新規速讀
據自媒體消息,《商業銀行互聯網貸款管理暫行辦法》已在業內徵求意見。辦法對於互聯網貸款概念進行了明確,在合作機構類型、風險管理體系、銀行業務規劃、貸款營銷收費模式、風險管控機制等諸多方面,均做出了詳細規定。
《商業銀行互聯網貸款管理暫行辦法》
第一章 總則
第一條【制訂目的和依據】為規範商業銀行互聯網貸款業務經營行為,促進互聯網貸款業務規範健康發展,依據《中華人民共和國銀行業監督管理法》、《中華人民共和國商業銀行法》等法律法規,制定本辦法。
第二條【適用範圍】中華人民共和國境內依法設立的商業銀行經營互聯網貸款業務,應遵守本辦法。
第三條【定義】本辦法所稱互聯網貸款,是指商業銀行運用互聯網和移動通信等信息通信技術,基於風險數據和風險模型進行交叉驗證和風險管理,線上自動受理貸款申請及開展風險評估,並完成授信審批、合同簽訂、放款支付、貸後管理等核心業務環節操作,為符合條件的借款人提供的用於借款人消費、日常生產經營週轉等的個人貸款和流動資金貸款。
本辦法所稱的風險數據是指商業銀行在對借款人進行身份確認,以及貸款風險識別、分析、評價、監測、預警和處置等環節收集、使用的各類內外部數據。
本辦法所稱的風險模型是指應用於互聯網貸款業務全流程的各類模型,包括但不限於身份認證模型、反欺詐模型、風險評價模型、授信審批模型、風險定價模型、風險預警模型、貸款催收模型等。
本辦法所稱的聯合貸款是指商業銀行與具有貸款資質的機構按約定比例出資共同發放的貸款。
第四條 下列貸款不納入本辦法所稱互聯網貸款:
(一)商業銀行線下進行貸款調查、風險評估和預授信後,借款人在線上進行貸款申請及後續操作的貸款;
(二)商業銀行以借款人持有的房屋等資產為抵押物發放的貸款;
(三)中國銀行保險監督管理委員會規定的其他類型的貸款。
上述類型貸款應按照其他相關監管規定辦理。
第五條【基本原則】商業銀行辦理互聯網貸款業務,應當遵循小額、短期的原則。
單戶個人信用貸款授信額度應當不超過人民幣30萬元。個人貸款期限不超過一年。
商業銀行應根據自身風險管理能力,參考行業經驗,確定單戶流動資金授信額度上限,並對期限超過一年的流動資金貸款,至少每年對該筆貸款對應的授信進行重新評估和審批。
第六條【業務規劃】商業銀行應當根據其市場定位、發展戰略、競爭策略、客戶特點等,制定符合自身特點的互聯網貸款業務規劃,明確業務模式、業務對象、業務領域、地域範圍,以及業務發展的年度和中長期目標等。
互聯網貸款業務模式涉及與外部機構合作的,應當在互聯網貸款業務規劃中明確在貸款調查、授信評估、貸後管理等環節的具體合作方式,包括但不限於客戶推介,風險數據、風險模型,資金支持等方面的合作。
第七條【風險管理總體要求】商業銀行應當在總行層面對互聯網貸款業務實行集中運營和統一管理,將互聯網貸款業務納入全面風險管理體系,建立健全適應互聯網貸款業務特點的風險管理制度、內部控制機制、網絡信息系統和安全防護措施,有效識別、評估、監測和控制互聯網貸款業務風險,確保互聯網貸款業務發展規劃、實際發展速度、業務規模與銀行的風險偏好、風險管理體系、風險管理能力相適應。
互聯網貸款業務模式涉及與外部機構合作的,核心風控環節應當由商業銀行獨立開展且有效,不得將授信審查、風險控制、貸款發放、支付管理、貸後管理等核心業務環節委託給第三方合作機構。
第八條【地方法人機構】地方法人銀行開展互聯網貸款業務,應主要服務於當地客戶,審慎開展跨註冊地轄區業務,識別和監測跨註冊地轄區互聯網貸款業務開展情況。無實體經營網點,業務主要在線上開展,且符合中國銀行保險監督管理委員會規定其他條件的除外。
