致力于分享金融、不良资产、投融资、房地产、公司纠纷、私募基金、资本市场、税务筹划、疑难案例等干货。
2020年5月9日,银保监会发布《商业银行互联网贷款管理暂行办法(征求意见稿)》(下称“银行网贷办法”),面向社会公开征求意见。在此之前,北京、上海、浙江、厦门等地先后发布了地方版监管意见。近年来,由于监管执法严打非法现金贷业务,商业银行、消金公司等持牌机构的互联网贷款业务快速崛起。凭借获客渠道高效、网络化业务成本低下、审批放贷快速便捷、大数据风控精准有效等特点,部分商业银行的互联网贷款业务做得风生水起,部分还成立了独立的金融科技子公司。但是,互联网贷款业务的快速发展,也暴露出很多问题,例如导流、助贷等业务边界不明晰,风控数据来源非法,资金流向违规,金融消费者权益保护不充分等。根据近期监管执法实践及类似项目经验,汇业律师事务所黄春林律师团队从适用范围、信息流/业务流/资金流合规要点及对金融科技行业的影响等角度,简要解读《银行网贷办法》如下,仅供参考。
《银行网贷办法》明确规定,适用《银行网贷办法》的互联网借贷业务必须满足下列条件:(1)主体:商业银行(含外国银行分行)、消金公司、汽车金融公司发放互联网贷款的。引流平台、金融科技公司等非持牌主体,不得直接或与商业机构联合通过互联网放贷。(2)方式:获客渠道、身份核验、风控授信、合同签订、放款支付、贷后管理等核心业务必须全流程网络化(包括互联网及移动互联网)。尤其是在贷款合同签订环节,必须与借款方及担保、信保等机构采用数据电文形式签订合同。(3)场景:仅包括面向个人的基于消费、日常生产经营周转等场景的个人贷款,和面向企业的流动资金贷款,且贷款用途不得用于购房及偿还住房抵押贷款;股票、债券、期货、金融衍生产品和资产管理产品等投资;固定资产、股本权益性投资等。(4)限额限期限还:即商业银行面向个人基于消费场景的网贷应不得超过人民币20万元,还款期限不得超过一年(消金公司、汽车金融公司可突破),且必须一次性还本。不符合上述网贷业务范畴的,应当遵守《个人贷款管理暂行办法》和《流动资金贷款管理暂行办法》。
在《金融消费者权益保护实施办法(征求意见稿)》、《个人金融信息(数据)保护试行办法(征求意见稿)》及《个人金融信息保护技术规范》等基础上,《银行网贷办法》进一步明确了商业银行等与导流、助贷等机构合作的信息流合规要点,具体要求及影响包括但不限于:(1)导流机构必须具有基础业务相关的资质并合法合规经营,导流页面应当在醒目位置充分披露贷款主体、贷款条件、实际年利率、年化综合资金成本、还本付息安排、逾期清收、咨询投诉渠道和违约责任等基本信息。(2)商业银行开展风控、授信流程前,应当至少获取借款人姓名、身份证号、联系电话、银行账户等四要素信息并核验一致。(3)商业银行从第三方合作机构获取/查询风控数据的,首先应事先取得借款人(包括联合借款人及担保人等)有效签署的风控数据查询授权书(需披露查询的风险数据内容和期限等要素);其次还应当审查数据源的合法性(例如电信、电商等有场景数据,或者有明确协议连贯性的授权)。(4)风控数据一旦进入商业银行,或者商业银行自有风控数据,不得提供给助贷、贷服等第三方金融科技机构。金融科技公司为商业银行开发风控模型的,风控模型应当布置在商业银行内部,并确保风控数据不出库/塔。(5)商业银行应当自行储存、传递以数据电文形式签订的借款合同、信贷流程关键环节和节点的数据,且应当在签订合同后,通过有关方式(例如短信、邮件等方式)告知借款人关于借款合同及相关数据随时调取查用的渠道(例如网站、APP、H5或公号等)。(6)贷后相关数据(如贷款余额、还款进度表等)是否可以向导流方、助贷方提供,本次《银行网贷办法》并未明确禁止。但是,根据《个人金融信息保护技术规范》规定,该类数据属于C2类个人金融信息,严格限制非持牌类机构收集、处理该等信息。
