原標題：新規將至！商業銀行互聯網貸款業務將有哪些轉變？

　　來源：金融監管研究院

　　作者：孫海波 許繼璋 常淼

　　日前《商業銀行互聯網貸款管理暫行辦法》的二次內部征求意見正在小范圍進行中，截止日期為2020年1月20日。互聯網貸款作為近幾年興起的新型業務，目前主要是部分地方銀保監局發布了一些政策性指導文件，在銀保監會層面缺乏統一的監管規則。2018年11月，《商業銀行互聯網貸款管理辦法》曾經在網絡上流傳出征求意見稿。日前該辦法征求意見稿又有了第二稿，在不少方面作了調整，不過核心還是圍繞風險管控展開，總體上增加了彈性指標，圍繞公司治理、流程再造，增加定性要求，減少非常僵硬的定量指標。筆者也一再強調總體上未來不會出現監管黑天鵝事件，定量指標看起來容易執行，大部分定量指標實際容易造成懶政，一刀切。所以既要嚴監管防范風險，同時也要確保監管彈性，防止過于剛性的監管指標傷害銀行服務實體經濟的積極性，需要監管高度智慧和水平。

　　一、互聯網貸款的定義：明確排除兩類貸款

　　在“互聯網貸款”定義上，本次征求意見稿和2018年流傳出的版本相比，沒有太大的變化，只是在個別表述上稍有差異。主要特點還是銀行通過互聯網自動受理貸款和開展風險評估等。不過此次明確將兩類貸款排除在互聯網貸款之外：

　　1、銀行在線下進行貸款調查、風險評估和預授信后，借款人在線上進行貸款申請及后續操作的貸款。

　　2、商業銀行以借款人持有的房屋等資產為抵押物發放的貸款。

　　二、跨區域經營限制：明確在分支機構所在地展業不屬于跨域，但沒有比例限制

　　地方商業銀行要求主要服務當地客戶，此前征求意見稿也明確這一原則，在此次版本中有了適當放寬，一是明確若地方銀行分支機構所在地展業不屬于跨區域經營的范疇；二是對于跨區域展業，只是要求“審慎”開展， “識別和監測”此類業務開展情況，并沒有直接禁止，而且也沒有比例限制。三是明確19家民營銀行不受次條款限制。

　　2018年8月份的征求意見稿中曾經明確地方銀行向外省發放的互聯網貸款余額不得超過互聯網貸款總余額的20%。這和此前寧波局以及浙江局的地方性文件思路基本一致。

　　三、30萬和1年的小額短期要求，最嚴格的新規！

　　要求單戶個人信用貸款授信額度應當不超過人民幣30萬元。個人貸款期限不超過一年。商業銀行應根據自身風險管理能力，參考行業經驗，確定單戶流動資金授信額度上限，并對期限超過一年的流動資金貸款，至少每年對該筆貸款對應的授信進行重新評估和審批。小額短期也是此前浙江銀保監局、原北京銀監局、原寧波銀監局對消費貸款的定位，但具體多少是小額沒有說，北京局認定100萬以下。此次對線上互聯網貸款原則上單戶不超過30萬，和一年的期限是最嚴格的監管要求。

　　明確消費金融公司不受上述限制。

　　四、核心業務：再次重申不能外包

　　互聯網貸款核心業務不能外包的“紅線”實際上早已劃定，比如2010年的40號文以及2017年的141號文等都有所提及，這主要是防止商業銀行淪為單純的資金通道，脫離風險發放貸款。不過此次規定的更加全面和具體：

• 互聯網貸款業務模式涉及與外部機構合作的，核心風控環節應當由商業銀行獨立開展且有效，不得將授信審查、風險控制、貸款發放、支付管理、貸后管理等核心業務環節委托給第三方合作機構。

• 商業銀行不得將上述風險模型的管理職責外包給第三方機構，并應當加強風險模型的保密管理。

• 除聯合貸款的合作出資方以外，商業銀行不得將貸款發放、本息回收、止付等關鍵環節操作交由其他合作機構執行。

　　五、合作機構：擴大范圍、名單制管理

　　合作機構指與商業銀行在營銷獲客、聯合貸款、風險分擔、信息科技、逾期催收等方面開展合作的各類機構，包括但不限于銀行業金融機構、保險公司等金融機構和融資擔保公司、電子商務公司、大數據公司、信息科技公司、貸款催收公司以及其他相關合作機構等非金融機構。和此前北京局2019年10月份的文件定義非常類似，盡量減少漏洞。

　　在范圍上把電商、大數據公司、信息科技公司等也納入在內，在準入方面，明確要求實施名單制管理，而且合作機構準入、合作類產品和具體合作模式應當在銀行總行層級履行審批程序。

　　六、聯合貸款：取消各方出資比例限制

　　此次版本中，明確了聯合貸款機構應當有貸款資質，并將聯合貸款限額、聯合貸款出資比例的權限由商業銀行董事會制定，而2018年8月的征求意見稿則對此作了明確的限制：

　　“單筆聯合貸款中，作為客戶推薦方的商業銀行出資比例不得低于30%；接受推薦客戶的銀行出資比例不得高于70%。作為客戶推薦方的商業銀行全部聯合貸款余額不得超過互聯網貸款余額的50%；接受客戶推薦的商業銀行全部聯合貸款不得超過全部互聯網貸款余額的30%”。

