事件：

2020年5月9日，银保监会就《商业银行互联网贷款管理暂行办法（征求意见稿）》（以下简称“《办法》”）公开征求意见。

此前，针对北京市银保监局于2019年10月12日发布的《关于规范银行与金融科技公司合作类业务及互联网保险业务的通知》（京银保监发〔2019〕310号，以下简称“《通知》”），和此前媒体关于银行互联网贷款加强监管的报道，我们此前曾在2019年10月14日发布《银行互联网贷款，还有得做吗》——北京银保监局规范银行与金融科技公司合作通知简评》[1]报告。

一、明确互联网贷款定义、范畴及定位

《办法》明确了互联网贷款范畴，互联网贷款应为线上受理并开展风险评估等核心业务环节的个人贷款和流动资金贷款，并不包括需要线下进行风险评估和抵质押登记的贷款。《办法》指出：“互联网贷款，是指商业银行运用互联网和移动通信等信息通信技术，基于风险数据和风险模型进行交叉验证和风险管理，线上自动受理贷款申请及开展风险评估，并完成授信审批、合同签订、放款支付、贷后管理等核心业务环节操作，为符合条件的借款人提供的用于消费、日常生产经营周转等的个人贷款和流动资金贷款。”除了以上定义，银保监会明确了部分贷款并不属于银行互联网贷款，不能适用于《办法》，这些贷款业务包括：“（一）借款人虽在线上进行贷款申请等操作，商业银行线下或主要通过线下进行贷前调查、风险评估和授信审批，贷款授信核心判断来源于线下的贷款；（二）商业银行发放的抵质押贷款，且押品需进行线下或主要经过线下评估登记和交付保管；（三）中国银行保险监督管理委员会规定的其他贷款。”除此之外，为了确保互联网贷款的全程线上操作，《办法》还要求合同应以电文形式签订，具体要求为：“商业银行应当与借款人及其他当事人采用数据电文形式签订借款合同及其他文书。”此前，监管部门对于银行互联网贷款并未进行明确定义，不少线上受理但是在线下完成风险评估、调查、授信和抵质押过程的贷款也被纳入了银行互联网贷款的范畴之列，银行在这些贷款的发放过程中无法单纯通过线上开展，往往要辅以线下的业务核查等行为，实际上并不属于纯粹的“互联网”贷款。而且这类型的贷款往往涉及金额较大，也背离了《办法》所提及的互联网贷款小额、短期、高效和风险可控的原则。因此，将这些贷款从互联网贷款中排除，有利于更好的厘清银行互联网贷款的范畴，明确银行互联网贷款的定位，进而设定准确、有针对性的监管措施。

《办法》中明确指出互联网贷款的定位应为小额、短期，凸显了当前互联网贷款的普惠金融定位。在《办法》第六条中，银保监会指出互联网贷款的基本原则为：“互联网贷款应当遵循小额、短期、高效和风险可控的原则”。在配发的答记者问中，银保监会也明确了银行互联网贷款作为线下贷款重要补充的定位，指出：“互联网贷款作为传统线下贷款的重要补充，可以服务传统金融渠道难以触及的客户群体，其普惠金融特性较为突出。”由此可见，虽然新冠肺炎疫情提升了各方线上办理金融业务的需求，但是短期内线下贷款仍将占到主导地位。未来，随着金融科技的发展以及各项因素的完善，不排除监管部门可能会改变互联网贷款的定位，以进一步鼓励其发展。

应当指出的是，《办法》的适用范畴不仅包括了商业银行，还包括了消金公司和汽车金融公司。《办法》指出：“除第六条及第二十七条中个人贷款期限、贷款支付管理要求外，消费金融公司、汽车金融公司开展互联网贷款业务参照本办法执行。”因此，此前消费金融公司和汽车金融公司通过多种场景线上远程获客开展的互联网贷款业务也将受到监管，从而冲击部分机构此前的运营模式。

