據銀保監會7月17日消息,為規範商業銀行網際網路貸款業務經營行為,促進網際網路貸款業務平穩健康發展,銀保監會制定了《商業銀行網際網路貸款管理暫行辦法》(下稱《辦法》),自公布之日起施行。
《辦法》共七章七十條,分別為總則、風險管理體系、風險數據和風險模型管理、信息科技風險管理、貸款合作管理、監督管理和附則。
一是合理界定網際網路貸款內涵及範圍,明確網際網路貸款應遵循小額、短期、高效和風險可控原則。二是明確風險管理要求。商業銀行應當針對網際網路貸款業務建立全面風險管理體系,在貸前、貸中、貸後全流程進行風險控制,加強風險數據和風險模型管理,同時防範和管控信息科技風險。三是規範合作機構管理。要求商業銀行建立健全合作機構準入和退出機制,在內控制度、準入前評估、協議籤署、信息披露、持續管理等方面加強管理、壓實責任。對與合作機構共同出資發放貸款的,《辦法》提出加強限額管理和集中度管理等要求。四是強化消費者保護。明確商業銀行應當建立網際網路借款人權益保護機制,對借款人數據來源、使用、保管等問題提出明確要求。《辦法》還規定,商業銀行應當加強信息披露,不得委託有違法違規記錄的合作機構進行清收。五是加強事中事後監管。《辦法》對商業銀行提交網際網路貸款業務情況報告、自評估、重大事項報告等提出監管要求。監管機構實施監督檢查,對違法違規行為依法追究法律責任。
具體來看,《辦法》將網際網路貸款定義為「商業銀行運用網際網路和移動通信等信息通信技術,基於風險數據和風險模型進行交叉驗證和風險管理,線上自動受理貸款申請及開展風險評估,並完成授信審批、合同籤訂、貸款支付、貸後管理等核心業務環節操作,為符合條件的借款人提供的用於消費、日常生產經營周轉等的個人貸款和流動資金貸款。」
根據上述定義,以下貸款不屬於《辦法》規範的範疇,仍適用現有授信、貸款等相關監管規制。一是線上線下結合,貸款授信核心判斷仍來源於線下的貸款。例如,目前大多數所謂的線上企業流動資金貸款、供應鏈融資等,商業銀行貸款調查、風險評估和預授信等實質風險評估環節均在線下完成,出於便利借款人和提高效率考慮將貸款申請及後續操作環節於線上完成。二是部分抵質押貸款。例如以房屋等資產為抵押物發放的貸款,押品的評估登記等手續需要在線下完成。三是固定資產貸款。因固定資產貸款涉及較多線下審查內容,不屬於《辦法》定義範圍內的網際網路貸款。
在風險管理方面,考慮到商業銀行網際網路貸款多維度、多要素判斷借款人信用狀況特徵,採納相關機構反饋意見,將第二十條「稅務、社會保險基金、住房公積金信息」不作為強制性信用狀況判斷要素。在放款控制方面,在明確商業銀行放款環節加強風控的前提下,允許其根據自身風控模式和手段,自主選擇是否再次進行徵信查詢;在擔保增信方面,增加「商業銀行不得因引入擔保增信放鬆對貸款質量管控」要求,強化商業銀行主體責任,防止商業銀行風險管理「空心化」。
在規範商業銀行對合作機構管理方面,為引導商業銀行審慎開展與合作機構的合作,防止合作機構風險向銀行傳染,《辦法》要求商業銀行對合作機構從準入到退出建立全流程、系統性的管理機制,提升其精細化管理能力。一是商業銀行應當建立各類合作機構的全行統一的準入機制,並實施分層分類管理。商業銀行應當從經營情況、管理能力、風控水平等方面對合作機構進行準入前評估,合作機構資質應和其承擔的職能相匹配。二是商業銀行與合作機構籤訂的書面合作協議中,應明確合作範圍、操作流程、各方權責、風險分擔、客戶權益保護等內容。合作協議應體現收益和風險相匹配的原則。三是商業銀行應當向借款人充分披露自身與合作機構的信息、合作類產品的信息、自身與合作各方權利義務等,避免客戶產生品牌混同。商業銀行在依法合規前提下,可通過應用程式接口等技術手段,在獲客、合同籤訂等環節與合作機構開展基於應用場景的合作。四是商業銀行應當持續對合作機構進行管理,定期進行全面評估;發現合作機構無法繼續滿足準入條件的,應當及時終止合作關係。
在與合作機構共同出資發放貸款時,商業銀行應當按照自主風控的原則審慎開展業務,避免成為單純的資金提供方。《辦法》要求商業銀行建立健全內部管理制度,獨立進行風險評估和授信審批,按照適度分散的原則選擇合作機構,避免對合作機構的過度依賴;同時要求銀行將與合作機構共同出資發放貸款總額納入限額管理,並對單筆貸款出資比例實行區間管理。
在過渡期安排方面,按照「新老劃斷」原則設置過渡期,過渡期為《辦法》實施之日起2年。過渡期內,商業銀行對照《辦法》制定整改方案並有序實施,不符合《辦法》規定的業務逐步有序壓降。過渡期結束後,商業銀行所有存續網際網路貸款業務均應遵守本《辦法》規定。
