7月17日上午,在歷經一個月的徵求意見之後,銀保監會正式發布了《商業銀行網際網路貸款管理暫行辦法》。
這是網際網路貸款領域的一個基本法規,之前零壹財經已經在報導中提到過,這部法規將重塑網際網路貸款市場。
《商業銀行網際網路貸款管理暫行辦法》的正式版本在之前的徵求意見稿的基礎上做了一些改動,我們對這些改動進行了梳理,並邀請業內專家對其中一些比較重要的改動進行了解讀。
01
第三條 本辦法所稱網際網路貸款,是指商業銀行運用網際網路和移動通信等信息通信技術,基於風險數據和風險模型進行交叉驗證和風險管理,線上自動受理貸款申請及開展風險評估,並完成授信審批、合同籤訂、貸款支付(徵求意見稿:放款支付)、貸後管理等核心業務環節操作,為符合條件的借款人提供的用於消費、日常生產經營周轉等的個人貸款和流動資金貸款。
02
第四條 ……
本辦法所稱合作機構,是指在網際網路貸款業務中,與商業銀行在營銷獲客、共同出資發放貸款、支付結算、風險分擔、信息科技、逾期清收等方面開展合作的各類機構,包括但不限於銀行業金融機構、保險公司等金融機構和小額貸款公司、融資擔保公司、電子商務公司、非銀行支付機構(徵求意見稿:第三方支付機構)、信息科技公司等非金融機構。
【解讀】其實這兩個名詞所指的範疇是一樣的,第三方支付是大家口頭上用的一個俗稱,其正式名稱就是「非銀行支付機構」。中國對第三方支付機構進行網絡支付進行規範的就是《非銀行支付機構網絡支付業務管理辦法》,此處修改是在表述上與以往的法規保持了一致。
03
第六條 網際網路貸款應當遵循小額、短期、高效和風險可控的原則。
單戶用於消費的個人信用貸款授信額度應當不超過人民幣20萬元,到期一次性還本的,授信期限不超過一年。中國銀行保險監督管理委員會可以根據商業銀行的經營管理情況、風險水平和網際網路貸款業務開展情況等對上述額度進行調整。商業銀行應在上述規定額度內,根據本行客群特徵、客群消費場景等,制定差異化授信額度。(徵求意見稿沒有這一段)
【解讀】5月9日的徵求意見稿公布時,即有銀行對20萬的額度限制有疑慮並嘗試與監管層進行溝通,因為這一條將會影響到商業銀行對優質客戶進行提額,進而影響到商業銀行這一業務的增速。在網際網路貸款市場整體增速放緩的情況下,客戶數量無法快速大幅增加,提額是促進業務增長的重要途徑。但是最終定稿中這一額度並沒有修改,可以看出監管層當前的重點仍然傾向於風險控制。不過,新增的一段表述為日後限額的調整留下了空間。
04
第十七條 商業銀行應當通過合法渠道和方式獲取目標客戶數據,開展貸款營銷,並充分評估目標客戶的資金需求、還款意願和還款能力。商業銀行應當在貸款申請流程中,加入強制閱讀貸款合同環節,並設置合理的閱讀時間限制。
商業銀行自身或通過合作機構向目標客戶推介網際網路貸款產品時,應當在醒目位置充分披露貸款主體、貸款條件、實際年利率、年化綜合資金成本、還本付息安排、逾期清收、諮詢投訴渠道和違約責任等基本信息,保障客戶的知情權和自主選擇權,不得採取默認勾選、強制捆綁銷售等方式剝奪消費者意願表達(徵求意見稿:意思表示)的權利。
【解讀】這是全文改動較小的一處,將「意思表示」改為「意願表達」。2019年12月,中國人民銀行起草了《中國人民銀行金融消費者權益保護實施辦法(徵求意見稿)》,向社會公開徵求意見。其中第十三條有「金融機構應當尊重金融消費者購買金融產品或服務的真實意願」的表述,該處的修改應該是對應這個表述。
05