二、严格限制个人互联网消费贷款授信额度

《办法》秉承“小额”的原则，要求单户个人信用贷款授信额度不能超过人民币20万元，但并未限制个人经营贷和企业流动资金贷款的额度上限。《办法》指出：“单户用于消费的个人信用贷款授信额度应当不超过人民币20万元，到期一次性还本的，授信期限不超过一年商业银行应根据自身风险管理能力，按照互联网贷款的区域、行业、品种等，确定单户用于生产经营的个人贷款和流动资金贷款授信额度上限。”此前，2018年底，曾有媒体报道[2]，监管部门就《商业银行互联网贷款管理办法（征求意见稿）》内部征求意见。当时的报道指出监管部门将限制单户个人贷款授信额度上限为30万元，单户企业流动资金贷款授信额度上限为50万元。相较于此前版本，《办法》进一步收紧个人信用贷款额度，不过并未对企业流动资金贷款额度设置明确限制。《办法》对于个人信用贷款授信额度的限制或将使得互联网贷款无法适用于此前的部分消费场景。例如，由于《办法》适用对象包括了汽车金融公司，那么对于贷款额度超过20万元的汽车消费金融贷款，未来将无法单纯经过线上，以互联网贷款的形式进行发放。同理，其他大额消费场景未来也将难以开展互联网贷款项目。此外，对于此前个人互联网贷款敞口较大的家庭和个人，在过渡期内也将面临额度收缩的风险，进而有可能影响这些居民的资产质量。此前，我们曾对韩国信用卡危机的历史进行研究，在金融机构信用卡额度收紧之后，信用卡逾期率也有所上升，从而造成了2000年代初的韩国信用卡危机，相关研究请参见我们此前的报告《消费贷风险：韩国信用卡危机之殷鉴》[3]。值得注意的是，《办法》并未对个人经营贷和企业流动资金贷款设置相应的额度上限，仅要求相关金融机构审慎确定额度上限，体现了对于小微企业的呵护。

除此之外，采取自主支付方式的互联网贷款，其单次支付额还应审慎确定限额。《办法》指出：“采用自主支付方式的，应当根据借款人过往行为数据、交易数据和信用数据等，确定单日贷款支付限额。”此外，对于授信与首笔贷款发放时间间隔超过1个月的，《办法》还要求“商业银行应当在贷款发放前查询借款人信贷记录，重点关注借款人的新增贷款情况。”

三、自主风控、立足本地与严控流向

《办法》延续了此前对于商业银行互联网贷款自主风控、立足本地与严控流向的要求，不过具体的要求与此前文件存在些许差异。

在要求商业银行落实自主风控原则上，《办法》要求：“互联网贷款业务涉及合作机构的，授信审批、合同签订等核心风控环节应当由商业银行独立有效开展。”“商业银行应当自主确定目标客户群、授信额度和贷款定价标准；商业银行不得向合作机构自身及其关联方直接或变相进行融资用于放贷。除共同出资发放贷款的合作机构以外，商业银行不得将贷款发放、本息回收、止付等关键环节操作全权委托合作机构执行。”“商业银行与其他有贷款资质的机构共同出资发放互联网贷款的……商业银行应当独立对所出资的贷款进行风险评估和授信审批，并对贷后管理承担主体责任。”此前，北京银保监局在2019年10月12日发布的《关于规范银行与金融科技公司合作类业务及互联网保险业务的通知》（京银保监发〔2019〕310号，以下简称“《通知》”）指出：“开发与业务匹配的风控模型和系统，配备专业人员，自主开展客户准入、风险评估、贷款审批、贷后管理等工作。不得将贷款“三查”、风险控制等核心业务环节外包给合作机构，不得仅根据合作机构提供的数据或信用评分直接作出授信决策，不得因引入保证保险、回购承诺等风险缓释措施而放松风险管控。” 而在2019年年初媒体披露浙江银保监局下发的《关于加强互联网助贷和联合贷款风险防控监管提示的函》（浙银保监便函〔2019〕9号）[4]也要求：“不得将授信审查、风险控制等核心环节外包，不能异化为单纯的放贷资金提供方。参与银行应开发与业务匹配的风控系统、风控模型，配备专业人员。应独立开展客户准入、风险评测、贷款额度和贷款利率确定、贷后资金用途管理。”《办法》延续了此前监管文件对于互联网贷款自主风控原则的要求，也于我们此前的判断相符。