發布實施《辦法》是完善我國商業銀行網際網路貸款監管制度的重要舉措,有利於補齊制度短板,防範金融風險、提升金融服務質效。下一步,銀保監會將加強督促指導,做好《辦法》貫徹落實工作,推進商業銀行網際網路貸款業務健康發展。
以下為原文及答記者問:
商業銀行網際網路貸款管理暫行辦法
第一章 總則
第一條 為規範商業銀行網際網路貸款業務經營行為,促進網際網路貸款業務健康發展,依據《中華人民共和國銀行業監督管理法》《中華人民共和國商業銀行法》等法律法規,制定本辦法。
第二條 中華人民共和國境內依法設立的商業銀行經營網際網路貸款業務,應遵守本辦法。
第三條 本辦法所稱網際網路貸款,是指商業銀行運用網際網路和移動通信等信息通信技術,基於風險數據和風險模型進行交叉驗證和風險管理,線上自動受理貸款申請及開展風險評估,並完成授信審批、合同籤訂、貸款支付、貸後管理等核心業務環節操作,為符合條件的借款人提供的用於消費、日常生產經營周轉等的個人貸款和流動資金貸款。
第四條 本辦法所稱風險數據,是指商業銀行在對借款人進行身份確認,以及貸款風險識別、分析、評價、監測、預警和處置等環節收集、使用的各類內外部數據。
本辦法所稱風險模型,是指應用於網際網路貸款業務全流程的各類模型,包括但不限於身份認證模型、反欺詐模型、反洗錢模型、合規模型、風險評價模型、風險定價模型、授信審批模型、風險預警模型、貸款清收模型等。
本辦法所稱合作機構,是指在網際網路貸款業務中,與商業銀行在營銷獲客、共同出資發放貸款、支付結算、風險分擔、信息科技、逾期清收等方面開展合作的各類機構,包括但不限於銀行業金融機構、保險公司等金融機構和小額貸款公司、融資擔保公司、電子商務公司、非銀行支付機構、信息科技公司等非金融機構。
第五條 下列貸款不適用本辦法:
(一)借款人雖在線上進行貸款申請等操作,商業銀行線下或主要通過線下進行貸前調查、風險評估和授信審批,貸款授信核心判斷來源於線下的貸款;
(二)商業銀行發放的抵質押貸款,且押品需進行線下或主要經過線下評估登記和交付保管;
(三)中國銀行(601988,股吧)保險監督管理委員會規定的其他貸款。
上述貸款適用其他相關監管規定。
第六條 網際網路貸款應當遵循小額、短期、高效和風險可控的原則。
單戶用於消費的個人信用貸款授信額度應當不超過人民幣20萬元,到期一次性還本的,授信期限不超過一年。中國銀行保險監督管理委員會可以根據商業銀行的經營管理情況、風險水平和網際網路貸款業務開展情況等對上述額度進行調整。商業銀行應在上述規定額度內,根據本行客群特徵、客群消費場景等,制定差異化授信額度。
商業銀行應根據自身風險管理能力,按照網際網路貸款的區域、行業、品種等,確定單戶用於生產經營的個人貸款和流動資金貸款授信額度上限。對期限超過一年的上述貸款,至少每年對該筆貸款對應的授信進行重新評估和審批。
第七條 商業銀行應當根據其市場定位和發展戰略,制定符合自身特點的網際網路貸款業務規劃。涉及合作機構的,應當明確合作方式。
第八條 商業銀行應當對網際網路貸款業務實行統一管理,將網際網路貸款業務納入全面風險管理體系,建立健全適應網際網路貸款業務特點的風險治理架構、風險管理政策和程序、內部控制和審計體系,有效識別、評估、監測和控制網際網路貸款業務風險,確保網際網路貸款業務發展與自身風險偏好、風險管理能力相適應。
網際網路貸款業務涉及合作機構的,授信審批、合同籤訂等核心風控環節應當由商業銀行獨立有效開展。
第九條 地方法人銀行開展網際網路貸款業務,應主要服務於當地客戶,審慎開展跨註冊地轄區業務,有效識別和監測跨註冊地轄區業務開展情況。無實體經營網點,業務主要在線上開展,且符合中國銀行保險監督管理委員會其他規定條件的除外。
在外省(自治區、直轄市)設立分支機構的,對分支機構所在地行政區域內客戶開展的業務,不屬於前款所稱跨註冊地轄區業務。
第十條 商業銀行應當建立健全借款人權益保護機制,完善消費者權益保護內部考核體系,切實承擔借款人數據保護的主體責任,加強借款人隱私數據保護,構建安全有效的業務諮詢和投訴處理渠道,確保借款人享有不低於線下貸款業務的相應服務,將消費者保護要求嵌入網際網路貸款業務全流程管理體系。
第十一條 中國銀行保險監督管理委員會及其派出機構(以下簡稱銀行業監督管理機構)依照本辦法對商業銀行網際網路貸款業務實施監督管理。
第二章 風險管理體系
第十二條 商業銀行應當建立健全網際網路貸款風險治理架構,明確董事會和高級管理層對網際網路貸款風險管理的職責,建立考核和問責機制。
第十三條 商業銀行董事會承擔網際網路貸款風險管理的最終責任,應當履行以下職責:
(一)審議批准網際網路貸款業務規劃、合作機構管理政策以及跨區域經營管理政策;
(二)審議批准網際網路貸款風險管理制度;
(三)監督高級管理層對網際網路貸款風險實施管理和控制;