　　七、增信措施：禁止合作機構風險兜底、無資質機構提供擔保

　　明確規定不得接受合作機構直接和變相的風險兜底承諾，不得接受無擔保資質和無信用保證保險資質的合作機構提供的直接或變相增信服務。

　　如果合作機構是有資質的融資擔保公司或者信用保證保險公司呢，我們認為可以就具體的貸款提供相應的措施，而不能在合作協議或者抽屜協議中明確相關貸款風險由合作機構承擔。

　　八、合作機構費用：不得收取任何息費

　　第三方合作機構到底應該如何合法合規的收取費用，是行業內非常關注的問題。此次要求“合作機構不得以任何形式向借款人收取息費，并在書面合作協議中明確”。此前的141號文和19號文也都要求銀行業金融機構應要求并保證第三方合作機構不得向借款人收取息費，各類機構向借款人收取的綜合資金成本應統一折算為年化形式。

　　九、貸款支付方式：自主支付與受托支付

　　不得通過合作機構進行貸款支付。

　　商業銀行采用自主支付方式的，應當根據借款人過往行為數據、交易數據和信用數據等，確定單日貸款支付限額。

　　具有明確消費場景的個人貸款、支付對象明確且單筆支付金額超過10萬元的個人貸款或單筆支付金額超過30萬元的流動資金貸款必須受托支付。比現有的個人貸款監管要求更加嚴格。

　　以下為重點條款解讀：

　　商業銀行互聯網貸款管理暫行辦法（征求意見稿）

　　第一章 總則

　　第一條【制訂目的和依據】

　　為規范商業銀行互聯網貸款業務經營行為，促進互聯網貸款業務規范健康發展，依據《中華人民共和國銀行業監督管理法》、《中華人民共和國商業銀行法》等法律法規，制定本辦法。

　　第二條【適用范圍】

　　中華人民共和國境內依法設立的商業銀行經營互聯網貸款業務，應遵守本辦法。

　　第三條【定義】

　　本辦法所稱互聯網貸款，是指商業銀行運用互聯網和移動通信等信息通信技術，基于風險數據和風險模型進行交叉驗證和風險管理，線上自動受理貸款申請及開展風險評估，并完成授信審批、合同簽訂、放款支付、貸后管理等核心業務環節操作，為符合條件的借款人提供的用于借款人消費、日常生產經營周轉等的個人貸款和流動資金貸款。

　　本辦法所稱的風險數據是指商業銀行在對借款人進行身份確認，以及貸款風險識別、分析、評價、監測、預警和處置等環節收集、使用的各類內外部數據。

　　本辦法所稱的風險模型是指應用于互聯網貸款業務全流程的各類模型，包括但不限于身份認證模型、反欺詐模型、風險評價模型、授信審批模型、風險定價模型、風險預警模型、貸款催收模型等。

　　本辦法所稱的聯合貸款是指商業銀行與具有貸款資質的機構按約定比例出資共同發放的貸款。

　　金融監管研究院解讀：

　　這里明確了互聯網貸款和聯合貸款的定義。

　　參與聯合貸款的機構必須具有貸款資質，這和之前的規則一致，沒有變化；現實中也主要是互聯網銀行。

　　第四條

　　下列貸款不納入本辦法所稱互聯網貸款：

　　（一）商業銀行線下進行貸款調查、風險評估和預授信后，借款人在線上進行貸款申請及后續操作的貸款；

　　（二）商業銀行以借款人持有的房屋等資產為抵押物發放的貸款；

　　（三）中國銀行保險監督管理委員會規定的其他類型的貸款。

　　上述類型貸款應按照其他相關監管規定辦理。

　　金融監管研究院解讀：

　　這里明確了兩種模式不屬于“互聯網貸款”。之所以將房屋貸款排除在外，筆者認為還是從風險角度考慮相對可控，而且從辦理房屋抵押流程看也需要線下操作。

　　第五條【基本原則】

　　商業銀行辦理互聯網貸款業務，應當遵循小額、短期的原則。

　　單戶個人信用貸款授信額度應當不超過人民幣30萬元。個人貸款期限不超過一年。

　　商業銀行應根據自身風險管理能力，參考行業經驗，確定單戶流動資金授信額度上限，并對期限超過一年的流動資金貸款，至少每年對該筆貸款對應的授信進行重新評估和審批。

　　金融監管研究院解讀：

　　這里明確了單戶個人信用貸款授信額度上限為30萬元。

　　個貸期限的上限為1年。目前，多家商業銀行的互聯網貸款產品有18期、24期甚至36期的選擇，這些產品以后都需要作出調整。

　　總體強調小額短期，此前針對消費貸，浙江局、北京局、寧波局都提到堅持小額短期的監管導向，但是缺乏上位法的依據，地方局只能是一個監管偏好。

　　比如寧波局統計寧波轄內銀行個人綜合消費貸款占個人貸款總額20%左右，最長期限基本在5年以上，有5家銀行最長期限達30年；單戶最大余額基本在200萬元以上。并認為上述消費貸款期限過長，名義用途為耐用消費品或裝修等，但金額明顯超出最新司法解釋提出的“家庭日常生活需要”合理范圍。具體多大為大額，多長期限為長期限沒有定論。北京銀監局2014年就發文要求：原則上發放金額不超過100萬元、期限為10年以內的個人綜合消費貸款。

