作者:虞磊珉 汪镕 张玙诗 金融资本部 金杜律师事务所
2020年5月9日,中国银行保险监督管理委员会(“银保监会”)在其官方网站发布了《商业银行互联网贷款管理暂行办法(征求意见稿)》(“征求意见稿”),正式向社会公众征求意见。作为银保监会2020年规章立法工作计划中的一项重要规章文件,征求意见稿的公布,意味着《商业银行互联网贷款管理暂行办法》将加速落地实施。
随着互联网技术的广泛运用,近年来,线上贷款业务蓬勃发展,2010年颁布实施的《个人贷款管理暂行办法》(“《个贷办法》”)和《流动资金贷款管理暂行办法》(“《流贷办法》”)无法满足技术进步带来的新的业务需求和监管要求,亟需监管部门对互联网贷款做出有针对性的规定,以促进其健康、规范发展。
征求意见稿全面考虑了互联网贷款的业务特性,对贷款流程的相应环节提出了具体的要求。但对于贷款资金的用途限制,以及贷款资金的发放方式,基本沿用了现有的规定。征求意见稿也指出,征求意见稿中未规定的事宜,仍需按照(而非仅仅是参照)《个贷办法》和《流贷办法》的规定执行。因此,可以将征求意见稿的规定理解为《个贷办法》和《流贷办法》项下针对互联网贷款业务的特别规定。
一、征求意见稿的适用范围
征求意见稿仅适用于商业银行发放的纯线上的消费类和用于日常生产经营周转的个人贷款和流动资金贷款。消费金融公司、汽车金融公司发放的纯线上贷款也参照适用征求意见稿的规定(但少部分条款例外)。征求意见稿还适用于以上机构(下称“放贷机构”)与合作机构合作,由以上机构单独(即“助贷”)或与合作机构共同(即“联合贷款”)发放的纯线上贷款。
征求意见稿还特别列举了不适用征求意见稿规定的几类贷款,主要包括:(1)线上申请,但贷款授信核心判断来源于线下的贷款;(2)担保品需要在线下进行评估登记和交付保管的抵质押贷款(保证类贷款不在此限);(3)固定资产贷款。
征求意见稿出台前,在现有规则体系内,对于纯线上形式发放的贷款,仅在《个贷办法》第17条有所提及,即“贷款人应建立并严格执行贷款面谈制度。通过电子银行渠道发放低风险质押贷款的,贷款人至少应当采取有效措施确定借款人真实身份。”在实践中,商业银行通过电子银行渠道发放的低风险质押贷款主要是理财产品或资管产品质押贷款。由于理财产品和资管产品质押本身并不涉及线下的评估登记和交付保管,因此,结合征求意见稿的规定,这类贷款大概率也将适用征求意见稿的规定。
二、金额和期限要求
征求意见稿对于个人消费信用贷款授信额度的上限规定为人民币20万元,较此前业内预期的30万元有所下调。如果到期一次性还本的,授信期限最长1年。我们理解,如果是按固定周期还本的,则可以不受该等期限限制,但还本周期应当明显小于1年(如设定为每月、每季度或者每半年),还款金额也应尽量避免类似“气球贷”的安排,否则可能有规避监管要求之嫌。
对于存在抵质押的个人消费贷款(例如前述的理财产品质押贷款),是否也适用上述授信上限和授信期限限制,还有待征求意见稿正式定稿时明确。
对于个人经营贷款和流动资金贷款,征求意见稿并未对贷款期限做出限制,但要求对于贷款期限超过一年的贷款,至少每年对相应授信进行重新评估和审批,以防控潜在风险。
三、消费者权益保护
征求意见稿对于互联网贷款的营销提出了明确、具体的要求,尤其是要求在贷款申请流程中加入带有阅读时间限制的强制阅读贷款合同环节,要求充分且明显地披露贷款的实际年利率和年化综合资金成本,禁止使用默认勾选和强制捆绑销售等方式剥夺消费者意思表示的权利,以保障客户的知情权和自主选择权。
因此,放贷机构在考虑“客户体验”的同时,也不能忽视了以上“监管底线”,否则不仅可能引发监管质疑,在发生客户纠纷时,无论相关协议或条款如何规定,消费者也可能获得对其更为有利的司法保护。
征求意见稿进一步要求放贷机构储存借款合同和信贷流程关键环节和节点的数据,并要求(在形成借贷关系的前提下)上述合同和数据可供借款人随时调取查用,充分保障借款人的信息权,以便发生争议时调取相关信息。
此外,征求意见稿还对消费者权益保护的管理机制提出了具体要求,例如要求放贷机构将消费者权益保护纳入内部考核体系,并建立安全有效的咨询和投诉处理渠道。
