2 浏览第一章 总则
第一条 为规范商业银行互联网贷款业务经营行为,促
进互联网贷款业务健康发展,依据《中华人民共和国银行业
监督管理法》《中华人民共和国商业银行法》等法律法规,
制定本办法。
第二条 中华人民共和国境内依法设立的商业银行经
营互联网贷款业务,应遵守本办法。
第三条 本办法所称互联网贷款,是指商业银行运用互
联网和移动通信等信息通信技术,基于风险数据和风险模型
进行交叉验证和风险管理,线上自动受理贷款申请及开展风
险评估,并完成授信审批、合同签订、贷款支付、贷后管理
等核心业务环节操作,为符合条件的借款人提供的用于消
费、日常生产经营周转等的个人贷款和流动资金贷款。
第四条 本办法所称风险数据,是指商业银行在对借款
人进行身份确认,以及贷款风险识别、分析、评价、监测、
预警和处置等环节收集、使用的各类内外部数据。
本办法所称风险模型,是指应用于互联网贷款业务全流
程的各类模型,包括但不限于身份认证模型、反欺诈模型、
反洗钱模型、合规模型、风险评价模型、风险定价模型、授
信审批模型、风险预警模型、贷款清收模型等。
本办法所称合作机构,是指在互联网贷款业务中,与商
业银行在营销获客、共同出资发放贷款、支付结算、风险分
担、信息科技、逾期清收等方面开展合作的各类机构,包括
但不限于银行业金融机构、保险公司等金融机构和小额贷款
公司、融资担保公司、电子商务公司、非银行支付机构、信
息科技公司等非金融机构。
第五条 下列贷款不适用本办法:
(一)借款人虽在线上进行贷款申请等操作,商业银行
线下或主要通过线下进行贷前调查、风险评估和授信审批,
贷款授信核心判断来源于线下的贷款;
(二)商业银行发放的抵质押贷款,且押品需进行线下
或主要经过线下评估登记和交付保管;
(三)中国银行保险监督管理委员会规定的其他贷款。
上述贷款适用其他相关监管规定。
第六条 互联网贷款应当遵循小额、短期、高效和风险
可控的原则。
单户用于消费的个人信用贷款授信额度应当不超过人
民币 20 万元,到期一次性还本的,授信期限不超过一年。
中国银行保险监督管理委员会可以根据商业银行的经营管
理情况、风险水平和互联网贷款业务开展情况等对上述额度
进行调整。商业银行应在上述规定额度内,根据本行客群特
征、客群消费场景等,制定差异化授信额度。
商业银行应根据自身风险管理能力,按照互联网贷款的
区域、行业、品种等,确定单户用于生产经营的个人贷款和
流动资金贷款授信额度上限。对期限超过一年的上述贷款,
至少每年对该笔贷款对应的授信进行重新评估和审批。
第七条 商业银行应当根据其市场定位和发展战略,制
定符合自身特点的互联网贷款业务规划。涉及合作机构的,
应当明确合作方式。
第八条 商业银行应当对互联网贷款业务实行统一管
理,将互联网贷款业务纳入全面风险管理体系,建立健全适
应互联网贷款业务特点的风险治理架构、风险管理政策和程
序、内部控制和审计体系,有效识别、评估、监测和控制互
联网贷款业务风险,确保互联网贷款业务发展与自身风险偏
好、风险管理能力相适应。
互联网贷款业务涉及合作机构的,授信审批、合同签订
等核心风控环节应当由商业银行独立有效开展。
第九条 地方法人银行开展互联网贷款业务,应主要服
务于当地客户,审慎开展跨注册地辖区业务,有效识别和监
测跨注册地辖区业务开展情况。无实体经营网点,业务主要
在线上开展,且符合中国银行保险监督管理委员会其他规定
条件的除外。
在外省(自治区、直辖市)设立分支机构的,对分支机
构所在地行政区域内客户开展的业务,不属于前款所称跨注
册地辖区业务。
第十条 商业银行应当建立健全借款人权益保护机制,
完善消费者权益保护内部考核体系,切实承担借款人数据保
护的主体责任,加强借款人隐私数据保护,构建安全有效的