　　此次硬性將期限和金額限制住，對后續其他地方局而言也是一個不錯的參考。總體這也是本次監管文件為數不多的更加嚴格的定量指標。

　　第六條【業務規劃】

　　商業銀行應當根據其市場定位、發展戰略、競爭策略、客戶特點等，制定符合自身特點的互聯網貸款業務規劃，明確業務模式、業務對象、業務領域、地域范圍，以及業務發展的年度和中長期目標等。

　　互聯網貸款業務模式涉及與外部機構合作的，應當在互聯網貸款業務規劃中明確在貸款調查、授信評估、貸后管理等環節的具體合作方式，包括但不限于客戶推介，風險數據、風險模型，資金支持等方面的合作。

　　第七條【風險管理總體要求】

　　商業銀行應當在總行層面對互聯網貸款業務實行集中運營和統一管理，將互聯網貸款業務納入全面風險管理體系，建立健全適應互聯網貸款業務特點的風險管理制度、內部控制機制、網絡信息系統和安全防護措施，有效識別、評估、監測和控制互聯網貸款業務風險，確保互聯網貸款業務發展規劃、實際發展速度、業務規模與銀行的風險偏好、風險管理體系、風險管理能力相適應。

　　互聯網貸款業務模式涉及與外部機構合作的，核心風控環節應當由商業銀行獨立開展且有效，不得將授信審查、風險控制、貸款發放、支付管理、貸后管理等核心業務環節委托給第三方合作機構。

　　金融監管研究院解讀：

　　這里明確了銀行的義務，即授信審查、風險控制、貸款發放、支付管理、貸后管理等核心業務環節，商業銀行必須自行開展，不可外包。

　　原來在整治辦函〔2017〕141號文《關于規范整頓“現金貸”業務的通知》中，對銀行業金融機構強調的要求是不得將“授信審查、風險控制”等核心業務外包，更多注重貸前，這里則將“貸款發放、支付管理、貸后管理”也進行了列舉，同時也注重貸中和貸后管理。

　　第八條【地方法人機構】

　　地方法人銀行開展互聯網貸款業務，應主要服務于當地客戶，審慎開展跨注冊地轄區業務，識別和監測跨注冊地轄區互聯網貸款業務開展情況。無實體經營網點，業務主要在線上開展，且符合中國銀行保險監督管理委員會規定其他條件的除外。

　　在外省（自治區、直轄市）設立分支機構的，對分支機構所在地行政區域內客戶開展的業務，不屬于前款所稱跨注冊地轄區業務。

　　金融監管研究院解讀：

　　和上一版不同，此次征求意見稿雖然也要求地方法人銀行主要服務當地，但沒有設定向外省發放互聯網貸款的比例，只是要求“審慎”開展， “識別和監測”此類業務開展情況。

　　同時民營銀行不受次條款限制，沒有物理網點、主要業務均在線開展的銀行不受此限。

　　其實對于如何認定異地本身也很有爭議，之前2019年10月份北京局的文件要求按照客戶身份證地址、常住地、主要業務經營地、手機號碼歸屬地、客戶登錄IP地址等維度，來認定是否異地；也很難確定不會誤判。

　　而且從助貸主流消費貸的最核心監管文件《個人貸款管理暫行辦法》看，也沒有禁止異地授信，所以一般表述都是謹慎，加強管理。

　　第九條【消費者保護】

　　商業銀行應當建立健全互聯網借款人權益保護機制，切實承擔借款人數據保護的主體責任，加強借款人隱私數據保護，構建獨立的業務咨詢和投訴處理渠道，確保互聯網借款人享有不低于線下貸款業務的相應服務，將消費者保護要求嵌入互聯網貸款業務全流程管理體系。

