晚近，我国多数商业银行正处于数字化转型道路的发展阶段，并在逐步加大数字化转型方面的投入力度。2019年10月18日，中国互联网金融协会、新华社瞭望智库联合撰写、发布的《中国商业银行数字化转型调查研究报告》显示，总体上我国商业银行数字化转型加速，参与调研的51家商业银行中，有40%商业银行将数字化转型作为“一把手工程”，75%的商业银行正在或已经制定了全行级数字化转型方案，超过70%的商业银行正在招募数字化人才、建立全行统一的大数据平台、搭建平台整合金融与泛金融场景、改善线上渠道和交互体验等。

2020年初，受疫情影响各行各业都受到冲击，银行亦难幸免。2月15日，中国银保监会办公厅印发《关于进一步做好疫情防控金融服务的通知》明确要求银行业和保险业优化丰富“非接触式服务”渠道，提供安全便捷的“在家”金融服务。这是金融监管部门首次提及“非接触”式服务。以互联网贷款为核心的“零接触”线上金融服务的重要性愈加凸显，金融行业“去人工化”“去网点化”技术变革也正呼啸而来，如何在银行数字化转型过程中有效防控风险，完善制度保障，是监管部门需要思考的重大命题。

商业银行的贷款业务互联网化在我国由来已久。早在2015年7月，为充分发挥互联网的优势、拓宽金融机构服务覆盖面、创新金融服务方式，国务院发布《国务院关于积极推进“互联网+”行动的指导意见》，鼓励金融机构利用云计算、移动互联网、大数据等技术手段，加快金融产品和服务创新，在更广泛地区提供便利的存贷款、支付结算、信用中介平台等金融服务，从而推动银行业金融机构创新信贷产品与金融服务，加大贷款投放力度。在此基础上，各商业银行顺应潮流不断推出互联网贷款产品，如工商银行推出的融e借（线上自助操作的个人纯信用借款）、小微e贷（线上自助操作的经营贷款，包括企业信用贷款（名称为“经营快贷”）、房产抵押贷款（名称为“网贷通”“e抵快贷”等）、质押贷款（线上自助操作的金融资产质押贷款）等；再如中国银行推出的中银E贷（全流程线上申请、线上审批的个人消费贷款）。

一、商业银行互联网贷款的监管与合规体系

互联网贷款并不改变信贷的本质，依然是货币持有者将约定数额的资金借出并要求借款者在约定期限内按约定条件还本付息的信用活动，其核心仍是持牌金融机构的贷款行为。但是通过运用互联网等技术，原来在线下进行的信贷业务迁移到线上，演化出了不同于传统借贷的特征。这意味着，商业银行互联网贷款不仅面临与传统信贷业务相同的风险，也有其自身独特的业务风险。¹

在传统贷款业务监管中，主要监管政策包括1996年中国人民银行颁布的《贷款通则》，以及2009年7月至2010年2月，为提升信贷精细化管理水平，加快银行转型，中国银行业监督管理委员会先后发布了《固定资产贷款管理暂行办法》《流动资金贷款管理暂行办法》《个人贷款管理暂行办法》和《中国银监会〈关于印发项目融资业务指引〉的通知》（下称“三个办法一个指引”），初步构建和完善了我国商业银行贷款业务的监管框架。

