浅析《商业银行互联网贷款管理暂行办法》
浅析《商业银行互联网贷款管理暂行办法》
2018年11月,银保监会下发《商业银行互联网贷款管理办法(征求意见稿)》,对商业银行互联网贷款业务的定义和范畴、参与资质、发放余额、授信和风控、数据与模型、联合贷款及其额度、催收合作等多方面做详细规定。
2020年1月,《商业银行互联网贷款管理暂行办法》(以下简称:《办法》)据传已下发至多家银行,为银行参与互联网贷款及相关合作的持牌消费金融公司、金融科技公司等明确业务规范。
镭射财经梳理、整合了《办法》中值得关注的要点,并对其可能产生的影响作了简单分析。
一、强调银行的主体作用,须独立开展核心环节
原文:
第七条【风险管理总体要求】 互联网贷款业务模式涉及与外部机构合作的,核心风控环节应当由商业银行独立开展且有效,不得将授信审查、风险控制、贷款发放、支付管理、贷后管理等核心业务环节委托给第三方合作机构。
第三十四条【风险模型管理流程】商业银行应当合理分配风险模型开发、测试、评审、监测评估、优化、退出等环节的职责和权限,做到分工明确、责任清晰。商业银行不得将上述风险模型的管理职责外包给第三方机构,并应当加强风险模型的保密管理。
第五十九条 银行业监督管理机构应当结合监管评级,对商业银行提交的报告和相关材料进行评估,重点评估:
(二)是否独立掌握授信审查、风险控制、贷款发放、支付管理、贷后管理等核心业务环节。
分析:对于大中型商业银行来说,这一要求有利于发挥在风控、技术等方面的优势扩大市场占有率。而对于打着“大数据风控”口号的金融科技公司、依赖第三方金融科技力量的小型城商行、农商行来说,这一要求将产生不小的冲击。
过去,不少金融科技公司都利用庞大数据与成熟风控系统优势,积极与银行建立合作关系,在授信审查、风险控制、贷款发放、支付管理、贷后管理等方面输出风控能力,提供相对成熟的解决方案,帮助小型城商行、农商行对目标客户群进行信用评定。
这一模式的出现,与小型城商行、农商行的客户群体基数小、金融与非金融数据质量低、规模化风控能力不足有关。《办法》或将引导小型城商行、农商行让渡“贷款风险管理职责”的模式发生彻底改变。
《办法》中对于“独立开展”“不得委托给第三方合作机构”的要求,将促使小型城商行、农商行改变对金融科技合作方的风控依赖,原有大数据公司依赖向外界输出风控体系的模式已不可取,改变少数银行端风控“有名无实”的现状,让上述银行加大科技投入力度,补齐传统风控短板,重塑业务价值链。
二、民营银行、异地分支行可“跨区域经营”
原文:
第八条 【地方法人机构】 地方法人银行开展互联网贷款业务,应主要服务于当地客户,审慎开展跨注册地辖区业务,识别和监测跨注册地辖区互联网贷款业务开展情况。无实体经营网点,业务主要在线上开展,且符合中国银行保险监督管理委员会规定其他条件的除外。
在外省(自治区、直辖市)设立分支机构的,对分支机构所在地行政区域内客户开展的业务,不属于前款所称跨注册地辖区业务。
分析:《办法》不仅为“跨区域经营”的主体有所豁免,还免去了此前关于联合贷款额度的要求。
一方面,《办法》并未提及浙江银保监局在去年1月提出的“城商行、民营银行开展互联网联合贷款业务,应坚守‘立足当地、服务当地、不跨区域’的定位”的说法,而是换为“应主要服务于当地客户,审慎开展跨注册地辖区业务”,并为以网商银行、微众银行为代表的民营银行和异地分行有所豁免。
另一方面,原有意见稿中对于联合贷款额度,即“单笔联合贷款中,作为客户推荐方的商业银行出资比例不得低于30%;接受推荐客户的银行出资比例不得高于70%。作为客户推荐方的商业银行全部联合贷款余额不得超过互联网贷款余额的50%;接受客户推荐的商业银行全部联合贷款不得超过全部互联网贷款余额的30%”的说法也在本次发布的《办法》中消失不见。
“跨区域经营”,明确了地域性商业银行可不受注册地范围限制,满足全国信贷需求,有利于地方性商业银行实现利润的可持续式增长。
三、强化消费者隐私权、知情权
原文:
第八条【消费者保护】商业银行应当建立健全互联网借款人权益保护机制,切实承担借款人数据保护的主体责任,加强借款人隐私数据保护,构建独立的业务咨询和投诉处理渠道,确保互联网借款人享有不低于线下贷款业务的相应服务,将消费者保护要求嵌入互联网贷款业务全流程管理体系。
第十六条【贷款营销】商业银行自身或通过合作机构向目标客户推介互联网贷款产品时,应当充分披露贷款主体、贷款条件、实际年利率、年化综合资金成本、还本付息安排、逾期催收和咨询投诉渠道等基本信息,保证客户的知情权和自主选择权,不得采取默认勾选、捆绑销售等方式剥夺消费者意思表示的权利。
第三十条【风险数据来源】商业银行进行借款人身份验证、贷前调查、风险评估和授信审查、贷后管理时,如果需要从外部合作机构获取借款人风险数据,应当至少包含借款人姓名、身份证号、联系电话、银行账户等基本信息,且通过适当方式确认合作机构的数据来源合法合规,并已获得数据所有权人的明确授权。