第二十條 商業銀行應當在獲得授權後查詢借款人的徵信信息,通過合法渠道和手段線上收集、查詢和驗證借款人相關定性和定量信息,可以(徵求意見稿中沒有這兩個字)包括但不限於稅務、社會保險基金、住房公積金等信息,全面了解借款人信用狀況。
06
第二十六條 授信與首筆貸款發放時間間隔超過1個月的,商業銀行應當在貸款發放前對借款人信用狀況進行再評估(徵求意見稿:商業銀行應當在貸款發放前查詢借款人信貸記錄,重點關注借款人的新增貸款情況。),根據借款人特徵、貸款金額,確定跟蹤其信貸記錄的頻率,以保證及時獲取其全面信用狀況。
【解讀】信雅達泛泰首席風險官周立烽:銀行消費金融貸款給客戶授信額度,一部分客群的動支發生在1個月以後,佔比約5%至20%,新管理辦法要求對此類較優質客群(相對1個月內動支客群)進行再次數據查詢調用進行模型評分,勢必會增加銀行的數據成本。根據以往工作經驗,如借款人授信3個月後發起提款申請,對其重新進行信用評估較為合理。
07
第二十七條 商業銀行應當按照借款合同約定,對貸款資金的支付進行管理與控制,貸款支付應由具有合法支付業務資質的機構執行(徵求意見稿中沒有這一句)。商業銀行應加強對支付帳戶的監測和對帳管理,發現風險隱患的,應立即預警並採取相關措施。採用自主支付方式的,應當根據借款人過往行為數據、交易數據和信用數據等,確定單日貸款支付限額。
【解讀】光大銀行智能風控中心VP祝世虎:
一是從這一條款可以看出,在貸款支付環節不僅可以由銀行自主支付,而且還可以由具有合法支付業務資質的機構進行支付。首先,從監管層面,體現了監管機構支持銀行通過網際網路貸款業務踐行普惠金融,滿足居民和小微企業的融資需求,多種支付渠道有效地提高金融便利度和普惠覆蓋面。其次,從銀行操作層面,解決了一些小型銀行在網際網路貸款業務發展中所面臨的實際困難。在網際網路貸款業務發展之初,貸款支付問題曾經困擾過一些小型銀行,這些小型銀行不具備「五證鑑權」能力,無法開通借款人的二類帳戶,從而無法進行自主支付,本條款很好地解決了類似問題。
二是這一條款的修改「貸款支付應由具有合法支付業務資質的機構執行」強調了「具有合法支付業務資質」。首先,從監管層面,體現了監管機構要求銀行對合作機構進行有效管理和準入。其次,從銀行操作層面,體現了對細節的規範。例如,對於一些B2B平臺,其下遊企業受託支付上遊的資金會在該平臺帳戶進行留存,若該平臺沒有持牌,若發生跑路等事件,則會引發一定的風險。
三是對貸款支付環節的管理,可以有效地把控貸款用途。呼應《辦法》二十三條【資金用途】,貸款資金用途應當明確、合法,不得用於房產、股票、債券、期貨、金融衍生品和資產管理產品投資,不得用於固定資產和股本權益性投資等。
四是對貸款支付環節的管理,有助於集中度風險的管理。呼應《辦法》五十四條【集中度管理】,將聯合貸款總額按照零售貸款總額或者貸款總額相應比例納入限額管理,並加強聯合貸款合作機構的集中度風險管理。
五是對貸款支付環節的管理,可以在一定程度上降低反欺詐的風險。
最後,在「銀行自主支付」和「具有合法支付業務資質的機構進行支付」,我個人更希望銀行做業務的時候能多選擇自主支付,減少對平臺方的依賴,保持觸達客戶的能力。
08
第三十三條 商業銀行進行借款人身份驗證、貸前調查、風險評估和授信審查、貸後管理時,應當至少包含借款人姓名、身份證號、聯繫電話、銀行帳戶以及其他開展風險評估所必需的基本信息。如果需要從合作機構獲取借款人風險數據,應通過適當方式確認合作機構的數據來源合法合規、真實有效,對外提供數據不違反法律法規要求(徵求意見稿中沒有這一句),並已獲得信息主體本人的明確授權。商業銀行不得與違規收集和使用個人信息的第三方開展數據合作。