与传统信贷如出一辙，互联网贷款业务面临的主要问题也是信用风险。“信用”作为核心评估要素往往贯穿贷款业务始终。资金供求双方客观存在不同程度的信息不对称现象促发了逆向选择和道德风险的产生。互联网贷款基于便携，在提升贷款效率、增加便捷度的同时，也省略了诸多线下风控环节，取而代之的是通过大数据和风控模型试图解决信息不对称问题，但是多重信息验证并不能保证结果有效，因此依旧需要外部的监管机制介入对整个行业进行规范与监管。作为近几年兴起的新型业务，在《商业银行互联网贷款管理暂行办法》正式颁布生效之前，针对互联网贷款尚缺乏统一的监管规定，仅有一些鼓励性政策，如2016年3月中国人民银行、中国银行业监督管理委员会发布的《关于加大对新消费领域金融支持的指导意见》，鼓励银行业金融机构在风险可控并符合监管要求的前提下，探索运用互联网等技术手段开展远程客户授权，实现消费贷款线上申请、审批和放贷；再如2019年3月中国银行保险监督管理委员会发布的《中国银保监会办公厅关于2019年进一步提升小微企业金融服务质效的通知》，要求大中型商业银行要充分发挥技术、资源优势，继续深化普惠金融事业部建设，严格落实综合服务、统计核算、风险管理、资源配置、考核评价的“五专”经营机制，将资源向小微企业金融服务领域倾斜，进一步加强与互联网、大数据的融合，深度挖掘自身金融数据和外部征信数据资源，在加强合规管理和风险控制的前提下，探索研究全流程线上贷款业务模式。

在2018年11月与2020年1月中国银保监会先后两次将《商业银行互联网贷款管理暂行办法（征求意见稿）》(“《暂行办法》征求意见稿”)下发至各银行进行部分范围内征求意见，² 以及2020年5月9日首次公开征求意见之后，2020年7月17日，中国银保监会正式发布《商业银行互联网贷款管理暂行办法》（“《暂行办法》”）。这份最新发布生效的《暂行办法》对互联网贷款的定义、业务规划、跨区域经营、贷款营销与收费模式、风险管控、合作方管理等方面均作出详细的监管要求。尽管《暂行办法》为尽可能地保证现有互联网贷款业务的连续性和保护客户权益，按照“新老划断”的原则，设置2年过渡期，然而对于正在从事数字化转型的商业银行而言，及时跟进监管动向，未雨绸缪，对标监管新要求做好业务调整与部署，方可在新的监管态势下及时抢占市场先机。

二、互联网贷款及主要业务模式

（一）互联网贷款的内涵与外延

就商业银行在信贷领域开展互联网金融业务而言，完整的业务框架应包括三个组成部分：其一是以银行自有资金从事的互联网贷款业务，其二是以委托人的资金受托对借款人发放的互联网委托贷款业务，其三是与其他具有放贷资质的持牌金融机构合作进行贷款发放。

本次《暂行办法》规范的是以银行自有资金从事的互联网贷款业务，以及以自有资金与合作机构进行的合作放贷业务，不包括互联网委贷业务。即互联网贷款，是指商业银行运用互联网和移动通信等信息通信技术，基于风险数据和风险模型进行交叉验证和风险管理，线上自动受理贷款申请及开展风险评估，并完成授信审批、合同签订、贷款支付、贷后管理等核心业务环节操作，为符合条件的借款人提供的用于借款人消费、日常生产经营周转等的个人贷款和流动资金贷款。

《暂行办法》第5条明确将三类贷款排除在互联网贷款之外：其一，借款人虽在线上进行贷款申请等操作，商业银行线下或主要通过线下进行贷前调查、风险评估和授信审批，贷款授信核心判断来源于线下的贷款，例如，目前大多数所谓的线上企业流动资金贷款、供应链融资等，商业银行贷款调查、风险评估和预授信等实质风险评估环节均在线下完成，出于便利借款人和提高效率考虑将贷款申请及后续操作环节于线上完成；其二，商业银行发放的抵质押贷款，且押品需进行线下或主要经过线下评估登记和交付保管；其三，银保监会规定的其他类型的贷款，如固定资产贷款、项目融资业务、特定贷款。此外，在中国银保监会有关部门负责人就《商业银行互联网贷款管理暂行办法》答记者问中，监管部门也进一步强调，互联网贷款除应遵守《暂行办法》规定外，也应遵守现有相关监管规制中关于授信、贷款等的一般规定。