在外省(自治區、直轄市)設立分支機構的,對分支機構所在地行政區域內客戶開展的業務,不屬於前款所稱跨註冊地轄區業務。
第九條【消費者保護】商業銀行應當建立健全互聯網借款人權益保護機制,切實承擔借款人數據保護的主體責任,加強借款人隱私數據保護,構建獨立的業務諮詢和投訴處理渠道,確保互聯網借款人享有不低於線下貸款業務的相應服務,將消費者保護要求嵌入互聯網貸款業務全流程管理體系。
第十條【監督管理】中國銀行保險監督管理委員會及其派出機構依照本辦法對商業銀行互聯網貸款業務實施監督管理。
第二章 風險管理體系
第十一條【治理架構】商業銀行應當建立健全互聯網貸款風險治理架構,明確董事會和高級管理層對互聯網貸款風險管理的職責,並建立適當的考核和問責機制。
第十二條【董事會職責】商業銀行董事會承擔互聯網貸款風險管理的最終責任,包括:
(一)審議批准互聯網貸款業務規劃及合作機構管理政策;
(二)審議批准互聯網貸款風險管理制度,包括但不限於信用風險、流動性風險、操作風險和聲譽風險及法律風險等相關制度;
(三)審議批准互聯網貸款業務的重要風險管控指標;
(四)監督高級管理層對互聯網貸款風險實施有效的風險管理和控制;
(五)定期獲取互聯網貸款業務評估報告,及時瞭解互聯網貸款業務發展情況、風險水平、管理狀況及重大變化;
(六)其他有關職責。
第十三條【高管層職責】商業銀行高級管理層應當履行以下職責:
(一)確定互聯網貸款風險管理組織架構,明確各部門職責分工;
(二)制定、定期評估並監督執行互聯網貸款業務規劃、風險管理政策和程序,以及互聯網貸款合作機構管理政策和程序;
(三)制定互聯網貸款業務的風險管控指標,包括但不限於互聯網貸款限額、聯合貸款限額、聯合貸款出資比例、合作機構集中度等;
(四)制定互聯網貸款業務的風險管理機制,持續、有效監測、控制和報告各類風險,並及時應對風險事件;
(五)充分了解並定期評估互聯網貸款業務發展情況、風險水平及管理狀況,及時瞭解其重大變化,並向董事會定期報告;
(六)其他有關職責。
第十四條【風控資源】商業銀行應當確保具有足夠的資源,獨立、有效開展互聯網貸款風險管理,確保董事會和高級管理層能夠準確理解風險數據和風險模型的作用與侷限。
第十五條【風險管理方法和流程】商業銀行互聯網貸款風險管理制度應當涵蓋營銷、調查、授信、簽約、放款、支付、跟蹤、收回等貸款業務全流程。
第十六條【貸款營銷】商業銀行應當通過合法渠道和方式獲取目標客戶數據,開展貸款營銷,並充分評估目標客戶風險偏好和風險承受能力,有效落實適當性原則,將合適的產品推薦給合適的人。
商業銀行自身或通過合作機構向目標客戶推介互聯網貸款產品時,應當充分披露貸款主體、貸款條件、實際年利率、年化綜合資金成本、還本付息安排、逾期催收和諮詢投訴渠道等基本信息,保證客戶的知情權和自主選擇權,不得采取默認勾選、捆綁銷售等方式剝奪消費者意思表示的權利。
第十七條【身份核驗】商業銀行應當按照反洗錢和反恐怖融資等工作要求,通過構建身份認證模型,採取聯網核查、生物識別等有效措施識別客戶身份,線上對借款人的身份數據、借款意願進行核驗,確保借款人的身份數據真實有效,借款意願為借款人本人真實意願的表達。
第十八條【反欺詐建設】商業銀行應當建立有效的反欺詐機制,實時監測欺詐行為,定期分析欺詐風險變化情況,不斷完善反欺詐的模型審核規則和相關技術手段,防範冒充他人身份、惡意騙取銀行貸款的行為,保障信貸資金安全。
第十九條【貸前調查】商業銀行應當在獲得授權後查詢借款人的徵信信息,通過合法渠道和手段線上收集、查詢和驗證借款人相關定性和定量信息,如稅務、社會保險基金、住房公積金等信息,進行貸前調查。