(四)定期獲取網際網路貸款業務評估報告,及時了解網際網路貸款業務經營管理、風險水平、消費者保護等情況;
(五)其他有關職責。
第十四條 商業銀行高級管理層應當履行以下職責:
(一)確定網際網路貸款經營管理架構,明確各部門職責分工;
(二)制定、評估和監督執行網際網路貸款業務規劃、風險管理政策和程序,合作機構管理政策和程序以及跨區域經營管理政策;
(三)制定網際網路貸款業務的風險管控指標,包括但不限於網際網路貸款限額、與合作機構共同出資發放貸款的限額及出資比例、合作機構集中度、不良貸款率等;
(四)建立網際網路貸款業務的風險管理機制,持續有效監測、控制和報告各類風險,及時應對風險事件;
(五)充分了解並定期評估網際網路貸款業務發展情況、風險水平及管理狀況、消費者保護情況,及時了解其重大變化,並向董事會定期報告;
(六)其他有關職責。
第十五條 商業銀行應當確保具有足夠的資源,獨立、有效開展網際網路貸款風險管理,確保董事會和高級管理層能及時知悉風險狀況,準確理解風險數據和風險模型的作用與局限。
第十六條 商業銀行網際網路貸款風險管理制度應當涵蓋營銷、調查、授信、籤約、放款、支付、跟蹤、收回等貸款業務全流程。
第十七條 商業銀行應當通過合法渠道和方式獲取目標客戶數據,開展貸款營銷,並充分評估目標客戶的資金需求、還款意願和還款能力。商業銀行應當在貸款申請流程中,加入強制閱讀貸款合同環節,並設置合理的閱讀時間限制。
商業銀行自身或通過合作機構向目標客戶推介網際網路貸款產品時,應當在醒目位置充分披露貸款主體、貸款條件、實際年利率、年化綜合資金成本、還本付息安排、逾期清收、諮詢投訴渠道和違約責任等基本信息,保障客戶的知情權和自主選擇權,不得採取默認勾選、強制捆綁銷售等方式剝奪消費者意願表達的權利。
第十八條 商業銀行應當按照反洗錢和反恐怖融資等要求,通過構建身份認證模型,採取聯網核查、生物識別等有效措施識別客戶,線上對借款人的身份數據、借款意願進行核驗並留存,確保借款人的身份數據真實有效,借款人的意思表示真實。商業銀行對借款人的身份核驗不得全權委託合作機構辦理。
第十九條 商業銀行應當建立有效的反欺詐機制,實時監測欺詐行為,定期分析欺詐風險變化情況,不斷完善反欺詐的模型審核規則和相關技術手段,防範冒充他人身份、惡意騙取銀行貸款的行為,保障信貸資金安全。
第二十條 商業銀行應當在獲得授權後查詢借款人的徵信信息,通過合法渠道和手段線上收集、查詢和驗證借款人相關定性和定量信息,可以包括但不限於稅務、社會保險基金、住房公積金等信息,全面了解借款人信用狀況。
第二十一條 商業銀行應當構建有效的風險評估、授信審批和風險定價模型,加強統一授信管理,運用風險數據,結合借款人已有債務情況,審慎評估借款人還款能力,確定借款人信用等級和授信方案。
第二十二條 商業銀行應當建立人工覆核驗證機制,作為對風險模型自動審批的必要補充。商業銀行應當明確人工覆核驗證的觸發條件,合理設置人工覆核驗證的操作規程。
第二十三條 商業銀行應當與借款人及其他當事人採用數據電文形式籤訂借款合同及其他文書。借款合同及其他文書應當符合《中華人民共和國合同法》《中華人民共和國電子籤名法》等法律法規的規定。
第二十四條 商業銀行應當與借款人約定明確、合法的貸款用途。貸款資金不得用於以下事項:
(一)購房及償還住房抵押貸款;
(二)股票、債券、期貨、金融衍生產品和資產管理產品等投資;
(三)固定資產、股本權益性投資;
(四)法律法規禁止的其他用途。
第二十五條 商業銀行應當按照相關法律法規的要求,儲存、傳遞、歸檔以數據電文形式籤訂的借款合同、信貸流程關鍵環節和節點的數據。已籤訂的借款合同及相關數據應可供借款人隨時調取查用。
第二十六條 授信與首筆貸款發放時間間隔超過1個月的,商業銀行應當在貸款發放前對借款人信用狀況進行再評估,根據借款人特徵、貸款金額,確定跟蹤其信貸記錄的頻率,以保證及時獲取其全面信用狀況。
第二十七條 商業銀行應當按照借款合同約定,對貸款資金的支付進行管理與控制,貸款支付應由具有合法支付業務資質的機構執行。商業銀行應加強對支付帳戶的監測和對帳管理,發現風險隱患的,應立即預警並採取相關措施。採用自主支付方式的,應當根據借款人過往行為數據、交易數據和信用數據等,確定單日貸款支付限額。
第二十八條 商業銀行應遵守《個人貸款管理暫行辦法》和《流動資金貸款管理暫行辦法》的受託支付管理規定,同時根據自身風險管理水平、網際網路貸款的規模和結構、應用場景、增信手段等確定差異化的受託支付限額。
第二十九條 商業銀行應當通過建立風險監測預警模型,對借款人財務、信用、經營等情況進行監測,設置合理的預警指標與預警觸發條件,及時發出預警信號,必要時應通過人工核查作為補充手段。
