银保监会进一步规范商业银行互联网贷款业务

本篇文章9324字，读完约23分钟

中国保险监督管理委员会就《商业银行网上贷款管理暂行办法》公开征求意见。根据意见稿，单户消费个人信用贷款的授信额度不超过20万元，一次还本的授信期限不超过一年。商业银行应根据自身风险管理能力和互联网贷款的地区、行业和品种，确定生产经营类个体户个人贷款和流动资金贷款的授信额度上限。对于上述期限超过一年的贷款，应至少每年对该贷款对应的授信进行一次重新评估和审批。根据意见稿，商业银行不得委托有暴力催收等违法记录的第三方机构催收贷款。根据意见稿，商业银行与其他具有贷款资格的机构共同出资发放网上贷款的，应建立相应的内部管理制度，明确银行与合作机构共同出资发放贷款的管理机制，明确合作协议中各方的权利和义务。意见稿指出，商业银行应与借款人就明确合法的贷款用途达成一致，贷款资金不应用于购房和偿还抵押贷款；不得用于投资股票、债券、期货、金融衍生品和资产管理产品；不得用于固定资产、股权投资等。

商业银行网上贷款管理暂行办法(征求意见稿)

第一章总则

第一条为了规范商业银行网上贷款业务的经营行为，促进网上贷款业务健康发展，根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》等法律法规，制定本办法。

第二条【适用范围】在中华人民共和国境内依法设立的商业银行经营网上贷款业务，应当遵守本办法。

第三条【网上贷款定义】本办法所称网上贷款，是指商业银行向符合条件的借款人提供的用于消费、日常生产经营周转等的个人贷款和流动资金贷款。通过基于风险数据和风险模型的交叉验证和风险管理，在线自动接受贷款申请和风险评估，并完成核心业务操作，如信贷审批、合同签署、贷款支付和贷后管理。

第四条[其他定义]本办法所称风险数据，是指商业银行在确认借款人身份、识别、分析、评估、监控、预警和处置贷款风险过程中收集和使用的各类内部和外部数据。

本办法所称风险模型是指适用于网上贷款业务全过程的各种模型，包括但不限于身份认证模型、反欺诈模型、反洗钱模型、合规模型、风险评估模型、风险定价模型、授信审批模型、风险预警模型和贷款催收模型。

本办法所称合作机构，是指与商业银行在客户营销、共同融资贷款、支付结算、风险共担、信息技术、催收等方面进行合作的各类机构。在互联网贷款业务中，包括但不限于银行金融机构、保险公司等金融机构和非金融机构如小额贷款公司、融资担保公司、电子商务公司、第三方支付机构和信息技术公司。

第五条本办法不适用于下列贷款:

(1)虽然借款人在网上申请贷款，但商业银行在网下或主要在网下进行贷前调查、风险评估和授信审批，贷款信用的核心判断来自网下贷款；

(2)商业银行发放的抵押贷款，抵押物需要进行网下登记并交付保管或主要通过网下评估；

(三)中国银行保险监督管理委员会规定的其他贷款。

上述贷款适用其他相关监管规定。

第六条【基本原则】网络贷款应遵循小额、短期、高效、风险可控的原则。

单户消费个人信用贷款的授信额度不得超过20万元，一次性还本的授信期限不得超过一年。

商业银行应根据自身风险管理能力和互联网贷款的地区、行业和品种，确定生产经营类个体户个人贷款和流动资金贷款的授信额度上限。对于上述期限超过一年的贷款，应至少每年对该贷款对应的授信进行一次重新评估和审批。

第七条【业务规划】商业银行应根据市场定位和发展战略，制定自己的网上贷款业务规划。涉及合作机构的，应当明确合作方式。

第八条【风险管理一般要求】商业银行应当对网上贷款业务实施统一管理，将网上贷款业务纳入综合风险管理体系，建立和完善与网上贷款业务特点相适应的风险治理结构、风险管理政策和程序、内部控制和审计制度，有效识别、评估、监控和控制网上贷款业务风险，确保网上贷款业务发展与自身风险偏好和风险管理能力相适应。

