鲸云数据合规团队
背景
2020年7月,中国银保监会正式发布了《商业银行互联网贷款管理暂行办法》(以下简称“暂行办法”),自公布之日起施行。《暂行办法》共七章七十条,分别为总则、风险管理体系、风险数据和风险模型管理、信息科技风险管理、贷款合作管理、监管管理和附则。2021年2月发布《关于进一步规范商业银行互联网贷款业务的通知(以下简称“通知”)。上述文件对互联网贷款领域的合规性提出了进一步的要求,金融监管力度进一步加强,尽管相关文件的直接约束对象系各大型银行、股份制银行、外资银行等金融机构,但对于商业银行合作机构也提出了更严格的合规要求。本文将在研究暂行办法及通知的基本要求基础上,进一步分析其对商业银行合作机构产生的合规影响及合规建议。
《商业银行互联网贷款管理暂行办法》核心要点解读【确定互联网贷款的定义】
第三条本办法所称互联网贷款,是指商业银行运用互联网和移动通信等信息通信技术,基于风险数据和风险模型进行交叉验证和风险管理,线上自动受理贷款申请及开展风险评估,并完成授信审批、合同签订、贷款支付、贷后管理等核心业务环节操作,为符合条件的借款人提供的用于消费、日常生产经营周转等的个人贷款和流动资金贷款。
【提出了20万和1年的小额短期要求】
第六条单户用于消费的个人信用贷款授信额度应当不超过人民币20万元,到期一次性还本的,授信期限不超过一年。
【实行合作机构名单制管理】第四十九条商业银行应当建立覆盖各类合作机构的全行统一的准入机制,明确相应标准和程序,并实行名单制管理。商业银行应根据合作内容、对客户的影响范围和程度、对银行财务稳健性的影响程度等,对合作机构实施分层分类管理,并按照其层级和类别确定相应审批权限。
【风险模型的管理职责不能外包】第三十七条商业银行应当合理分配风险模型开发测试、评审、监测、退出等环节的职责和权限,做到分工明确、责任清晰。商业银行不得将上述风险模型的管理职责外包,并应当加强风险模型的保密管理。
【营销信息充分披露,避免品牌混同】第五十二条商业银行应当在相关页面醒目位置向借款人充分披露自身与合作机构信息、合作类产品的信息、自身与合作各方权利责任,按照适当性原则充分揭示合作业务风险,避免客户产生品牌混同。
【规定合作机构不得收取任何增信外的息费】第五十一条商业银行应当在书面合作协议中明确要求合作机构不得以任何形式向借款人收取息费,保险公司和有担保资质的机构除外。
【要求商业银行建立互联网贷款业务的全面风险管理体系】风险管控是《暂行办法》全文的核心思想,整体而言,要求商业银行与其他信贷业务一样,建立一套适用于网贷业务的全面风险管理体系,包含四部分:风险治理、风险管控、风险数据、风险模型。
风险治理是指在组织和制度方面建立必要的机制体系,是风险管理体系的底层建筑和基本保障。《暂行办法》将网贷风险管理的最终责任赋予了银行董事会【第12-13条】。在制度层,《暂行办法》要求商业银行对互联网贷款业务实行统一管理,将互联网贷款业务纳入全面风险管理体系。【第8条】
风险管控措施是指在网贷业务全流程中各环节的风险识别、预防、控制和缓释,包括互联网贷款业务治理架构和管理体系,互联网贷款风险偏好、风险管理政策和程序,信息系统建设情况及信息科技风险评估,反洗钱、反恐怖融资制度,互联网贷款合作机构管理政策和程序,互联网贷款业务限额、与合作机构共同出资发放贷款的限额及出资比例、合作机构集中度等重要风险管控指标。【第58条】
风险数据是指商业银行在对借款人进行身份确认,以及贷款风险识别、分析、评价、监测、预警和处置等环节收集、使用的各类内外部数据【第4条】。在《暂行办法》中多处提到了有关获得客户/借款人身份数据的要求,明确商业银行应当通过合法渠道和方式获取目标客户数据,如果需要从合作机构获取借款人风险数据,应通过适当方式确认合作机构的数据来源合法合规、真实有效,对外提供数据不违反法律法规要求。【第33条】
风险模型是指在网贷业务中可能会使用到的数据模型,《暂行办法》指出风险模型是指应用于互联网贷款业务全流程的各类模型,包括但不限于身份认证模型、反欺诈模型、反洗钱模型、合规模型、风险评价模型、风险定价模型、授信审批模型、风险预警模型、贷款清收模型等。【第4条】