第二十條【貸中審查】商業銀行應當構建有效的風險評價、授信審批和風險定價模型,加強統一授信管理,運用風險數據,結合借款人已有債務情況,審慎評估借款人還款能力,合理確定借款人信用等級和授信方案。
第二十一條【人工複核】商業銀行應當建立人工複核驗證機制,作為對風險模型自動審批的必要補充。商業銀行應當明確人工複核驗證的觸發條件,合理設置人工複核驗證的操作規程,有效防控貸款風險。
第二十二條【合同簽訂】商業銀行應當與借款人及其他相關當事人採用數據電文形式簽訂書面借款合同及其他相關文書。以數據電文形式簽訂的合同及其他相關文書應當符合《中華人民共和國合同法》、《中華人民共和國電子簽名法》等法律法規。
第二十三條【資金用途】商業銀行應當與借款人約定明確、合法的貸款用途。貸款資金不得用於以下事項:
(一)購房及償還住房抵押貸款;
(二)股票、債券、期貨、金融衍生產品和資產管理產品等投資;
(三)固定資產、股本權益性投資;
(四)法律法規禁止的其他用途。
第二十四條【合同存儲】商業銀行應當按照相關法律法規的要求,儲存、傳遞以數據電文形式簽訂的借款合同。已簽訂的借款合同應可供借款人隨時調取查用。
第二十五條【放款控制】借款合同簽訂與貸款發放時間間隔超過1個月的,商業銀行應當在貸款發放前查詢借款人信貸記錄,重點關注借款人在貸款發放前的新增貸款情況,根據借款人貸款情況和還款能力,審慎確定對借款人的放款額度,防止過度授信。
第二十六條【貸款支付】商業銀行應當按照借款合同約定,對貸款資金的支付進行管理與控制,不得通過合作機構進行貸款支付。商業銀行採用自主支付方式的,應當根據借款人過往行為數據、交易數據和信用數據等,確定單日貸款支付限額。
第二十七條【受託支付】具有以下情形之一的,應當採用商業銀行受託支付方式:
(一)具有明確消費場景的個人貸款;
(二)支付對象明確且單筆支付金額超過10萬元的個人貸款;
(三)支付對象明確且單筆支付金額超過30萬元的流動資金貸款;
(四)商業銀行認定的其他情形。
第二十八條【貸後管理】商業銀行應當通過建立風險監測預警模型,對借款人財務、信用、經營等情況進行監測風險,設置合理的預警指標與預警觸發條件,及時發出預警信號。必要時應通過人工開展非現場查閱或現場檢查借款人相關數據行為作為補充手段。
第二十九條【貸款用途監測】商業銀行應當採取適當方式對貸款用途進行監測,發現借款人違反法律法規未按照約定用途使用貸款資金的,應當按照合同約定提前收回貸款,並追究借款人相應責任。
第三章 風險數據和風險模型管理
第三十條【風險數據來源】商業銀行進行借款人身份驗證、貸前調查、風險評估和授信審查、貸後管理時,如果需要從外部合作機構獲取借款人風險數據,應當至少包含借款人姓名、身份證號、聯繫電話、銀行賬戶等基本信息,且通過適當方式確認合作機構的數據來源合法合規,並已獲得數據所有權人的明確授權。
第三十一條【風險數據使用】商業銀行收集、使用借款人風險數據應當遵循合法、必要、有效的原則,不得違反法律法規和借貸雙方約定,不得將風險數據用於從事與貸款業務無關或有損借款人利益的活動,不得違法違規向第三方提供借款人風險數據和洩露借款人敏感數據。
第三十二條【風險數據保管】商業銀行應當建立風險數據安全管理的策略與標準,採取有效技術措施,保障借款人風險數據在採集、傳輸、存儲、處理和銷燬過程中的安全,防範數據洩漏、丟失或被篡改的風險。
第三十三條【風險數據質量】商業銀行應當採取措施對風險數據進行必要的處理,以滿足風險模型對數據精確性、完整性、一致性、時效性、有效性等的要求。
第三十四條【風險模型管理流程】商業銀行應當合理分配風險模型開發、測試、評審、監測評估、優化、退出等環節的職責和權限,做到分工明確、責任清晰。商業銀行不得將上述風險模型的管理職責外包給第三方機構,並應當加強風險模型的保密管理。
