2020年4月30日，银保监会公布了2020年规章立法工作计划，《商业银行互联网贷款管理暂行办法》（以下简称《办法》）位居首位。5月9日，《办法》的征求意见稿就迅速公布。在互联网贷款业务蓬勃发展，各类第三方合作机构，尤其是提供数字化风控、数字化征信产品的金融科技机构蓬勃发展的大背景下，《办法》的出台将打破这一业务领域核心规章制度缺乏、具体条款散见于多处的立法现状，有效遏制行业中存在的个人信息保护不力、风控管理不到位等问题，使整个行业走上合规经营的正轨。笔者将结合《办法》全文与银保监会有关部门负责人就《办法》回答记者提问的具体内容，解读这一有望快速落地的规章及其将给行业带来的机遇和挑战。

经过多年的发展，我国商业银行已经具备了较高的数字化程度。如网银支付结算系统、跨行转账汇兑系统、商业银行大数据风险控制系统、在线直销银行系统、在线供应链金融系统、在线智能投资顾问系统等，已经在商业银行得到了较为普遍的应用。在数字认证技术、密码技术、数据挖掘与分析技术、人工智能技术、区块链技术、数字通讯技术与加密传输技术、云计算技术等数字化基础设施与基础解决方案的支持下，商业银行进入了数字化时代。

但是，我们所看到的商业银行数字化，更多集中在中间业务领域，在存贷款等表内业务领域的运用则相对滞后。笔者认为，法律法规及监管规则的滞后，在一定程度上制约了数字化技术创新在存贷款等业务领域的适用。

随着中国人民银行开启了数字货币的试点，可以预见的是，在不远的将来，存款数字化将成为一种必然趋势。而与存款数字化相比，贷款过程的数字化在监管方面的压力更低，更加适合通过线上数字化的方式开展业务。

在这一背景下，《办法》的出台是银行数字化趋势下的必然举措。通过监管办法，将商业银行的线上互联网贷款合规化，并给与商业银行明确的业务指引，避免商业银行互联网贷款业务的无序化，避免市场出现规则不清带来的“负激励”。

笔者认为，《办法》意味着，监管层对于存款、贷款等商业银行核心业务的数字化、远程化有了更清晰的规划，商业银行的数字化将覆盖全业务领域，银行业必将迎来全新的发展机遇。

《办法》第三条、第五条明确了“互联网贷款”的定义与边界：互联网贷款是线上为主的业态模式，且线上流程不限于借款人申请等前端操作，而是延伸到传统商业银行及其他有资质的贷款机构（根据《办法》，包括外资银行、不设实体网点的互联网银行、汽车金融公司、消费金融公司，以下或统称“放贷机构”）的贷前调查，风险评估、授信判断与审批、贷后管理等环节。《办法》中多处提及从事互联网贷款所需的各类信息技术与数据、模型，也印证了其线上交易为外在形式，大数据与信息技术为内部支撑的业务特点。

与这一定义相对应的，是银保监会为互联网贷款设定的“十字基本原则”：小额、短期、高效、风险可控。所谓“小额”，《办法》第六条规定了互联网贷款用于个人消费的单户授信额度上限为人民币20万元。就“短期”的原则，《办法》规定，到期一次性还本类型的贷款，授信期限以一年为限，其他超过一年期限的贷款，至少每年应当进行重新评估和审批。除此之外，《办法》还就互联网贷款中的各个高风险环节的控制要求进行了较为具体的规定，如身份核验（第十八条）、贷前调查（第二十条）、贷中审查（第二十一条）、资金用途（第二十四条）、放款控制（第二十六条）、贷后管理（第二十九条）与贷款用途监测（第三十条）等。为满足“风险可控”的原则，在自动审批的基础上，《办法》第二十二条要求商业银行建立针对风险模型的人工复核验证机制，第二十六条则要求在贷后管理中保留人工核查作为补充监测手段。

