融机构选择未经中国银监会资质认定的安全评估机构时,安全评估机构的选择标准应不低于第八条、第九条规定的条件要求,并应按照《电子银行业务管理办法》的有关规定,报送相关材料。
电子银行安全评估机构无论是否经过中国银监会资质认定,在开展电子银行安全评估活动时,都应遵守有关电子银行安全评估实施和管理的规定。
第十二条 中国银监会每年将组织一次电子银行安全评估机构资质认定工作,评定时间应提前1个月公告。
第十三条 申请资质认定的电子银行安全评估机构,应在中国银监会公告规定的时限内提交以下材料(一式七份):
(一) 电子银行安全评估资质认定申请报告;
(二) 机构介绍;
(三) 安全评估业务管理框架、管理制度、操作规程等;
(四) 评估手册或评估指导文件;
(五) 主要评估人员简历;
(六) 中国银监会要求提供的其他文件、资料。
第十四条 中国银监会收到安全评估机构资质认定申请完整材料后,组织有关专家和监管人员对申请材料进行评议,采用投票的办法评定电子银行安全评估机构是否达到了有关资质要求。
第十五条 中国银监会对评估机构资质评议后,出具《电子银行安全评估机构资质认定意见书》,载明评议意见,对评估机构的资质做出认定。
第十六条 中国银监会出具的《电子银行安全评估机构资质认定意见书》,仅供评估机构与金融机构商恰有关电子银行安全评估业务时使用,不影响评估机构开展其他经营活动。
评估机构不得将《电子银行安全评估机构资质认定意见书》用于宣传或其他活动。
第十七条 经中国银监会评议并被认为达到有关资质要求的评估机构,每次资质认定的有效期限为2年。
经评议不符合认定资质的,评估机构可在下一年度重新申请资质认定。
第十八条 在资质认定的有效期限内,电子银行安全评估机构如果出现下列情况,中国银监会将撤销已做出的评议和认定意见:
(一) 评估机构管理不善,其工作人员泄露被评估机构秘密的;
(二) 评估工作质量低下,评估活动出现重要遗漏的;
(三) 未按要求提交评估报告,或评估报告中存在不实表述的;
(四) 将《电子银行安全评估机构资质认定意见书》用于宣传和其他经营活动的;
(五) 存在其他严重不尽职行为的。
第十九条 评估机构有下列行为之一的,中国银监会将在一定期限或无限期不再受理评估机构的资质认定申请,金融机构不应再委托该评估机构进行安全评估:
(一) 与委托机构合谋,共同隐瞒在安全评估过程中发现的安全漏洞,未按要求写入评估报告的;
(二) 在评估过程中弄虚作假,编造安全评估报告的;
(三) 泄漏被评估机构机密信息,或不当使用被评估机构机密资料的。
金融机构内部评估机构出现以上情况之一的,中国银监会将依法对相关机构和责任人进行处罚。
第二十条 中国银监会认可的电子银行安全评估机构,以及有关资质认定、撤销等信息,仅向开展电子银行业务的各金融机构通报,不向社会发布。
金融机构不得向第三方泄露中国银监会的有关通报信息,影响有关机构的其他业务活动,也不得将有关信息用于与电子银行安全评估活动无关的其他业务活动。
第二十一条 金融机构可以在中国银监会认定的评估机构范围内,自主选择电子银行安全评估机构。
第二十二条 电子银行主要系统设置于境外并在境外实施电子银行安全评估的外资金融机构,以及需要按照所在地监管部门的要求在境外实施电子银行安全评估的中资金融机构境外分支机构,电子银行安全评估机构的选择应遵循所在国家或地区的法律要求。
所在国家或地区没有相关法律要求的,金融机构应参照本指引的有关规定开展安全评估活动。
第二十三条 金融机构应与聘用的电子银行安全评估机构签订书面服务协议,在服务协议中,必须含有明确的保密条 款和保密责任。
金融机构选择内部部门作为评估机构时,应由电子银行管理部门与评估部门签订评估责任确定书。
第二十四条 安全评估机构应根据评估协议的规定,认真履行评估职责,真实评估被评估机构电子银行安全状况。