显然，这次明确将在线下开展预审贷工作+借款人在线上申贷，以及抵押贷等贷款类型排除在互联网贷款以外。但除非相关政策另有规定，以下业务模式贷款未在明确排除之列即助贷机构在线下向商业银行推荐借款人，提供营销获客，然后借款人通过线上申请信用贷的业务模式。

（二）互联网贷款的主要模式

互联网贷款聚焦于个人贷款和流动资金贷款，其业务模式与商业银行传统贷款业务模式相似，即商业银行作为贷款人（与合作机构共同出资发放贷款模式下由商业银行及合作机构共同作为贷款人）向借款人发放贷款，并回收本金及利息。但相比于传统贷款业务，互联网贷款借助互联网等技术，具有成本低、操作便捷、审批迅速、专注小额贷款、期限较短等优势。根据《暂行办法》，目前在政策上将互联网贷款分为自营贷款与与合作机构共同出资发放贷款两种模式。

1、自营贷款模式

自营贷款模式，是指银行利用自身信誉良好、风控能力强、客户流量大、体系完备等优势拟合多方资源的前提下，完全掌握获客及运营模式并实现完全自主风控的信贷业务产品。³该等模式系利用银行自主引流，服务于自有客户，在挖掘自身内部数据的基础上导入外部数据，如纳税、公积金、社保、电商等可信数据，构建风控模型，通过自身的风险防控评级系统对借款人的征信状况、还款来源等基本信息的真实性、合法性开展线上尽职调查，做好风险评估。常见自营贷款模式包括两种：

（1）无特定资金使用场景的现金贷。此类产品需要银行投入较多时间开展营销推广工作，进行白名单管理与定期维护更新。虽然银行间的获客和运营能力差距在逐步缩小，但客群差异在逐步加大，客群定位将更加细化。

（2）有资金使用场景或信息流场景的现金贷。贷款资金流向较为可控，例如公积金、税务、供应链、ETC账户等，客户流量稳定且客户行为信息较为丰富。由于有特定场景提供数据支撑，对此类客户的风险审查将部分依托于场景提供的信息，因此场景的可持续性和稳定性将起到较为重要的作用。

2、与合作机构共同出资发放贷款模式 

2020年1月份下发的旧版《暂行办法》征求意见稿中曾在第三条明确提出了“联合贷款”的概念即“联合贷款”是指商业银行与具有贷款资质的机构按约定比例出资共同发放的贷款。⁴ 而2020年5月9日正式公布的《暂行办法》征求意见稿删除了这一概念，并将“合作机构”概念前置，重新整合成为了“与合作机构共同出资发放贷款”这一放贷模式，而2020年7月17日公布生效的《暂行办法》也延续使用了《暂行办法》公开征求意见稿中“与合作机构共同出资发放贷款”的说法。具体而言，与合作机构共同出资发放贷款是指将银行与具有放贷资质的互联网金融机构“连接”起来，融合成一种创新型互联网信贷业务产品模式。该模式通常由银行作为资金主要提供方，并主要负责风控、贷后管理的产品体系，第三方平台除提供部分资金外，更重要的是利用大数据广泛收集客户信息、拓宽获客渠道的优势作为流量方提供客户流量，同时分散潜在风险。

随着网贷风险事件频发、不良率飙升的影响，监管机构出台了一系列政策法规来规范商业银行网贷业务。因此，部分银行在管理与合作机构共同出资发放贷款产品时加强了自主性，通过整合合作方提供的数据或信贷评估结果、掌握的外部征信数据，匹配内部数据，进行各类数据的交互验证，形成较为全面的客户风险画像。目前商业银行主要合作的互金机构包括：蚂蚁金服、京东金融、腾讯财付通、度小满金融等。