　　第十條【監督管理】

　　中國銀行保險監督管理委員會及其派出機構依照本辦法對商業銀行互聯網貸款業務實施監督管理。

　　第二章 風險管理體系

　　第十一條【治理架構】

　　商業銀行應當建立健全互聯網貸款風險治理架構，明確董事會和高級管理層對互聯網貸款風險管理的職責，并建立適當的考核和問責機制。

　　第十二條【董事會職責】

　　商業銀行董事會承擔互聯網貸款風險管理的最終責任，包括：

　　（一）審議批準互聯網貸款業務規劃及合作機構管理政策；

　　（二）審議批準互聯網貸款風險管理制度，包括但不限于信用風險、流動性風險、操作風險和聲譽風險及法律風險等相關制度；

　　（三）審議批準互聯網貸款業務的重要風險管控指標；

　　（四）監督高級管理層對互聯網貸款風險實施有效的風險管理和控制；

　　（五）定期獲取互聯網貸款業務評估報告，及時了解互聯網貸款業務發展情況、風險水平、管理狀況及重大變化；

　　（六）其他有關職責。

　　第十三條【高管層職責】

　　商業銀行高級管理層應當履行以下職責：

　　（一）確定互聯網貸款風險管理組織架構，明確各部門職責分工；

　　（二）制定、定期評估并監督執行互聯網貸款業務規劃、風險管理政策和程序，以及互聯網貸款合作機構管理政策和程序；

　　（三）制定互聯網貸款業務的風險管控指標，包括但不限于互聯網貸款限額、聯合貸款限額、聯合貸款出資比例、合作機構集中度等；

　　（四）制定互聯網貸款業務的風險管理機制，持續、有效監測、控制和報告各類風險，并及時應對風險事件；

　　（五）充分了解并定期評估互聯網貸款業務發展情況、風險水平及管理狀況，及時了解其重大變化，并向董事會定期報告；

　　（六）其他有關職責。

　　金融監管研究院解讀：

　　此次版本中，取消了聯合貸款各方出資比例限制，明確將聯合貸款限額、聯合貸款出資比例的權限由商業銀行高管層制定。當然把鍋給銀行高管，并不是一點效果沒有，后續只要聯合貸款出現任何問題，監管就可以針對高管處罰。當刪除了此前2018年底定量指標，從而大幅度增加了監管彈性，防止出現監管風險的風險。筆者認為這是最大的監管進步。

　　而2018年8月的征求意見稿則擬對此作限制，要求單筆聯合貸款中，作為客戶推薦方的商業銀行出資比例不得低于30%；接受推薦客戶的銀行出資比例不得高于70%。作為客戶推薦方的商業銀行全部聯合貸款余額不得超過互聯網貸款余額的50%；

　　第十四條【風控資源】

　　商業銀行應當確保具有足夠的資源，獨立、有效開展互聯網貸款風險管理，確保董事會和高級管理層能夠準確理解風險數據和風險模型的作用與局限。

　　第十五條【風險管理方法和流程】

　　商業銀行互聯網貸款風險管理制度應當涵蓋營銷、調查、授信、簽約、放款、支付、跟蹤、收回等貸款業務全流程。

　　第十六條【貸款營銷】

　　商業銀行應當通過合法渠道和方式獲取目標客戶數據，開展貸款營銷，并充分評估目標客戶風險偏好和風險承受能力，有效落實適當性原則，將合適的產品推薦給合適的人。

　　商業銀行自身或通過合作機構向目標客戶推介互聯網貸款產品時，應當充分披露貸款主體、貸款條件、實際年利率、年化綜合資金成本、還本付息安排、逾期催收和咨詢投訴渠道等基本信息，保證客戶的知情權和自主選擇權，不得采取默認勾選、捆綁銷售等方式剝奪消費者意思表示的權利。

　　金融監管研究院解讀：

　　這里強調了要進行充分的信息披露，包括實際年利率、年化綜合資金成本。

　　客戶數據合法合規渠道，這點也考驗商業銀行對合作機構的篩選，很多消費場景是第三方提供，客戶營銷數據來源合規性在當前的監管環境下仍然面臨不小的挑戰。

　　第十七條【身份核驗】

　　商業銀行應當按照反洗錢和反恐怖融資等工作要求，通過構建身份認證模型，采取聯網核查、生物識別等有效措施識別客戶身份，線上對借款人的身份數據、借款意愿進行核驗，確保借款人的身份數據真實有效，借款意愿為借款人本人真實意愿的表達。

　　第十八條【反欺詐建設】

　　商業銀行應當建立有效的反欺詐機制，實時監測欺詐行為，定期分析欺詐風險變化情況，不斷完善反欺詐的模型審核規則和相關技術手段，防范冒充他人身份、惡意騙取銀行貸款的行為，保障信貸資金安全。

　　第十九條【貸前調查】

　　商業銀行應當在獲得授權后查詢借款人的征信信息，通過合法渠道和手段線上收集、查詢和驗證借款人相關定性和定量信息，如稅務、社會保險基金、住房公積金等信息，進行貸前調查。

　　第二十條【貸中審查】

　　商業銀行應當構建有效的風險評價、授信審批和風險定價模型，加強統一授信管理，運用風險數據，結合借款人已有債務情況，審慎評估借款人還款能力，合理確定借款人信用等級和授信方案。

　　第二十一條【人工復核】

　　商業銀行應當建立人工復核驗證機制，作為對風險模型自動審批的必要補充。商業銀行應當明確人工復核驗證的觸發條件，合理設置人工復核驗證的操作規程，有效防控貸款風險。

　　第二十二條【合同簽訂】

　　商業銀行應當與借款人及其他相關當事人采用數據電文形式簽訂書面借款合同及其他相關文書。以數據電文形式簽訂的合同及其他相關文書應當符合《中華人民共和國合同法》、《中華人民共和國電子簽名法》等法律法規。