《关于进一步规范商业银行互联网贷款业务的通知》核心解读及可能造成的影响
核心要点
★新增量化指标,控制总规模和集中度
本通知作为《暂行办法》的补充,对之前的监管文件明确了量化要求,包括合作方出资比例、单一合作方集中度和总额规模,从银行端和合作方端同时提出监管要求。其中对集中度的要求最严:出资方的一级资本金额是主要约束。
1.对出资比例、集中度和总量规模明确了量化要求,控量控风险,其中对集中度的要求最严:
统一互联网贷款合作方30%的出资比例要求。《通知》“二、加强出资比例管理。商业银行与合作机构共同出资发放互联网贷款的,应严格落实出资比例区间管理要求,单笔贷款中合作方出资比例不得低于30%。”该出资比例要求与之前小贷公司管理办法的要求一致,目的在于通过对合作方的资本约束来限制贷款规模的无序扩张。
2.对联合贷款合作集中度提出要求:一级资本金额是主要约束。《通知》“商业银行与合作机构共同出资发放互联网贷款的,与单一合作方(含其关联方)发放的本行贷款余额不得超过本行一级资本净额的25%。”这是监管部门首次提出集中度的量化监管要求,行业分析认为这个集中度要求是本通知三个量化要求中最严格的一个,对头部合作机构影响大。目前联合贷款的参与银行以中小银行为主,一级资本净额在十亿到百亿量级之间。以一家一级资本净额为100亿的商业银行为例,按照70%的出资比例,与单一合作方可释放的贷款总规模上限仅为35.7亿元。从整合市场来看,基于2020Q3的数据,所有非四大行与单一合作方贷款总规模上限为3.6万亿,所有非上市银行与单一合作方贷款总规模上限为1.14万亿。
3.总量规模限制:《通知》“商业银行与全部合作机构共同出资发放的互联网贷款余额不得超过本行全部贷款余额的50%。”商业银行与全部合作机构共同出资发放的互联网贷款余额不得超过本行全部贷款余额的50%,行业分析认为这个总量指标相对宽松。传统商业银行的贷款以抵押类贷款为主,互联网贷款以个人信用贷为主,在整个商业银行贷款中的占比较低。总量控制的目的在于引导商业银行提升自营业务能力,避免业务风险过于集中。
★将非银行金融机构纳入互联网贷款监管再次强调核心风控环节不得外包和不得跨区域经营两大要点
核心风控环节不得外包和不得跨区域经营。《通知》“一、落实风险控制要求。商业银行应强化风险控制主体责任,独立开展互联网贷款风险管理,并自主完成对贷款风险评估和风险控制具有重要影响的风控环节,严禁将贷前、贷中、贷后管理的关键环节外包。”《通知》“五、严控跨地域经营。地方法人银行开展互联网贷款业务的,应服务于当地客户,不得跨注册地辖区开展互联网贷款业务。无实体经营网点、业务主要在线上开展,且符合银保监会其他规定条件的除外。”
强调自主风控是商业银行的核心能力,风控外包容易使商业银行沦为单纯的资金提供方,要求银行进一步完善风控体系,包括风控流程和风控模型的搭建。由于参与互联网联合贷款的银行中区域性银行的占比较高,普遍存在跨区域经营的问题,与服务本地的市场定位偏离。部分银行通过互联网贷款快速实现异地拓展,存在较大的风险隐患。预计严控跨地域经营是监管难点,后续需要一段时间进行业务调整。
★将非银行放贷机构纳入监管,减少监管套利
《通知》“八、外国银行分行、信托公司、消费金融公司、汽车金融公司开展互联网贷款业务参照执行本通知和《办法》要求,银保监会另有规定的,从其规定。”
可能造成的影响
1.对银行业总体影响小,互联网联合贷款从区域性银行将向全国性银行(股份行、大行)转移,区域性银行业务受限,互联网贷款规模将收缩。按照严控跨区域经营的要求,地方性银行需要回归服务本地的市场定位,已开展互联网联合贷款的地方性银行可提供贷款的目标客群将大幅减少,对于相关银行来说,互联网贷款规模预计会收缩,异地在贷客户到期自然结清。
2. 利好可以全国经营、资本充裕的头部银行。区域性银行业务受限所释放的贷款需求将被不受经营区域限制的银行所承接,股份行、互联网民营银行和法人直销银行的市场份额有望提升。此外,一级资本净额更大的银行能承接更大的互联网贷款规模。因此,作为联合贷款的合作方,也更倾向于跟经营区域范围更广、资本实力更强的银行合作,联合贷款的银行端的集中度或有所提升。