第三十條 商業銀行應當採取適當方式對貸款用途進行監測,發現借款人違反法律法規或未按照約定用途使用貸款資金的,應當按照合同約定提前收回貸款,並追究借款人相應責任。
第三十一條 商業銀行應當完善內部審計體系,獨立客觀開展內部審計,審查評價、督促改善網際網路貸款業務經營、風險管理和內控合規效果。銀行業監督管理機構可以要求商業銀行提交網際網路貸款專項內部審計報告。
第三十二條 網際網路貸款形成不良的,商業銀行應當按照其性質及時制定差異化的處置方案,提升處置效率。
第三章 風險數據和風險模型管理
第三十三條 商業銀行進行借款人身份驗證、貸前調查、風險評估和授信審查、貸後管理時,應當至少包含借款人姓名、身份證號、聯繫電話、銀行帳戶以及其他開展風險評估所必需的基本信息。如果需要從合作機構獲取借款人風險數據,應通過適當方式確認合作機構的數據來源合法合規、真實有效,對外提供數據不違反法律法規要求,並已獲得信息主體本人的明確授權。商業銀行不得與違規收集和使用個人信息的第三方開展數據合作。
第三十四條 商業銀行收集、使用借款人風險數據應當遵循合法、必要、有效的原則,不得違反法律法規和借貸雙方約定,不得將風險數據用於從事與貸款業務無關或有損借款人合法權益的活動,不得向第三方提供借款人風險數據,法律法規另有規定的除外。
第三十五條 商業銀行應當建立風險數據安全管理的策略與標準,採取有效技術措施,保障借款人風險數據在採集、傳輸、存儲、處理和銷毀過程中的安全,防範數據洩漏、丟失或被篡改的風險。
第三十六條 商業銀行應當對風險數據進行必要的處理,以滿足風險模型對數據精確性、完整性、一致性、時效性、有效性等的要求。
第三十七條 商業銀行應當合理分配風險模型開發測試、評審、監測、退出等環節的職責和權限,做到分工明確、責任清晰。商業銀行不得將上述風險模型的管理職責外包,並應當加強風險模型的保密管理。
第三十八條 商業銀行應當結合貸款產品特點、目標客戶特徵、風險數據和風險管理策略等因素,選擇合適的技術標準和建模方法,科學設置模型參數,構建風險模型,並測試在正常和壓力情境下模型的有效性和穩定性。
第三十九條 商業銀行應當建立風險模型評審機制,成立模型評審委員會負責風險模型評審工作。風險模型評審應當獨立於風險模型開發,評審工作應當重點關注風險模型有效性和穩定性,確保與銀行授信審批條件和風險控制標準相一致。經評審通過後風險模型方可上線應用。
第四十條 商業銀行應當建立有效的風險模型日常監測體系,監測至少包括已上線風險模型的有效性與穩定性,所有經模型審批通過貸款的實際違約情況等。監測發現模型缺陷或者已不符合模型設計目標的,應當保證能及時提示風險模型開發和測試部門或團隊進行重新測試、優化,以保證風險模型持續適應風險管理要求。
第四十一條 商業銀行應當建立風險模型退出處置機制。對於無法繼續滿足風險管理要求的風險模型,應當立即停止使用,並及時採取相應措施,消除模型退出給貸款風險管理帶來的不利影響。
第四十二條 商業銀行應當全面記錄風險模型開發至退出的全過程,並進行文檔化歸檔和管理,供本行和銀行業監督管理機構隨時查閱。
第四章 信息科技風險管理
第四十三條 商業銀行應當建立安全、合規、高效和可靠的網際網路貸款信息系統,以滿足網際網路貸款業務經營和風險管理需要。
第四十四條 商業銀行應當注重提高網際網路貸款信息系統的可用性和可靠性,加強對網際網路貸款信息系統的安全運營管理和維護,定期開展安全測試和壓力測試,確保系統安全、穩定、持續運行。
第四十五條 商業銀行應當採取必要的網絡安全防護措施,加強網絡訪問控制和行為監測,有效防範網絡攻擊等威脅。與合作機構涉及數據交互行為的,應當採取切實措施,實現敏感數據的有效隔離,保證數據交互在安全、合規的環境下進行。
第四十六條 商業銀行應當加強對部署在借款人一方的網際網路貸款信息系統客戶端程序(包括但不限於瀏覽器插件程序、桌面客戶端程序和移動客戶端程序等)的安全加固,提高客戶端程序的防攻擊、防入侵、防篡改、抗反編譯等安全能力。
第四十七條 商業銀行應當採用有效技術手段,保障借款人數據安全,確保商業銀行與借款人、合作機構之間傳輸數據、籤訂合同、記錄交易等各個環節數據的保密性、完整性、真實性和抗抵賴性,並做好定期數據備份工作。
第四十八條 商業銀行應當充分評估合作機構的信息系統服務能力、可靠性和安全性以及敏感數據的安全保護能力,開展聯合演練和測試,加強合同約束。
商業銀行每年應對與合作機構的數據交互進行信息科技風險評估,並形成風險評估報告,確保不因合作而降低商業銀行信息系統的安全性,確保業務連續性。
第五章 貸款合作管理