　　第二十三條【資金用途】

　　商業銀行應當與借款人約定明確、合法的貸款用途。貸款資金不得用于以下事項：

　　（一）購房及償還住房抵押貸款；

　　（二）股票、債券、期貨、金融衍生產品和資產管理產品等投資；

　　（三）固定資產、股本權益性投資；

　　（四）法律法規禁止的其他用途。

　　第二十四條【合同存儲】

　　商業銀行應當按照相關法律法規的要求，儲存、傳遞以數據電文形式簽訂的借款合同。已簽訂的借款合同應可供借款人隨時調取查用。

　　第二十五條【放款控制】

　　借款合同簽訂與貸款發放時間間隔超過1個月的，商業銀行應當在貸款發放前查詢借款人信貸記錄，重點關注借款人在貸款發放前的新增貸款情況，根據借款人貸款情況和還款能力，審慎確定對借款人的放款額度，防止過度授信。

　　第二十六條【貸款支付】

　　商業銀行應當按照借款合同約定，對貸款資金的支付進行管理與控制，不得通過合作機構進行貸款支付。商業銀行采用自主支付方式的，應當根據借款人過往行為數據、交易數據和信用數據等，確定單日貸款支付限額。

　　金融監管研究院解讀：

　　這里的不得進行貸款支付的合作機構，應該是不包括除聯合貸款的合作出資方的。

　　根據后面要求如果支付對象步明確，或者金額低于10萬都有可能自主支付，但是自主支付容易資金挪用。此前監管對消費貸款的自主支付，一般業內良好做法：

　　1、建立貸款資金用途監測攔截機制，轉入本行同名三方存管賬戶等特定禁止性賬戶要實現自動攔截，對含有地產、置業、財富管理、互聯網金融等敏感流向實行自動監測預警，借款人繼續轉賬的須逐戶排查，確認違規用款的須提前收回貸款。

　　2、限制典當拍賣、信托、證券、理財、博彩、保險、信用卡還款以及房地產等類商戶在貸款放款賬戶的POS端使用；

　　3、通過系統限制貸款資金的銀證轉賬、基金銷售、綜合理財、黃金交易和銀聯通等功能；

　　4、限制貸款資金的同戶名轉賬功能。

　　第二十七條【受托支付】

　　具有以下情形之一的，應當采用商業銀行受托支付方式：

　　（一）具有明確消費場景的個人貸款；

　　（二）支付對象明確且單筆支付金額超過10萬元的個人貸款；

　　（三）支付對象明確且單筆支付金額超過30萬元的流動資金貸款；

　　（四）商業銀行認定的其他情形。

　　金融監管研究院解讀：

　　商業銀行采用自主支付方式的，應當根據借款人過往行為數據、交易數據和信用數據等，確定單日貸款支付限額。

　　具有明確消費場景的個人貸款、支付對象明確且單筆支付金額超過10萬元的個人貸款或單筆支付金額超過30萬元的流動資金貸款必須受托支付。

　　總體比《個人貸款管理暫行辦法》更加嚴格，支付對象明確且超過30萬的貸款必須受托支付。

　　第二十八條【貸后管理】

　　商業銀行應當通過建立風險監測預警模型，對借款人財務、信用、經營等情況進行監測風險，設置合理的預警指標與預警觸發條件，及時發出預警信號。必要時應通過人工開展非現場查閱或現場檢查借款人相關數據行為作為補充手段。

　　第二十九條【貸款用途監測】

　　商業銀行應當采取適當方式對貸款用途進行監測，發現借款人違反法律法規未按照約定用途使用貸款資金的，應當按照合同約定提前收回貸款，并追究借款人相應責任。

　　第三章 風險數據和風險模型管理

　　第三十條【風險數據來源】

　　商業銀行進行借款人身份驗證、貸前調查、風險評估和授信審查、貸后管理時，如果需要從外部合作機構獲取借款人風險數據，應當至少包含借款人姓名、身份證號、聯系電話、銀行賬戶等基本信息，且通過適當方式確認合作機構的數據來源合法合規，并已獲得數據所有權人的明確授權。

　　第三十一條【風險數據使用】

　　商業銀行收集、使用借款人風險數據應當遵循合法、必要、有效的原則，不得違反法律法規和借貸雙方約定，不得將風險數據用于從事與貸款業務無關或有損借款人利益的活動，不得違法違規向第三方提供借款人風險數據和泄露借款人敏感數據。

　　金融監管研究院解讀：

　　即不得以所謂“大數據”等等名義，違規提供、交易甚至泄露個人信息。

　　第三十二條【風險數據保管】

　　商業銀行應當建立風險數據安全管理的策略與標準，采取有效技術措施，保障借款人風險數據在采集、傳輸、存儲、處理和銷毀過程中的安全，防范數據泄漏、丟失或被篡改的風險。

　　第三十三條【風險數據質量】

　　商業銀行應當采取措施對風險數據進行必要的處理，以滿足風險模型對數據精確性、完整性、一致性、時效性、有效性等的要求。

　　第三十四條【風險模型管理流程】

　　商業銀行應當合理分配風險模型開發、測試、評審、監測評估、優化、退出等環節的職責和權限，做到分工明確、責任清晰。商業銀行不得將上述風險模型的管理職責外包給第三方機構，并應當加強風險模型的保密管理。