业务咨询和投诉处理渠道,确保借款人享有不低于线下贷款
业务的相应服务,将消费者保护要求嵌入互联网贷款业务全
流程管理体系。
第十一条 中国银行保险监督管理委员会及其派出机
构(以下简称银行业监督管理机构)依照本办法对商业银行
互联网贷款业务实施监督管理。
第二章 风险管理体系
第十二条 商业银行应当建立健全互联网贷款风险治
理架构,明确董事会和高级管理层对互联网贷款风险管理的
职责,建立考核和问责机制。
第十三条 商业银行董事会承担互联网贷款风险管理
的最终责任,应当履行以下职责:
(一)审议批准互联网贷款业务规划、合作机构管理政
策以及跨区域经营管理政策;
(二)审议批准互联网贷款风险管理制度;
(三)监督高级管理层对互联网贷款风险实施管理和控
制;
(四)定期获取互联网贷款业务评估报告,及时了解互
联网贷款业务经营管理、风险水平、消费者保护等情况;
(五)其他有关职责。
第十四条 商业银行高级管理层应当履行以下职责:
(一)确定互联网贷款经营管理架构,明确各部门职责
分工;
(二)制定、评估和监督执行互联网贷款业务规划、风
险管理政策和程序,合作机构管理政策和程序以及跨区域经
营管理政策;
(三)制定互联网贷款业务的风险管控指标,包括但不
限于互联网贷款限额、与合作机构共同出资发放贷款的限额
及出资比例、合作机构集中度、不良贷款率等;
(四)建立互联网贷款业务的风险管理机制,持续有效
监测、控制和报告各类风险,及时应对风险事件;
(五)充分了解并定期评估互联网贷款业务发展情况、
风险水平及管理状况、消费者保护情况,及时了解其重大变
化,并向董事会定期报告;
(六)其他有关职责。
第十五条 商业银行应当确保具有足够的资源,独立、
有效开展互联网贷款风险管理,确保董事会和高级管理层能
及时知悉风险状况,准确理解风险数据和风险模型的作用与
局限。
第十六条 商业银行互联网贷款风险管理制度应当涵
盖营销、调查、授信、签约、放款、支付、跟踪、收回等贷
款业务全流程。
第十七条 商业银行应当通过合法渠道和方式获取目
标客户数据,开展贷款营销,并充分评估目标客户的资金需
求、还款意愿和还款能力。商业银行应当在贷款申请流程中,
加入强制阅读贷款合同环节,并设置合理的阅读时间限制。
商业银行自身或通过合作机构向目标客户推介互联网
贷款产品时,应当在醒目位置充分披露贷款主体、贷款条件、
实际年利率、年化综合资金成本、还本付息安排、逾期清收、
咨询投诉渠道和违约责任等基本信息,保障客户的知情权和
自主选择权,不得采取默认勾选、强制捆绑销售等方式剥夺
消费者意愿表达的权利。
第十八条 商业银行应当按照反洗钱和反恐怖融资等
要求,通过构建身份认证模型,采取联网核查、生物识别等
有效措施识别客户,线上对借款人的身份数据、借款意愿进
行核验并留存,确保借款人的身份数据真实有效,借款人的
意思表示真实。商业银行对借款人的身份核验不得全权委托
合作机构办理。
第十九条 商业银行应当建立有效的反欺诈机制,实时
监测欺诈行为,定期分析欺诈风险变化情况,不断完善反欺
诈的模型审核规则和相关技术手段,防范冒充他人身份、恶
意骗取银行贷款的行为,保障信贷资金安全。
第二十条 商业银行应当在获得授权后查询借款人的
征信信息,通过合法渠道和手段线上收集、查询和验证借款
人相关定性和定量信息,可以包括但不限于税务、社会保险
基金、住房公积金等信息,全面了解借款人信用状况。
第二十一条 商业银行应当构建有效的风险评估、授信
审批和风险定价模型,加强统一授信管理,运用风险数据,
结合借款人已有债务情况,审慎评估借款人还款能力,确定
借款人信用等级和授信方案。
第二十二条 商业银行应当建立人工复核验证机制,作
为对风险模型自动审批的必要补充。商业银行应当明确人工
