【编者按】7月15日，中国银保监会又一次提升对互联网贷款业务的监管要求，正式发布《关于加强商业银行互联网贷款业务管理　提升金融服务质效的通知》。

这是中国银保监会在2020年7月发布《商业银行互联网贷款管理暂行办法》和2021年2月发布《关于进一步规范商业银行互联网贷款业务的通知》后，提升商业互联网贷款业务监管要求的第三次出手。

2022年7月15日，中国银保监会正式发布《关于加强商业银行互联网贷款业务管理　提升金融服务质效的通知》（以下简称“《通知》”），从履行贷款管理主体责任、强化信息数据管理、完善贷款资金管理、规范合作业务管理、加强消费者权益保护等方面进一步细化、明确了商业银行互联网贷款自主风控及合规管理的要求。

笔者结合监管部门的系列监管要求与自身实战经验，就银保监会最新《通知》进行解读，并为商业银行互联网贷款业务的风控及合规管理给予建议。

一、履行贷款管理主体责任：独立有效

互联网金融创新浪潮下，商业银行利用其自身资金优势、渠道优势开展互联网贷款业务，但鉴于银行自身信息科技能力存在局限性，对于互联网贷款业务，尤其是风控环节，难以对客户进行独立的全面监测，所以商业银行往往会与金融科技公司或大数据分析公司等主体开展业务合作。

2020年银保监发布《商业银行互联网贷款管理暂行办法》（以下简称“暂行办法”）第8条明确要求将互联网贷款业务纳入全面风险管理体系中，涉及合作机构的，授信审批、合同签订等核心风控环节也应当由商业银行独立有效展开；《通知》中再次强调商业银行应加强核心风控环节，落实主体责任，防范贷款管理“空心化”。

从两个监管文件不难看出，“独立”“有效”是关键词，一方面，商业银行不能将核心的风控环节和重要的交易流程完全交由合作方或委托第三方进行，更不能因此推卸法律责任或与合作方约定自身法律责任的转移；另一方面，商业银行也应当加强自身风控能力的建设以及提升金融科技能力，唯有此才能实现有效的管控措施，防范风险发生。

二、强化信息数据管理：风控必要，合规管理

商业银行应当构建个人金融信息收集和使用的全生命周期合规管理体系，除遵守民法典、个人信息保护法对于个人信息处理者的合规要求之外，还应遵守行业监管、国标和行业标准的相关合规要求。

站在业务的风控角度，商业银行在贷款准入环节应当对借款人进行充分的贷款前审查，核实其个人身份的真实性和准确性、履行反洗钱义务和征信信息查询，这是商业银行履行风控管理的必要流程；而站在合规的角度，在收集个人金融信息符合合法正当必要原则的基础上，也应当加强对借款人的信息保护，建立健全银行内部个人金融信息保护的合规管理体系，从制度和技术两个层面对个人信息进行有效保护。

此外，如商业银行存在与合作机构委托处理或共同处理个人金融信息的情况：首先，应对合作机构进行安全评估，其中最基础的就是对资质的审核，根据《个人金融信息保护技术规范》规定“不应委托或授权无金融业相关资质的机构收集C3、C2类别信息。”

笔者建议：

首先，商业银行在合作初期对相关主体的资质进行全面的调查审核。安全评估也不应当仅仅是准入时进行评估，还应建立日常的监督和定期检查机制，以加强对合作机构的过程管理。

最后，加强对合作机构数据访问权限的管理，按照最小必要原则进行授权并完善授权审批流程。

三、完善贷款资金管理：监测预警

加强贷款资金的管理是银行采取风险管理措施的具体体现，主动对贷款用途、贷款资金的使用、贷款账户的流水信息进行监测，如发现风险可采取相关预警措施，进一步提升贷款资金的安全性。

严格监测资金用途，如采取受托支付的，商业银行应按照借款合同约定的资金用途进行支付，防止借款人将资金挪作他用，也防止合作方截留、汇集、挪用资金，降低因合作机构不合规造成的自身风险。

四、规范合作业务管理：准入与评估

分四步走，加强对合作机构以及合作业务的管理：

第一，商业银行应建立覆盖各类合作机构的全行统一准入机制，明确标准和流程，对合作机构进行评估；

其次，双方应签署明确的书面协议，约定各方的出资、合作范围、业务类型等，权责明晰。除双方的协议外，商业银行应当建立相应的内部管理制度，明确本行与合作机构共同出资发放贷款的管理机制；

第三，《暂行办法》主要要求商业银行对合作机构是否收取息费进行约束和管理，但《通知》进一步要求商业银行评估合作方确定的互联网贷款综合融资成本。

综合监管要求可见，商业银行开展互联网贷款业务应整体评估融资成本，避免合作机构通过其他费用名目过度增加借款人实际资金成本。

最后，建议商业银行可设置负面清单，对于合作机构存在违法违规归集贷款资金、设定不公平不合理合作条件、未依法依规提供贷款管理必要信息、服务收费质价不符、有暴力催收等违法违规记录等情形的，应当限制或拒绝合作。

五、加强金融消费者权益保护：全流程管理

如前所述，尽管互联网贷款的借款人资信情况良莠不齐，商业银行出于风控和履行监管有必要对借款人进行征信查询等相关调查，但同样也要用最高合规标准对此个人信息进行保护，且金融账户信息也属于敏感个人信息，应参考相关国标和行标完善银行内部个人信息保护能力。

六、结语

商业银行互联网贷款业务，已经从单纯的流量、业务和规模的比拼，到风险控制以及合规管理能力等软实力的比拼。

纵观《通知》及相关监管要求，总体而言，商业银行应当从以下几个方面加强风控和合规管理能力，从而更好的发展互联网贷款业务：

第一，进一步提升其独立自主有效开展核心业务的能力以及相应的风控能力，互联网贷款业务不仅仅需要银行的资金实力，也需要大数据分析以及互联网信息技术的应用，这就要求商业银行全面提升数据治理能力；

第三，从事前的准入审批及评估，到合作中的监测预警，应充分加强对合作机构以及合作业务的监督和管理。

相关阅读

提醒！平台企业做金融一定看好红绿灯

守好你的个人金融信息：五个“雷”和四个“招”

《互联网法律评论》特约专家