第一章 总则
第一条 【制定目的和依据】为规范商业银行互联网贷款业务经营行为,促进互联网贷款业务健康发展,依据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》等法律法规,制定本办法。
第二条 【适用范围】中华人民共和国境内依法设立的商业银行经营互联网贷款业务,应遵守本办法。
第三条 【互联网贷款定义】本办法所称互联网贷款,是指商业银行运用互联网和移动通信等信息通信技术,基于风险数据和风险模型进行交叉验证和风险管理,线上自动受理贷款申请及开展风险评估,并完成授信审批、合同签订、放款支付、贷后管理等核心业务环节操作,为符合条件的借款人提供的用于消费、日常生产经营周转等的个人贷款和流动资金贷款。
第四条 【其他定义】本办法所称风险数据,是指商业银行在对借款人进行身份确认,以及贷款风险识别、分析、评价、监测、预警和处置等环节收集、使用的各类内外部数据。
本办法所称风险模型,是指应用于互联网贷款业务全流程的各类模型,包括但不限于身份认证模型、反欺诈模型、反洗钱模型、合规模型、风险评价模型、风险定价模型、授信审批模型、风险预警模型、贷款清收模型等。
本办法所称合作机构,是指在互联网贷款业务中,与商业银行在营销获客、共同出资发放贷款、支付结算、风险分担、信息科技、逾期清收等方面开展合作的各类机构,包括但不限于银行业金融机构、保险公司等金融机构和小额贷款公司、融资担保公司、电子商务公司、第三方支付机构、信息科技公司等非金融机构。
第五条 【适用范围除外】下列贷款不适用本办法:
(一)借款人虽在线上进行贷款申请等操作,商业银行线下或主要通过线下进行贷前调查、风险评估和授信审批,贷款授信核心判断来源于线下的贷款;
(二)商业银行发放的抵质押贷款,且押品需进行线下或主要经过线下评估登记和交付保管;
(三)中国银行保险监督管理委员会规定的其他贷款。
上述贷款适用其他相关监管规定。
第六条 【基本原则】互联网贷款应当遵循小额、短期、高效和风险可控的原则。
单户用于消费的个人信用贷款授信额度应当不超过人民币20万元,到期一次性还本的,授信期限不超过一年。
商业银行应根据自身风险管理能力,按照互联网贷款的区域、行业、品种等,确定单户用于生产经营的个人贷款和流动资金贷款授信额度上限。对期限超过一年的上述贷款,至少每年对该笔贷款对应的授信进行重新评估和审批。
第七条 【业务规划】商业银行应当根据其市场定位和发展战略,制定符合自身特点的互联网贷款业务规划。涉及合作机构的,应当明确合作方式。
第八条 【风险管理总体要求】商业银行应当对互联网贷款业务实行统一管理,将互联网贷款业务纳入全面风险管理体系,建立健全适应互联网贷款业务特点的风险治理架构、风险管理政策和程序、内部控制和审计体系,有效识别、评估、监测和控制互联网贷款业务风险,确保互联网贷款业务发展与自身风险偏好、风险管理能力相适应。
互联网贷款业务涉及合作机构的,授信审批、合同签订等核心风控环节应当由商业银行独立有效开展。
第九条 【地方法人机构】地方法人银行开展互联网贷款业务,应主要服务于当地客户,审慎开展跨注册地辖区业务,有效识别和监测跨注册地辖区业务开展情况。无实体经营网点,业务主要在线上开展,且符合中国银行保险监督管理委员会规定其他条件的除外。
在外省(自治区、直辖市)设立分支机构的,对分支机构所在地行政区域内客户开展的业务,不属于前款所称跨注册地辖区业务。
第十条 【消费者保护】商业银行应当建立健全借款人权益保护机制,完善消费者权益保护内部考核体系,切实承担借款人数据保护的主体责任,加强借款人隐私数据保护,构建安全有效的业务咨询和投诉处理渠道,确保借款人享有不低于线下贷款业务的相应服务,将消费者保护要求嵌入互联网贷款业务全流程管理体系。
第十一条 【监督管理】中国银行保险监督管理委员会及其派出机构依照本办法对商业银行互联网贷款业务实施监督管理。
第二章 风险管理体系
第十二条 【治理架构】商业银行应当建立健全互联网贷款风险治理架构,明确董事会和高级管理层对互联网贷款风险管理的职责,建立考核和问责机制。