第三章 安全评估的实施


第二十五条 评估机构在开始电子银行安全评估之前,应就评估的范围、重点、时间与要求等问题,与被评估机构进行充分的沟通,制定评估计划,由双方签字认可。
第二十六条 依据评估计划,评估机构进场对委托机构的电子银行安全进行评估。
电子银行安全评估应真实、全面地评价电子银行系统的安全性。
第二十七条 电子银行安全评估至少应包括以下内容:
(一) 安全策略;
(二) 内控制度建设;
(三) 风险管理状况;
(四) 系统安全性;
(五) 电子银行业务运行连续性计划;
(六) 电子银行业务运行应急计划;
(七) 电子银行风险预警体系;
(八) 其他重要安全环节和机制的管理。
第二十八条 电子银行安全策略的评估,至少应包括以下内容:
(一) 安全策略制定的流程与合理性;
(二) 系统设计与开发的安全策略;
(三) 系统测试与验收的安全策略;
(四) 系统运行与维护的安全策略;
(五) 系统备份与应急的安全策略;
(六) 客户信息安全策略。
评估机构对金融机构安全策略的评估,不仅要评估安全策略、规章制度和程序是否存在,还要评估这些制度是否得到贯彻执行,是否及时更新,是否全面覆盖电子银行业务系统。
第二十九条 电子银行内控制度的评估,应至少包括以下内容:
(一) 内部控制体系总体建设的科学性与适宜性;
(二) 董事会和高级管理层在电子银行安全和风险管理体系中的职责,以及相关部门职责和责任的合理性;
(三) 安全监控机制的建设与运行情况;
(四) 内部审计制度的建设与运行情况。
第三十条 电子银行风险管理状况的评估,应至少包括以下内容:
(一) 电子银行风险管理架构的适应性和合理性;
(二) 董事会和高级管理层对电子银行安全与风险管理的认知能力与相关政策、策略的制定执行情况;
(三) 电子银行管理机构职责设置的合理性及对相关风险的管控能力;
(四) 管理人员配备与培训情况;
(五) 电子银行风险管理的规章制度与操作规定、程序等的执行情况;
(六) 电子银行业务的主要风险及管理状况;
(七) 业务外包管理制度建设与管理状况。
第三十一条 电子银行系统安全性的评估,应至少包括以下内容:
(一) 物理安全;
(二) 数据通讯安全;
(三) 应用系统安全;
(四) 密钥管理;
(五) 客户信息认证与保密;
(六) 入侵监测机制和报告反应机制。
评估机构应突出对数据通讯安全和应用系统安全的评估,客观评价金融机构是否采用了合适的加密技术、合理设计和配置了服务器和防火墙,银行内部运作系统和数据库是否安全等,以及金融机构是否制定了控制和管理修改电子银行系统的制度和控制程序,并能保证各种修改得到及时测试和审核。
第三十二条 电子银行业务运行连续性计划的评估,应至少包括以下内容:
(一) 保障业务连续运营的设备和系统能力;
(二) 保证业务连续运营的制度安排和执行情况。
第三十三条 电子银行业务运行应急计划的评估,应至少包括以下内容:
(一) 电子银行应急制度建设与执行情况;
(二) 电子银行应急设施设备配备情况;
(三) 定期、持续性检测与演练情况;
(四) 应对意外事故或外部攻击的能力。
第三十四条 评估机构应制定本机构电子银行安全评定标准,在进行安全评估时,应根据委托机构的实际情况,确定不同评估内容对电子银行总体风险影响程度的权重,对每项评估内容进行评分,综合计算出被评估机构电子银行的风险等级。
第三十五条 评估完成后,评估机构应及时撰写评估报告,并于评估完成后1个月内向委托机构提交由其法定代表人或其授权委托人签字认可的评估报告。
第三十六条 评估报告应至少包括以下内容:
(一) 评估的时间、范围及其他协议中重要的约定;
(二) 评估的总体框架、程序、主要方法及主要评估人员介绍;
(三) 不同评估内容风险权重的确定标准,风险等级的计算方法,以及风险等级的定义;
(四) 评估内容与评估活动描述;
(五) 评估结论;
(六) 对被评估机构电子银行安全管理的建议;
(七) 其他需要说明的问题;
(八) 主要术语定义和所采用的国际或国内标准介绍(可作为附件);
(九) 评估工作流程记录表(可作为附件);
(十) 评估机构参加评估人员名单(可作为附件)。
在评估结论中,评估机构应采用量化的办法表明被评估机构电子银行的风险等级,说明被评估机构电子银行安全管理中存在的主要问题与隐患,并提出整改建议。
第三十七条 评估报告完成并提交委托机构后,如需修改,应将修改的原因、依据和修改意见作为附件附在原报告之后,不得直接修改原报告。