三、《商业银行互联网贷款管理暂行办法》的主要特点

三、《商业银行互联网贷款管理暂行办法》的主要特点

1、主体责任：强化董事会与高管层的管理职责

从条文内容的演进上看，高管层的职责范围在不断的扩充，相较于早先的版本补充了“跨区域经营政策”、“不良贷款率”以及“消费者保护”等新内容，本次《暂行办法》也再次明确了董事会和高级管理层对互联网贷款风险的管理职责，并详细描述了各自的职责范围。办法在第14条详细阐述了高级管理层的相关职责，具体包括但不限于：（1）制定、评估和监督执行互联网贷款业务规划、风险管理政策和程序，合作机构管理政策和程序以及跨区域经营管理政策；（2）制定互联网贷款业务的风险管控指标，包括但不限于互联网贷款限额、与合作机构共同出资发放贷款的限额及出资比例、合作机构集中度、不良贷款率等；（3）充分了解并定期评估互联网贷款业务发展情况、风险水平及管理状况，消费者保护情况，及时了解其重大变化，并向董事会定期报告。

2、业务指导：强调与注重细节管理

《暂行办法》着重细化业务层面的指导，如在风控管理方面，通过对风控资源配备、风险管理方法和流程、贷款营销、身份核验、反欺诈建设、贷前调查、贷中审查、人工复核、合同签订、资金用途禁入领域、合同和数据档案储存、放款控制、贷款支付、受托支付、贷后管理、贷款用途监测、内部审计、不良贷款处置等18个方面提出要求；在风险数据和模型方面，对风险数据来源、数据使用、数据保管、数据质量、模型管理流程、模型开发测试、模型评审、模型监测、模型退出和模型记录等10个方面提出要求；在信息科技风险管理方面，对系统建设、运营维护、网络安全、客户端安全、数据安全、合作机构系统安全等6个方面提出要求。

3、监管导向：全流程线上化转型的进一步推动

2020年1月份的《暂行办法》征求意见稿在第四条第二款仅仅对房地产抵押贷款进行了限制，对非房地产类的其他抵押贷款，或采用股权、债权、实物等质押担保的贷款则未作出相关规定。而5月9日公开的征求意见稿版本在第五条对这一概念进行了延拓，即只要满足“贷款授信核心判断来源于线下的贷款”以及“商业银行发放的抵质押贷款，且押品需进行线下或主要经过线下评估登记和交付保管”的贷款模式均排除在《暂行办法》的适用范围之外。本次正式出台生效的《暂行办法》也延续了这一认定，监管规定在措辞上的这一改变也间接反应了监管机构希望互联网贷款业务开展逐步完成全流程线上化转型的监管导向。

4、监管措施：多维度管控业务风险

银保监会将对商业银行互联网贷款资质进行事先评估审核，商业银行需上报互联网贷款业务发展规划和产品说明，银保监会将依据评估结果，结合监管评级，给予是否准许的审批意见。考虑到新办法的要求全面且细致，且监管审核工作繁复，本文认为：对于广大股份制以下商业银行，该审核度量权应该会下放至银保监会各地方分支机构。商业银行应每年开展互联网贷款业务的自评估和内部审计工作，并报送至银保监会。除此以外，重大事项和产品备案应单独上报。

（一）业务规划要求

《暂行办法》第7条、第58条等规定要求，商业银行应当根据其市场定位和发展战略，制定符合自身特点的互联网贷款业务规划。涉及合作机构的，应当明确合作方式。同时要求拟开展互联网贷款业务的商业银行向监管机构提交包含业务规划情况、风险管控措施、产品基本情况等内容的书面报告以及金融消费者权益保护及其配套服务情况；要求已经开展互联网贷款业务的商业银行应于每年4月30日前向银行业监督管理机构提交上一年年度评估报告，评估报告中应当包括业务基本情况、本年度业务经营管理情况分析、下一年度业务发展规划等内容。

