商业银行互联网贷款新规解读与行业实践观察（下）

Original 刘新宇陈嘉伟中伦视界 2022-03-20

前言●●

本文为《商业银行互联网贷款管理暂行办法》解读文章下篇，将继续对《商业银行互联网贷款管理暂行办法》重点调整之处及行业实践情况加以分析。

八.

风险数据来源

第三十三条：商业银行进行借款人身份验证、贷前调查、风险评估和授信审查、贷后管理时，应当至少包含借款人姓名、身份证号、联系电话、银行账户以及其他开展风险评估所必需的基本信息。如果需要从合作机构获取借款人风险数据，应通过适当方式确认合作机构的数据来源合法合规、真实有效，对外提供数据不违反法律法规要求，并已获得信息主体本人的明确授权。商业银行不得与违规收集和使用个人信息的第三方开展数据合作。

解析：

在风险数据来源管理方面，正式稿中增加了“对外提供数据不违反法律法规要求”的表述。《暂行办法》要求商业银行从合作机构处获取借款人数据的，应当核查合作机构的数据来源是否合法合规、真实有效；对外提供数据是否违反法律法规要求；是否经信息主体本人的明确授权。从授权链条的完整性考虑，一是要信息主体授权合作机构收集其本人信息，二是要信息主体授权合作机构向商业银行提供其本人信息。

对于商业银行通过合作机构获取借款人信息，此前发布的《个人金融信息保护技术规范》规定“不应委托或授权无金融业相关资质的机构收集C3、C2类别信息。”[1]虽该规范仅为推荐性行业标准，但也不排除后续监管部门参考该规范内容对商业银行提出个人金融信息收集的相关要求。届时如果合作机构不具备金融业相关资质，商业银行从合作机构处获取特定借款人信息，可能违反该规范关于不应委托或授权无金融业相关资质的机构收集C3、C2类别信息的要求。

九.

贷款合作管理

合作机构的名单制管理

《暂行办法》要求商业银行应当建立全行统一的合作机构准入机制，实行合作机构的名单制管理，并对合作机构进行准入前评估。同时，在合作期间对合作机构应当至少每年全面评估一次，发现合作机构无法继续满足准入条件的，应当及时终止合作关系。

按照正式稿的定义，合作机构包括了“与商业银行在营销获客、共同出资发放贷款、支付结算、风险分担、信息科技、逾期清收等方面开展合作的各类机构，包括但不限于银行业金融机构、保险公司等金融机构和小额贷款公司、融资担保公司、电子商务公司、非银行支付机构、信息科技公司等非金融机构。”以助贷行业为例，对助贷合作机构实行名单制管理的影响在于可能导致助贷行业的集中化、头部化趋势进一步增强，挤压中小助贷平台的生存空间。对商业银行等资金方而言，对合作机构进行准入前评估及名单制管理，很多时候就意味着和大平台、资本实力雄厚的平台合作。但商业银行在选择合作机构时也应当适度分散，避免对单一合作机构过于依赖。

核心业务外包

对于商业银行和合作机构的权责划分，《暂行办法》未直接使用核心业务不得外包的表述，而是针对不同事项提出了“独立有效开展”、“不得全权委托”、“不得外包”等要求，我们将具体相关条款总结如下：

条款	具体表述
第三条	本办法所称互联网贷款，是指商业银行运用互联网和移动通信等信息通信技术，基于风险数据和风险模型进行交叉验证和风险管理，线上自动受理贷款申请及开展风险评估，并完成授信审批、合同签订、贷款支付、贷后管理等核心业务环节操作，为符合条件的借款人提供的用于消费、日常生产经营周转等的个人贷款和流动资金贷款。
第八条	互联网贷款业务涉及合作机构的，授信审批、合同签订等核心风控环节应当由商业银行独立有效开展。
第十五条	商业银行应当确保具有足够的资源，独立、有效开展互联网贷款风险管理······
第十八条	商业银行对借款人的身份核验不得全权委托合作机构办理。
第三十七条	商业银行不得将上述风险模型的管理职责外包，并应当加强风险模型的保密管理。
第五十一条	除共同出资发放贷款的合作机构以外，商业银行不得将贷款发放、本息回收、止付等关键环节操作全权委托合作机构执行。
第五十九条	银行业监督管理机构应当结合日常监管情况和商业银行风险状况等，对商业银行提交的报告和相关材料进行评估，重点评估：（二）是否独立掌握授信审批、合同签订、放款支付、贷后管理等核心业务风控环节；