第四十九條 商業銀行應當建立覆蓋各類合作機構的全行統一的準入機制,明確相應標準和程序,並實行名單制管理。
商業銀行應根據合作內容、對客戶的影響範圍和程度、對銀行財務穩健性的影響程度等,對合作機構實施分層分類管理,並按照其層級和類別確定相應審批權限。
第五十條 商業銀行應當按照合作機構資質和其承擔的職能相匹配的原則,對合作機構進行準入前評估,確保合作機構與合作事項符合法律法規和監管要求。
商業銀行應當主要從經營情況、管理能力、風控水平、技術實力、服務質量、業務合規和機構聲譽等方面對合作機構進行準入前評估。選擇共同出資發放貸款的合作機構,還應重點關注合作方資本充足水平、槓桿率、流動性水平、不良貸款率、貸款集中度及其變化,審慎確定合作機構名單。
第五十一條 商業銀行應當與合作機構籤訂書面合作協議。書面合作協議應當按照收益和風險相匹配的原則,明確約定合作範圍、操作流程、各方權責、收益分配、風險分擔、客戶權益保護、數據保密、爭議解決、合作事項變更或終止的過渡安排、違約責任以及合作機構承諾配合商業銀行接受銀行業監督管理機構的檢查並提供有關信息和資料等內容。
商業銀行應當自主確定目標客戶群、授信額度和貸款定價標準;商業銀行不得向合作機構自身及其關聯方直接或變相進行融資用於放貸。除共同出資發放貸款的合作機構以外,商業銀行不得將貸款發放、本息回收、止付等關鍵環節操作全權委託合作機構執行。商業銀行應當在書面合作協議中明確要求合作機構不得以任何形式向借款人收取息費,保險公司和有擔保資質的機構除外。
第五十二條 商業銀行應當在相關頁面醒目位置向借款人充分披露自身與合作機構信息、合作類產品的信息、自身與合作各方權利責任,按照適當性原則充分揭示合作業務風險,避免客戶產生品牌混同。
商業銀行應在借款合同和產品要素說明界面等相關頁面中,以醒目方式向借款人充分披露合作類產品的貸款主體、實際年利率、年化綜合資金成本、還本付息安排、逾期清收、諮詢投訴渠道、違約責任等信息。商業銀行需要向借款人獲取風險數據授權時,應在線上相關頁面醒目位置提示借款人詳細閱讀授權書內容,並在授權書醒目位置披露授權風險數據內容和期限,確保借款人完成授權書閱讀後籤署同意。
第五十三條 商業銀行與其他有貸款資質的機構共同出資發放網際網路貸款的,應當建立相應的內部管理制度,明確本行與合作機構共同出資發放貸款的管理機制,並在合作協議中明確各方的權利義務關係。商業銀行應當獨立對所出資的貸款進行風險評估和授信審批,並對貸後管理承擔主體責任。商業銀行不得以任何形式為無放貸業務資質的合作機構提供資金用於發放貸款,不得與無放貸業務資質的合作機構共同出資發放貸款。
商業銀行應當按照適度分散的原則審慎選擇合作機構,制定因合作機構導致業務中斷的應急與恢復預案,避免對單一合作機構過於依賴而產生的風險。
第五十四條 商業銀行應當充分考慮自身發展戰略、經營模式、資產負債結構和風險管理能力,將與合作機構共同出資發放貸款總額按照零售貸款總額或者貸款總額相應比例納入限額管理,並加強共同出資發放貸款合作機構的集中度風險管理。商業銀行應當對單筆貸款出資比例實行區間管理,與合作方合理分擔風險。
第五十五條 商業銀行不得接受無擔保資質和不符合信用保險和保證保險經營資質監管要求的合作機構提供的直接或變相增信服務。商業銀行與有擔保資質和符合信用保險和保證保險經營資質監管要求的合作機構合作時應當充分考慮上述機構的增信能力和集中度風險。商業銀行不得因引入擔保增信放鬆對貸款質量管控。
第五十六條 商業銀行不得委託有暴力催收等違法違規記錄的第三方機構進行貸款清收。商業銀行應明確與第三方機構的權責,要求其不得對與貸款無關的第三人進行清收。商業銀行發現合作機構存在暴力催收等違法違規行為的,應當立即終止合作,並將違法違規線索及時移交相關部門。
第五十七條 商業銀行應當持續對合作機構進行管理,及時識別、評估和緩釋因合作機構違約或經營失敗等導致的風險。對合作機構應當至少每年全面評估一次,發現合作機構無法繼續滿足準入條件的,應當及時終止合作關係,合作機構在合作期間有嚴重違法違規行為的,應當及時將其列入本行禁止合作機構名單。
第六章 監督管理
第五十八條 商業銀行首次開展網際網路貸款業務的,應當於產品上線後10個工作日內,向其監管機構提交書面報告,內容包括:
(一)業務規劃情況,包括年度及中長期網際網路貸款業務模式、業務對象、業務領域、地域範圍和合作機構管理等;
(二)風險管控措施,包括網際網路貸款業務治理架構和管理體系,網際網路貸款風險偏好、風險管理政策和程序,信息系統建設情況及信息科技風險評估,反洗錢、反恐怖融資制度,網際網路貸款合作機構管理政策和程序,網際網路貸款業務限額、與合作機構共同出資發放貸款的限額及出資比例、合作機構集中度等重要風險管控指標;