（二）风险管控要求

风险管控是《暂行办法》的重点关注内容，《暂行办法》中对商业银行开展互联网贷款业务中的风险管控要求具体体现在以下几个方面： 

商业银行互联网贷款业务跨越了传统信贷与互联网平台线上交易两个领域，因此在风险管理方面更依赖风险数据和风险模型，以此构建银行的核心风控能力。此外，《暂行办法》针对互联网的特殊属性，提出一些有别于传统业务的特殊要求。

（一）关于风险数据的监管

风险数据的合规治理是商业银行互联网贷款业务下数据治理的重中之重。根据《暂行办法》第4条第1款，所谓风险数据，是指商业银行在对借款人进行身份确认，以及贷款风险识别、分析、评价、监测、预警和处置等环节收集、使用的各类内外部数据。进一步对借款人概念进行拆分，借款人项下包括机构借款人与个人借款人，其中个人借款人的风险数据与个人金融信息保护、隐私保护等多重因素交织产生关联，从概念内涵上看“个人金融信息”的内涵外延大于“个人风险数据”，因此个人风险数据的处理仍应当适用个人金融信息保护的一般规定。 

本次颁布生效的《暂行办法》相较于上一版本的公开征求意见稿在第三十三条风险数据来源项下提出了新的要求，即对外提供数据，除了获得信息主体本人的明确授权外，还增加了“不违反法律法规要求”。对此需要从整个银行金融在数字化转型中的大变局站位进行思考。开放银行自2016年提出后，一直是银行领域的热门话题。在法律与实务操作层面，最核心的问题就是金融数据的共享与数据可携带权，其背后涉及数据价值的分配。在国外一般通过一般数据立法与专项立法的模式解决。在我国，2020年7月2日,全国人大常委会第二十次会议审议了《数据安全法(草案)》并公开征求意见，此外，《个人信息保护法》、《关键信息基础设施安全保护条例》也明确纳入全国人大常委会2020年工作计划之内，我国法律体系下个人数据保护的“三位一体”框架即将搭建完成。鉴于此，本次颁布生效的《暂行办法》相较于上一版本的公开征求意见稿在第三十三条风险数据来源项下提出 “对外提供数据不违反法律法规要求”，这一新增规定也为商业银行互联网贷款业务开展中个人数据规制对接我国即将出台关于数据的重要法律法规留下接口。

另外，本次《暂行办法》第35条从数据生命周期治理角度阐述风险数据的安全管理规范，然而却并未对上述环节的内涵与外延做出明确界定。因此在风险数据的合规治理时还应当借鉴新出台的中国人民银行印发的《个人金融信息保护技术规范》，严格依照合规标准对个人风险数据采集、传输、储存、处理以及销毁各阶段进行把控，减少银行风险数据治理违规风险，完善金融消费者的数据保护。⁵

（二）关于贷款额度和期限监管 

2020年5月9日公布的《暂行办法》公开征求意见稿中将互联网贷款基本原则从原先的“小额、短期”延伸成为 “小额、短期、高效和风险可控”，本次正式公布生效的《暂行办法》也延续了这一认定。而在个人信用贷款授信额度规定中的措辞变动也体现了监管部门在促进金融创新与风险控制之间的权衡，在2020年1月份下发的第二版《暂行办法》部分范围内征求意见稿中拟定的单户个人信用贷款授信额度是30万元，而在2020年5月9日《暂行办法》公开征求意见稿中又将该金额下调至20万元。本次正式公布生效版本的《暂行办法》中尽管依旧规定“单户用于消费的个人信用贷款授信额度应当不超过人民币20万元，到期一次性还本的，授信期限不超过一年。”然而相较于先前版本，《暂行办法》新规定了“中国银行保险监督管理委员会可以根据商业银行的经营管理情况、风险水平和互联网贷款业务开展情况等对上述额度进行调整。”这一条款的加入也为后续银保监会对该金额进行调整留下了开口，也从侧面与监管部门就《暂行办法》答记者问中阐述的“适应金融科技发展的趋势，抛弃一刀切的简单监管思路，原则导向为主，并预留监管政策空间”进行了呼应。

