商业银行互联网贷款管理暂行办法 第一章总则 第一条为规范商业银行互联网贷款业务经营行为，促 进互联网贷款业务健康发展，依据《中华人民共和国银行业 监督管理法》《中华人民共和国商业银行法》等法律法规， 制定本办法。 第二条中华人民共和国境内依法设立的商业银行经 营互联网贷款业务，应遵守本办法。 第三条本办法所称互联网贷款，是指商业银行运用互 联网和移动通信等信息通信技术，基于风险数据和风险模型 进行交又验证和风险管理，线上自动受理贷款审请及开展风 险评估，并完成授信审批、合同签订、贷款支付、贷后管理 等核心业务环节操作，为符合条件的借款人提供的用于消费、 日常生产经营周转等的个人贷款和流动资金贷款。 第四条本办法所称风险数据，是指商业银行在对借款 人进行身份确认，以及贷款风险识别、分析、评价、监测、 预警和处置等环节收集、使用的各类内外部数据。 本办法所称风险模型，是指应用于互联网贷款业务全流 程的各类模型，包括但不限于身份认证模型、反欺诈模型、 -1- 反洗钱模型、合规模型、风险评价模型、风险定价模型、授 信审批模型、风险预警模型、贷款清收模型等。 本办法所称合作机构，是指在互联网贷款业务中，与商 业银行在营销获客、共同出资发放贷款、支付结算、风险分 担、信息科技、逾期清收等方面开展合作的各类机构，包括 但不限于银行业金融机构、保险公司等金融机构和小额贷款 公司、融资担保公司、电子商务公司、非银行支付机构、信 息科技公司等非金融机构。 第五条下列贷款不适用本办法： （一）借款人虽在线上进行贷款审请等操作，商业银行 线下或主要通过线下进行贷前调查、风险评估和授信审批， 贷款授信核心判断来源于线下的贷款： （二）商业银行发放的抵质押贷款，且押品需进行线下 或主要经过线下评估登记和交付保管； （三）中国银行保险监督管理委员会规定的其他贷款。 上述贷款适用其他相关监管规定。 第六条互联网贷款应当遵循小额、短期、高效和风险 可控的原则。 单户用于消费的个人信用贷款授信额度应当不超过人 民币20万元，到期一次性还本的，授信期限不超过一年。 中国银行保险监督管理委员会可以根据商业银行的经营管 理情况、风险水平和互联网贷款业务开展情况等对上述额度 - 2 - 进行调整。商业银行应在上述规定额度内，根据本行客群特 征、客群消费场景等，制定差异化授信额度。 商业银行应根据自身风险管理能力，按照互联网贷款的 区域、行业、品种等，确定单户用于生产经营的个人贷款和 流动资金贷款授信额度上限。对期限超过一年的上述贷款， 至少每年对该笔贷款对应的授信进行重新评估和审批。 第七条商业银行应当根据其市场定位和发展战略，制 定符合自身特点的互联网贷款业务规划。涉及合作机构的， 应当明确合作方式。 第八条商业银行应当对互联网贷款业务实行统一管 理，将互联网贷款业务纳入全面风险管理体系，建立健全适 应互联网贷款业务特点的风险治理架构、风险管理政策和程 序、内部控制和审计体系，有效识别、评估、监测和控制互 联网贷款业务风险，确保互联网贷款业务发展与自身风险偏 好、风险管理能力相适应。 互联网贷款业务涉及合作机构的，授信审批、合同签订 等核心风控环节应当由商业银行独立有效开展。 第九条地方法人银行开展互联网贷款业务，应主要服 务于当地客户，审慎开展跨注册地辖区业务，有效识别和监 测跨注册地辖区业务开展情况。无实体经营网点，业务主要 在线上开展，且符合中国银行保险监督管理委员会其他规定 条件的除外。 -3 - 在外省（自治区、直辖市）设立分支机构的，对分支机 构所在地行政区域内客户开展的业务，不属于前款所称跨注 册地辖区业务。 第十条商业银行应当建立健全借款人权益保护机制， 完善消费者权益保护内部考核体系，切实承担借款人数据保 护的主体责任，加强借款人隐私数据保护，构建安全有效的 业务咨询和投诉处理渠道，确保借款人享有不低于线下贷款 业务的相应服务，将消费者保护要求嵌入互联网贷款业务全 流程管理体系。 第十一条中国银行保险监督管理委员会及其派出机 构（以下简称银行业监督管理机构）依照本办法对商业银行 互联网贷款业务实施监督管理。 第二章‧风险管理体系 第十二条商业银行应当建立健全互联网贷款风险治 理架构，明确董事会和高级管理层对互联网贷款风险管理的 职责，建立考核和问责机制。 第十三条•商业银行董事会承担互联网贷款风险管理 的最终责任，应当履行以下职责： （一）审议批准互联网贷款业务规划、合作机构管理政 策以及跨区域经营管理政策： （二）审议批准互联网贷款风险管理制度； - 4 - （三）监督高级管理层对互联网贷款风险实施管理和控 制; （四）定期获取互联网贷款业务评估报告，及时了解互 联网贷款业务经营管理、风险水平、消费者保护等情况： （五）其他有关职责。 