在立足本地的要求上，《办法》要求地方法人银行审慎开展跨注册地辖区互联网贷款业务，无实体网点的银行等将豁免这一限制。《办法》要求：“地方法人银行开展互联网贷款业务，应主要服务于当地客户，审慎开展跨注册地辖区业务，有效识别和监测跨注册地辖区业务开展情况。无实体经营网点，业务主要在线上开展，且符合中国银行保险监督管理委员会规定其他条件的除外。”2019年年底北京银保监局下发《通知》指出：“辖内商业银行应立足本地经营，主要服务本地客户，通过合作机构引入在自身营销、服务和风险管控能力范围内的客户。按照客户身份证地址、常住地、主要业务经营地、手机号码归属地、客户登录IP地址等维度，制定属地经营规则。办理异地个人授信业务，应严格执行《个人贷款管理暂行办法》（银监会令2010年第2号）关于面谈、面签的相关要求,并应抽取一定比例采取现场调查方式进行贷后管理。” 2019年年初浙江银保监局下发的《关于加强互联网助贷和联合贷款风险防控监管提示的函》（浙银保监便函〔2019〕9号）则要求：“城商行、民营银行开展互联网联合贷款业务，应坚守“立足当地、服务当地、不跨区域”的定位，将长期可持续发展作为目标，通过互联网渠道引入在自身营销、服务和风险管控能力范围内的客户。要按照客户身份证地址、主要业务经营地、主要居住生活地等维度，建立统一的属地经营规则，按照异地授信管理相关文件的精神严格管控异地授信。开展互联网联合贷款业务，辖内城商行、民营银行法人原则上只能经营本行有分支机构的地域的客户，辖内城商行分行原则上只能经营省内的客户。”与以上两个监管文件相比，《办法》对于互联网贷款立足本地的要求相对较为宽松：一是限制的对象仅限于地方法人银行。这一范畴不仅不包括国有大行和全国性股份制银行，同时还将无实体经营网点或业务主要在线上开展的民营银行等排除在了限制之外。二是《办法》并未明确要求面签、面谈。原银监会2010年发布的《个人贷款管理暂行办法》（银监会令2010年第2号）第十七条要求：“贷款人应建立并严格执行贷款面谈制度。通过电子银行渠道发放低风险质押贷款的，贷款人至少应当采取有效措施确定借款人真实身份。”此前北京银保监局的《通知》中重申了面签、面谈的相关要求。参照互联网贷款线上展业的定位和特性，旧日的面签、面谈要求显然较难与之相适配。若考虑前文提及互联网贷款的签约形式为线上电子签约，未来或将可以完全通过线上的方式开展互联网贷款的面签、面谈。三是并未一刀切禁止地方法人银行跨区开展互联网贷款业务。《办法》仅要求地方法人银行应主要服务于当地客户，审慎开展跨注册地辖区业务。由此也为未来地方法人银行未来跨注册地辖区开展互联网贷款业务留出了政策空间。

