关于《欧洲央行关于系统性重要支付系统监管要求的条例》（SIPS条例）拟议修订的公众咨询的回应

2025年7月 背景 欧洲央行于2024年10月18日至11月29日就修订后的SIPS法规进行了公开征求意见。此次意见征询为利益相关方提供了对修订草案中新引入的要求发表意见的机会。在此公开征询期间，欧洲央行收到了少量（系统重要性）支付系统运营者的回复。 欧洲系统已仔细审查了在公开征询过程中提交的每一条意见，并根据认为必要和适宜的程度，修订了SIPS条例的相关规定。 这是公众咨询中提出的主要内容的总结，并导致对重新制定的SIPS条例进行了进一步的修改。本声明还阐明了与重新制定的SIPS条例中引入的变化相关的潜在解释问题。 主要评论摘要和欧洲系统答复 定义 一些受访者提供了关于重新制定SIPS法规第2条中引入的新定义的反馈或寻求澄清。 “板” 如果一个分支机构被识别为SIPS运营商，就提出了一个问题，即对“董事会”的引用是否应理解为指该法律实体的董事会。 欧洲央行系统修订了“董事会”的定义，以确保明确：在分支机构被认定为SIPS运营商的情况下，“董事会”的引用指的是该分支机构作为法律从属部分的法人董事会。 “管理” 受访者提交了评论，指出当前的“管理”定义应予以修订，以便更好地反映不同的治理模式和 managerial 结构。 考虑到这条反馈，欧洲系统已修订“管理”的定义，以包括由董事会任命并从事SIPS日常管理的执行人员。在此背景下，欧洲系统强调，应将管理概念理解为功能性。 “分支机构管理” 在定义“分支机构管理”的背景下，针对“执行董事”一词提供了反馈，考虑到分支机构不具有独立的法律人格或独立的董事会。 欧洲系统将“执行董事”一词替换为“总经理”一词，表明这些是正式任命负责分支机构并将SIPS的日常管理事务正式委托给他们的董事。在这方面应注意，SIPS条例主要关注的是职能和相关责任，而不是分配给这些角色的具体头衔，这些头衔通常是各国公司法的结果。 外包服务提供商 一位受访者建议修订“外包服务提供者”的定义，以排除与SIPS运营商尚未建立合同关系的提供者。 欧洲中央银行已考虑此反馈，并修订了定义，以删除对潜在服务提供者的明确引用。然而，欧洲中央银行指出，潜在外包服务提供者的概念仍然保留在第22条中，即任何可能因外包而产生的风险，均应在任何合同文件签署前，根据本条的要求由SIPS运营商进行评估。 网络安全相关定义 进一步寻求关于重述的SIPS法规中引入的“网络安全”、“网络事件”和“网络威胁”的定义的清晰度，以及它们与现有欧洲系统政策中类似定义以及欧盟监管要求之间相互作用。 欧洲系统已考虑有关网络相关定义的反馈意见，并对定义进行了精简，使其更加简洁、清晰，并在适当程度上与现有政策及欧盟法律保持一致。欧洲系统注意到，关于操作风险的第20(5)条也已得到修订，以明确说明其范围包括信息技术方面，其中包括操作信息技术事件。 治理 - 有罪判决或处罚记录 1.2 部分受访者对新引入的第12(9)条要求进行了评论，该要求在提交公众咨询的版本中严格禁止SIPS运营商的管理机构成员有任何关于违反适用商业法、破产法、金融服务法、反洗钱法和反恐融资法的定罪或处罚记录，或违反职业义务以及欺诈的记录。在评论中，要求就这一要求所产生预期及其与...的重叠性进行澄清。欧洲中央银行关于尽职调查的指南1一位受访者还要求，这项要求不适用于SIPS运营商的现有管理机构成员，并且其适用范围应受到限制。 欧洲体系已考虑收到的意见，并决定不实施严格禁止。所通过的SIPS条例反而在要求SIPS运营机构在履行第4条规定的治理中规定的诚信要求时，考虑管理主体成员的任何定罪或处罚记录。这种方法将确保任何此类定罪和/或处罚的相关性和重要性将根据个案的情况和合理的方式来进行评估。该要求仍将适用于现有的管理主体成员。