第十四条商业银行高级管理层应当履行以下职责： （一）确定互联网贷款经营管理架构，明确各部门职责 分工; （二）制定、评估和监督执行互联网贷款业务规划、风 险管理政策和程序，合作机构管理政策和程序以及跨区域经 营管理政策； （三）制定互联网贷款业务的风险管控指标，包括但不 限于互联网贷款限额、与合作机构共同出资发放贷款的限额 及出资比例、合作机构集中度、不良贷款率等； （四）建立互联网贷款业务的风险管理机制，持续有效 监测、控制和报告各类风险，及时应对风险事件； （五）充分了解并定期评估互联网贷款业务发展情况、 风险水平及管理状况、消费者保护情况，及时了解其重大变 化，并向董事会定期报告; （六）其他有关职责。 第十五条商业银行应当确保具有足够的资源，独立、 有效开展互联网贷款风险管理，确保董事会和高级管理层能 - 5 - 及时知悉风险状况，准确理解风险数据和风险模型的作用与 局限。 第十六条商业银行互联网贷款风险管理制度应当涵 盖营销、调查、授信、签约、放款、支付、跟踪、收回等贷 款业务全流程。 第十七条商业银行应当通过合法渠道和方式获取目 标客户数据，开展贷款营销，并充分评估目标客户的资金需 求、还款意愿和还款能力。商业银行应当在贷款审请流程中， 加入强制阅读贷款合同环节，并设置合理的阅读时间限制。 商业银行自身或通过合作机构向自标客户推介互联网 贷款产品时，应当在醒自位置充分披露贷款主体、贷款条件、 实际年利率、年化综合资金成本、还本付息安排、逾期清收、 咨询投诉渠道和违约责任等基本信息，保障客户的知情权和 自主选择权，不得采取默认勾选、强制捆绑销售等方式剥夺 消费者意愿表达的权利。 第十八条商业银行应当按照反洗钱和反恐怖融资等 要求，通过构建身份认证模型，采取联网核查、生物识别等 有效措施识别客户，线上对借款人的身份数据、借款意愿进 行核验并留存，确保借款人的身份数据真实有效，借款人的 意思表示真实。商业银行对借款人的身份核验不得全权委托 合作机构办理。 第十九条商业银行应当建立有效的反欺诈机制，实时 -6- 监测欺诈行为，定期分析欺诈风险变化情况，不断完善反欺 诈的模型审核规则和相关技术手段，防范冒充他人身份、恶 意骗取银行贷款的行为，保障信贷资金安全。 第二十条商业银行应当在获得授权后查询借款人的 征信信息，通过合法渠道和手段线上收集、查询和验证借款 人相关定性和定量信息，可以包括但不限于税务、社会保险 基金、住房公积金等信息，全面了解借款人信用状况。 第二十一条商业银行应当构建有效的风险评估、授信 审批和风险定价模型，加强统一授信管理，运用风险数据， 结合借款人已有债务情况，审慎评估借款人还款能力，确定 借款人信用等级和授信方案。 第二十二条商业银行应当建立人工复核验证机制，作 为对风险模型自动审批的必要补充。商业银行应当明确人工 复核验证的触发条件，合理设置人工复核验证的操作规程。 第二十三条商业银行应当与借款人及其他当事人采 用数据电文形式签订借款合同及其他文书。借款合同及其他 文书应当符合《中华人民共和国合同法》《中华人民共和国 电子签名法》等法律法规的规定。 第二十四条商业银行应当与借款人约定明确、合法的 贷款用途。贷款资金不得用于以下事项： （一）购房及偿还住房抵押贷款； （二）股票、债券、期货、金融衍生产品和资产管理产 -7- 品等投资； （三）固定资产、股本权益性投资； （四）法律法规禁止的其他用途。 第二十五条商业银行应当按照相关法律法规的要求， 储存、传递、归档以数据电文形式签订的借款合同、信贷流 程关键环节和节点的数据。已签订的借款合同及相关数据应 可供借款人随时调取查用。 第二十六条，授信与首笔贷款发放时间间隔超过1个月 的，商业银行应当在贷款发放前对借款人信用状况进行再评 估，根据借款人特征、贷款金额，确定跟踪其信贷记录的频 率，以保证及时获取其全面信用状况。 第二十七条商业银行应当按照借款合同约定，对贷款 资金的支付进行管理与控制，贷款支付应由具有合法支付业 务资质的机构执行。商业银行应加强对支付账户的监测和对 账管理，发现风险隐患的，应立即预警并采取相关措施。采 用自主支付方式的，应当根据借款人过往行为数据、交易数 据和信用数据等，确定单日贷款支付限额。 第二十八条商业银行应遵守《个人贷款管理暂行办法》 和《流动资金贷款管理暂行办法》的受托支付管理规定，同 时根据自身风险管理水平、互联网贷款的规模和结构、应用 场景、增信手段等确定差异化的受托支付限额。 第二十九条商业银行应当通过建立风险监测预警模 -8 - 型，对借款人财务、信用、经营等情况进行监测，设置合理 的预警指标与预警触发条件，及时发出预警信号，必要时应 通过人工核查作为补充手段。 第三十条商业银行应当采取适当方式对贷款用途进 行监测，发现