在严控资金流向方面，《办法》严格限制贷款资金不得用于投资及购买房产。在贷款资金用途方面，《办法》指出：“商业银行应当与借款人约定明确、合法的贷款用途。贷款资金不得用于以下事项：（一）购房及偿还住房抵押贷款；（二）股票、债券、期货、金融衍生产品和资产管理产品等投资；（三）固定资产、股本权益性投资；（四）法律法规禁止的其他用途。”在贷款用途监测方面，《办法》要求：“商业银行应当采取适当方式对贷款用途进行监测，发现借款人违反法律法规或未按照约定用途使用贷款资金的，应当按照合同约定提前收回贷款，并追究借款人相应责任。”此前，2019年年底北京银保监局发布的《通知》则要求：“按照穿透原则，严查资金用途合规性，严防信贷资金违规流入网络借贷平台、房地产市场等禁止性领域。采用自主支付的，应与借款人在借款合同中事先约定，要求借款人定期报告或告知贷款人贷款资金支付情况。通过账户分析、凭证查验或现场调查等方式，核查贷款是否按约定用途使用。贷款发放后，应采取有效方式对贷款资金使用等进行跟踪检查和监控分析。”与此前的《通知》相比，《办法》继续严守了贷款资金的流向和用途，同时进一步提升了商业银行在监测贷款资金流向上的可操作度，事实上便利了商业银行互联网贷款业务的展业。

四、严格规范互联网贷款合作机构

《办法》对于互联网贷款合作机构的范畴进行了明确，不仅包括金融机构也涵盖了非金融机构。从功能上来看，商业银行互联网贷款的合作机构包括了互联网贷款多个环节中进行合作的机构，具体为“营销获客、共同出资发放贷款、支付结算、风险分担、信息科技、逾期清收等方面开展合作的各类机构”。从机构性质来看，不仅包含了银行业金融机构、保险公司等金融机构，也涵盖了小额贷款公司、融资担保公司、电子商务公司、第三方支付机构、信息科技公司等非金融机构。

《办法》要求商业银行对合作机构进行名单制管理同时开展事前准入审批，并根据其层级和类别确定审批权限。在合作机构的准入评估上，《办法》要求：“商业银行应当主要从经营情况、管理能力、风控水平、技术实力、服务质量、业务合规和机构声誉等方面对合作机构进行准入前评估。选择共同出资发放贷款的合作机构，还应重点关注合作方资本充足水平、杠杆率、流动性水平、不良贷款率、贷款集中度及其变化，审慎确定合作机构名单。”值得注意的是，虽然《办法》要求施行全行统一的准入机制，但并未要求合作机构准入统一由总行进行审批。此前2019年年底北京银保监局发布的《通知》要求辖内商业银行与金融科技公司开展合作应在总行层面进行审批。不过银保监会发布的《办法》指出：“商业银行应根据合作内容、对客户的影响范围和程度、对银行财务稳健性的影响程度等对合作机构实施分层分类管理，并按照其层级和类别确定相应审批权限。”审批权限的相应下放，将能够更好的灵活操作，促进银行和各类机构开展合作推动互联网贷款业务的发展。

《办法》还根据合作内容对共同放贷、担保、清收等合作机构提出了资质要求。《办法》指出：“商业银行不得以任何形式为无放贷业务资质的合作机构提供资金用于发放贷款，不得与无放贷业务资质的合作机构共同出资发放贷款。”“商业银行不得接受无担保资质和不符合信用保险和保证保险经营资质监管要求的合作机构提供的直接或变相增信服务。”“商业银行不得委托有暴力催收等违法违规记录的第三方机构进行贷款清收。”

五、关注消费者保护，严格个人金融信息保护

《办法》秉承了近一段时间以来对于金融消费者保护的重视，具体而言，一方面强调了金融机构贷款营销上应注意合规要求；另一方面也重申了对于客户信息获取、运用和保存的要求。