(三)上線的網際網路貸款產品基本情況,包括產品合規性評估、產品風險評估,風險數據、風險模型管理情況以及是否符合本辦法相關要求;
(四)消費者權益保護及其配套服務情況;
(五)銀行業監督管理機構要求提供的其他材料。
第五十九條 銀行業監督管理機構應當結合日常監管情況和商業銀行風險狀況等,對商業銀行提交的報告和相關材料進行評估,重點評估:
(一)網際網路貸款業務規劃與自身業務定位、差異化發展戰略是否匹配;
(二)是否獨立掌握授信審批、合同籤訂等核心風控環節;
(三)信息科技風險基礎防範措施是否健全;
(四)上線產品的授信額度、期限、放款控制、數據保護、合作機構管理等是否符合本辦法要求;
(五)消費者權益保護是否全面有效。
如發現不符合本辦法要求,應當要求商業銀行限期整改、暫停業務等。
第六十條 商業銀行應當按照本辦法要求,對網際網路貸款業務開展情況進行年度評估,並於每年4月30日前向銀行業監督管理機構報送上一年年度評估報告。年度評估報告包括但不限於以下內容:
(一)業務基本情況;
(二)年度業務經營管理情況分析;
(三)業務風險分析和監管指標表現分析;
(四)識別、計量、監測、控制風險的主要方法及改進情況,信息科技風險防控措施的有效性;
(五)風險模型的監測與驗證情況;
(六)合規管理和內控管理情況;
(七)投訴及處理情況;
(八)下一年度業務發展規劃;
(九)銀行業監督管理機構要求報告的其他事項。
第六十一條 網際網路貸款的風險治理架構、風險管理策略和程序、數據質量控制機制、管理信息系統和合作機構管理等在經營期間發生重大調整的,商業銀行應當在調整後的10個工作日內向銀行業監督管理機構書面報告調整情況。
第六十二條 銀行業監督管理機構可以根據商業銀行的經營管理情況、風險水平和網際網路貸款業務開展情況等對商業銀行與合作機構共同出資發放貸款的出資比例及相關集中度風險、跨註冊地轄區業務等提出相關審慎性監管要求。
第六十三條 銀行業監督管理機構可以通過非現場監管、現場檢查等方式,實施對商業銀行網際網路貸款業務的監督檢查。
銀行業監督管理機構開展對商業銀行網際網路貸款業務的數據統計與監測、重要風險因素評估等工作。
第六十四條 商業銀行違反本辦法規定辦理網際網路貸款的,銀行業監督管理機構可根據《中華人民共和國銀行業監督管理法》責令其限期改正;逾期未改正,或其行為嚴重危及商業銀行穩健運行、損害客戶合法權益的,應採取相應的監管措施。嚴重違反本辦法的,可根據《中華人民共和國銀行業監督管理法》第四十五條、第四十六條、第四十七條、第四十八條規定實施行政處罰。
第七章 附則
第六十五條 商業銀行經營網際網路貸款業務,應當依照本辦法制定網際網路貸款管理細則及操作規程。
第六十六條 本辦法未盡事項,按照《個人貸款管理暫行辦法》《流動資金貸款管理暫行辦法》等相關規定執行。
第六十七條 外國銀行分行參照本辦法執行。除第六條個人貸款期限要求外,消費金融公司、汽車金融公司開展網際網路貸款業務參照本辦法執行。
第六十八條 本辦法由中國銀行保險監督管理委員會負責解釋。
第六十九條 本辦法自公布之日起施行。
第七十條 過渡期為本辦法實施之日起2年。過渡期內新增業務應當符合本辦法規定。商業銀行和消費金融公司、汽車金融公司應當制定過渡期內的網際網路貸款整改計劃,明確時間進度安排,並於辦法實施之日起1個月內將符合本辦法第五十八條規定的書面報告和整改計劃報送銀行業監督管理機構,由其監督實施。
中國銀保監會有關部門負責人就《商業銀行網際網路貸款管理暫行辦法》答記者問
為規範商業銀行網際網路貸款業務經營行為,促進網際網路貸款業務平穩健康發展,銀保監會發布實施《商業銀行網際網路貸款管理暫行辦法》(下稱《辦法》)。銀保監會有關部門負責人就相關問題回答了記者提問。
一、《辦法》公開徵求意見的情況如何?
2020年5月9日—6月9日,銀保監會就《辦法》向社會公開徵求意見,金融機構、行業自律組織、專家學者和社會公眾給予了廣泛的關注。銀保監會對反饋意見逐條進行認真研究,充分吸收科學合理的建議,絕大多數意見已採納或納入相關監管制度。
在風險管理方面,考慮到商業銀行網際網路貸款多維度、多要素判斷借款人信用狀況特徵,採納相關機構反饋意見,將第二十條「稅務、社會保險基金、住房公積金信息」不作為強制性信用狀況判斷要素。在放款控制方面,在明確商業銀行放款環節加強風控的前提下,允許其根據自身風控模式和手段,自主選擇是否再次進行徵信查詢;在擔保增信方面,增加「商業銀行不得因引入擔保增信放鬆對貸款質量管控」要求,強化商業銀行主體責任,防止商業銀行風險管理「空心化」。
二、制定出臺《辦法》的背景是什麼?