　　第三十五條【風險模型開發】

　　商業銀行應當結合貸款產品特點、目標客戶特征、風險數據約束和風險管理策略等因素，選擇合適的技術標準和建模方法，科學設置模型參數，構建風險模型。

　　第三十六條【風險模型測試】

　　商業銀行應當運用充足的風險數據，包括壓力情景下的風險數據，測試并評價模型的有效性和穩定性，并根據測試結果完善風險模型。

　　第三十七條【風險模型評審】

　　商業銀行應當建立風險模型評審機制，成立專業的模型評審委員會負責互聯網貸款風險模型評審工作。風險模型評審應當獨立于風險模型開發，評審工作應當重點關注風險模型有效性和穩定性，并確保與銀行授信審批條件和風險控制標準相一致。經評審通過后風險模型方可上線應用。

　　第三十八條【風險模型監測】

　　商業銀行應當建立有效的風險模型日常監測體系，監測內容至少包括已上線應用風險模型的表現與穩定性，所有經模型審批通過貸款實際違約情況等。監測發現模型缺陷的，應當保證能及時提示風險模型驗證部門或團隊進行重新驗證、優化或者退出。

　　第三十九條【風險模型驗證】

　　商業銀行應當確定獨立的風險模型驗證部門或團隊，定期對已上線應用風險模型有效性進行驗證，確保達到模型設計目標，并及時發現模型可能存在的缺陷。

　　第四十條【風險模型優化】

　　商業銀行應當根據驗證情況，對風險模型進行持續優化，并使其能夠不斷適應貸款風險管理要求的變化。

　　第四十一條【風險模型退出】

　　商業銀行應當建立風險模型失效處置機制。對于無法繼續滿足風險管理要求的風險模型，應當立即停止使用，并及時采取相應措施，消除模型失效給貸款風險管理帶來的不利影響。

　　第四十二條【模型記錄】

　　商業銀行應當對從風險模型開發至退出的全過程全面記錄，并進行文檔化管理，供本行和銀行業監督管理機構相關人員隨時查閱。

　　第四章 信息科技風險管理

　　第四十三條【系統建設】

　　商業銀行應當建立安全、合規、高效和可靠的互聯網貸款信息系統，以滿足互聯網貸款業務經營和風險管理需要。

　　第四十四條【系統運營維護】

　　商業銀行應當注重提高互聯網貸款信息系統的可用性和可靠性，加強對互聯網貸款信息系統的安全運營管理和維護，定期開展安全測試和壓力測試，確保系統可安全、穩定、持續運行。

　　第四十五條【網絡安全】

　　商業銀行應當采取必要的網絡安全防護措施，加強網絡訪問控制和行為監測，有效防范網絡攻擊等威脅。與合作機構涉及數據交互行為的，應當采取切實措施，實現敏感數據的有效隔離，保證數據交互在安全、合規的環境下進行。

　　第四十六條【客戶端安全】

　　商業銀行應當加強對部署在借款人一方的互聯網貸款信息系統客戶端程序（包括但不限于瀏覽器插件程序、桌面客戶端程序和移動客戶端程序等）的安全加固，提高客戶端程序的防攻擊、防入侵、抗反編譯等安全能力。

　　第四十七條【數據安全】

　　商業銀行應當采用有效技術手段，保障借款人數據安全，確保商業銀行與借款人、合作機構之間傳輸數據、簽訂合同、記錄交易等各個環節數據的保密性、完整性、真實性和抗抵賴性，并做好定期數據備份工作。

　　第四十八條【合作機構系統安全】

　　商業銀行應當充分評估合作機構的信息系統服務能力、可靠性和安全性以及敏感數據的安全保護能力，開展聯合演練和測試，加強合同約束，確保不因外部合作而降低商業銀行信息系統的安全性，確保業務連續性。

　　第五章 貸款合作

　　第四十九條【合作機構定義】

　　本辦法所指合作機構是指在互聯網貸款業務中，與商業銀行在營銷獲客、聯合貸款、風險分擔、信息科技、逾期催收等方面開展合作的各類機構，包括但不限于銀行業金融機構、保險公司等金融機構和融資擔保公司、電子商務公司、大數據公司、信息科技公司、貸款催收公司以及其他相關合作機構等非金融機構。

　　金融監管研究院解讀：

　　這里給出了合作機構的定義，并進行了舉例說明，在范圍上把電商、大數據公司、信息科技公司等也納入在內。建議正式稿將該定義前置，和其他定義一樣放在第三條。畢竟在該定義之前，“合作機構”一詞已經出現多次。

　　2019年10月北京銀保監局出臺了《關于規范銀行與金融科技公司合作類業務及互聯網保險業務的通知》（京銀保監發[2019]310號）和這里定義非常類似，從更加全面角度界定，還包括銀行系科技子公司。

　　第五十條【合作機構準入】

　　商業銀行應當建立覆蓋各類合作機構的準入機制，明確相應標準和程序，并實行名單制管理。合作機構準入、合作類產品和具體合作模式應當在銀行總行層級履行審批程序，并確保合作機構與合作事項符合法律法規和監管要求。

　　商業銀行應當主要從經營情況、管理能力、風控水平、技術實力、服務質量、業務合規和機構聲譽等方面對合作機構進行準入評估。對聯合貸款合作機構選擇，還應重點關注合作方資本充足率水平、杠桿率、不良貸款率、貸款集中度及其變化，審慎確定聯合貸款合作機構名單。