如果网上贷款业务涉及合作机构，授信审批、合同签订等核心风险控制环节应由商业银行独立有效地进行。

第九条【本地法人机构】本地法人银行应主要服务本地客户，审慎开展跨登记管辖业务，有效识别和监控跨登记管辖业务发展。没有实体业务网络，主要在网上开展业务，但符合中国银行保险监督管理委员会规定的其他条件。

在其他省(自治区、直辖市)设立分支机构的，客户在分支机构所在地行政区域内开展的业务不属于前款所述的跨辖区业务。

第十条【消费者权益保护】商业银行应建立健全借款人权益保护机制，完善消费者权益保护内部评估体系，切实承担借款人数据保护的主体责任，加强对借款人私人数据的保护，构建安全有效的业务咨询和投诉处理渠道，确保借款人享受不低于线下贷款业务的相应服务，并将消费者权益保护要求纳入网上贷款业务全过程管理体系。

第十一条【监督管理】中国银行保险监督管理委员会及其派出机构依照本办法对商业银行网上贷款业务进行监督管理。

第二章风险管理体系

第十二条【治理结构】商业银行应当建立和完善网络贷款风险的治理结构，明确董事会和高级管理层对网络贷款风险管理的职责，建立评估和问责机制。

第十三条商业银行董事会对网络贷款风险管理承担最终责任，并履行以下职责:

(一)审批互联网贷款业务计划、合作机构管理政策和跨地区经营管理政策；

(二)审批网络贷款风险管理系统；

(三)监督高级管理层管理和控制网络贷款风险；

(4)定期获取网上贷款业务评估报告，及时了解网上贷款业务的经营管理、风险水平和消费者保护情况；

(五)其他相关职责。

第十四条商业银行高级管理人员应当履行下列职责:

(1)确定网上贷款的管理架构，明确各部门的职责分工；

(二)制定、评估和监督互联网贷款业务规划、风险管理政策和程序、合作机构管理政策和程序以及跨地区管理政策的执行情况；

(三)制定网上贷款业务的风险管控指标，包括但不限于网上贷款额度、与合作机构共同出资的额度和比例、合作机构集中度、不良贷款比例等。；

(四)建立网上贷款业务风险管理机制，持续有效监控和报告各种风险，及时应对风险事件；

(五)全面了解并定期评估网上贷款业务、消费者权益保护的发展、风险水平和管理状况，及时了解其重大变化，并定期向董事会报告；

(六)其他相关职责。

第十五条商业银行应确保有足够的资源独立有效地开展网上贷款风险管理，确保董事会和高级管理层能够及时了解风险情况，准确理解风险数据和风险模型的功能和局限性。

第十六条商业银行网上贷款风险管理系统应覆盖贷款业务的营销、调查、授信、签约、放款、支付、跟踪和回收等全过程。

第十七条【贷款营销】商业银行应通过合法渠道和方式获取目标客户数据，开展贷款营销，全面评估目标客户的资金需求、还款意愿和还款能力。商业银行应在贷款申请过程中加入贷款合同的强制阅读，并设定合理的阅读时限。

商业银行在自行或通过合作机构向目标客户推出网上贷款产品时，应在显著位置充分披露贷款主体、贷款条件、实际年利率、年化综合资本成本、还本付息、逾期收款、咨询投诉渠道、违约责任等基本信息，以保护客户自主知情权和选择权，不得以违约检查或强制捆绑等方式剥夺消费者表达意愿的权利。

第十八条【身份验证】商业银行应按照反洗钱和反恐融资的要求，构建身份认证模型，采取在线验证和生物特征识别等有效措施识别客户，验证并保存借款人的身份数据和网上借款意愿，确保借款人的身份数据真实有效，借款人的意图真实。商业银行不得委托具有完全权限的合作机构核实借款人身份。

第十九条【反欺诈建设】商业银行应当建立有效的反欺诈机制，实时监控欺诈行为，定期分析欺诈风险变化，不断完善反欺诈模式审计规则及相关技术手段，防止冒名顶替和恶意骗取银行贷款行为，确保信贷资金安全。