四、身份核验和反洗钱要求
尽管互联网贷款业务通过线上方式开展,但是放贷机构仍然需要履行相应的反洗钱和反恐怖融资义务。
在中国人民银行(“人民银行”)2015年底出台的关于线上开立银行账户的规定(参见我们)中,对于采用生物特征识别技术进行客户身份识别的规定仅仅是“有条件的银行可探索将生物特征识别技术和其他安全有效的技术手段作为核验开户申请人身份信息的辅助手段”,但在征求意见稿中,银保监会对此的表述为“商业银行应当……,采取联网核查、生物识别等有效措施识别客户,……”,生物特征识别技术在客户身份识别工作中的地位似乎有所提升。这可能与近年来人脸识别技术等生物特征识别技术进步带来的准确率大幅提升有关。但毕竟人民银行是反洗钱和反恐怖融资的主管机关,生物特征识别技术在客户身份识别工作中究竟能够得到多大程度的认可,还有待时间检验。
值得注意的是,尽管征求意见稿第33条规定,“商业银行进行借款人身份验证、贷前调查、风险评估和授信审查、贷后管理时,应当至少包含借款人姓名、身份证号、联系电话、银行账户以及其他开展风险评估所必需的基本信息。”该第33条的规定是针对贷款风险管理中风险数据来源的规定,并不意味着放贷机构仅需获得第33条所明确列举的数据即可满足监管要求,放贷机构仍需根据反洗钱和反恐怖融资的相关规定,获取客户身份识别所必须的全部(自然人)9要素或(法人、其他组织和个体工商户)15要素信息。
五、贷款征信
征求意见稿仍然强调,为贷前调查的目的,需要获取借款人的征信信息,并且必须在获得授权后才能查询相关征信信息,这一要求与传统线下贷款的征信查询要求一致。但是征求意见稿进一步规定,授信与首笔贷款发放时间间隔超过1个月的,放贷机构应当在贷款发放前查询借款人信贷记录。这一规定的初衷是防止多头授信、重复借贷的风险,但如果出现授信与首笔贷款发放时间间隔超过1个月的情形,放贷机构在贷款资金发放前实际需要进行两次征信查询。根据人民银行有关征信查询的规定,除对已发放的贷款进行贷后风险管理外,征信查询均需获得被查询人的书面授权,并且传统的征信查询授权一般都必须是用途明晰,一事一授权的。在此前提下,是否可以通过一项贷款申请的征信授权查询两次征信信息,还是放贷机构必须要求借款人在超过1个月的首次提款申请时再次提供征信查询授权,抑或首次提款申请时所进行的征信查询可以解释为“对已发放的贷款进行贷后风险管理”,还有待后续观察相关监管政策口径。
六、人工干预
由于计算机系统和程序可能存在固有缺陷,甚至未知或尚未发现的漏洞,该等缺陷和漏洞极易造成较大的风险隐患,例如2013年的8·16乌龙指事件,以及今年4月20日的沪深300、中证1000等指数涨跌幅异常,都造成了一定的市场影响。因此,无论是何种系统和程序,都要做好差错的预防和检测工作,以最大限度避免产生操作风险。
征求意见稿考虑到了计算机系统和程序局限性,提出了人工复核和干预机制要求,如要求放贷机构建立人工复核机制作为对风险模型的必要补充,以及在贷后管理过程中将人工核查作为补充手段,以促使放贷机构采取切实有效的措施减少相应的风险隐患。
七、数据合规
在金融数据监管日趋严格的形势下,征求意见稿秉持数据使用合法、必要、有效的基本原则,并且特别强调,放贷机构如从合作机构处获取数据,必须通过适当方式确保从合作机构获取的数据来源合法合规、真实有效,并且已经获得信息主体本人的明确授权。这一要求主要体现了《信息安全技术 个人信息安全规范》(GB/T 35273—2020)的规定:相关机构间接获取个人信息时,“应要求个人信息提供方说明个人信息来源,并对其个人信息来源的合法性进行确认”,“应了解个人信息提供方已获得的个人信息处理的授权同意范围”,“如开展业务所需进行的个人信息处理活动超出已获得的授权同意范围的,应在获取个人信息后的合理期限内或处理个人信息前,征得个人信息主体的明示同意,或通过个人信息提供方征得个人信息主体的明示同意”。因此,放贷机构应当从实质上对于合作机构所获得的授权进行审查,确保该等授权符合《信息安全技术 个人信息安全规范》的规定,合作机构不仅获得了信息收集的适当授权,还获得了向放贷机构提供相应信息的具体授权,也获得了放贷机构可以为贷款审批和贷后管理等目的使用相关信息的具体授权,确保信息收集、传递、使用、处理、共享的每一环节均已得到信息主体本人明确、具体、适当的授权,并且授权链条完整。