在互联网贷款的营销过程中，《办法》要求充分对贷款信息进行披露，并充分品谷目标客户的还款能力等指标。为了确保目标客户具有相应的还款能力并事前了解了贷款合同的相关条款，《办法》要求：“商业银行充分评估目标客户的资金需求、还款意愿和还款能力。商业银行应当在贷款申请流程中，加入强制阅读贷款合同环节，并设置合理的阅读时间限制。”而为了确保贷款相关信息的披露准确明了并获得客户明确认可，《办法》还要求：“商业银行自身或通过合作机构向目标客户推介互联网贷款产品时，应当在醒目位置充分披露贷款主体、贷款条件、实际年利率、年化综合资金成本、还本付息安排、逾期清收、咨询投诉渠道和违约责任等基本信息，保障客户的知情权和自主选择权，不得采取默认勾选、强制捆绑销售等方式剥夺消费者意思表示的权利。”

在个人金融信息的获取和保存上，《办法》主要作出了以下几点要求：一是贷前调查应当合法合规，并获得授权。《办法》指出：“商业银行应当在获得授权后查询借款人的征信信息，通过合法渠道和手段线上收集、查询和验证借款人相关定性和定量信息，包括但不限于税务、社会保险基金、住房公积金等信息，全面了解借款人信用状况。”二是商业银行应确保来自合作机构的借款人风险数据来源和使用合法，并获得主体同意。《办法》指出：“如果需要从合作机构获取借款人风险数据，应通过适当方式确认合作机构的数据来源合法合规、真实有效，并已获得信息主体本人的明确授权。商业银行不得与违规收集和使用个人信息的第三方开展数据合作。”“商业银行收集、使用借款人风险数据应当遵循合法、必要、有效的原则，不得违反法律法规和借贷双方约定，不得将风险数据用于从事与贷款业务无关或有损借款人合法权益的活动，不得向第三方提供借款人风险数据，法律法规另有规定的除外。”三是商业银行应当妥善保管借款人数据安全。《办法》指出：“商业银行应当采用有效技术手段，保障借款人数据安全，确保商业银行与借款人、合作机构之间传输数据、签订合同、记录交易等各个环节数据的保密性、完整性、真实性和抗抵赖性，并做好定期数据备份工作。”

应当指出的是，人民银行将在今年发布《个人金融信息（数据）保护试行办法》。此前，人民银行曾在2月21日发布金融行业标准《个人金融信息保护技术规范》，对个人金融信息在收集、传输、存储、使用、删除、销毁等生命周期各环节的安全防护进行了要求。未来一段时间，针对个人金融信息保护的制度规范将不断完善，执法力度也将不断上升。

六、要求2年过渡期内及时进行整改

《办法》对于商业银行给予了2年过渡期，要求及时整改当前互联网贷款业务。《办法》指出：“过渡期为本办法实施之日起2年。过渡期内新增业务应当符合本办法规定。”银保监会要求，在过渡期内新增的互联网贷款，也应该符合《办法》的相关规定。针对此前商业银行、消费金融公司、汽车金融公司等实际已开发了互联网贷款产品的情况，银保监会要求相关机构应在《办法》出台后及时进行报备和整改。《办法》指出：“商业银行和消费金融公司、汽车金融公司应当制定过渡期内的互联网贷款整改计划，明确时间进度安排，并于办法实施之日起一个月内将符合本办法第五十八条规定的书面报告和整改计划报送银行业监督管理机构，由其监督实施。”

注：

[1]陈昊、鲁政委，《银行互联网贷款，还有得做吗？——北京银保监局规范银行与金融科技公司合作通知简评》，2019年10月14日，https://app.cibresearch.com/shareUrl?name=000000006d6e6f3a016dc94f69313be6（查于2020年5月9日）https://mp.weixin.qq.com/s/BsB7zeF3T_J1DT-AZaf68w（查于2020年5月9日）

[2]https://mp.weixin.qq.com/s/BsB7zeF3T_J1DT-AZaf68w（查于2020年5月9日）

[3]郭于玮、鲁政委，2019年3月15日https://app.cibresearch.com/shareUrl?name=00000000693d7b6701697f3a769a1634 （查于2020年5月9日）

[4]http://www.yinqiao.com/college/10450.html（查于2020年5月9日）