第二十条【贷前调查】商业银行应在获得授权后查询借款人的信用信息，并通过合法渠道和手段，包括但不限于税收、社会保险基金、住房公积金等信息，在线收集、查询和核实借款人的相关定性和定量信息，以充分了解借款人的信用状况。

第二十一条商业银行应建立有效的风险评估、授信审批和风险定价模型，加强统一的信用管理，利用风险数据，结合借款人现有债务情况，审慎评估借款人的还款能力，确定借款人的信用评级和信用方案。

第二十二条【人工审核】商业银行应当建立人工审核机制，作为风险模型自动审批的必要补充。商业银行应明确手工审核的触发条件，合理设定手工审核的操作程序。

第二十三条商业银行应当以数据电文形式与借款人及其他当事人签订贷款合同等文件。借款合同等文件应符合《中华人民共和国合同法》、《中华人民共和国电子签名法》等法律法规。

第二十四条商业银行应当与借款人约定明确合法的贷款用途。贷款资金不得用于下列事项:

(一)购买和偿还住房抵押贷款；

(二)股票、债券、期货、金融衍生品和资产管理产品投资；

(三)固定资产和股权的股权投资；

(四)法律法规禁止的其他用途。

第二十五条商业银行应当按照相关法律法规的要求，以数据报文的形式存储和传输贷款合同和授信流程关键环节和节点的数据。借款人应随时查阅已签署的借款合同及相关资料。

第二十六条【贷款控制】从发放贷款到发放第一笔贷款的时间间隔超过一个月的，商业银行应在发放贷款前查询借款人的信用记录，并特别关注借款人的新增贷款。商业银行应根据借款人的特点和贷款金额确定跟踪其信用记录的频率，以确保及时获得其全面的信用状况。

第二十七条商业银行应当按照贷款合同的约定，对贷款资金的支付进行管理和控制，加强对支付账户的监控和对账管理，发现潜在风险，应当及时预警并采取相关措施。如果采用独立支付方式，单日贷款支付限额应根据借款人以往的行为数据、交易数据和信用数据确定。

第二十八条【委托支付】商业银行应遵守《个人贷款管理暂行办法》和《流动资金贷款管理暂行办法》的委托支付管理规定，根据自身风险管理水平、网上贷款规模和结构、应用场景、信用增级手段等，确定差异化的委托支付限额。

第二十九条商业银行应当通过建立风险监控预警模型，对借款人的财务、信用和经营状况进行监控，设定合理的预警指标和预警触发条件，并及时发布预警信号，必要时采用人工验证作为补充手段。

第三十条商业银行应当采取适当措施，对贷款使用情况进行监控。如发现借款人违反法律法规或未按约定用途使用贷款资金，应按合同约定提前收回贷款，并追究借款人的相应责任。

第三十一条【内部审计】商业银行应当完善内部审计制度，独立、客观地进行内部审计，进行审查和评价，督促完善网上贷款业务的运营、风险管理和内部控制合规性。银行业监管机构可以要求商业银行提交网上贷款专项内部审计报告。

第三十二条【不良贷款处置】对于不良互联网贷款，商业银行应根据其性质及时制定差异化处置方案，提高处置效率。

第三章风险数据和风险模型管理

第三十三条商业银行开展借款人身份验证、贷前调查、风险评估、信用审查和贷后管理时，至少应包括借款人的姓名、身份证号码、联系电话、银行账户等风险评估所需的基本信息。如需从合作机构获取借款人的风险数据，应通过适当方式确认合作机构的数据来源合法、合规、真实、有效，并得到信息主体本人的明确授权。商业银行不得与非法收集和使用个人信息的第三方合作。

第三十四条商业银行收集和使用借款人风险数据应遵循合法、必要和有效的原则，不得违反法律法规和借款人与贷款人的约定，不得将风险数据用于与贷款业务无关的活动或损害借款人合法权益，不得向第三方提供借款人风险数据，法律法规另有规定的除外。