复核验证的触发条件,合理设置人工复核验证的操作规程。
第二十三条 商业银行应当与借款人及其他当事人采
用数据电文形式签订借款合同及其他文书。借款合同及其他
文书应当符合《中华人民共和国合同法》《中华人民共和国
电子签名法》等法律法规的规定。
第二十四条 商业银行应当与借款人约定明确、合法的
贷款用途。贷款资金不得用于以下事项:
(一)购房及偿还住房抵押贷款;
(二)股票、债券、期货、金融衍生产品和资产管理产
品等投资;
(三)固定资产、股本权益性投资;
(四)法律法规禁止的其他用途。
第二十五条 商业银行应当按照相关法律法规的要求,
储存、传递、归档以数据电文形式签订的借款合同、信贷流
程关键环节和节点的数据。已签订的借款合同及相关数据应
可供借款人随时调取查用。
第二十六条 授信与首笔贷款发放时间间隔超过 1 个月
的,商业银行应当在贷款发放前对借款人信用状况进行再评
估,根据借款人特征、贷款金额,确定跟踪其信贷记录的频
率,以保证及时获取其全面信用状况。
第二十七条 商业银行应当按照借款合同约定,对贷款
资金的支付进行管理与控制,贷款支付应由具有合法支付业
务资质的机构执行。商业银行应加强对支付账户的监测和对
账管理,发现风险隐患的,应立即预警并采取相关措施。采
用自主支付方式的,应当根据借款人过往行为数据、交易数
据和信用数据等,确定单日贷款支付限额。
第二十八条 商业银行应遵守《个人贷款管理暂行办
法》和《流动资金贷款管理暂行办法》的受托支付管理规定,
同时根据自身风险管理水平、互联网贷款的规模和结构、应
用场景、增信手段等确定差异化的受托支付限额。
第二十九条 商业银行应当通过建立风险监测预警模
型,对借款人财务、信用、经营等情况进行监测,设置合理
的预警指标与预警触发条件,及时发出预警信号,必要时应
通过人工核查作为补充手段。
第三十条 商业银行应当采取适当方式对贷款用途进
行监测,发现借款人违反法律法规或未按照约定用途使用贷
款资金的,应当按照合同约定提前收回贷款,并追究借款人
相应责任。
第三十一条 商业银行应当完善内部审计体系,独立客
观开展内部审计,审查评价、督促改善互联网贷款业务经营、
风险管理和内控合规效果。银行业监督管理机构可以要求商
业银行提交互联网贷款专项内部审计报告。
第三十二条 互联网贷款形成不良的,商业银行应当按
照其性质及时制定差异化的处置方案,提升处置效率。
第三章 风险数据和风险模型管理
第三十三条 商业银行进行借款人身份验证、贷前调
查、风险评估和授信审查、贷后管理时,应当至少包含借款
人姓名、身份证号、联系电话、银行账户以及其他开展风险
评估所必需的基本信息。如果需要从合作机构获取借款人风
险数据,应通过适当方式确认合作机构的数据来源合法合
规、真实有效,对外提供数据不违反法律法规要求,并已获
得信息主体本人的明确授权。商业银行不得与违规收集和使
用个人信息的第三方开展数据合作。
第三十四条 商业银行收集、使用借款人风险数据应当
遵循合法、必要、有效的原则,不得违反法律法规和借贷双
方约定,不得将风险数据用于从事与贷款业务无关或有损借
款人合法权益的活动,不得向第三方提供借款人风险数据,
法律法规另有规定的除外。
第三十五条 商业银行应当建立风险数据安全管理的
策略与标准,采取有效技术措施,保障借款人风险数据在采
集、传输、存储、处理和销毁过程中的安全,防范数据泄漏、
丢失或被篡改的风险。
第三十六条 商业银行应当对风险数据进行必要的处
理,以满足风险模型对数据精确性、完整性、一致性、时效
性、有效性等的要求。
第三十七条 商业银行应当合理分配风险模型开发测
试、评审、监测、退出等环节的职责和权限,做到分工明确、
责任清晰。商业银行不得将上述风险模型的管理职责外包,