正式稿对第五十九条表述的修改使得其与第八条在“核心风控环节”的表述上保持一致。

《暂行办法》第五十一条规定了商业银行不得将贷款发放、本息回收、止付等关键环节操作全权委托合作机构执行，容易忽略的一个要点是“本息回收”环节。对于本息回收不得全权委托合作机构执行如何理解，我们认为严格意义上对这一点把握的标准应落在哪一主体在实质主导本息回收工作上。首先要明确的是本息回收不得全权委托和合作机构不得向借款人收取息费是并列的两个要求，而不是说合作机构虽然不以自身名义收费，但可以代商业银行收取息费后再行分配。

实践中，不少中小商业银行在与助贷机构合作时，是由合作机构通过支付机构来主导本息回收工作。典型的模式包括合作机构向支付机构发送指令，扣划借款人账户资金至商业银行账户；或者先扣划至合作机构账户，合作机构再清分给商业银行。在这一模式中，商业银行只是被动地接收还款资金，实质上是助贷机构在主导本息回收工作。因此，我们认为该等模式可能存在违反本息回收不得全权委托合作机构执行的规定的风险。

息费收取

第五十一条：商业银行应当在书面合作协议中明确要求合作机构不得以任何形式向借款人收取息费，保险公司和有担保资质的机构按照有关规定向借款人收取合理费用，以及银行业监督管理机构规定的其他情形除外。

解析：

与征求意见稿相比，在息费收取的要求上，正式稿保留了保险公司和有担保资质的机构可以向借款人收费的除外规定。但正式稿中删除了“按照有关规定向借款人收取合理费用”的表述，多少耐人寻味。以融资担保公司为例，通过融资担保公司向借款人收费是当前行业的通行做法，但何等情况下融资担保公司可能构成不合理的收费？我们认为，典型如：（1）融资担保公司既收取担保费又收取担保咨询/服务费是否合理？特别是仅融资担保公司自身为借款人提供担保时，既收担保费，又收咨询费、服务费，如何来判断融资担保公司是否实质提供了咨询服务的相关内容，如果不具备实质咨询服务内容，收取担保的咨询费、服务费是否合理？（2）融资担保公司收费的费率是否合理？虽按照《融资担保公司监督管理条例》第十九条规定，融资担保费率系由融资担保公司与被担保人协商确定。但实践中，特别是合作机构借融资担保公司收担保费的名义，实质收取助贷服务费时，难免造成融资担保费率过高的情况出现，此时如何来把握融资担保公司收取的是否为合理费用确实较为困难。这也可能是此次正式稿中删除“合理费用”相关表述的一个考量点。

共同出资发放贷款

在共同出资发放贷款的规定上，正式稿与征求意见稿相比未发生变化。《暂行办法》暂未对共同出资发放贷款设置具体的指标及比例限制，仅原则性要求商业银行将与合作机构共同出资发放贷款总额按照零售贷款总额或者贷款总额相应比例纳入限额管理，并加强共同出资发放贷款合作机构的集中度风险管理，对单笔贷款出资比例实行区间管理，与合作方合理分担风险。但按照《暂行办法》规定的精神，也不排除后续监管部门根据商业银行风险情况等对共同出资发放贷款的出资比例及集中度风险等提出相关审慎性监管要求。

担保增信

第五十五条：商业银行不得接受无担保资质和不符合信用保险和保证保险经营资质监管要求的合作机构提供的直接或变相增信服务。商业银行与有担保资质和符合信用保险和保证保险经营资质监管要求的合作机构合作时应当充分考虑上述机构的增信能力和集中度风险。商业银行不得因引入担保增信放松对贷款质量管控。

解析：

在担保增信方面，正式稿相较于征求意见稿，增加了“商业银行不得因引入担保增信放松对贷款质量管控”的表述，其实质是强调商业银行应当具备对互联网贷款的自主风控能力。行业实践中，在监管提出“不得接受无担保资质的第三方机构提供增信服务以及兜底承诺等变相增信服务”的要求后，合作机构多倾向于通过收购/新设持牌的融资担保公司的方式，以融资担保公司向商业银行提供担保，具体模式上可能还会辅之以“保证金”、“反担保”等安排。但实践中不少融资担保公司实际上仅仅是“空壳公司”，只是具备提供融资担保服务的资质，而不具备实质承担担保责任的能力。对于这类型的融资担保公司，就需要商业银行在合作时加强对其增信能力的审查。

十.