第三十五條【風險模型開發】商業銀行應當結合貸款產品特點、目標客戶特徵、風險數據約束和風險管理策略等因素,選擇合適的技術標準和建模方法,科學設置模型參數,構建風險模型。
第三十六條【風險模型測試】商業銀行應當運用充足的風險數據,包括壓力情景下的風險數據,測試並評價模型的有效性和穩定性,並根據測試結果完善風險模型。
第三十七條【風險模型評審】商業銀行應當建立風險模型評審機制,成立專業的模型評審委員會負責互聯網貸款風險模型評審工作。風險模型評審應當獨立於風險模型開發,評審工作應當重點關注風險模型有效性和穩定性,並確保與銀行授信審批條件和風險控制標準相一致。經評審通過後風險模型方可上線應用。
第三十八條【風險模型監測】商業銀行應當建立有效的風險模型日常監測體系,監測內容至少包括已上線應用風險模型的表現與穩定性,所有經模型審批通過貸款實際違約情況等。監測發現模型缺陷的,應當保證能及時提示風險模型驗證部門或團隊進行重新驗證、優化或者退出。
第三十九條【風險模型驗證】商業銀行應當確定獨立的風險模型驗證部門或團隊,定期對已上線應用風險模型有效性進行驗證,確保達到模型設計目標,並及時發現模型可能存在的缺陷。
第四十條【風險模型優化】商業銀行應當根據驗證情況,對風險模型進行持續優化,並使其能夠不斷適應貸款風險管理要求的變化。
第四十一條【風險模型退出】商業銀行應當建立風險模型失效處置機制。對於無法繼續滿足風險管理要求的風險模型,應當立即停止使用,並及時採取相應措施,消除模型失效給貸款風險管理帶來的不利影響。
第四十二條【模型記錄】商業銀行應當對從風險模型開發至退出的全過程全面記錄,並進行文檔化管理,供本行和銀行業監督管理機構相關人員隨時查閱。
第四章 信息科技風險管理
第四十三條【系統建設】商業銀行應當建立安全、合規、高效和可靠的互聯網貸款信息系統,以滿足互聯網貸款業務經營和風險管理需要。
第四十四條【系統運營維護】商業銀行應當注重提高互聯網貸款信息系統的可用性和可靠性,加強對互聯網貸款信息系統的安全運營管理和維護,定期開展安全測試和壓力測試,確保系統可安全、穩定、持續運行。
第四十五條【網絡安全】商業銀行應當採取必要的網絡安全防護措施,加強網絡訪問控制和行為監測,有效防範網絡攻擊等威脅。與合作機構涉及數據交互行為的,應當採取切實措施,實現敏感數據的有效隔離,保證數據交互在安全、合規的環境下進行。
第四十六條【客戶端安全】商業銀行應當加強對部署在借款人一方的互聯網貸款信息系統客戶端程序(包括但不限於瀏覽器插件程序、桌面客戶端程序和移動客戶端程序等)的安全加固,提高客戶端程序的防攻擊、防入侵、抗反編譯等安全能力。
第四十七條【數據安全】商業銀行應當採用有效技術手段,保障借款人數據安全,確保商業銀行與借款人、合作機構之間傳輸數據、簽訂合同、記錄交易等各個環節數據的保密性、完整性、真實性和抗抵賴性,並做好定期數據備份工作。
第四十八條【合作機構系統安全】商業銀行應當充分評估合作機構的信息系統服務能力、可靠性和安全性以及敏感數據的安全保護能力,開展聯合演練和測試,加強合同約束,確保不因外部合作而降低商業銀行信息系統的安全性,確保業務連續性。
第五章 貸款合作
第四十九條【合作機構定義】本辦法所指合作機構是指在互聯網貸款業務中,與商業銀行在營銷獲客、聯合貸款、風險分擔、信息科技、逾期催收等方面開展合作的各類機構,包括但不限於銀行業金融機構、保險公司等金融機構和融資擔保公司、電子商務公司、大數據公司、信息科技公司、貸款催收公司以及其他相關合作機構等非金融機構。