3. 不允许跨区经营,地方性银行可提供贷款的目标客群将明显减少,所释放的贷款需求将由股份行、互联网民营银行和法人直销银行等承接。此外,一级资本净额更大的银行能承接更大的互联网贷款规模。
4. 资产方单一平台集中度监管,头部流量平台的信贷规模受限。如果要突破现阶段的规模限制,头部平台需要加大与大型银行以及非银机构的合作力度。
5. 贷款规模在业务调整阶段有所控制,规模越大,调整压力越大。作为联合贷款的合作方,平台需要出资30%。出资比例的提升对平台方产生了资本约束。
6. 通过对互联网贷款规模的控制,抑制国内居民杠杆率的持续上升。
合规建议
尽管上述两个文件的直接监管对象系各大型银行、股份制银行、外资银行等金融机构,但由于其对商业银行以及合作机构均产生了行业性影响,因此在针对与商业银行开展营销获客、共同出资发放贷款、支付结算、风险分担、信息科技、逾期清收等方面的合作机构而言,也会受到一定约束,以下合规建议供参考:
1. 加强自身机构的合法合规经营。根据目前发布的通知情况来看,商业银行选择外部合作机构要进行充分的尽职调查,对合作机构的资质也有严格的审核要求。大部分商业银行将对合作机构实行名单制管理,审慎制定准入标准,开展尽职调查,将甄选信用状况良好、经营行为规范、内部管理健全、核心技术成熟、系统安全稳定的机构开展合作。合作机构应当加强自身合规建设,逐渐按照商业银行的合作机构准入标准进行合规整改及日常经营。
2. 严格制定及审核相关合作及协议条款。合作机构应当审慎的审核商业银行提供的合同模板,针对合同约定的义务要充分明确,并根据合同的义务,建立健全机构内部的管理机制,并充分衡量是否存在违约风险,无法达到或无法实现的商业义务要提前与商业银行进行沟通。在与该交易结构中的其他合作方进行商业合作时,也要对其进行基础尽职调查,制定合作合同规范对方的义务。在制定其他合同模版时,在充分考虑商业逻辑的基础上,要明确双方权利义务,尽量选择有利于本公司的合同模板。
3. 对于《暂行办法》中要求的商业银行不得外包给第三方合作的工作项,主要涉及风控和支付两项直接与资金业务安全相关的内容,不得代商业银行履行该等义务;对于其他合作领域,如客户推介、贷前调查、风险分担、信息科技(金融科技)等属于主动开放合作领域,则可以利用公司优势与商业银行合作。
4. 在与其他信息平台或者机构合作时,也要对其进行基础性的尽职调查,例如相关资质和牌照是否完备。
5. 对于收费标准依据以及费用内容要进行明确的披露,尽可能不要代收其他费用,如存在代收的情况,在让客户充分知悉的情况下,尽快完成分账。
6. 严格审核发布的各类营销宣传信息,商业银行将特别注意防止合作机构以银行名义虚假宣传、夸大宣传、误导销售、违规展业等。
7. 对可能引发声誉风险的事件制定应急预案,建立舆情应对的快速反应机制,积极开展与客户的沟通解释工作,稳妥化解信访投诉纠纷,避免事态扩大引发群体性事件。
8. 加强信息安全管理,这也是商业银行会考量合作机构的依据之一,明确与商业银行之间的分工责任,确保能够完整记录和保存业务的交易信息,能够完整、准确的还原相关交易流程和细节。《暂行办法》第47条明确要求,保障借款人数据安全,确保商业银行与借款人、合作机构之间传输数据、签订合同、记录交易等各个环节数据的保密性、完整性、真实性和抗抵赖性,并做好定期数据备份工作。如商业银行有对合作机构的数据安全保护制度的具体要求,也要按照商业银行的标准建立健全内部的机制。
《暂行办法》第33条明确要求,商业银行进行借款人身份验证、贷前调查、风险评估和授信审查、贷后管理时,应当至少包含借款人姓名、身份证号、联系电话、银行账户以及其他开展风险评估所必需的基本信息。如果需要从合作机构获取借款人风险数据,应通过适当方式确认合作机构的数据来源合法合规、真实有效,对外提供数据不违反法律法规要求,并已获得信息主体本人的明确授权。商业银行不得与违规收集和使用个人信息的第三方开展数据合作。这也要求相关合作机构的信息搜集合法合规,否则可能商业银行会拒绝合作或者不予纳入合作机构名单。