我们理解,在目前的市场实践中,一些合作机构未必能够向放贷机构提供符合要求的授权同意文件,在此情况下,放贷机构可以考虑直接向信息主体获取缺失的授权,也可以考虑直接要求信息主体提供必要的信息以及相应的授权,并留存好相关的授权文件/数据,以免因数据合规问题导致合规风险和声誉风险。
征求意见稿同时规定放贷机构应当采取相应安全防护措施,作好数据备份,加强网络与数据安全、防范网络攻击。我们理解,放贷机构至少可以参考相应的国家技术标准,例如人民银行于2020年2月发布的《个人金融信息保护技术规范》(JR/T 0171—2020),完善数据管理体系,建立预警机制,降低数据及信息的泄露风险。
八、助贷和联合贷款的监管
征求意见稿明确禁止无放贷资质的机构借用合作机构的名义开展放贷业务,规定放贷机构不得向合作机构自身及其关联方直接或变相进行融资或提供资金用于放贷,并且要求联合贷款合作机构也必须具有放贷业务资质。
同时,为引导放贷机构与合作机构审慎开展业务,征求意见稿对各方权责作出规定,明确对借款人的身份核验、贷款发放、本息回收、止付等关键环节不得全权委托合作机构执行,并且风险模型的管理职责不得外包,在与合作机构合作过程中,授信审批、合同签订等核心风控环节应由放贷机构独立开展。即使在联合贷款模式下,仍然规定放贷机构应当独立对所出资贷款进行评估、审批,承担贷后管理主体责任。同时,征求意见稿对放贷机构与合作机构数据交互行为也提出了敏感数据有效隔离的要求。以上限制规定充分体现了涉及核心职能不得外包的监管要求,避免放贷机构对合作机构的过度依赖,严格落实放贷机构的风险管理责任。
此外,为统一放贷机构对合作机构的管理标准,征求意见稿对合作机构准入与退出机制进行了规范,要求放贷机构对合作机构实行名单制管理,制定并执行统一的准入机制,对合作机构进行准入前评估,对现有合作机构每年至少进行一次全面评估,发现不符条件的应及时终止合作,如果有严重违法违规行为的还应列入“黑名单”。
九、地方性机构跨区展业限制
征求意见稿第9条规定,地方法人银行开展互联网贷款业务,应“主要”服务于当地客户(符合银保监会规定条件的网络银行除外),但并未设置统一的定量指标。我们理解,此处并未禁止地方性机构跨区展业经营,但也为银保监会后续监管留有余地,银保监会可能会结合各机构线下的跨区业务规模、经营经验、风险管控能力,对此项限制一事一议,动态调整,相应地方性机构如有跨区展业业务需求,后续还需与监管部门保持密切沟通。
十、过渡期安排
征求意见稿按照“新老划断”原则,明确自征求意见稿实施之日起2年为过渡期。在过渡期内,相关机构应及时调整内部政策、制度,确保新增业务符合新规要求。过渡期结束时,放贷机构即需完成存量互联网贷款业务的整改。过渡期安排旨在保护存量互联网贷款业务的连续性,避免因监管要求变化而对客户权益造成不利影响,为放贷机构整改提供缓冲空间。征求意见稿同时规定,放贷机构应于新规实施之日起1个月之内,将符合要求的书面报告和整改计划报送监管部门,以便监管部门对放贷机构整改工作进行有效监督。
十一、市场影响
征求意见稿为所适用的放贷机构从事的互联网贷款业务提供了明确的操作指引,一旦正式规定定稿出台、颁布实施,将对纯线上贷款业务的长期健康发展具有长远的影响,促使互联网贷款能够在技术不断进步的基础上,走上规范化的发展之路。也应注意到,一些放贷机构可能需要借助外部合作机构的先进风控技术、广泛客户资源和专业清收能力来开展互联网贷款业务,但其中必然会涉及信息来源合法性、信息共享可行性、信息使用限制性、信息交互安全性、信息技术可靠性、业务收费合规性以及清收手段合法性等多方面的问题,一旦处理不当,极有可能引发合规风险、操作风险或声誉风险,放贷机构应当审慎对待。