【解讀】上海交通大學數據法律研究中心執行主任、天冊律師事務所資深顧問、數據法盟創始人何淵:這一條修改應當是為還未出臺的關於數據的重要的法律法規的相關規定留下了接口。現在數據領域有兩部重要的法律還在制定當中:《數據安全法》和《個人信息保護法》,此外《關鍵信息基礎設施安全保護條例》也還在徵求意見當中。未來,新的法律法規正式發布後,商業銀行的合作機構也需要遵守。
此外,「對外提供數據」主要涉及數據的分享和交易。這兩方面,在國外已經有比較明確法規,未來中國應該也會建立起相類似的法規。具體來說,在數據分享方面,主要涉及兩個方面的要求:第一,信息主體明示同意,這裡需要指出的是,需要信息主體對每一個用途都明示同意,不能只取得信息主體的一個模糊授權,然後把該主體的信息用於之前沒有明示過的用途當中;第二,脫敏。這在金融領域是個難題,因為金融領域許多信息是用來做風險控制的,需要精確到人,如果脫敏,就不知道信息主體是誰,很多信息就失去了價值。在數據交易方面,也是需要取得信息主體的明確授權。不過,數據交易方面涉及的問題更加複雜,而數據分享一般比較簡單,因為信息主體有獲取金融服務的需要,更願意分享信息。
09
第五十一條
……
商業銀行應當自主確定目標客戶群、授信額度和貸款定價標準;商業銀行不得向合作機構自身及其關聯方直接或變相進行融資用於放貸。除共同出資發放貸款的合作機構以外,商業銀行不得將貸款發放、本息回收、止付等關鍵環節操作全權委託合作機構執行。商業銀行應當在書面合作協議中明確要求合作機構不得以任何形式向借款人收取息費,保險公司和有擔保資質的機構除外。(徵求意見稿:保險公司和有擔保資質的機構按照有關規定向借款人收取合理費用,以及銀行業監督管理機構規定的其他情形除外。)
10
第五十五條 商業銀行不得接受無擔保資質和不符合信用保險和保證保險經營資質監管要求的合作機構提供的直接或變相增信服務。商業銀行與有擔保資質和符合信用保險和保證保險經營資質監管要求的合作機構合作時應當充分考慮上述機構的增信能力和集中度風險。商業銀行不得因引入擔保增信放鬆對貸款質量管控。(徵求意見稿中沒有這一句)
【解讀】光大銀行智能風控中心VP祝世虎:對這一條款的解讀本應該是先從監管角度,再從銀行實操角度進行分析。但是作為一名風控人,我看到這條款很興奮,覺得這是給我們這群風控人的一個尚方寶劍。連續三個畫面在我腦海中浮現:一是,場景方對我說「我們的業務有擔保,你們風控以合規為主吧?」;二是,業務經理對我說「我們的業務有保險兜底,模型能不能松一些?」三是,同業好友對我說「我們風控能力不行,但是我們引入保險和擔保,是不是就可以做網際網路業務了?」以前,我拒絕的時候總是扭扭捏捏,但是現在有了這個條款,我就可以挺直腰板say no了。
首先,從監管角度可以看出,監管的兩個出發點:
一是強化銀行主體責任,防止銀行風險管理「空心化」。
二是減少不必要的環節,降低貸款成本,降低社會融資成本,更好的支持實體經濟。
其次,從銀行實操角度來看,要明確梳理第一還款來源和第二還款來源的辯證關係,銀行在網際網路貸款業務中應重視第一還款來源——借款人,而不是依賴第二還款來源——擔保、保險等增信措施。原因如下:一是,最重要的還款來源永遠是第一還款來源,而不是第二還款來源;二是,擔保等措施等並沒有真正的識別風險,只不過是將風險後置,將貸款違約帶來損失轉為處置押品等帶來的損失;三是,擔保、增信等措施不一定能夠兜住所有壞帳,如果依賴這些措施,銀行的風險將會大大增加;四是,如果銀行過分依賴第二還款來源,會增加社會整體的融資成本,因為擔保等增信措施是需要付出成本的。