笔者认为，《办法》关于适用范围的规定，透露出监管层在业务创新和风险控制的双重需求中采取的平衡策略。商业银行数字化建设奠定了线上交易的基础，而新冠疫情创造了大量非接触办理的需求，互联网贷款则顺应这一趋势，脱离传统商业银行物理网点与柜台机具的限制，把借款人的身份识别、贷款发起、授信审核、资金支付等关键节点搬到线上，在业务创新增效的层面值得肯定。然而，当前金融科技的应用，尤其是在身份认证、贷款风险识别与评价等环节，尚未达到与传统线下贷款业务身份核查或贷前、贷中审查及贷后管理所达到的可靠程度，若对交易规模不设置限制且不能适当地引入人工干预，数据的失真或模型的失效即可造成巨大的风险。《办法》对互联网贷款授信额度和时限加以规定，并强化贷款支付与资金用途监控等贷后管理要求，看似不够前瞻，实则对于防范、化解业务风险，培育行业成长具有重要的现实意义。

信息保护与数据安全对于金融行业而言已不是新命题，《办法》第十条将商业银行对借款人数据保护的主体责任作为消费者保护的首要方面提出，实属意料之中。从不久前多家银行疑似数据泄露的新闻，到某行以大客户需求为名公然非法泄露个人交易记录，屡屡爆出的事端证明，落实信息保护主体责任是日益数字化的金融行业的基础需求。

在互联网贷款业务领域，大量的借款人个人信息的传输、存储、加工及使用，会随着各类风控模型的调用，时时刻刻发生在放贷机构与各类合作机构之间，信息共享与信息安全保护之间的矛盾较之传统商业银行较为封闭的全流程信贷管理体系更为突出。《办法》对于放贷机构落实信息保护责任在技术层面和内控管理层面提出了具体的要求：

（1）按照《合同法》、《网络安全法》、《电子签名法》等法律法规规范电子合同的签订、流转、存储与调取（第二十三条、第二十五条）；

（2）以适当方式确认合作机构数据来源合法有效，确认合作机构已获得信息主体本人的明确授权（第三十三条）；

（3）使用数据遵循合法、必要、有效的原则，涉及借款人身份确认以及贷款风险识别、分析、评价、监测、预警和处置等环节的内外部数据不得对第三方提供（第三十四条）；

（4）建立安全管理策略与标准，采取有效技术措施保障数据安全，防范数据风险（第三十五条）；

（5）采取必要的网络安全防护措施，加强网络访问控制和行为监测，与合作机构涉及数据交互行为的，采取切实措施对敏感数据进行有效隔离（第四十五条）；

（6）采用有效技术手段，保障借款人数据安全，确保商业银行与借款人、合作机构之间各个环节数据的保密性、完整性、真实性和抗抵赖性，定期进行数据备份（第四十七条）。

笔者认为，一方面，考虑到数据传输、数据存储、合作机构访问等环节是金融行业数据安全的潜在风险点，《办法》重点强调放贷机构与合作机构的数据交互方面的安全与合规，更为贴近互联网贷款的业务模式。另一方面，较之于《个人金融信息保护技术规范》以及网传的《个人金融信息（数据）保护试行办法（征求意见稿）》部分条款，《办法》关于信息保护与数据安全的整体规定仍较为原则性，在强调全流程信息安全风险识别与防范的前提下，为未来业务模式的拓展和技术手段的落实、以及后续规章的正式出台预留了一定的空间。

“自主风控原则”要求在网贷行业的提出，可以追溯到《关于规范整顿“现金贷”业务的通知》，即知名的141号文[1]。在过去的数年间，各地监管部门纷纷出台政策，对于部分商业银行将核心风控环节委托外包给合作机构的乱象提出监管要求，如上海市银保监局《关于规范在沪银行业金融机构与第三方平台合作信贷业务的通知（征求意见稿）》指出：“（二）各机构需独立完成贷前调查、贷中审查和贷后管理工作，不得将客户风险评估、贷前初步审核、贷款档案建档和保管、贷款本息代收代付、不良资产催收等职责委托外包给合作平台完成。”浙江省银保监局《关于加强互联网助贷和联合贷款风险防控监管提示的函》等文件也对商业银行的授信审查、风控管理提出类似的监管要求。

《办法》第八条对从事互联网贷款业务的商业银行风控管理提出了总体要求，强调，“涉及合作机构的，授信审批、合同签订等核心风控环节应当由商业银行独立有效开展”。第五十三条亦明确：“商业银行应当独立对所出资的贷款进行风险评估和授信审批，并对贷后管理承担主体责任”。围绕“自主风控原则”的落实，《办法》第二章和第三章分别从风险的管理体系与风险模型全周期规范等方面提出要求。