针对个人贷款，目前各大商业银行已有的互联网贷款产品中，30万元是主流的互联网贷款产品的额度上限。但对于贷款期限，则是从几个月至几年不等，本次规定要求个人贷款期限不得超过1年将对各商业银行产生不小的影响。如工商银行的融e借产品，通过线上各自助渠道可申请的累计额度为30万元，贷款期限一般不超过2年，但部分客户可选择最长5年；招商银行的闪电贷产品，额度最高30万元，贷款期限有12个月和24个月。

针对流动资金贷款，此前商业银行通用的一次授信、循环使用的方式，将直接被打破。此前的模式在操作上非常便捷、高效，可以及时满足中小企业用户的小额、短期资金短缺需求，但银行承担的借款人信用风险会随着时间不断增加。因此，《暂行办法》明确，单户用于消费的个人信用贷款到期一次性还本的，授信期限不超过一年。

此外，《暂行办法》规定，“商业银行应在上述规定额度内，根据本行客群特征、客群消费场景等，制定差异化授信额度”。显然，这20万元的授信额度不是“一刀切”的固定限额，而是要求银行根据不同的客户群体、不同的消费场景，制度不同的授信额度。如果银行所有互联网贷款产品的客户均被授予20万元的额度，从合规与风控上看，并不符合《暂行办法》提出的“差异化授信额度”要求。

（三）关于跨区域经营监管

从银行信贷的历史沿革看，跨区域经营限制主要囿于银行线下物理网点的地理限制，而这种局限性随着数字金融的发展，尤其是互联网、区块链技术的相继成熟而逐渐消除。世易时移，变法亦宜，如果监管政策在观念上依然抱守残缺，无疑会对营造良好的市场环境，以及中小银行的数字化转型形成政策性冲击。

此外，对于如何认定异地本身也存在较大争议，在《北京银保监局关于规范银行与金融科技公司合作类业务及互联网保险业务的通知》中要求按照客户身份证地址、常住地、主要业务经营地、手机号码归属地、客户登录IP地址等维度，来认定是否异地，也很难确定不会误判。从助贷主流消费贷的最核心监管文件《个人贷款管理暂行办法》看，也没有禁止异地授信。

本次《暂行办法》未严格禁止跨区经营，而是在第9条规定“地方法人银行开展互联网贷款业务，应主要服务于当地客户，审慎开展跨注册地辖区业务，识别和监测跨注册地辖区互联网贷款业务开展情况。”同时互联网银行不受此条款限制，没有物理网点、主要业务均在线开展的银行不受此限。该等规定重点强调服务当地，但也未绝对禁止地方商业银行将互联网贷款业务出市、出省；明确了商业银行可以面向分支机构所在地的客户开展互联网贷款业务。该等规定对各地方性商业银行而言是一大利好消息，为地方性商业银行跨区开展贷款业务给出了较为灵活的豁免，有利于地方性商业银行通过互联网渠道拓展自身贷款业务、实现利润增长。中国银保监会有关部门负责人本次就《暂行办法》答记者问中也对这个问题进行了答复，明确指出考虑到各家银行互联网贷款业务开展情况以及风险管理能力差异性较大，《暂行办法》暂未对地方法人银行开展跨区互联网贷款业务设置统一的定量指标进行限制，但地方法人银行应结合自身风控能力审慎开展此类业务，并确保有效识别和监测跨区互联网贷款业务开展情况。同时，监管机构有权根据商业银行跨区业务的规模、风险水平等提出进一步审慎性监管要求。