第五十條【合作機構准入】商業銀行應當建立覆蓋各類合作機構的准入機制,明確相應標準和程序,並實行名單制管理。合作機構准入、合作類產品和具體合作模式應當在銀行總行層級履行審批程序,並確保合作機構與合作事項符合法律法規和監管要求。
商業銀行應當主要從經營情況、管理能力、風控水平、技術實力、服務質量、業務合規和機構聲譽等方面對合作機構進行准入評估。對聯合貸款合作機構選擇,還應重點關注合作方資本充足率水平、槓桿率、不良貸款率、貸款集中度及其變化,審慎確定聯合貸款合作機構名單。
第五十一條【合作協議】商業銀行應當與合作機構簽訂書面合作協議。書面合作協議應明確約定合作範圍、操作流程、各方權責、收益分配、風險分擔、客戶權益保護、數據保密、審計檢查、爭議解決、合作事項變更或終止的過渡安排、違約責任等內容。
商業銀行應當自主確定目標客戶群、授信額度和貸款定價標準;商業銀行不得為合作機構自身及其關聯方直接或變相進行融資。除聯合貸款的合作出資方以外,商業銀行不得將貸款發放、本息回收、止付等關鍵環節操作交由其他合作機構執行,應當要求合作機構不得以任何形式向借款人收取息費,並在書面合作協議中明確。
第五十二條【合作信息披露】商業銀行應當向借款人充分披露自身與合作機構信息、合作類產品的信息、自身與合作各方權利責任,避免客戶產生品牌混同,按照適當性原則充分揭示合作業務風險。
商業銀行應在借款合同中以醒目方式向借款人充分披露合作類產品的貸款主體、實際貸款年利率、年化綜合資金成本、還本付息安排、逾期催收、諮詢投訴渠道等信息。商業銀行需要向借款人獲取風險數據授權時,應在線上相關頁面醒目位置提示借款人詳細閱讀授權書內容,並在授權書醒目位置披露授權風險數據內容和期限,並確保借款人完成授權書閱讀後簽署同意。
第五十三條【聯合貸款合作】商業銀行與其他有貸款資質的機構聯合發放互聯網貸款的,應當建立聯合貸款內部管理制度,並在制度中明確本行聯合貸款授權管理機制。商業銀行應當獨立對所出資的貸款進行風險評估和授信審批。商業銀行不得以任何形式為無放貸業務資質的合作機構提供資金用於發放貸款,不得與無放貸業務資質的合作機構共同出資發放貸款。
第五十四條【集中度管理】商業銀行應當充分考慮自身發展戰略、經營模式、資產負債結構和風險管理能力,將聯合貸款總額按照零售貸款總額或者貸款總額相應比例納入限額管理,並加強聯合貸款合作機構的集中度風險管理。商業銀行應當對單筆貸款出資比例實行區間管理,與合作方合理分擔風險。
第五十五條【擔保增信】商業銀行不得接受合作機構直接和變相的風險兜底承諾。商業銀行不得接受無擔保資質和無信用保證保險資質的合作機構提供的直接或變相增信服務。商業銀行與有擔保資質和有信用保證保險資質的合作機構合作時應當充分考慮上述機構的增信能力和集中度風險。
第五十六條【催收合作】商業銀行不得委託有暴力催收等違法違規記錄的第三方催收機構進行貸款催收。發現合作催收機構存在暴力催收等違法違規行為的,應當立即終止合作,並將違法違規線索及時移交相關部門。
第五十七條【合作機構退出】商業銀行應當持續對合作機構進行評估,發現合作機構無法繼續滿足准入條件的,應當及時終止合作關係,合作機構在合作期間有嚴重違法違規行為的,應當及時將其列入本行禁止合作機構名單。
第五十八條【資質評估】商業銀行開展互聯網貸款業務的,應當對照本辦法要求,向其監管機構提交書面報告,包括:
(一)業務規劃情況,包括年度及中長期互聯網貸款業務模式、業務對象、業務領域和地域範圍等,互聯網貸款及聯合貸款業務計劃,外部合作機構管理等。