第十三条 【董事会职责】商业银行董事会承担互联网贷款风险管理的最终责任,应当履行以下职责:
(一)审议批准互联网贷款业务规划、合作机构管理政策以及跨区域经营管理政策;
(二)审议批准互联网贷款风险管理制度;
(三)监督高级管理层对互联网贷款风险实施管理和控制;
(四)定期获取互联网贷款业务评估报告,及时了解互联网贷款业务经营管理、风险水平、消费者保护等情况;
(五)其他有关职责。
第十四条 【高管层职责】商业银行高级管理层应当履行以下职责:
(一)确定互联网贷款经营管理架构,明确各部门职责分工;
(二)制定、评估和监督执行互联网贷款业务规划、风险管理政策和程序,合作机构管理政策和程序以及跨区域经营管理政策;
(三)制定互联网贷款业务的风险管控指标,包括但不限于互联网贷款限额、与合作机构共同出资发放贷款的限额及出资比例、合作机构集中度、不良贷款率等;
(四)建立互联网贷款业务的风险管理机制,持续有效监测、控制和报告各类风险,及时应对风险事件;
(五)充分了解并定期评估互联网贷款业务发展情况、风险水平及管理状况,消费者保护情况,及时了解其重大变化,并向董事会定期报告;
(六)其他有关职责。
第十五条 【风控资源】商业银行应当确保具有足够的资源,独立、有效开展互联网贷款风险管理,确保董事会和高级管理层能及时知悉风险状况,准确理解风险数据和风险模型的作用与局限。
第十六条 【风险管理方法和流程】商业银行互联网贷款风险管理制度应当涵盖营销、调查、授信、签约、放款、支付、跟踪、收回等贷款业务全流程。
第十七条 【贷款营销】商业银行应当通过合法渠道和方式获取目标客户数据,开展贷款营销,并充分评估目标客户的资金需求、还款意愿和还款能力。商业银行应当在贷款申请流程中,加入强制阅读贷款合同环节,并设置合理的阅读时间限制。
商业银行自身或通过合作机构向目标客户推介互联网贷款产品时,应当在醒目位置充分披露贷款主体、贷款条件、实际年利率、年化综合资金成本、还本付息安排、逾期清收、咨询投诉渠道和违约责任等基本信息,保障客户的知情权和自主选择权,不得采取默认勾选、强制捆绑销售等方式剥夺消费者意思表示的权利。
第十八条 【身份核验】商业银行应当按照反洗钱和反恐怖融资等要求,通过构建身份认证模型,采取联网核查、生物识别等有效措施识别客户,线上对借款人的身份数据、借款意愿进行核验并留存,确保借款人的身份数据真实有效,借款人的意思表示真实。商业银行对借款人的身份核验不得全权委托合作机构办理。
第十九条 【反欺诈建设】商业银行应当建立有效的反欺诈机制,实时监测欺诈行为,定期分析欺诈风险变化情况,不断完善反欺诈的模型审核规则和相关技术手段,防范冒充他人身份、恶意骗取银行贷款的行为,保障信贷资金安全。
第二十条 【贷前调查】商业银行应当在获得授权后查询借款人的征信信息,通过合法渠道和手段线上收集、查询和验证借款人相关定性和定量信息,包括但不限于税务、社会保险基金、住房公积金等信息,全面了解借款人信用状况。
第二十一条 【贷中审查】商业银行应当构建有效的风险评估、授信审批和风险定价模型,加强统一授信管理,运用风险数据,结合借款人已有债务情况,审慎评估借款人还款能力,确定借款人信用等级和授信方案。
第二十二条 【人工复核】商业银行应当建立人工复核验证机制,作为对风险模型自动审批的必要补充。商业银行应当明确人工复核验证的触发条件,合理设置人工复核验证的操作规程。
第二十三条 【合同签订】商业银行应当与借款人及其他当事人采用数据电文形式签订借款合同及其他文书。借款合同及其他文书应当符合《中华人民共和国合同法》、《中华人民共和国电子签名法》等法律法规的规定。
第二十四条 【资金用途】商业银行应当与借款人约定明确、合法的贷款用途。贷款资金不得用于以下事项:
(一)购房及偿还住房抵押贷款;
(二)股票、债券、期货、金融衍生产品和资产管理产品等投资;
(三)固定资产、股本权益性投资;
(四)法律法规禁止的其他用途。
第二十五条 【合同和数据档案存储】商业银行应当按照相关法律法规的要求,储存、传递以数据电文形式签订的借款合同、信贷流程关键环节和节点的数据。已签订的借款合同及相关数据应可供借款人随时调取查用。