11
第五十六條 商業銀行不得委託有暴力催收等違法違規記錄的第三方機構進行貸款清收。商業銀行應明確與第三方機構的權責,要求(徵求意見稿:應當要求)其不得對與貸款無關的第三人進行清收。商業銀行發現合作機構存在暴力催收等違法違規行為的,應當立即終止合作,並將違法違規線索及時移交相關部門。
12
第五十八條 商業銀行首次開展網際網路貸款業務的,應當於產品上線後10個工作日內,向其監管機構提交書面報告,內容包括:……
(四)消費者權益保護及其配套服務情況(徵求意見稿:金融消費者權益保護及其配套服務情況)。
【解讀】當下許多網際網路貸款是在消費場景中提供,因此商品消費和金融消費很多時候是同時發生,金融交易與商品交易互相嵌套。正式版本中,將「金融消費者權益保護」擴大為「消費者權益保護」,加大了對消費者權益保護的力度。比如,2019年下半年開始,不少消費金融機構紛紛推出「會員制」,以此在激烈的市場競爭中探索差異化經營、提升利潤。但是,會員制當中出現了許多不規範的操作,比如巧立名目、變相收費等。新規為保護消費者最終的權益留下了更大的空間。
13
第五十九條 銀行業監督管理機構應當結合日常監管情況和商業銀行風險狀況等,對商業銀行提交的報告和相關材料進行評估,重點評估:……
(二)是否獨立掌握授信審批、合同籤訂等核心風控環節(徵求意見稿:是否獨立掌握授信審批、合同籤訂、放款支付、貸後管理等核心業務環節);
【解讀】光大銀行智能風控中心VP祝世虎:首先,從監管角度可以看出,一是,監管機構鼓勵銀行不斷提高自主風險管控能力;二是,要求銀行加強貸中貸後的管理,壓實銀行風險管理的主體責任。
其次,從銀行實操角度,一是,明確了風險管理要求,銀行應當針對網際網路貸款業務建立全面風險管理體系,在貸前、貸中、貸後全流程進行風險控制。
二是,由於某些銀行受五證鑑權、缺少數據、模型能力不足等問題,無法獨立掌握放款支付、貸後管理這些環節。以網際網路貸款業務的風險監控環節為例,銀行傳統的風控手段並不是很有效,主要因為客戶全程不見面,銀行無法現場進行貸後檢查,這就需要場景方在貸後環節提供數據供銀行進行風險管理,因此,在實際操作當中銀行必須要和場景方等合作,共同解決此問題。
三是,我是第一批從風控領域切入銀行的網際網路貸款業務的銀行人,經歷了網際網路貸款業務的爆發期和平穩期,該踩的坑都踩過了,我只想用我的切身經驗告訴正準備涉足網際網路貸款業務的同業好友們,永遠不要指望只靠一款準入模型就能管理好一款網際網路貸款產品,這需要一整套的貸前、貸中、貸後全流程風控管理,需要風控模型和IT落地的無縫連接,需要風險部門、業務部門、數據部門、科技部門的緊密配合,更需要風控人對技術的堅持和對底線的堅守,還需要銀行對金融創新和業務轉型的決心。
14
第六十七條 外國銀行分行參照本辦法執行。除第六條個人貸款期限要求外(徵求意見稿:除第六條及第二十七條中個人貸款期限、貸款支付管理要求外),消費金融公司、汽車金融公司開展網際網路貸款業務參照本辦法執行。
【解讀】消費金融公司、汽車金融公司在貸款管理支付方面,之前是沒要求的,現在要求與商業銀行一致。
(責任編輯:張洋 HN080)