(二)風險管控措施,包括互聯網貸款業務治理架構、管理體系,互聯網貸款風險偏好、風險管理政策和程序,信息系統建設情況及信息科技風險評估,互聯網貸款合作機構管理政策和程序,以及互聯網貸款業務限額、聯合貸款限額、聯合貸款出資比例、合作機構集中度等重要風險管控指標;
(三)擬上線的互聯網貸款產品基本情況,包括產品合規性評估、產品風險評估,風險數據、風險模型以及風險模型的內部測試情況等;
(四)銀行業監督管理機構要求提供的其他材料。
第五十九條銀行業監督管理機構應當結合監管評級,對商業銀行提交的報告和相關材料進行評估,重點評估:
(一)互聯網貸款業務規劃與自身業務定位、差異化發展戰略是否匹配;
(二)是否獨立掌握授信審查、風險控制、貸款發放、支付管理、貸後管理等核心業務環節;
(三)信息科技風險基礎防範措施是否健全;
(四)擬上線產品在授信額度、期限、放款控制、數據保護、合作機構管理等是否符合本辦法要求等。
如發現不符合本辦法要求,可要求商業銀行限期整改。
第六十條【自評估與內部審計】已開展互聯網貸款業務的商業銀行,應當按照本辦法要求,對互聯網貸款業務開展情況進行年度自評估,並根據業務實際開展情況進行內部審計,確保互聯網貸款業務發展情況與風險管控措施、業務規劃相匹配,風險管控措施切實履行貸款主體責任。
商業銀行應當於每年4月30日前向銀行業監督管理機構報送上一年年度評估報告和內部審計報告。年度評估報告包括但不限於以下內容:
(一)業務基本情況;
(二)本年度業務經營管理情況分析;
(三)業務風險分析和監管指標表現分析;
(四)識別、計量、監測、控制風險的主要方法及改進情況,信息科技風險防控措施的有效性;
(五)風險模型的監測與驗證情況;
(六)合規管理和內控管理情況;
(七)投訴及處理情況;
(八)下一年度業務發展規劃;
(九)銀行業監督管理機構要求報告的其他事項。
第六十一條【重大事項報告】互聯網貸款的風險治理架構、風險管理策略和程序、數據質量控制機制、管理信息系統和合作機構管理等在經營期間發生重大調整的,商業銀行應當在調整後的30個工作日內向銀行業監督管理機構書面報告調整情況。
第六十二條【產品報告】每個互聯網貸款產品上線前,應當於不晚於上線前30個工作日提交獨立的產品評估報告。
第六十三條【監督檢查】銀行業監督管理機構可以通過非現場監管、現場檢查等方式,實施對商業銀行互聯網貸款業務的監督檢查。監督檢查應包括對商業銀行互聯網貸款業務數據統計與監測、重要風險因素評估等。
第六十四條【監管措施】商業銀行違反本辦法規定辦理互聯網貸款的,由銀行業監督管理機構責令其限期改正。逾期未改正,或其行為嚴重危及商業銀行穩健運行、損害客戶合法權益的,銀行業監督管理機構可根據《中華人民共和國銀行業監督管理法》第三十七條採取相應的監管措施;嚴重違反本辦法的,可根據《中華人民共和國銀行業監督管理法》第四十五條、第四十六條、第四十七條、第四十八條規定實施行政處罰。
第七章 附則
第六十五條【制定實施細則】商業銀行經營互聯網貸款,應當依照本辦法制定互聯網貸款管理細則及操作規程。
第六十六條【適用性】本辦法未盡事項,按照《流動資金貸款管理暫行辦法》、《個人貸款管理暫行辦法》等相關規定執行。
第六十七條【消費金融公司】除第五條中個人貸款授信額度、個人貸款期限要求外,消費金融公司開展互聯網貸款業務參照本辦法執行。
第六十八條【解釋權】本辦法由中國銀行保險監督管理委員會負責解釋。
第六十九條【實施時間】本辦法自發布之日起施行。
第七十條【過渡期安排】過渡期為本辦法實施之日起3年。過渡期內新增業務應當符合本辦法規定。商業銀行和消費金融公司應當制定過渡期內的互聯網貸款整改計劃,明確時間進度安排,並報送銀行業監督管理機構,由其認可並監督實施。
閱讀更多 聚及金融 的文章