　　金融監管研究院解讀：

　　這里明確，準入機制要覆蓋各類合作機構。

　　也就是說，不僅僅是參與聯合貸款，信息科技合作的機構需要準入，對于參與前期營銷、風險分擔乃至后期催收等各個環節的不同類型的合作機構，均需要建立準入機制、均需要名單制管理。尤其是近期監管對催收環節的刑事責任調查，在營銷環節的個人金融信息保護都對銀行篩選合作方提出更高要求。

　　第五十一條【合作協議】

　　商業銀行應當與合作機構簽訂書面合作協議。書面合作協議應明確約定合作范圍、操作流程、各方權責、收益分配、風險分擔、客戶權益保護、數據保密、審計檢查、爭議解決、合作事項變更或終止的過渡安排、違約責任等內容。

　　商業銀行應當自主確定目標客戶群、授信額度和貸款定價標準；商業銀行不得為合作機構自身及其關聯方直接或變相進行融資。除聯合貸款的合作出資方以外，商業銀行不得將貸款發放、本息回收、止付等關鍵環節操作交由其他合作機構執行，應當要求合作機構不得以任何形式向借款人收取息費，并在書面合作協議中明確。

　　金融監管研究院解讀：

　　本條重點在于規避合作機構風險。銀行不能給合作機構或其關聯方融資，同時也不能將放貸和回收等關鍵操作交由合作機構執行（聯合貸款合作方除外）。

　　第五十二條【合作信息披露】

　　商業銀行應當向借款人充分披露自身與合作機構信息、合作類產品的信息、自身與合作各方權利責任，避免客戶產生品牌混同，按照適當性原則充分揭示合作業務風險。

　　商業銀行應在借款合同中以醒目方式向借款人充分披露合作類產品的貸款主體、實際貸款年利率、年化綜合資金成本、還本付息安排、逾期催收、咨詢投訴渠道等信息。商業銀行需要向借款人獲取風險數據授權時，應在線上相關頁面醒目位置提示借款人詳細閱讀授權書內容，并在授權書醒目位置披露授權風險數據內容和期限，并確保借款人完成授權書閱讀后簽署同意。

　　第五十三條【聯合貸款合作】

　　商業銀行與其他有貸款資質的機構聯合發放互聯網貸款的，應當建立聯合貸款內部管理制度，并在制度中明確本行聯合貸款授權管理機制。商業銀行應當獨立對所出資的貸款進行風險評估和授信審批。商業銀行不得以任何形式為無放貸業務資質的合作機構提供資金用于發放貸款，不得與無放貸業務資質的合作機構共同出資發放貸款。

　　金融監管研究院解讀：

　　由于前面的定義就已經明確，“聯合貸款”就是指商業銀行與具有貸款資質的機構共同發放的貸款，因而無放貸業務資質不能參與聯合貸款。這里的要求也是必然的。

　　第五十四條【集中度管理】

　　商業銀行應當充分考慮自身發展戰略、經營模式、資產負債結構和風險管理能力，將聯合貸款總額按照零售貸款總額或者貸款總額相應比例納入限額管理，并加強聯合貸款合作機構的集中度風險管理。商業銀行應當對單筆貸款出資比例實行區間管理，與合作方合理分擔風險。

　　第五十五條【擔保增信】

　　商業銀行不得接受合作機構直接和變相的風險兜底承諾。商業銀行不得接受無擔保資質和無信用保證保險資質的合作機構提供的直接或變相增信服務。商業銀行與有擔保資質和有信用保證保險資質的合作機構合作時應當充分考慮上述機構的增信能力和集中度風險。

　　金融監管研究院解讀：

　　這里重申合作機構不得以任何方式對風險進行擔保，同時重申了進行擔保和增信的機構必須有相應資質。

　　該要求早在整治辦函〔2017〕141號文中就已經提出過，“銀行業金融機構不得接受無擔保資質的第三方機構提供增信服務以及兜底承諾等變相增信服務”。

　　這里在再次強調資質的同時，也要求考量有資質機構的能力和集中度風險。

　　第五十六條【催收合作】

　　商業銀行不得委托有暴力催收等違法違規記錄的第三方催收機構進行貸款催收。發現合作催收機構存在暴力催收等違法違規行為的，應當立即終止合作，并將違法違規線索及時移交相關部門。

　　第五十七條【合作機構退出】

　　商業銀行應當持續對合作機構進行評估，發現合作機構無法繼續滿足準入條件的，應當及時終止合作關系，合作機構在合作期間有嚴重違法違規行為的，應當及時將其列入本行禁止合作機構名單。

　　第六章 監督管理

　　第五十八條【資質評估】

　　商業銀行開展互聯網貸款業務的，應當對照本辦法要求，向其監管機構提交書面報告，包括：

　　（一）業務規劃情況，包括年度及中長期互聯網貸款業務模式、業務對象、業務領域和地域范圍等，互聯網貸款及聯合貸款業務計劃，外部合作機構管理等。

　　（二）風險管控措施，包括互聯網貸款業務治理架構、管理體系，互聯網貸款風險偏好、風險管理政策和程序，信息系統建設情況及信息科技風險評估，互聯網貸款合作機構管理政策和程序，以及互聯網貸款業務限額、聯合貸款限額、聯合貸款出資比例、合作機構集中度等重要風險管控指標；