第四章 安全评估活动的管理


第三十八条 金融机构在申请开办电子银行业务时,应当按照有关规定对完成测试的电子银行系统进行安全评估。
第三十九条 金融机构开办电子银行业务后,有下列情形之一的,应立即组织安全评估:
(一) 由于安全漏洞导致系统被攻击瘫痪,修复运行的;
(二) 电子银行系统进行重大更新或升级后,出现系统意外停机12小时以上的;
(三) 电子银行关键设备与设施更换后,出现重大事故修复后仍不能保持连续不间断运行的;
(四) 基于电子银行安全管理需要立即评估的。
第四十条 金融机构对电子银行外部安全评估机构的选聘,应由金融机构的董事会或高级管理层负责。
第四十一条 已实现数据集中管理的银行业金融机构,其分支机构开展电子银行业务不需单独进行安全评估,在总行(公司)的电子银行安全评估中应包含对其分支机构电子银行安全管理状况的评估。
第四十二条 未实现数据集中管理的银行业金融机构,其分支机构开展电子银行业务且拥有独立的业务处理设备与系统的,分支机构的电子银行系统应在总行(公司)的统一管理和指导下,按照有关规定进行安全评估。
第四十三条 电子银行主要业务处理系统设置在境外的外资金融机构,其境外总行(公司)已经进行了安全评估且符合本指引有关规定的,其境内分支机构开展电子银行业务不需单独进行安全评估,但应按照本指引的有关要求,向监管部门报送安全评估报告。
第四十四条 电子银行主要业务处理系统设置在境内的外资金融机构,或者虽设置在境外但其境外总行(公司)未进行安全评估或安全评估不符合本指引有关规定的,应按规定开展电子银行安全评估工作。
第四十五条 电子银行安全评估工作,确需由多个评估机构共同承担或实施时,金融机构应确定一个主要的评估机构协调总体评估工作,负责总体评估报告的编制。
金融机构将电子银行系统委托给不同的评估机构进行安全评估,应当明确每个评估机构安全评估的范围,并保证全面覆盖了应评估的事项,没有遗漏。
第四十六条 金融机构应在签署评估协议后两周内,将评估机构简介、拟采用的评估方案和评估步骤等,报送中国银监会。
第四十七条 中国银监会根据监管工作的需要,可派员参加金融机构电子银行安全评估工作,但不作为正式评估人员,不提供评估意见。
第四十八条 评估机构应本着客观、公正、真实和自主的原则,开展评估活动,并严格保守在评估过程中获悉的商业机密。
第四十九条 在评估过程中,委托机构和评估机构之间应建立信息保密工作机制:
(一) 评估过程中,调阅相关资料、复制相关文件或数据等,都应建立登记、签字制度;
(二) 调阅的文件资料应在指定的场所阅读,不得带出指定场所;
(三) 复制的文件或数据一般也不应带出工作场所,如确需带出的,必须详细登记带出文件或数据名称、数量、带出原因、文件与数据的最终处理方式、责任人等,并由相关负责人签字确认;
(四) 评估过程中废弃的文件、材料和不再使用的数据,应立即予以销毁或删除;
(五) 评估工作结束后,双方应就有关机密数据、资料等的交接情况签署说明。
第五十条 金融机构在收到评估机构评估报告的1个月内,应将评估报告报送中国银监会。
金融机构报送评估报告时,可对评估报告中的有关问题作必要的说明。
第五十一条 未经监管部门批准,电子银行安全评估报告不得作为广告宣传资料使用,也不得提供给除监管部门以外的第三方机构。
第五十二条 对未按有关要求进行的安全评估,或者评估程序、方法和评估报告存在重要缺陷的安全评估,中国银监会可以要求金融机构进行重新评估。
第五十三条 中国银监会根据监管工作的需要,可以自己组织或委托评估机构对金融机构的电子银行系统进行安全评估,金融机构应予以配合。
第五十四条 中国银监会根据监管工作的需要,可直接向评估机构了解其评估的方法、范围和程序等。
第五十五条 对于评估报告中所反映出的问题,金融机构应采取有效的措施加以纠正。


第五章 附则


第五十六条 本指引由中国银监会负责解释。


第五十七条 本指引自2006年3月1日起施行。