第三十一条【风险数据使用】商业银行收集、使用借款人风险数据应当遵循合法、必要、有效的原则,不得违反法律法规和借贷双方约定,不得将风险数据用于从事与贷款业务无关或有损借款人利益的活动,不得违法违规向第三方提供借款人风险数据和泄露借款人敏感数据。
第五十二条【合作信息披露】商业银行应在借款合同中以醒目方式向借款人充分披露合作类产品的贷款主体、实际贷款年利率、年化综合资金成本、还本付息安排、逾期催收、咨询投诉渠道等信息。商业银行需要向借款人获取风险数据授权时,应在线上相关页面醒目位置提示借款人详细阅读授权书内容,并在授权书醒目位置披露授权风险数据内容和期限,并确保借款人完成授权书阅读后签署同意。
分析:此举将加大金融信息保护力度,为金融信息安全风险防控长效机制的建立奠定基础。
实践证明,金融用户的知情权和自主选择权、敏感数据交易行为、贷后投诉和反馈渠道,对金融乱象的滋生及蔓延起到诱发和推波助澜的作用。
能否加强金融信息保护力度,平衡好金融服务便捷和安全的关系,并建立完善的双向互动机制,决定着行业规范化的进程。
镭射财经认为,《办法》中“充分披露贷款主体、贷款条件、实际年利率、年化综合资金成本、还本付息安排、逾期催收和咨询投诉渠道”“确认合作机构的数据来源合法合规,并已获得数据所有权人的明确授权”“构建独立的业务咨询和投诉处理渠道”的要求,明确了商业银行开展互联网贷款业务时的义务,或将破解金融“数据孤岛”与“数据保护使用”的两难困境。
四、对银行在风险数据使用、管理方面提出技术要求
原文:
第三十二条【风险数据保管】商业银行应当建立风险数据安全管理的策略与标准,采取有效技术措施,保障借款人风险数据在采集、传输、存储、处理和销毁过程中的安全,防范数据泄漏、丢失或被篡改的风险。
第四十五条【网络安全】商业银行应当采取必要的网络安全防护措施,加强网络访问控制和行为监测,有效防范网络攻击等威胁。与合作机构涉及数据交互行为的,应当采取切实措施,实现敏感数据的有效隔离,保证数据交互在安全、合规的环境下进行。
分析:此举符合《金融科技(FinTech)发展规划(2019-2021年)》中“利用通道加密、双向认证等技术保障金融信息传输的安全性,运用加密存储、信息摘要等手段保证重要金融信息机密性与完整性”的要求,将提升数据资产的安全性,减少个人金融信息泄露、篡改和滥用行为的发生。
央行科技司司长李伟曾指出,在国家相关法律法规的基础上,拟定个人金融信息保护监管规则,明确覆盖金融信息收集、传输、存储、使用、销毁全生命周期的管理要求,从安全策略、访问控制、安全运行、安全监测与风险评估等方面加强个人金融信息安全管理。
五、打击联合放贷中的“兜底承诺”行为
原文:
第五十五条【担保增信】商业银行不得接受合作机构直接和变相的风险兜底承诺。商业银行不得接受无担保资质和无信用保证保险资质的合作机构提供的直接或变相增信服务。商业银行与有担保资质和有信用保证保险资质的合作机构合作时应当充分考虑上述机构的增信能力和集中度风险。
分析:此举,或将改变银行与外部机构开展联合放贷时,要求合作方兜底风险,自身仅提供资金赚取利差的行为。
银行在与其他机构开展助贷合作时,或是占有规模优势,地位相对强势,或是科技能力相对匮乏,要求由合作方对风险兜底,承担所有风险,自身不参与风控、管理等环节,仅提供资金获取无风险收益。
短期来看,这种做法可以令信贷资产规模快速增长,也将使得互联网贷款业务野蛮扩张。长期而言,这将导致放贷风险在金融体系内的层层转移与扩张,存在诱发系统性风险的可能性。
六、规范“暴力催收”行为,关注合作机构信誉
原文:
第五十六条【催收合作】商业银行不得委托有暴力催收等违法违规记录的第三方催收机构进行贷款催收。发现合作催收机构存在暴力催收等违法违规行为的,应当立即终止合作,并将违法违规线索及时移交相关部门。
第五十条 商业银行应当主要从经营情况、管理能力、风控水平、技术实力、服务质量、业务合规和机构声誉等方面对合作机构进行准入评估。对联合贷款合作机构选择,还应重点关注合作方资本充足率水平、杠杆率、不良贷款率、贷款集中度及其变化,审慎确定联合贷款合作机构名单。
分析:此举将进一步规范暴力催收行为的出现,逐步转换互联网贷款污名化倾向。
暴力催收背后,也有银行的默许甚至是推波助澜。为避免不良率影响信贷资产质量,银行在不方便亲自出面的情况下,可将逾期信贷资产转低价转移给催收公司,并一并传输逾期用户各项敏感数据,方便催收公司以各种打爆通讯录、人身攻击、人身拘禁等违法违规行为完成欠款的催缴。
《办法》中对于“不得委托有暴力催收等违法违规记录的第三方催收机构进行贷款催收”以及从机构信誉方面对合作机构进行准入评估的规定,将使得存在暴力催收行为的第三方机构逐渐减少。
浅析《商业银行互联网贷款管理暂行办法》