近年來,商業銀行網際網路貸款業務快速發展,各類商業銀行均以不同方式不同程度地開展網際網路貸款業務。與傳統線下貸款模式相比,網際網路貸款具有依託大數據和模型進行風險評估、全流程線上自動運作、無人工或極少人工幹預、極速審批放貸等特點,在提高貸款效率、創新風險評估手段、拓寬金融客戶覆蓋面等方面發揮了積極作用。與此同時,網際網路貸款業務也暴露出風險管理不審慎、金融消費者保護不充分、資金用途監測不到位等問題和風險隱患。
現行相關管理辦法未完全覆蓋上述問題,且商業銀行網際網路貸款對客戶進行線上認證,實際上已突破了面談面籤和實地調查等規定。因此,有必要儘快補齊制度短板,促進網際網路貸款業務規範發展。
三、《辦法》制定遵循的基本原則是什麼?
《辦法》制定主要遵循以下基本原則:一是堅持立足當前與著眼長遠相結合。商業銀行網際網路貸款業務已有數年發展歷程,行業也積累了很多實踐經驗,《辦法》將現有網際網路貸款業務納入規範化軌道,促進新業態的健康發展。同時,適應金融科技發展的趨勢,拋棄一刀切的簡單監管思路,原則導向為主,並預留監管政策空間。二是堅持服務實體經濟與防控金融風險相結合。《辦法》支持商業銀行通過網際網路貸款業務踐行普惠金融,滿足居民和小微企業的融資需求,提高金融便利度和普惠覆蓋面。與此同時,堅持問題導向,注重防控金融風險,提出全面風險管理要求,傳導合規審慎開展網際網路貸款的理念,防止各類風險積聚。三是堅持鼓勵創新與加強監管相結合。一方面,堅持審慎包容的監管態度,鼓勵商業銀行穩步探索產品和服務創新,不斷提高自主風險管控能力。另一方面,加強事中事後監管,壓實商業銀行風險管理的主體責任。
四、《辦法》定義的網際網路貸款的適用範圍是什麼?
《辦法》將網際網路貸款定義為「商業銀行運用網際網路和移動通信等信息通信技術,基於風險數據和風險模型進行交叉驗證和風險管理,線上自動受理貸款申請及開展風險評估,並完成授信審批、合同籤訂、貸款支付、貸後管理等核心業務環節操作,為符合條件的借款人提供的用於消費、日常生產經營周轉等的個人貸款和流動資金貸款。」
根據上述定義,以下貸款不屬於《辦法》規範的範疇,仍適用現有授信、貸款等相關監管規制。一是線上線下結合,貸款授信核心判斷仍來源於線下的貸款。例如,目前大多數所謂的線上企業流動資金貸款、供應鏈融資等,商業銀行貸款調查、風險評估和預授信等實質風險評估環節均在線下完成,出於便利借款人和提高效率考慮將貸款申請及後續操作環節於線上完成。二是部分抵質押貸款。例如以房屋等資產為抵押物發放的貸款,押品的評估登記等手續需要在線下完成。三是固定資產貸款。因固定資產貸款涉及較多線下審查內容,不屬於《辦法》定義範圍內的網際網路貸款。
網際網路貸款除應遵守《辦法》規定外,也應遵守現有相關監管規制中關於授信、貸款等的一般規定。
五、《辦法》對防控網際網路貸款風險,有哪些針對性措施?
網際網路貸款業務具有高度依託大數據風險建模、全流程線上自動運作、極速審批放貸等特點,易出現過度授信、多頭共債、資金用途不合規等問題。為有效防控網際網路貸款業務風險,《辦法》重點從以下方面進行規範。一是明確網際網路貸款小額、短期的原則,對消費類個人信用貸款授信設定限額,防範居民個人槓桿率快速上升風險。二是加強統一授信管理,防止過度授信。商業銀行應當全面了解借款人信用狀況,並通過風險監測預警模型持續性進行監測和評估,發現預警觸發條件的,應及時預警。三是加強貸款支付和資金用途管理。商業銀行對符合相應條件的貸款應採取受託支付方式,並精細化受託支付限額管理。貸款資金用途應當明確、合法,不得用於房產、股票、債券、期貨、金融衍生品和資產管理產品投資,不得用於固定資產和股本權益性投資等。如發現貸款用途違法違規或未按照約定用途使用的,應當採取措施提前收回貸款。四是對風險數據、風險模型管理和信息科技風險管理提出全流程、全方位要求,壓實商業銀行的風險管理主體責任。五是強化事中事後監管。監管機構對商業銀行網際網路貸款情況實施監督檢查,建立數據統計與監測機制,並可根據商業銀行的經營管理情況、風險水平等因素提出審慎性監管要求,嚴守風險底線。
六、《辦法》在規範商業銀行對合作機構管理方面提了哪些要求?