　　（三）擬上線的互聯網貸款產品基本情況，包括產品合規性評估、產品風險評估，風險數據、風險模型以及風險模型的內部測試情況等；

　　（四）銀行業監督管理機構要求提供的其他材料。

　　第五十九條

　　銀行業監督管理機構應當結合監管評級，對商業銀行提交的報告和相關材料進行評估，重點評估：

　　（一）互聯網貸款業務規劃與自身業務定位、差異化發展戰略是否匹配；

　　（二）是否獨立掌握授信審查、風險控制、貸款發放、支付管理、貸后管理等核心業務環節；

　　（三）信息科技風險基礎防范措施是否健全；

　　（四）擬上線產品在授信額度、期限、放款控制、數據保護、合作機構管理等是否符合本辦法要求等。

　　如發現不符合本辦法要求，可要求商業銀行限期整改。

　　第六十條【自評估與內部審計】

　　已開展互聯網貸款業務的商業銀行，應當按照本辦法要求，對互聯網貸款業務開展情況進行年度自評估，并根據業務實際開展情況進行內部審計，確保互聯網貸款業務發展情況與風險管控措施、業務規劃相匹配，風險管控措施切實履行貸款主體責任。

　　商業銀行應當于每年4月30日前向銀行業監督管理機構報送上一年年度評估報告和內部審計報告。年度評估報告包括但不限于以下內容：

　　（一）業務基本情況；

　　（二）本年度業務經營管理情況分析；

　　（三）業務風險分析和監管指標表現分析；

　　（四）識別、計量、監測、控制風險的主要方法及改進情況，信息科技風險防控措施的有效性；

　　（五）風險模型的監測與驗證情況；

　　（六）合規管理和內控管理情況；

　　（七）投訴及處理情況；

　　（八）下一年度業務發展規劃；

　　（九）銀行業監督管理機構要求報告的其他事項。

　　第六十一條【重大事項報告】

　　互聯網貸款的風險治理架構、風險管理策略和程序、數據質量控制機制、管理信息系統和合作機構管理等在經營期間發生重大調整的，商業銀行應當在調整后的30個工作日內向銀行業監督管理機構書面報告調整情況。

　　第六十二條【產品報告】

　　每個互聯網貸款產品上線前，應當于不晚于上線前30個工作日提交獨立的產品評估報告。

　　金融監管研究院解讀：

　　即對于開展互聯網貸款業務的商業銀行而言，不僅要對整體的互聯網貸款業務開展情況進行年度自評，針對每個互聯網貸款產品，也需要在上線前提交針對產品的評估報告。

　　第六十三條【監督檢查】

　　銀行業監督管理機構可以通過非現場監管、現場檢查等方式，實施對商業銀行互聯網貸款業務的監督檢查。監督檢查應包括對商業銀行互聯網貸款業務數據統計與監測、重要風險因素評估等。

　　第六十四條【監管措施】

　　商業銀行違反本辦法規定辦理互聯網貸款的，由銀行業監督管理機構責令其限期改正。逾期未改正，或其行為嚴重危及商業銀行穩健運行、損害客戶合法權益的，銀行業監督管理機構可根據《中華人民共和國銀行業監督管理法》第三十七條采取相應的監管措施；嚴重違反本辦法的，可根據《中華人民共和國銀行業監督管理法》第四十五條、第四十六條、第四十七條、第四十八條規定實施行政處罰。

　　第七章 附則

　　第六十五條【制定實施細則】

　　商業銀行經營互聯網貸款，應當依照本辦法制定互聯網貸款管理細則及操作規程。

　　第六十六條【適用性】

　　本辦法未盡事項，按照《流動資金貸款管理暫行辦法》、《個人貸款管理暫行辦法》等相關規定執行。

　　第六十七條【消費金融公司】

　　除第五條中個人貸款授信額度、個人貸款期限要求外，消費金融公司開展互聯網貸款業務參照本辦法執行。

　　金融監管研究院解讀：

　　即單戶個人信用貸款授信額度應當不超過人民幣30萬元。個人貸款期限不超過一年的要求，對消費金融公司豁免。

　　第六十八條【解釋權】

　　本辦法由中國銀行保險監督管理委員會負責解釋。

　　第六十九條【實施時間】

　　本辦法自發布之日起施行。

　　第七十條【過渡期安排】

　　過渡期為本辦法實施之日起3年。過渡期內新增業務應當符合本辦法規定。商業銀行和消費金融公司應當制定過渡期內的互聯網貸款整改計劃，明確時間進度安排，并報送銀行業監督管理機構，由其認可并監督實施。

　　金融監管研究院解讀：

　　這個過渡期主要是為存量業務的調整做準備的，新增業務須立即符合本辦法。這也意味著如果合作機構不符合本辦法的，相關業務可能也得暫停。

責任編輯：張緣成