第三十五条商业银行应当建立风险数据安全管理策略和标准，采取有效的技术措施，确保借款人风险数据在采集、传输、存储、处理和销毁过程中的安全，防范数据泄露、丢失或篡改的风险。

第三十六条商业银行应当对风险数据进行必要的处理，以满足风险模型对数据准确性、完整性、一致性、及时性和有效性的要求。

第三十七条【风险模型管理流程】商业银行应当合理配置风险模型开发、测试、审核、监控和退出的职责权限，做到分工明确、责任明确。商业银行不得将上述风险模型的管理职责外包，应加强风险模型的保密管理。

第三十八条商业银行应选择合适的技术标准和建模方法，科学设定模型参数，构建风险模型，并结合贷款产品、目标客户、风险数据和风险管理策略的特点，检验模型在正常和压力情况下的有效性和稳定性。

第三十九条商业银行应当建立风险模型评估机制，设立模型评估委员会，负责风险模型评估。风险模型的评价应独立于风险模型的发展，评价工作应侧重于风险模型的有效性和稳定性，以确保其符合银行信贷审批条件和风险控制标准。风险模型只有在通过审查后才能在线应用。

第四十条商业银行应建立有效的风险模型日常监控系统，该系统至少应包括在线风险模型的有效性和稳定性，以及模型批准的所有贷款的实际违约情况。如果监控发现模型有缺陷或不符合模型的设计目标，应确保风险模型开发和测试部门或团队能够及时得到提示，重新测试和优化，以确保风险模型持续满足风险管理的要求。

第四十一条商业银行应当建立风险模型退出处置机制。对于不能继续满足风险管理要求的风险模型，应立即停止，并及时采取相应措施，消除模型退出对贷款风险管理的不利影响。

第四十二条【模型记录】商业银行应当全面记录风险模型从发展到退出的全过程，并进行文档管理，供银行和银行业监督管理机构随时查阅。

第四章信息技术风险管理

第四十三条商业银行应当建立安全、合规、高效、可靠的网上贷款信息系统，满足网上贷款业务运营和风险管理的需要。

第四十四条商业银行应当注重提高网上贷款信息系统的可用性和可靠性，加强网上贷款信息系统的安全运行管理和维护，定期进行安全测试和压力测试，确保系统安全、稳定、持续运行。

第四十五条商业银行应当采取必要的网络安全防护措施，加强网络访问控制和行为监控，有效防范网络攻击等威胁。在与合作机构进行数据交互的情况下，应采取切实可行的措施来有效隔离敏感数据，并确保在安全和合规的环境中进行数据交互。

第四十六条【客户端安全】商业银行应当加强客户端程序(包括但不限于浏览器插件程序、桌面客户端程序和移动客户端程序等)的安全。)的互联网贷款信息系统部署在借款方，并提高客户端程序的安全能力，如防攻击、防入侵、防篡改和防反编译。

第四十七条【数据安全】商业银行应当采取有效的技术手段，确保借款人的数据安全，确保商业银行与借款人及合作机构之间的数据传输、合同签订、交易记录等各个环节的数据的保密性、完整性、真实性和不可否认性，并做好定期数据备份工作。

第四十八条商业银行应当全面评估合作机构的信息系统服务能力、可靠性和安全性，以及敏感数据的安全防护能力，开展联合演练和测试，加强合同约束。

商业银行每年应对与合作机构的数据交互进行信息技术风险评估，并形成风险评估报告，确保商业银行信息系统的安全性不会因合作而降低，确保业务连续性。

第五章贷款合作管理

第四十九条商业银行应当建立覆盖各类合作机构的全行统一准入机制，明确相应的标准和程序，实行名单管理。

商业银行应根据合作内容、对客户的影响范围和程度、对银行金融稳定的影响程度，对合作机构实行分级分类管理，并根据其级别和类别确定相应的审批权限。

第五十条商业银行应当按照合作机构资质与合作机构职能相匹配的原则，对合作机构进行准入前评估，确保合作机构和合作事项符合法律法规和监管要求。

商业银行应主要从经营管理能力、风险控制水平、技术实力、服务质量、业务合规性和机构声誉等方面对合作机构进行准入前评估。选择共同出资贷款的合作机构时，还应重点关注合作伙伴的资本充足率、杠杆率、流动性水平、不良贷款率、贷款集中度及其变化，并认真确定合作机构名单。