就风险的管理体系论，《办法》第十二条至第十五条从治理架构、董事会、高管职责和企业风控资源的角度，明确放贷机构从事互联网贷款业务所必须的组织架构与职责。《办法》第十六条至第三十条则针对业务全流程中重要节点的风控要点提出较为具体的要求。其中与“自主风控原则”关系密切的部分，集中在第十七条至第二十条，包括贷款营销环节对目标客户的初步风险评估（资金需求、还款意愿、还款能力等），客户引入环节的身份核验（联网核查、生物识别等）以及贷前征信情况的调查。以上环节曾是网贷行业服务外包的“重灾区”，在此次《办法》中均明确为放贷机构的职责，其中第十八条更是明确禁止对借款人身份核验的全权委托行为。《办法》的出台，将在未来加强放贷机构在诸多贷前环节的风控责任，从而倒逼放贷机构加强投入，提升效能，落实贷前风控管理。

就风控模型规范层面，《办法》第三十七条明确禁止风控模型开发测试、评审、监测、退出等环节管理职责的外包，并要求放贷机构应当加强模型的保密管理。笔者理解，这一规定并非禁止包括商业银行在内的放贷机构采购模型开发服务，相反，《办法》的精神鼓励放贷机构借助金融科技公司的力量升级风控算法，提升风控效能，但前提是算法与模型的管理掌握在放贷机构的手中，日常监测的职责也由放贷机构承担。出于模型的保密义务规定，未来风控模型部署于放贷机构的服务器或成通行做法，故放贷机构应加强设施建设与人才队伍培养，以满足监管层对于数据与模型层面实现“自主风控原则”的要求。

关于合作机构的管理是《办法》规定中的亮点。《办法》分别从管理阶段、评价标准、数据与技术等维度对放贷机构与合作机构提出相应的要求。

就管理阶段而言，《办法》要求放贷机构对合作机构的管理应当贯穿于其准入前（第五十条）、签约中（第五十一条）、合作中（第五十二条至第五十六条）及退出时（第五十七条）等各环节，并明确了各环节的重要风险识别与评估要点，强调“持续管理”的理念。

就评估标准而言，《办法》第四十九条明确，放贷机构应以“合作内容、对客户的影响范围和程度、对银行财务稳健性的影响程度”等标准对合作机构进行分级分类管理；第五十条指出，应以“经营情况、管理能力、风控水平、技术实力、服务质量、业务合规和机构声誉”等作为评估合作机构的主要方面；若选择共同放贷的合作机构，还应就合作方资本充足水平、杠杆率、流动性水平、不良贷款率、贷款集中度及其变化等指标进行评估；放贷机构应严守业务资质要求，禁止与无放贷资质的机构合作放贷（第五十三条），不得接受无担保资质和不符合信用保险和保证保险经营资质监管要求的合作机构提供的直接或变相增信服务（第五十五条）。

此外，《办法》第三章、第四章还从数据规范、技术规范的层面上对合作机构提出标准。《办法》第三十三条要求，放贷机构应确认合作机构的数据来源合法合规、真实有效，并已获得信息主体本人的明确授权。第四十八条从合作机构系统安全角度出发，要求放贷机构定期评估合作机构的“服务能力、可靠性和安全性以及敏感数据的安全保护能力”。笔者理解，此番规定名义上要求合作机构具备相应能力，实则加强了商业银行等放贷机构的管理责任。在信息保护主体责任落实于放贷机构的背景下，放贷机构必将重新审视合作机构的数据来源、数据授权合规性以及数据安全方面的技术能力，必要时可能在准入阶段提前介入，以了解合作机构的以上情况。可以说，《办法》对于放贷机构的外部风险识别与评估能力提出了更高的要求。

正如《办法》出台后业内的热议，这一规章或将成为互联网贷款行业的“基本法”，指导行业的参与主体提升技术实力，加强风控与合规管理。然而，《办法》也传递出一丝洗牌的意味。在商业银行及其他放贷机构的信息安全责任、风险控制责任全方位压实的情况下，拥有相应资质、运营合规且技术过硬的合作机构或服务供应商将会是放贷机构的首选，《办法》的精神将会通过市场的传递，逐步淘汰在资质、风控能力、技术能力等方面存在不足，或在数据安全、合法催收等方面存在不良记录的机构，进而规范、净化整个行业环境。