目前,商業銀行通過多種方式與第三方機構合作開展網際網路貸款業務。有效規範的合作在一定程度上有利於各類機構之間優勢互補、提高效率,但部分銀行對合作機構管理較為粗放,如沒有建立全行統一的管理制度、合作機構資質存在缺陷、對合作機構的持續性管理不足等,引發銀行聲譽風險。為引導商業銀行審慎開展與合作機構的合作,防止合作機構風險向銀行傳染,《辦法》要求商業銀行對合作機構從準入到退出建立全流程、系統性的管理機制,提升其精細化管理能力。一是商業銀行應當建立各類合作機構的全行統一的準入機制,並實施分層分類管理。商業銀行應當從經營情況、管理能力、風控水平等方面對合作機構進行準入前評估,合作機構資質應和其承擔的職能相匹配。二是商業銀行與合作機構籤訂的書面合作協議中,應明確合作範圍、操作流程、各方權責、風險分擔、客戶權益保護等內容。合作協議應體現收益和風險相匹配的原則。三是商業銀行應當向借款人充分披露自身與合作機構的信息、合作類產品的信息、自身與合作各方權利義務等,避免客戶產生品牌混同。商業銀行在依法合規前提下,可通過應用程式接口等技術手段,在獲客、合同籤訂等環節與合作機構開展基於應用場景的合作。四是商業銀行應當持續對合作機構進行管理,定期進行全面評估;發現合作機構無法繼續滿足準入條件的,應當及時終止合作關係。
在與合作機構共同出資發放貸款時,商業銀行應當按照自主風控的原則審慎開展業務,避免成為單純的資金提供方。《辦法》要求商業銀行建立健全內部管理制度,獨立進行風險評估和授信審批,按照適度分散的原則選擇合作機構,避免對合作機構的過度依賴;同時要求銀行將與合作機構共同出資發放貸款總額納入限額管理,並對單筆貸款出資比例實行區間管理。
七、《辦法》如何體現服務實體經濟的思路?
網際網路貸款不僅有利於銀行提升金融科技水平,促進其轉型發展,也有利於更好更便捷地滿足居民合理消費需求和支持實體經濟發展。網際網路貸款作為傳統線下貸款的重要補充,可以服務傳統金融渠道難以觸及的客戶群體,其普惠金融特性較為突出。為此,《辦法》按照法律法規和「放管服」改革的要求,不設行政許可,商業銀行均可按照《辦法》規定開展網際網路貸款業務。在強化風險管理、加強監管的同時,對用於生產經營的個人貸款和流動資金貸款授信額度及期限作了相應靈活處理,有助於確保通過網際網路渠道開展小微企業融資的連續性,提升小微企業和小微企業主信用貸款的佔比,在疫情防控和經濟下行壓力增大的關鍵期可以有效支持實體經濟。
八、《辦法》對消費者權益保護提出哪些要求?
《辦法》以網際網路貸款開展中消費者保護的痛點、難點為出發點和落腳點,針對網際網路貸款中存在的信息披露不充分、數據保護不到位、清收管理不規範等損害金融消費者權益的問題,《辦法》在多個章節全面提出消費者保護要求。一是商業銀行應當建立網際網路借款人權益保護機制,將消費者保護嵌入網際網路貸款業務全流程管理,做到賣者盡責。二是圍繞借款人數據來源、使用、保管等問題,對商業銀行提出明確要求,特別對取得借款人風險數據授權時進行了具體規定。三是要求商業銀行落實向借款人的充分信息披露義務,應充分披露貸款主體、實際年利率、年化綜合資金成本、還本付息安排、逾期清收、諮詢投訴等信息,切實保障客戶的知情權和自主選擇權。四是嚴格禁止商業銀行與有違規收集和使用個人信息、暴力催收等違法違規記錄的第三方機構合作。
九、《辦法》是否限制地方性商業銀行跨區展業?
地方法人銀行應當堅守發展定位,在開展網際網路貸款業務時主要服務當地客戶。考慮到各家銀行網際網路貸款業務開展情況以及風險管理能力差異性較大,《辦法》暫未對地方法人銀行開展跨區網際網路貸款業務設置統一的定量指標進行限制,但地方法人銀行應結合自身風控能力審慎開展此類業務,並確保有效識別和監測跨區網際網路貸款業務開展情況。同時,監管機構有權根據商業銀行跨區業務的規模、風險水平等提出進一步審慎性監管要求。
部分無實體經營網點,業務主要在線上開展的銀行不受《辦法》關於跨區經營的限制。
十、《辦法》的過渡期如何設置?
為儘可能地保證現有網際網路貸款業務的連續性和保護客戶權益,《辦法》按照「新老劃斷」的原則,設置2年過渡期。《辦法》實施之日起,新增業務應當符合《辦法》規定。過渡期內,不符合《辦法》規定的業務,應在控制整體規模基礎上,逐步有序壓降,同時按照《辦法》規定,在風險治理架構、風險模型管理等方面進行規範或整改。過渡期結束後,商業銀行所有存續網際網路貸款業務均應遵守本《辦法》規定。
為強化現有存量業務的規範,《辦法》規定實施之日起1個月內,商業銀行應當將業務規劃、風險管控措施、存量業務、金融消費者權益保護等情況報告監管機構。監管機構在對上述報告進行評估時發現不符合本《辦法》要求的,應當要求商業銀行進行整改。商業銀行存量業務需要整改的,應對照《辦法》制定相應的過渡期整改計劃與上述報告同步報告監管機構,由監管機構監督其有序實施,並視情況採取相關監管措施。
(責任編輯:季麗亞 HN003)