需要注意的是，银保监会办公厅于2019年1月发布《关于推进农村商业银行坚守定位 强化治理 提升金融服务能力的意见》，要求“农商行应当严格审慎开展综合化和跨区域经营，原则上机构不出县(区)、业务不跨县(区)。应专注服务本地，下沉服务重心，当年新增可贷资金应主要用于当地”。如果《暂行办法》正式实施，农商行是按照旧规“业务不跨区县”，还是可以有所突破，尚无定论。但在法律解释上，从“新法优于旧法”角度，应适用《暂行办法》；另外从“特别法优于一般法”角度，互联网贷款相对于一般银行业务，属于特殊事项，且突破地域限制是互联网的本质属性，如监管政策未特别明确的，农商行互联网贷款业务应适用《暂行办法》的规定。

（四）关于透明度与信息披露监管

《暂行办法》第17条与第52条关于贷款信息披露提出两个方面要求：

其一，要求充分披露贷款产品信息，即商业银行自身或通过合作机构向目标客户推介互联网贷款产品时，应当在醒目位置充分披露贷款主体、贷款条件、实际年利率、年化综合资金成本、还本付息安排、逾期清收、咨询投诉渠道和违约责任等基本信息，保障客户的知情权和自主选择权，不得采取默认勾选、强制捆绑销售等方式剥夺消费者意愿表达的权利。

其二，要求充分披露银行与合作机构信息，即向借款人充分披露银行自身与合作机构信息、合作类产品的信息、自身与合作各方权利责任，避免客户产生品牌混同，按照适当性原则充分揭示合作业务风险；尤其在借款合同中以醒目方式向借款人充分披露合作类产品的贷款主体、实际年利率、年化综合资金成本、还本付息安排、逾期催收、咨询投诉渠道等信息；此外在向借款人获取风险数据授权时，应在线上相关页面醒目位置提示借款人详细阅读授权书内容，并在授权书醒目位置披露授权风险数据内容和期限，并确保借款人完成授权书阅读后签署同意。

对贷款信息披露，禁止默认勾选、捆绑销售是互金整治时的政策延续，如银保监会财险部于2019年7月下发《关于开展现金贷等网贷平台意外伤害保险业务自查清理的通知》，禁止搭售保险产品，在实践中是对于线上获客模式提出的要求，商业银行及其合作的助贷机构须排查在其官网、app、微信公众号、微信小程序等多种渠道是否存在默认勾选或者捆绑销售等行为。对于披露合作机构信息，鉴于当前多数贷款协议都不会向借款人披露与合作机构之间的合作内容，因此届时需要对目前的协议内容进行调整。

（五）关于合作方管理的监管

商业银行的数字化转型已经迫在眉睫，可是对中小银行数字化能力的提升非一蹴而就，在风险数据、风险模型，以及营销获客能力方面均需要时间的积累与沉淀。相对而言，通过合作机构的引入，以及采用与合作方共同发放贷款等业务模式，在一定程度上可帮助中小商业银行数字化转型步入快速通道。《暂行办法》第4条对开展互联网贷款的合作机构给出了明确的定义，是指“在互联网贷款业务中，与商业银行在营销获客、共同出资发放贷款、支付结算、风险分担、信息科技、逾期清收等方面开展合作的各类机构，包括但不限于银行业金融机构、保险公司等金融机构和小额贷款公司、融资担保公司、电子商务公司、第三方支付机构、信息科技公司等非金融机构”。本次银保监会有关部门负责人就《暂行办法》答记者问中也肯定了商业银行通过多种方式与第三方机构合作开展互联网贷款业务的积极意义，认为有效规范的合作在一定程度上有利于各类机构之间优势互补、提高效率，但部分银行对合作机构管理较为粗放，如没有建立全行统一的管理制度、合作机构资质存在缺陷、对合作机构的持续性管理不足等，引发银行声誉风险。