第五十一条商业银行应当与合作机构签订书面合作协议。书面合作协议应当明确约定合作范围、操作程序、各方的权利和责任、收益分配、风险分担、客户权益保护、数据保密、争议解决、合作事项变更或终止的过渡安排、违约责任以及合作机构承诺配合商业银行接受银行业监督管理机构的检查并提供相关信息和资料。

商业银行应独立确定目标客户群、信贷额度和贷款定价标准；商业银行不得直接或变相为合作机构自身及其关联方提供贷款融资。除合作机构共同出资贷款外，商业银行不得将贷款发放、本息回收、暂停支付等关键环节的操作完全委托给合作机构。商业银行应在书面合作协议中明确要求合作机构不得以任何形式向借款人收取利息和费用，但保险公司和具有担保资格的机构按照相关规定向借款人收取合理费用以及银行业监督管理机构规定的其他情形除外。

第五十二条商业银行应在相关页面的显著位置向借款人充分披露自身及合作机构的信息、合作产品的信息、自身及合作各方的权利和责任，并按照适度原则充分披露合作业务的风险，避免客户之间的品牌混淆。

商业银行应在贷款合同、产品要素描述界面等相关页面向借款人充分披露贷款主体、实际贷款年利率、年化综合资本成本、偿债安排、逾期收款、咨询投诉渠道、违约责任等信息。商业银行需要从借款人处获得风险数据授权时，应在相关网上页面的显著位置提示借款人详细阅读授权书，并在授权书的显著位置披露授权风险数据的内容和时限，以确保借款人在阅读授权书后签字同意。

第五十三条商业银行与其他具有贷款资格的机构共同出资发放互联网贷款，应当建立相应的内部管理制度，明确银行与合作机构共同出资发放贷款的管理机制，明确合作协议各方的权利和义务。商业银行应对其提供的贷款独立进行风险评估和授信审批，并承担贷后管理的主要责任。商业银行不得以任何形式为无贷款业务资格的合作机构发放贷款提供资金，也不得与无贷款业务资格的合作机构共同出资发放贷款。

商业银行应按照适度分散的原则谨慎选择合作机构，针对合作机构造成的业务中断制定应急和恢复计划，避免过度依赖单一合作机构带来的风险。

第五十四条商业银行应充分考虑自身发展战略、业务模式、资产负债结构和风险管理能力，按照零售贷款总额或贷款总额的相应比例，将与合作机构共同出资的贷款总额纳入限额管理，加强合作机构共同出资的集中风险管理。商业银行应对单笔贷款的投资比例实行区间管理，并与合作伙伴合理分担风险。

第五十五条商业银行不得接受无担保资格、不符合信用保险和保证保险业务资格监管要求的合作机构直接或变相提供的信用增级服务。商业银行在与具有担保资格、符合信用保险和担保保险业务资格监管要求的合作机构合作时，应充分考虑上述机构的信用增级能力和集中度风险。

第五十六条商业银行不得委托有暴力催收等非法催收记录的第三方机构催收贷款。商业银行应明确其与第三方机构的权利和责任，并应要求其不得向与贷款无关的第三方收取款项。商业银行发现合作机构存在暴力催收等违法行为，应当立即终止合作，并将违法线索及时移交相关部门。

第五十七条商业银行应当对合作机构进行持续管理，及时识别、评估和化解因合作机构违约或经营失败造成的风险。每年至少对合作机构进行一次综合评价。如发现合作机构不能继续满足准入条件，应及时终止合作关系。合作机构在合作期间如有严重违法违规行为，应及时列入我行禁止合作机构名单。

第六章监督管理

第五十八条【业务报告】商业银行首次开展网上贷款业务，应在产品上线后10个工作日内向监管机构提交书面报告，包括:

(一)业务规划，包括年度和中长期互联网贷款业务模式、业务对象、业务领域、地理范围和合作机构管理；

(二)风险控制措施，包括网上贷款业务治理结构和管理制度、网上贷款风险偏好、风险管理政策和程序、信息系统建设和信息技术风险评估、反洗钱和反恐融资体系、网上贷款合作机构管理政策和程序、网上贷款业务限额、合作机构共同出资贷款限额和比例、合作机构集中度等重要风险控制指标；

(三)网上贷款产品的基本信息，包括产品合规性评估、产品风险评估、风险数据、风险模型管理以及是否符合本办法的相关要求；

(四)金融消费者权益保护及其配套服务；

(五)银行业监督管理机构要求的其他材料。

第五十九条银行业监督管理机构应当结合商业银行的日常监管和风险状况，对商业银行提交的报告及相关材料进行评估，重点评估:

(1)网上贷款业务计划是否符合自身的业务定位和差异化发展战略；

(二)是否独立掌握授信审批、合同签订、贷款支付、贷后管理等核心业务环节；

(三)信息技术风险的基本防范措施是否健全；

(四)网上产品合作机构的授信额度、期限、贷款控制、数据保护和管理是否符合本办法的要求；

(五)消费者权益保护是否全面有效。

发现不符合本办法要求的，应当要求商业银行限期整改并暂停业务。

第六十条【年度评估】商业银行应当按照本办法的要求，对网上贷款业务发展情况进行年度评估，并于每年4月30日前向银行业监督管理机构提交上一年度的年度评估报告。年度评估报告包括但不限于以下内容:

(一)业务基本信息；

(二)年度经营管理分析；

(三)业务风险分析和监管指标绩效分析；

(四)识别、计量、监控和控制风险的主要方法及其改进，以及信息技术风险防控措施的有效性；

(5)风险模型的监控和验证；

(6)合规管理和内部控制管理；

(七)投诉和处理情况；

(八)下一年度的业务发展计划；

(九)银行业监督管理机构要求报告的其他事项。

第六十一条网络贷款合作机构的风险治理结构、风险管理策略和程序、数据质量控制机制、管理信息系统和管理在运营期内发生重大调整的，商业银行应当在调整后10个工作日内以书面形式向银行业监督管理机构报告。

第六十二条【保留监管办法】银行业监督管理机构可以对商业银行授信额度、合作机构共同出资贷款的投资比例、相关集中风险、跨辖区业务等提出相关审慎监管要求。

第六十三条【监督检查】银行业监督管理机构可以通过非现场监督和现场检查的方式，对商业银行网上贷款业务进行监督检查。

银行业监督管理机构对商业银行网上贷款业务进行数据统计和监控，评估重要风险因素。

第六十四条【监管办法】商业银行违反本办法规定办理互联网贷款的，银行业监督管理机构可以依据《中华人民共和国银行业监督管理法》责令其限期改正；逾期未改正，或者其行为严重危及商业银行稳健经营，损害客户合法权益的，应当采取相应的监管措施。严重违反本办法的，可依据《中华人民共和国银行业监督管理法》第四十五条、第四十六条、第四十七条、第四十八条的规定给予行政处罚。

第七章附则

第六十五条商业银行应当根据本办法制定网上贷款管理的细则和操作规程。

第六十六条本办法未尽事宜，按照《个人贷款管理暂行办法》和《流动资金贷款管理暂行办法》执行。

第六十七条外国银行分行参照本办法执行。除第六条和第二十七条的个人贷款期限和贷款支付管理要求外，消费金融公司和汽车金融公司的网上贷款业务参照本办法执行。

第六十八条本办法由中国银行保险监督管理委员会负责解释。

第六十九条本办法自发布之日起施行。

第七十条过渡期自本办法实施之日起两年。过渡期内的新业务应符合本办法的规定。商业银行、消费金融公司和汽车金融公司应当制定过渡期互联网贷款整改计划，明确时间进度，并在本办法实施之日起一个月内，按照本办法第五十八条的规定向银行业监督管理机构提交书面报告和整改计划，银行业监督管理机构应当对实施情况进行监督。

来源：时代品牌网