并应当加强风险模型的保密管理。
第三十八条 商业银行应当结合贷款产品特点、目标客
户特征、风险数据和风险管理策略等因素,选择合适的技术
标准和建模方法,科学设置模型参数,构建风险模型,并测
试在正常和压力情境下模型的有效性和稳定性。
第三十九条 商业银行应当建立风险模型评审机制,成
立模型评审委员会负责风险模型评审工作。风险模型评审应
当独立于风险模型开发,评审工作应当重点关注风险模型有
效性和稳定性,确保与银行授信审批条件和风险控制标准相
一致。经评审通过后风险模型方可上线应用。
第四十条 商业银行应当建立有效的风险模型日常监
测体系,监测至少包括已上线风险模型的有效性与稳定性,
所有经模型审批通过贷款的实际违约情况等。监测发现模型
缺陷或者已不符合模型设计目标的,应当保证能及时提示风
险模型开发和测试部门或团队进行重新测试、优化,以保证
风险模型持续适应风险管理要求。
第四十一条 商业银行应当建立风险模型退出处置机
制。对于无法继续满足风险管理要求的风险模型,应当立即
停止使用,并及时采取相应措施,消除模型退出给贷款风险
管理带来的不利影响。
第四十二条 商业银行应当全面记录风险模型开发至
退出的全过程,并进行文档化归档和管理,供本行和银行业
监督管理机构随时查阅。
第四章 信息科技风险管理
第四十三条 商业银行应当建立安全、合规、高效和可
靠的互联网贷款信息系统,以满足互联网贷款业务经营和风
险管理需要。
第四十四条 商业银行应当注重提高互联网贷款信息
系统的可用性和可靠性,加强对互联网贷款信息系统的安全
运营管理和维护,定期开展安全测试和压力测试,确保系统
安全、稳定、持续运行。
第四十五条 商业银行应当采取必要的网络安全防护
措施,加强网络访问控制和行为监测,有效防范网络攻击等
威胁。与合作机构涉及数据交互行为的,应当采取切实措施,
实现敏感数据的有效隔离,保证数据交互在安全、合规的环
境下进行。
第四十六条 商业银行应当加强对部署在借款人一方
的互联网贷款信息系统客户端程序(包括但不限于浏览器插
件程序、桌面客户端程序和移动客户端程序等)的安全加固,
提高客户端程序的防攻击、防入侵、防篡改、抗反编译等安
全能力。
第四十七条 商业银行应当采用有效技术手段,保障借
款人数据安全,确保商业银行与借款人、合作机构之间传输
数据、签订合同、记录交易等各个环节数据的保密性、完整
性、真实性和抗抵赖性,并做好定期数据备份工作。
第四十八条 商业银行应当充分评估合作机构的信息
系统服务能力、可靠性和安全性以及敏感数据的安全保护能
力,开展联合演练和测试,加强合同约束。
商业银行每年应对与合作机构的数据交互进行信息科
技风险评估,并形成风险评估报告,确保不因合作而降低商
业银行信息系统的安全性,确保业务连续性。
第五章 贷款合作管理
第四十九条 商业银行应当建立覆盖各类合作机构的
全行统一的准入机制,明确相应标准和程序,并实行名单制
管理。
商业银行应根据合作内容、对客户的影响范围和程度、
对银行财务稳健性的影响程度等,对合作机构实施分层分类
管理,并按照其层级和类别确定相应审批权限。
第五十条 商业银行应当按照合作机构资质和其承担
的职能相匹配的原则,对合作机构进行准入前评估,确保合
作机构与合作事项符合法律法规和监管要求。
商业银行应当主要从经营情况、管理能力、风控水平、
技术实力、服务质量、业务合规和机构声誉等方面对合作机
构进行准入前评估。选择共同出资发放贷款的合作机构,还
应重点关注合作方资本充足水平、杠杆率、流动性水平、不
良贷款率、贷款集中度及其变化,审慎确定合作机构名单。
第五十一条 商业银行应当与合作机构签订书面合作
协议。书面合作协议应当按照收益和风险相匹配的原则,明
