2018年11月,銀保監會下發《商業銀行互聯網貸款管理辦法(徵求意見稿)》,對商業銀行互聯網貸款業務的定義和範疇、參與資質、發放餘額、授信和風控、數據與模型、聯合貸款及其額度、催收合作等多方面做詳細規定。
2020年1月,《商業銀行互聯網貸款管理暫行辦法》(以下簡稱:《辦法》)據傳已下發至多家銀行,為銀行參與互聯網貸款及相關合作的持牌消費金融公司、金融科技公司等明確業務規範。
鐳射財經梳理、整合了《辦法》中值得關注的要點,並對其可能產生的影響作了簡單分析。
一、強調銀行的主體作用,須獨立開展核心環節
第七條【風險管理總體要求】 互聯網貸款業務模式涉及與外部機構合作的,核心風控環節應當由商業銀行獨立開展且有效,不得將授信審查、風險控制、貸款發放、支付管理、貸後管理等核心業務環節委託給第三方合作機構。
第三十四條【風險模型管理流程】商業銀行應當合理分配風險模型開發、測試、評審、監測評估、優化、退出等環節的職責和權限,做到分工明確、責任清晰。商業銀行不得將上述風險模型的管理職責外包給第三方機構,並應當加強風險模型的保密管理。
第五十九條 銀行業監督管理機構應當結合監管評級,對商業銀行提交的報告和相關材料進行評估,重點評估:
(二)是否獨立掌握授信審查、風險控制、貸款發放、支付管理、貸後管理等核心業務環節。
分析:對於大中型商業銀行來說,這一要求有利於發揮在風控、技術等方面的優勢擴大市場佔有率。而對於打著“大數據風控”口號的金融科技公司、依賴第三方金融科技力量的小型城商行、農商行來說,這一要求將產生不小的衝擊。
過去,不少金融科技公司都利用龐大數據與成熟風控系統優勢,積極與銀行建立合作關係,在授信審查、風險控制、貸款發放、支付管理、貸後管理等方面輸出風控能力,提供相對成熟的解決方案,幫助小型城商行、農商行對目標客戶群進行信用評定。
這一模式的出現,與小型城商行、農商行的客戶群體基數小、金融與非金融數據質量低、規模化風控能力不足有關。《辦法》或將引導小型城商行、農商行讓渡“貸款風險管理職責”的模式發生徹底改變。
《辦法》中對於“獨立開展”“不得委託給第三方合作機構”的要求,將促使小型城商行、農商行改變對金融科技合作方的風控依賴,原有大數據公司依賴向外界輸出風控體系的模式已不可取,改變少數銀行端風控“有名無實”的現狀,讓上述銀行加大科技投入力度,補齊傳統風控短板,重塑業務價值鏈。
二、民營銀行、異地分支行可“跨區域經營”
第八條 【地方法人機構】 地方法人銀行開展互聯網貸款業務,應主要服務於當地客戶,審慎開展跨註冊地轄區業務,識別和監測跨註冊地轄區互聯網貸款業務開展情況。無實體經營網點,業務主要在線上開展,且符合中國銀行保險監督管理委員會規定其他條件的除外。
在外省(自治區、直轄市)設立分支機構的,對分支機構所在地行政區域內客戶開展的業務,不屬於前款所稱跨註冊地轄區業務。
分析:《辦法》不僅為“跨區域經營”的主體有所豁免,還免去了此前關於聯合貸款額度的要求。
一方面,《辦法》並未提及浙江銀保監局在去年1月提出的“城商行、民營銀行開展互聯網聯合貸款業務,應堅守‘立足當地、服務當地、不跨區域’的定位”的說法,而是換為“應主要服務於當地客戶,審慎開展跨註冊地轄區業務”,併為以網商銀行、微眾銀行為代表的民營銀行和異地分行有所豁免。
另一方面,原有意見稿中對於聯合貸款額度,即“單筆聯合貸款中,作為客戶推薦方的商業銀行出資比例不得低於30%;接受推薦客戶的銀行出資比例不得高於70%。作為客戶推薦方的商業銀行全部聯合貸款餘額不得超過互聯網貸款餘額的50%;接受客戶推薦的商業銀行全部聯合貸款不得超過全部互聯網貸款餘額的30%”的說法也在本次發佈的《辦法》中消失不見。
“跨區域經營”,明確了地域性商業銀行可不受註冊地範圍限制,滿足全國信貸需求,有利於地方性商業銀行實現利潤的可持續式增長。
三、強化消費者隱私權、知情權
第八條【消費者保護】商業銀行應當建立健全互聯網借款人權益保護機制,切實承擔借款人數據保護的主體責任,加強借款人隱私數據保護,構建獨立的業務諮詢和投訴處理渠道,確保互聯網借款人享有不低於線下貸款業務的相應服務,將消費者保護要求嵌入互聯網貸款業務全流程管理體系。
第十六條【貸款營銷】商業銀行自身或通過合作機構向目標客戶推介互聯網貸款產品時,應當充分披露貸款主體、貸款條件、實際年利率、年化綜合資金成本、還本付息安排、逾期催收和諮詢投訴渠道等基本信息,保證客戶的知情權和自主選擇權,不得采取默認勾選、捆綁銷售等方式剝奪消費者意思表示的權利。
第三十條【風險數據來源】商業銀行進行借款人身份驗證、貸前調查、風險評估和授信審查、貸後管理時,如果需要從外部合作機構獲取借款人風險數據,應當至少包含借款人姓名、身份證號、聯繫電話、銀行賬戶等基本信息,且通過適當方式確認合作機構的數據來源合法合規,並已獲得數據所有權人的明確授權。