风险管理体系的建立与完善

与征求意见稿对比，正式稿对商业银行互联网贷款风险管理体系的规定未发生实质变化。对于互联网贷款业务风险管理的要求贯穿了办法全文，包括要求建立互联网贷款的风险治理架构、风险管理政策和程序、内部控制和审计体系，明确内部的风险管理职责，建立反欺诈机制、人工复核验证机制、风险评估、授信审批和风险定价模型等。同时，《暂行办法》对风险数据、风险模型管理和信息科技风险管理提出了全流程、全方位的要求。在具体实施过程中，合作机构的风险管控等要求也应当纳入商业银行的风险管理体系中。对于商业银行，特别是一些规模较小、内控管理措施不够健全的商业银行而言，按照《暂行办法》的规定建立、完善互联网贷款业务的风险管理体系是工作的重点、难点之一。

十一.

消费者权益保护要求

《暂行办法》多个章节中都体现了对于消费者权益保护的要求。参考银保监会有关部门负责人就《商业银行互联网贷款管理暂行办法》答记者问，《暂行办法》对消费者权益保护的要求包括了商业银行应当建立互联网借款人权益保护机制，将消费者保护嵌入互联网贷款业务全流程管理，做到卖者尽责；围绕借款人数据来源、使用、保管等问题，对商业银行提出明确要求，特别对取得借款人风险数据授权时进行了具体规定；要求商业银行落实向借款人的信息披露义务，应充分披露贷款主体、实际年利率、年化综合资金成本、还本付息安排、逾期清收、咨询投诉等信息，切实保障客户的知情权和自主选择权；严格禁止商业银行与有违规收集和使用个人信息、暴力催收等违法违规记录的第三方机构合作。

十二.

监督管理

针对商业银行开展互联网贷款业务的监督管理，《暂行办法》规定商业银行首次开展互联网贷款业务的，应当于产品上线后10个工作日内，向其监管机构提交书面报告。监管部门对商业银行提交的报告和相关材料进行评估，如发现不符合《暂行办法》要求的，应当要求商业银行限期整改、暂停业务等。此外，商业银行应当按照《暂行办法》规定，对互联网贷款业务开展情况进行年度评估，并于每年4月30日前向银行业监督管理机构报送上一年年度评估报告。

十三.

过渡期

《暂行办法》正式稿中保留了2年的过渡期安排，自《暂行办法》实施之日起算。按照《暂行办法》规定，《暂行办法》实施之日起，新增互联网贷款业务应当符合《暂行办法》规定。同时，要求商业银行应当制定过渡期内的互联网贷款整改计划，明确时间进度安排，并于《暂行办法》实施之日起1个月内向监管机构报送书面报告和整改计划。

结语

《商业银行互联网贷款管理暂行办法》的正式发布总体利于行业的规范发展，但对不少机构而言，合规整改的压力仍然较大，目前来看，要完全满足《暂行办法》的要求，可能还有很长一段路要走。对于《暂行办法》的贯彻落实情况，还有待后续分晓。

[注]

[1] C3类别信息主要为用户鉴别信息，包括银行卡磁道数据、账户登录密码、用于用户鉴别的个人生物识别信息等；

C2类别信息主要为可识别特定个人金融信息主体身份与金融状况的个人金融信息，以及用于金融产品与服务的关键信息，包括支付账号及其等效信息、账户登录的用户名、用户鉴别辅助信息，如动态口令、直接反映个人金融信息主体金融状况的信息等。

点击阅读

商业银行互联网贷款新规解读与行业实践观察（上）

The End

作者简介

刘新宇律师

上海办公室合伙人

业务领域：资产证券化与金融产品, 收购兼并, 诉讼仲裁