确约定合作范围、操作流程、各方权责、收益分配、风险分
担、客户权益保护、数据保密、争议解决、合作事项变更或
终止的过渡安排、违约责任以及合作机构承诺配合商业银行
接受银行业监督管理机构的检查并提供有关信息和资料等
内容。
商业银行应当自主确定目标客户群、授信额度和贷款定
价标准;商业银行不得向合作机构自身及其关联方直接或变
相进行融资用于放贷。除共同出资发放贷款的合作机构以
外,商业银行不得将贷款发放、本息回收、止付等关键环节
操作全权委托合作机构执行。商业银行应当在书面合作协议
中明确要求合作机构不得以任何形式向借款人收取息费,保
险公司和有担保资质的机构除外。
第五十二条 商业银行应当在相关页面醒目位置向借
款人充分披露自身与合作机构信息、合作类产品的信息、自
身与合作各方权利责任,按照适当性原则充分揭示合作业务
风险,避免客户产生品牌混同。
商业银行应在借款合同和产品要素说明界面等相关页
面中,以醒目方式向借款人充分披露合作类产品的贷款主
体、实际年利率、年化综合资金成本、还本付息安排、逾期
清收、咨询投诉渠道、违约责任等信息。商业银行需要向借
款人获取风险数据授权时,应在线上相关页面醒目位置提示
借款人详细阅读授权书内容,并在授权书醒目位置披露授权
风险数据内容和期限,确保借款人完成授权书阅读后签署同
意。
第五十三条 商业银行与其他有贷款资质的机构共同
出资发放互联网贷款的,应当建立相应的内部管理制度,明
确本行与合作机构共同出资发放贷款的管理机制,并在合作
协议中明确各方的权利义务关系。商业银行应当独立对所出
资的贷款进行风险评估和授信审批,并对贷后管理承担主体
责任。商业银行不得以任何形式为无放贷业务资质的合作机
构提供资金用于发放贷款,不得与无放贷业务资质的合作机
构共同出资发放贷款。
商业银行应当按照适度分散的原则审慎选择合作机构,
制定因合作机构导致业务中断的应急与恢复预案,避免对单
一合作机构过于依赖而产生的风险。
第五十四条 商业银行应当充分考虑自身发展战略、经
营模式、资产负债结构和风险管理能力,将与合作机构共同
出资发放贷款总额按照零售贷款总额或者贷款总额相应比
例纳入限额管理,并加强共同出资发放贷款合作机构的集中
度风险管理。商业银行应当对单笔贷款出资比例实行区间管
理,与合作方合理分担风险。
第五十五条 商业银行不得接受无担保资质和不符合
信用保险和保证保险经营资质监管要求的合作机构提供的
直接或变相增信服务。商业银行与有担保资质和符合信用保
险和保证保险经营资质监管要求的合作机构合作时应当充
分考虑上述机构的增信能力和集中度风险。商业银行不得因
引入担保增信放松对贷款质量管控。
第五十六条 商业银行不得委托有暴力催收等违法违
规记录的第三方机构进行贷款清收。商业银行应明确与第三
方机构的权责,要求其不得对与贷款无关的第三人进行清
收。商业银行发现合作机构存在暴力催收等违法违规行为
的,应当立即终止合作,并将违法违规线索及时移交相关部
门。
第五十七条 商业银行应当持续对合作机构进行管理,
及时识别、评估和缓释因合作机构违约或经营失败等导致的
风险。对合作机构应当至少每年全面评估一次,发现合作机
构无法继续满足准入条件的,应当及时终止合作关系,合作
机构在合作期间有严重违法违规行为的,应当及时将其列入
本行禁止合作机构名单。
第六章 监督管理
第五十八条 商业银行首次开展互联网贷款业务的,应
当于产品上线后 10 个工作日内,向其监管机构提交书面报
告,内容包括:
(一)业务规划情况,包括年度及中长期互联网贷款业
务模式、业务对象、业务领域、地域范围和合作机构管理等;
(二)风险管控措施,包括互联网贷款业务治理架构和
管理体系,互联网贷款风险偏好、风险管理政策和程序,信