第二十六条 【放款控制】授信与首笔贷款发放时间间隔超过1个月的,商业银行应当在贷款发放前查询借款人信贷记录,重点关注借款人的新增贷款情况。商业银行应当根据借款人特征、贷款金额,确定跟踪其信贷记录的频率,以保证及时获取其全面信用情况。
第二十七条 【贷款支付】商业银行应当按照借款合同约定,对贷款资金的支付进行管理与控制,加强对支付账户的监测和对账管理,发现风险隐患的,应立即预警并采取相关措施。采用自主支付方式的,应当根据借款人过往行为数据、交易数据和信用数据等,确定单日贷款支付限额。
第二十八条 【受托支付】商业银行应遵守《个人贷款管理暂行办法》和《流动资金贷款管理暂行办法》的受托支付管理规定,同时根据自身风险管理水平、互联网贷款的规模和结构、应用场景、增信手段等确定差异化的受托支付限额。
第二十九条 【贷后管理】商业银行应当通过建立风险监测预警模型,对借款人财务、信用、经营等情况进行监测,设置合理的预警指标与预警触发条件,及时发出预警信号,必要时应通过人工核查作为补充手段。
第三十条 【贷款用途监测】商业银行应当采取适当方式对贷款用途进行监测,发现借款人违反法律法规或未按照约定用途使用贷款资金的,应当按照合同约定提前收回贷款,并追究借款人相应责任。
第三十一条 【内部审计】商业银行应当完善内部审计体系,独立客观开展内部审计,审查评价、督促改善互联网贷款业务经营、风险管理和内控合规效果。银行业监督管理机构可以要求商业银行提交互联网贷款专项内部审计报告。
第三十二条 【不良贷款处置】互联网贷款形成不良的,商业银行应当按照其性质及时制定差异化的处置方案,提升处置效率。
第三章 风险数据和风险模型管理
第三十三条 【风险数据来源】商业银行进行借款人身份验证、贷前调查、风险评估和授信审查、贷后管理时,应当至少包含借款人姓名、身份证号、联系电话、银行账户以及其他开展风险评估所必需的基本信息。如果需要从合作机构获取借款人风险数据,应通过适当方式确认合作机构的数据来源合法合规、真实有效,并已获得信息主体本人的明确授权。商业银行不得与违规收集和使用个人信息的第三方开展数据合作。
第三十四条 【风险数据使用】商业银行收集、使用借款人风险数据应当遵循合法、必要、有效的原则,不得违反法律法规和借贷双方约定,不得将风险数据用于从事与贷款业务无关或有损借款人合法权益的活动,不得向第三方提供借款人风险数据,法律法规另有规定的除外。
第三十五条 【风险数据保管】商业银行应当建立风险数据安全管理的策略与标准,采取有效技术措施,保障借款人风险数据在采集、传输、存储、处理和销毁过程中的安全,防范数据泄漏、丢失或被篡改的风险。
第三十六条 【风险数据质量】商业银行应当对风险数据进行必要的处理,以满足风险模型对数据精确性、完整性、一致性、时效性、有效性等的要求。
第三十七条 【风险模型管理流程】商业银行应当合理分配风险模型开发测试、评审、监测、退出等环节的职责和权限,做到分工明确、责任清晰。商业银行不得将上述风险模型的管理职责外包,并应当加强风险模型的保密管理。
第三十八条 【风险模型开发测试】商业银行应当结合贷款产品特点、目标客户特征、风险数据和风险管理策略等因素,选择合适的技术标准和建模方法,科学设置模型参数,构建风险模型,并测试在正常和压力情境下模型的有效性和稳定性。
第三十九条 【风险模型评审】商业银行应当建立风险模型评审机制,成立模型评审委员会负责风险模型评审工作。风险模型评审应当独立于风险模型开发,评审工作应当重点关注风险模型有效性和稳定性,确保与银行授信审批条件和风险控制标准相一致。经评审通过后风险模型方可上线应用。
第四十条 【风险模型监测】商业银行应当建立有效的风险模型日常监测体系,监测至少包括已上线风险模型的有效性与稳定性,所有经模型审批通过贷款的实际违约情况等。监测发现模型缺陷或者已不符合模型设计目标的,应当保证能及时提示风险模型开发和测试部门或团队进行重新测试、优化,以保证风险模型持续适应风险管理要求。
第四十一条 【风险模型退出】商业银行应当建立风险模型退出处置机制。对于无法继续满足风险管理要求的风险模型,应当立即停止使用,并及时采取相应措施,消除模型退出给贷款风险管理带来的不利影响。