在总结、借鉴地方版监管规定(例如北京《关于规范银行与金融科技公司合作类业务及互联网保险业务的通知》、浙江《关于加强互联网助贷和联合贷款风险防控监管提示的函》及上海《关于规范在沪银行业金融机构与第三方平台合作信贷业务的通知》等)的基础上,《银行网贷办法》进一步明确了商业银行与金融科技公司之间的业务边界,确保核心业务流必须在商业银行内部完成。汇业黄春林律师理解,具体要求及影响包括但不限于:(1)商业银行承担贷款营销信息的审核责任,确保营销信息的合法合规性。(2)商业银行应当参与借款人的身份核验工作,履行自主KYC责任,不得完全委托导流、助贷、担保等机构承担身份核验工作,且身份核验应当满足一致性、有效性、多样性、目的性等要求,避免依赖单一技术路径(例如人脸识别或活体识别),必要时应当采用双录等人工复核机制。(3)商业银行应当独立、自主风控和信审,自主确定目标客户群、授信额度和贷款定价标准,且不得将风控模型的管理职责外包给金融科技公司等外包机构。(4)商业银行与小贷公司、消金公司等联合放贷的,应当独立对所出资的贷款进行风险评估和授信审批,并对贷后管理承担主体责任。(5)担保、信保以外的不具有担保资质的流量平台、助贷机构,不得直接或变相从事增信服务(包括但不限于回购承诺、债权转让、劣后安排等)。(6)催收可以外包,但必须对清收合作机构开展背调,且明确不得向贷款无关的第三人(家属、朋友等)进行催收。(7)不管业务合作模式如何,借款人的个人金融信息及数据保护的主体责任由作为贷款方的商业银行承担。此外,《银行网贷办法》明确规定应当建立完善的第三方合作机构管理制度,包括但不限于分级分类的名单制、准入评估与背景调查、持续管理与退出机制等。
网贷中的资金流向是监管合规的重中之重,也是很多助贷、贷服、联合贷、托收等场景中容易触碰的红线。《银行网贷办法》在之前监管执法实践的基础上,严禁非持牌机构触碰、归集、截留贷还资金,具体要求及影响包括但不限于:(1)明确受托支付必须满足《个人贷款管理暂行办法》和《流动资金贷款管理暂行办法》等规定,受托支付只能带场景,只能向交易对手支付,且应当在贷款资金发放前审核借款人相关交易资料和凭证是否符合合同约定条件,支付后做好有关细节(包括资金流向等)的认定记录。(2)自主支付应当根据借款人过往行为数据、交易数据和信用数据等,确定单日贷款支付限额,并加强贷后管理。(3)不得将贷款发放、本息回收、止付等关键环节操作全权委托合作机构执行。(4)除保险持牌公司和担保机构可以直接向借款人收取合理费用外,其他导流、助贷等机构不得直接面向借款人收取任何形式的息费,相关服务费只能向资金端收取。(5)应当采取适当方式(例如交易跟踪、大数据监测等)对贷款用途进行监测,发现借款人违反法律法规或未按照约定用途使用贷款资金的,应当按照合同约定提前收回贷款。
《银行网贷办法》单独设立第四章,规范商业银行的网贷系统网络安全合规要求。结合近期立法趋势及监管实践,汇业黄春林律师梳理相关具体要求包括但不限于:(1)应当参照《网络安全法》、《网络安全等级保护条例(送审稿)》、《金融行业网络安全等级保护实施指引(送审稿)》、《金融行业网络安全等级保护测评指南(送审稿)》等规定,依法开展网贷相关信息系统的等级保护定级、备案等工作。(2)应当参照《网络安全法》、《网络安全审查办法》、《关键信息基础设施安全保护条例(送审稿)》等规定,依法加强关键信息基础设施的保护措施,依法履行网络产品与服务采购的网络安全审查申报义务。(3)参照《移动金融基于声纹识别的安全应用技术规范》、《移动金融客户端应用软件安全管理规范》等要求,加强金融移动应用的客户端程序的安全加固,提高客户端程序的防攻击、防入侵、防篡改、抗反编译等安全能力。(4)应当参照《网络安全法》、《个人信息安全规范(2020)》、《个人金融信息保护技术规范》、《关于增强个人信息保护意识依法开展业务的通知》等规定,全面加强个人金融信息的全生命周期合规工作,制定相应的管理制度,设立相应的岗位职责,采取相应的数据安全措施。(5)应当参照《关于发布金融行业标准加强移动金融客户端应用软件安全管理的通知》等规定,依法开展互联网贷款类APP的金融APP备案、公安联网备案等工作。附:《商业银行互联网贷款管理暂行办法(征求意见稿)》全文独家划重点版
免责声明:本公众号发布的信息,除署名外,均来源于互联网等公开渠道,版权归原著作权人或机构所有。我们尊重版权保护,如有问题请联系我们,谢谢!