息系统建设情况及信息科技风险评估,反洗钱、反恐怖融资
制度,互联网贷款合作机构管理政策和程序,互联网贷款业
务限额、与合作机构共同出资发放贷款的限额及出资比例、
合作机构集中度等重要风险管控指标;
(三)上线的互联网贷款产品基本情况,包括产品合规
性评估、产品风险评估,风险数据、风险模型管理情况以及
是否符合本办法相关要求;
(四)消费者权益保护及其配套服务情况;
(五)银行业监督管理机构要求提供的其他材料。
第五十九条 银行业监督管理机构应当结合日常监管
情况和商业银行风险状况等,对商业银行提交的报告和相关
材料进行评估,重点评估:
(一)互联网贷款业务规划与自身业务定位、差异化发
展战略是否匹配;
(二)是否独立掌握授信审批、合同签订等核心风控环
节;
(三)信息科技风险基础防范措施是否健全;
(四)上线产品的授信额度、期限、放款控制、数据保
护、合作机构管理等是否符合本办法要求;
(五)消费者权益保护是否全面有效。
如发现不符合本办法要求,应当要求商业银行限期整
改、暂停业务等。
第六十条 商业银行应当按照本办法要求,对互联网贷
款业务开展情况进行年度评估,并于每年 4 月 30 日前向银
行业监督管理机构报送上一年年度评估报告。年度评估报告
包括但不限于以下内容:
(一)业务基本情况;
(二)年度业务经营管理情况分析;
(三)业务风险分析和监管指标表现分析;
(四)识别、计量、监测、控制风险的主要方法及改进
情况,信息科技风险防控措施的有效性;
(五)风险模型的监测与验证情况;
(六)合规管理和内控管理情况;
(七)投诉及处理情况;
(八)下一年度业务发展规划;
(九)银行业监督管理机构要求报告的其他事项。
第六十一条 互联网贷款的风险治理架构、风险管理策
略和程序、数据质量控制机制、管理信息系统和合作机构管
理等在经营期间发生重大调整的,商业银行应当在调整后的
10 个工作日内向银行业监督管理机构书面报告调整情况。
第六十二条 银行业监督管理机构可以根据商业银行
的经营管理情况、风险水平和互联网贷款业务开展情况等对
商业银行与合作机构共同出资发放贷款的出资比例及相关
集中度风险、跨注册地辖区业务等提出相关审慎性监管要
求。
第六十三条 银行业监督管理机构可以通过非现场监
管、现场检查等方式,实施对商业银行互联网贷款业务的监
督检查。
银行业监督管理机构开展对商业银行互联网贷款业务
的数据统计与监测、重要风险因素评估等工作。
第六十四条 商业银行违反本办法规定办理互联网贷
款的,银行业监督管理机构可根据《中华人民共和国银行业
监督管理法》责令其限期改正;逾期未改正,或其行为严重
危及商业银行稳健运行、损害客户合法权益的,应采取相应
的监管措施。严重违反本办法的,可根据《中华人民共和国
银行业监督管理法》第四十五条、第四十六条、第四十七条、
第四十八条规定实施行政处罚。
第七章 附则
第六十五条 商业银行经营互联网贷款业务,应当依照
本办法制定互联网贷款管理细则及操作规程。
第六十六条 本办法未尽事项,按照《个人贷款管理暂
行办法》《流动资金贷款管理暂行办法》等相关规定执行。
第六十七条 外国银行分行参照本办法执行。除第六条
个人贷款期限要求外,消费金融公司、汽车金融公司开展互
联网贷款业务参照本办法执行。
第六十八条 本办法由中国银行保险监督管理委员会
负责解释。
第六十九条 本办法自公布之日起施行。
第七十条 过渡期为本办法实施之日起 2 年。过渡期内
新增业务应当符合本办法规定。商业银行和消费金融公司、
汽车金融公司应当制定过渡期内的互联网贷款整改计划,明
确时间进度安排,并于办法实施之日起 1 个月内将符合本办
法第五十八条规定的书面报告和整改计划报送银行业监督
管理机构,由其监督实施。