最后，请注意，欧洲央行关于合格与适当评估的指南不适用于SIPS运营机构，因此在解释SIPS条例的治理要求方面不能作为指导，即使这两个框架包含类似的要求。 sip 运营商的责任 一位受访者要求就第22(1)条中提到的任何外包职能、运营和/或服务，明确SIPS运营商的责任范围。 欧洲系统在文章22(1)的文本中澄清，本条款引入的对SIPS运营商责任的要求，是指SIPS运营商遵守其根据SIPS条例产生的义务。 外包和第三方服务提供 要求在SIPS法规的文本中澄清，第三方服务提供者不会根据外包类比被第22条所涵盖。 欧罗巴系统证实，第22条关于外包仅涵盖第三方服务提供的一个子类别，该子类别属于SIPS条例第2条中规定的“外包”定义。没有意向将第2条中规定的要求类推适用于其他服务提供者，特别是考虑到第三方服务提供在第20条关于操作风险等其他SIPS条例的文章中已有涵盖。 集团内外包 部分受访者表示，外包要求，包括退出策略要求，不应适用于集团内部外包，指出与涉及第三方服务提供者的安排相比，此类安排所承担的风险较低。 欧洲体系认为，集团内部外包并非本质上比向SIPS集团外部第三方外包风险更低。因此，不顾及监管理由中承认的集团内部安排可能带来的潜在利益，它应与第三方外包一样受相同要求约束，包括退出策略的要求。 外包和核心功能的外包 一些受访者要求，第22条关于外包中概述的各种要求应仅适用于关键职能的外包。 更具体地说，要求按照第22(3)条第(c)款中规定的要求执行——该条款规定合同外包安排必须确保 相关的主管部门依据SIPS条例行使其权力的权利——只应适用于关键性外包。同时，也寻求澄清SIPS运营商是否需要在他们的外包安排中包含监管机构行使其权力的具体权利，以及这些权利应是什么。 欧洲系统对第22(3)条c项进行了修订，通过参考SIPS条例第29条中主管当局的权利来明确其适用范围。此外，为了减轻SIPS运营商的负担，欧洲系统认为，就合同安排的要求适用于以下方面是相适应的： 1. 关于主管当局获取信息和文件的权利的所有外包； 2.仅将关键职能、运营和/或服务外包，涉及主管当局实施现场检查以及任命独立专家对SIPS的运营进行调查或进行独立审查的权力。 此外，一些受访者建议，第22条第7款——该条款规定SIPS运营商必须制定和维持退出策略——应仅适用于关键外包。欧洲系统注意到，制定退出策略的要求现已仅适用于关键职能、运营和/或服务的外包，尽管如此，目前已引入了细微变更以提高文本的清晰度。 最后，一位受访者要求将第22(5)条下规定的审计计划和对外包服务提供商的检查权仅适用于关键外包。欧元区认为接受此意见是恰当的，并已相应修改了文本。但是，合同安排确保SIPS运营商行使审计权的义务仍然存在。 网络风险 网络事件报告 关于第21条第6款要求报告的网络事件性质，要求予以澄清。 欧洲体系在最终文本中明确指出，SIPS运营商必须报告至少任何对SIPS产生负面影响的主要网络事件。通过的SIPS条例还要求此类事件不仅要向主管当局报告，也要向相应SIPS运营商的管理机构报告。 TIBER-EU框架 在分支机构被识别为 SIPS 运营商的背景下，针对分支机构作为法律从属部分的法律实体可能需要接受与 TIBER-EU 框架下的渗透测试相似的测试这一事实，各方提出了意见。因此，被调查者建议，为了避免重复工作，草案法规应明确，如果该演习被认为与 TIBER-EU 测试相当，主管当局可以接受由各自法律实体进行的测试。 欧洲系统认为，接受所提出的方案（即SIPS运营商被视为分支机构）是适当的，因为它在减轻运营商负担的同时，仍然确保了对测试的强制性要求得到满足。欧洲系统在通过的规定文本中对此予以阐明，并补充称，在类似于TIBER EU的框架下进行的测试，也应涵盖分支机构相关控制和系统的有效性。