第四十二条 【模型记录】商业银行应当全面记录风险模型开发至退出的全过程,并进行文档化管理,供本行和银行业监督管理机构随时查阅。
第四章 信息科技风险管理
第四十三条 【系统建设】商业银行应当建立安全、合规、高效和可靠的互联网贷款信息系统,以满足互联网贷款业务经营和风险管理需要。
第四十四条 【系统运营维护】商业银行应当注重提高互联网贷款信息系统的可用性和可靠性,加强对互联网贷款信息系统的安全运营管理和维护,定期开展安全测试和压力测试,确保系统安全、稳定、持续运行。
第四十五条 【网络安全】商业银行应当采取必要的网络安全防护措施,加强网络访问控制和行为监测,有效防范网络攻击等威胁。与合作机构涉及数据交互行为的,应当采取切实措施,实现敏感数据的有效隔离,保证数据交互在安全、合规的环境下进行。
第四十六条 【客户端安全】商业银行应当加强对部署在借款人一方的互联网贷款信息系统客户端程序(包括但不限于浏览器插件程序、桌面客户端程序和移动客户端程序等)的安全加固,提高客户端程序的防攻击、防入侵、防篡改、抗反编译等安全能力。
第四十七条 【数据安全】商业银行应当采用有效技术手段,保障借款人数据安全,确保商业银行与借款人、合作机构之间传输数据、签订合同、记录交易等各个环节数据的保密性、完整性、真实性和抗抵赖性,并做好定期数据备份工作。
第四十八条 【合作机构系统安全】商业银行应当充分评估合作机构的信息系统服务能力、可靠性和安全性以及敏感数据的安全保护能力,开展联合演练和测试,加强合同约束。
商业银行每年应对与合作机构的数据交互进行信息科技风险评估,并形成风险评估报告,确保不因合作而降低商业银行信息系统的安全性,确保业务连续性。
第五章 贷款合作管理
第四十九条 【合作机构准入】商业银行应当建立覆盖各类合作机构的全行统一的准入机制,明确相应标准和程序,并实行名单制管理。
商业银行应根据合作内容、对客户的影响范围和程度、对银行财务稳健性的影响程度等对合作机构实施分层分类管理,并按照其层级和类别确定相应审批权限。
第五十条 【合作机构准入前评估】商业银行应当按照合作机构资质和其承担的职能相匹配的原则对合作机构进行准入前评估,确保合作机构与合作事项符合法律法规和监管要求。
商业银行应当主要从经营情况、管理能力、风控水平、技术实力、服务质量、业务合规和机构声誉等方面对合作机构进行准入前评估。选择共同出资发放贷款的合作机构,还应重点关注合作方资本充足水平、杠杆率、流动性水平、不良贷款率、贷款集中度及其变化,审慎确定合作机构名单。
第五十一条 【合作协议】商业银行应当与合作机构签订书面合作协议。书面合作协议应当按照收益和风险相匹配的原则,明确约定合作范围、操作流程、各方权责、收益分配、风险分担、客户权益保护、数据保密、争议解决、合作事项变更或终止的过渡安排、违约责任、合作机构承诺配合商业银行接受银行业监督管理机构的检查并提供有关信息和资料等内容。
商业银行应当自主确定目标客户群、授信额度和贷款定价标准;商业银行不得向合作机构自身及其关联方直接或变相进行融资用于放贷。除共同出资发放贷款的合作机构以外,商业银行不得将贷款发放、本息回收、止付等关键环节操作全权委托合作机构执行。商业银行应当在书面合作协议中明确要求合作机构不得以任何形式向借款人收取息费,保险公司和有担保资质的机构按照有关规定向借款人收取合理费用,以及银行业监督管理机构规定的其他情形除外。
第五十二条 【合作信息披露】商业银行应当在相关页面醒目位置向借款人充分披露自身与合作机构信息、合作类产品的信息、自身与合作各方权利责任,按照适当性原则充分揭示合作业务风险,避免客户产生品牌混同。
商业银行应在借款合同和产品要素说明界面等相关页面中以醒目方式向借款人充分披露合作类产品的贷款主体、实际贷款年利率、年化综合资金成本、还本付息安排、逾期清收、咨询投诉渠道、违约责任等信息。商业银行需要向借款人获取风险数据授权时,应在线上相关页面醒目位置提示借款人详细阅读授权书内容,并在授权书醒目位置披露授权风险数据内容和期限,确保借款人完成授权书阅读后签署同意。