第三十一條【風險數據使用】商業銀行收集、使用借款人風險數據應當遵循合法、必要、有效的原則,不得違反法律法規和借貸雙方約定,不得將風險數據用於從事與貸款業務無關或有損借款人利益的活動,不得違法違規向第三方提供借款人風險數據和洩露借款人敏感數據。
第五十二條【合作信息披露】商業銀行應在借款合同中以醒目方式向借款人充分披露合作類產品的貸款主體、實際貸款年利率、年化綜合資金成本、還本付息安排、逾期催收、諮詢投訴渠道等信息。商業銀行需要向借款人獲取風險數據授權時,應在線上相關頁面醒目位置提示借款人詳細閱讀授權書內容,並在授權書醒目位置披露授權風險數據內容和期限,並確保借款人完成授權書閱讀後簽署同意。
分析:此舉將加大金融信息保護力度,為金融信息安全風險防控長效機制的建立奠定基礎。
實踐證明,金融用戶的知情權和自主選擇權、敏感數據交易行為、貸後投訴和反饋渠道,對金融亂象的滋生及蔓延起到誘發和推波助瀾的作用。
能否加強金融信息保護力度,平衡好金融服務便捷和安全的關係,並建立完善的雙向互動機制,決定著行業規範化的進程。
鐳射財經認為,《辦法》中“充分披露貸款主體、貸款條件、實際年利率、年化綜合資金成本、還本付息安排、逾期催收和諮詢投訴渠道”“確認合作機構的數據來源合法合規,並已獲得數據所有權人的明確授權”“構建獨立的業務諮詢和投訴處理渠道”的要求,明確了商業銀行開展互聯網貸款業務時的義務,或將破解金融“數據孤島”與“數據保護使用”的兩難困境。
四、對銀行在風險數據使用、管理方面提出技術要求
第三十二條【風險數據保管】商業銀行應當建立風險數據安全管理的策略與標準,採取有效技術措施,保障借款人風險數據在採集、傳輸、存儲、處理和銷燬過程中的安全,防範數據洩漏、丟失或被篡改的風險。
第四十五條【網絡安全】商業銀行應當採取必要的網絡安全防護措施,加強網絡訪問控制和行為監測,有效防範網絡攻擊等威脅。與合作機構涉及數據交互行為的,應當採取切實措施,實現敏感數據的有效隔離,保證數據交互在安全、合規的環境下進行。
分析:此舉符合《金融科技(FinTech)發展規劃(2019-2021年)》中“利用通道加密、雙向認證等技術保障金融信息傳輸的安全性,運用加密存儲、信息摘要等手段保證重要金融信息機密性與完整性”的要求,將提升數據資產的安全性,減少個人金融信息洩露、篡改和濫用行為的發生。
央行科技司司長李偉曾指出,在國家相關法律法規的基礎上,擬定個人金融信息保護監管規則,明確覆蓋金融信息收集、傳輸、存儲、使用、銷燬全生命週期的管理要求,從安全策略、訪問控制、安全運行、安全監測與風險評估等方面加強個人金融信息安全管理。
五、打擊聯合放貸中的“兜底承諾”行為
第五十五條【擔保增信】商業銀行不得接受合作機構直接和變相的風險兜底承諾。商業銀行不得接受無擔保資質和無信用保證保險資質的合作機構提供的直接或變相增信服務。商業銀行與有擔保資質和有信用保證保險資質的合作機構合作時應當充分考慮上述機構的增信能力和集中度風險。
分析:此舉,或將改變銀行與外部機構開展聯合放貸時,要求合作方兜底風險,自身僅提供資金賺取利差的行為。
銀行在與其他機構開展助貸合作時,或是佔有規模優勢,地位相對強勢,或是科技能力相對匱乏,要求由合作方對風險兜底,承擔所有風險,自身不參與風控、管理等環節,僅提供資金獲取無風險收益。
短期來看,這種做法可以令信貸資產規模快速增長,也將使得互聯網貸款業務野蠻擴張。長期而言,這將導致放貸風險在金融體系內的層層轉移與擴張,存在誘發系統性風險的可能性。
六、規範“暴力催收”行為,關注合作機構信譽
第五十六條【催收合作】商業銀行不得委託有暴力催收等違法違規記錄的第三方催收機構進行貸款催收。發現合作催收機構存在暴力催收等違法違規行為的,應當立即終止合作,並將違法違規線索及時移交相關部門。
第五十條 商業銀行應當主要從經營情況、管理能力、風控水平、技術實力、服務質量、業務合規和機構聲譽等方面對合作機構進行准入評估。對聯合貸款合作機構選擇,還應重點關注合作方資本充足率水平、槓桿率、不良貸款率、貸款集中度及其變化,審慎確定聯合貸款合作機構名單。
分析:此舉將進一步規範暴力催收行為的出現,逐步轉換互聯網貸款汙名化傾向。
暴力催收背後,也有銀行的默許甚至是推波助瀾。為避免不良率影響信貸資產質量,銀行在不方便親自出面的情況下,可將逾期信貸資產轉低價轉移給催收公司,並一併傳輸逾期用戶各項敏感數據,方便催收公司以各種打爆通訊錄、人身攻擊、人身拘禁等違法違規行為完成欠款的催繳。
《辦法》中對於“不得委託有暴力催收等違法違規記錄的第三方催收機構進行貸款催收”以及從機構信譽方面對合作機構進行准入評估的規定,將使得存在暴力催收行為的第三方機構逐漸減少。
閱讀更多 億歐網 的文章
