互联网贷款新规终落地:形式、额度、资金用途均有明确限制

本周,银保监会正式发布《商业银行互联网贷款管理暂行办法》(下称《办法》),以规范商业银行互联网贷款业务经营行为,促进互联网贷款业务平稳健康发展。过渡期为本办法实施之日起2年。

根据《办法》全文和银保监会相关负责人答记者问,AI金融评论梳理出了如下要点,以供参考。

定义

互联网贷款的“刹车”总算装上了。

单户用于消费的个人信用贷款授信额度应当不超过人民币20万元,到期一次性还本的,授信期限不超过一年

其次在风控方面,《办法》第二章也做了较为全面的规定:

需要注意的是,但凡需要商业银行线下或主要通过线下进行贷前调查、风险评估和授信审批,贷款授信核心判断来源于线下的贷款,或抵押品需进行线下或主要经过线下评估登记和交付保管的抵押贷款,即便借款人是通过线上申请,亦不属于互联网贷款的范畴。

在贷款申请流程中,需加入强制阅读贷款合同环节,并设置合理的阅读时间限制。

应当建立有效的反欺诈机制,实时监测欺诈行为,定期分析欺诈风险变化情况,不断完善反欺诈的模型审核规则和相关技术手段。

合作机构,则是指在互联网贷款业务中,与商业银行在营销获客、共同出资发放贷款、支付结算、风险分担、信息科技、逾期清收等方面开展合作的各类机构,包括但不限于银行业金融机构、保险公司等金融机构和小额贷款公司、融资担保公司、电子商务公司、非银行支付机构、信息科技公司等非金融机构。

额度:不超过20万

授信与首笔贷款发放时间间隔超过1个月的,商业银行应当在贷款发放前对借款人信用状况进行再评估,根据借款人特征、贷款金额,确定跟踪其信贷记录的频率,以保证及时获取其全面信用状况。

资金用途:不得用于炒股、买房

应当采用有效技术手段,保障借款人数据安全,确保商业银行与借款人、合作机构之间传输数据、签订合同、记录交易等各个环节数据的保密性、完整性、真实性和抗抵赖性,并做好定期数据备份工作。

银保监会可以根据商业银行的经营管理情况、风险水平和互联网贷款业务开展情况等对上述额度进行调整。商业银行应在上述规定额度内,根据本行客群特征、客群消费场景等,制定差异化授信额度。

商业银行应根据自身风险管理能力,按照互联网贷款的区域、行业、品种等,确定单户用于生产经营的个人贷款和流动资金贷款授信额度上限。对期限超过一年的上述贷款,至少每年对该笔贷款对应的授信进行重新评估和审批。

《办法》特别强调,贷款资金不得用于购房及偿还住房抵押贷款;股票、债券、期货、金融衍生产品和资产管理产品等投资;固定资产、股本权益性投资。

风险管理:充分评估、合法获取数据、风控体系完善

此处所指的互联网贷款,是指商业银行运用互联网和移动通信等信息通信技术,基于风险数据和风险模型进行交叉验证和风险管理,线上自动受理贷款申请及开展风险评估,并完成授信审批、合同签订、贷款支付、贷后管理等核心业务环节操作,为符合条件的借款人提供的用于消费、日常生产经营周转等的个人贷款和流动资金贷款。

与金融科技公司紧密相关的内容,集中在《办法》的第二至第四章。

无论是商业银行自身或通过合作机构,向目标客户推介互联网贷款产品时,应当在醒目位置充分披露贷款主体、贷款条件、实际年利率、年化综合资金成本、还本付息安排、逾期清收、咨询投诉渠道和违约责任等基本信息,保障客户的知情权和自主选择权,不得采取默认勾选、强制捆绑销售等方式剥夺消费者意愿表达的权利。

通过构建身份认证模型,采取联网核查、生物识别等有效措施识别客户,线上对借款人的身份数据、借款意愿进行核验并留存,确保身份数据真实有效,借款人的意思表示真实。商业银行对借款人的身份核验不得全权委托合作机构办理。

应当构建有效的风险评估、授信审批和风险定价模型,加强统一授信管理,运用风险数据,结合借款人已有债务情况,审慎评估借款人还款能力,确定借款人信用等级和授信方案。

风险数据和风险模型的使用,在《办法》第三章也详细给出了介绍,强调商业银行不得与违规收集和使用个人信息的第三方开展数据合作。


应当结合贷款产品特点、目标客户特征、风险数据和风险管理策略等因素,选择合适的技术标准和建模方法,科学设置模型参数,构建风险模型,并测试在正常和压力情境下模型的有效性和稳定性。

应当建立有效的风险模型日常监测体系,监测至少包括已上线风险模型的有效性与稳定性,所有经模型审批通过贷款的实际违约情况等。监测发现模型缺陷或者已不符合模型设计目标的,应当保证能及时提示风险模型开发和测试部门或团队进行重新测试、优化,以保证风险模型持续适应风险管理要求。

应当建立风险模型退出处置机制。对于无法继续满足风险管理要求的风险模型,应当立即停止使用,并及时采取相应措施,消除模型退出给贷款风险管理带来的不利影响。

在第四章“信息科技风险”中,《办法》强调银行的互联网贷款信息系统的可用性和可靠性。

首先《办法》强调,无论是贷款营销还是评估风险,商业银行都应当通过合法渠道和方式获取目标客户数据或借款人的信用状况,充分评估目标客户的资金需求、还款意愿和还款能力。

应当采取必要的网络安全防护措施,加强网络访问控制和行为监测,有效防范网络攻击等威胁。与合作机构涉及数据交互行为的,应当采取切实措施,实现敏感数据的有效隔离,保证数据交互在安全、合规的环境下进行。

商业银行应当合理分配风险模型开发测试、评审、监测、退出等环节的职责和权限,做到分工明确、责任清晰,不得将上述管理职责外包,并应当加强风险模型的保密管理。风险模型开发至退出的全过程都应当全面记录。

应当加强对部署在借款人一方的互联网贷款信息系统客户端程序(包括但不限于浏览器插件程序、桌面客户端程序和移动客户端程序等)的安全加固,提高客户端程序的防攻击、防入侵、防篡改、抗反编译等安全能力。

应当充分评估合作机构的信息系统服务能力、可靠性和安全性以及敏感数据的安全保护能力,开展联合演练和测试,加强合同约束。

商业银行每年应对与合作机构的数据交互进行信息科技风险评估,并形成风险评估报告,确保不因合作而降低商业银行信息系统的安全性,确保业务连续性。

应当建立人工复核验证机制,作为对风险模型自动审批的必要补充。商业银行应当明确人工复核验证的触发条件,合理设置人工复核验证的操作规程。