在准入方面，结合《暂行办法》以及银保监会有关部门负责人在《暂行办法》答记者问中的答复，《暂行办法》要求商业银行对合作机构从准入到退出建立全流程、系统性的管理机制，提升其精细化管理能力。具体包括：（一）商业银行应当建立各类合作机构的全行统一的准入机制，并实施分层分类管理。商业银行应当从经营情况、管理能力、风控水平等方面对合作机构进行准入前评估，合作机构资质应和其承担的职能相匹配。（二）商业银行与合作机构签订的书面合作协议中，应明确合作范围、操作流程、各方权责、风险分担、客户权益保护等内容。合作协议应体现收益和风险相匹配的原则。（三）商业银行应当向借款人充分披露自身与合作机构的信息、合作类产品的信息、自身与合作各方权利义务等，避免客户产生品牌混同。（四）商业银行应当持续对合作机构进行管理，定期进行全面评估；发现合作机构无法继续满足准入条件的，应当及时终止合作关系。最后监管要求还强调了在与合作机构共同出资发放贷款时，商业银行应当按照自主风控的原则审慎开展业务，避免成为单纯的资金提供方。

（六）关于消费者保护

《暂行办法》以互联网贷款开展中消费者保护的痛点、难点为出发点和落脚点，针对互联网贷款中存在的信息披露不充分、数据保护不到位、清收管理不规范等损害金融消费者权益的问题，《暂行办法》在多个章节对商业银行提出消费者保护要求:（1）应当建立互联网借款人权益保护机制，将消费者保护嵌入互联网贷款业务全流程管理，做到卖者尽责（第10条）；（2）就借款人数据来源、使用、保管等问题，提出明确要求，特别对取得借款人风险数据授权时进行了具体规定（第17条第一款，第33条至第35条）；（3）要求落实向借款人的充分信息披露义务，应充分披露贷款主体、实际年利率、年化综合资金成本、还本付息安排、逾期清收、咨询投诉等信息，切实保障客户的知情权和自主选择权（第17条第二款）；（4）禁止与有违规收集和使用个人信息、暴力催收等违法违规记录的第三方机构合作（第56条）。

传奇银行家布莱特·金2013年就在《银行3.0：移动互联时代的银行转型之道》中大胆预言“未来的银行将不再是一个地方，而是一种行为”。疫情防控背景下，银行具体业务和功能的线上化转型更像是对其遥远论断的回声。“非接触银行”范式下互联网贷款服务的全面上线，对客户而言是一种升级金融消费；对银行而言，则需要对技术、产品、渠道、运营等进行全面优化升级；而对监管部门来说，则需要完善立法使现行法律在为金融科技推动下的金融市场发展保驾护航的同时也更为包容，加强法律在金融创新与金融风险间的平衡能力。

金融创新与金融违法的界限并非清晰易辩，本次《暂行办法》正式公布生效也昭示了监管部门愈发关注数字金融领域的制度构建。本文通过梳理了商业银行互联网贷款在监管政策出台后可能遇见的合规问题，以期为相关银行从业者提供合规参考。如果用一句话来概括，即“合”则生，不“合”则亡！因为长远来说金融创新只有依法合规才有生命力，任何违规和滥用最终都将适得其反。

1.曾刚：“商业银行互联网贷款的风险与监管”，载《商训》，2018年7月15日刊。

2.关于对2020年1月旧版《暂行办法》征求意见稿的评析可参见金震华、吕伟欣：“试析非接触式银行互联网贷款的监管与合规”，载《上海市法学会》公众号，2020年4月15日。

3.逯晓玮、阚悦：“商业银行开展互联网金融业务的机遇与挑战”，载《银行家》，2020年第1期。

4.关于商业银行与助贷机构合作联合放款问题，可参见金震华、朱珠：“商业银行互联网助贷业务合规刍议”，载《金融科技法苑》公众号，2020年3月26日。

5.关于互联网贷款的风险管理中涉及的风险数据治理与个人金融信息保护等相关问题，可参见金震华、宋华健：“商业银行互联网贷款视角中个人风险数据在全生命周期中的合规分析”，载《汉盛律师》公众号，2020年3月27日。