银保监局于2020年1月18日向多家商业银行下发关于征询《商业银行互联网贷款管理暂行办法》（下称《暂行办法》）意见的通知，引起业界普遍关注。

从结构和内容上来看，《暂行办法》与2018年11月《商业银行互联网贷款管理办法（征求意见稿）》（下称《征求意见稿》）基本一致。

《暂行办法》分为总则、风险管理体系、风险数据和风险模型管理、信息科技风险管理、贷款合作、监督管理和附则，共七章七十条，其中对“互联网贷款”“风险数据”“联合贷款”“合作机构”给出了明确的定义，对贷款期限、贷款额度、跨区域经营、贷款合作、风险管控等方面作出了详细的规定。

《暂行办法》中金融科技诸多应用场景的设置、网络和数据安全的系统防护等规定，应当引起业界重视。

近年来，金融科技的蓬勃发展，为金融业转型升级提供了源源不断的动力。互联网贷款业务，需要充分运用金融科技手段优化信贷流程和客户评价模型，需要借助互联网和移动通信等信息通信技术的支撑保障业务的顺利开展。

《暂行办法》设置了诸多金融科技的应用场景，其要求商业银行应当建立安全、合规、高效和可靠的互联网贷款信息系统；应当提高互联网贷款信息系统的可用性和可靠性；应当采取必要的网络安全防护措施；应当加强对部署在借款人一方的互联网贷款信息系统客户端程序的安全加固；应当采用有效技术手段保障借款人数据安全。同时，要求商业银行应当充分评估合作机构的信息系统服务能力、可靠性和安全性以及敏感数据的安全保护能力，确保不因外部合作而降低商业银行信息系统的安全性。

此外，《暂行办法》对借助金融科技识别进行身份核验提出了具体要求：商业银行应当通过构建身份认证模型，采取联网核查、生物识别等有效措施识别客户身份，线上对借款人的身份数据、借款意愿进行核验，确保借款人的身份数据真实有效，借款意愿为借款人本人真实意愿的表达。

《暂行办法》对网络和数据安全提出了更高的要求，在第三章“风险数据和风险模型管理”中详细规定了风险数据的来源、使用、保管、质量以及风险模型的管理流程、开发、测试、评审、监测、验证、优化、退出、记录。

在第四章“信息科技风险管理”中规定，商业银行应当采取必要的网络安全防护措施，加强网络访问控制和行为监测，有效防范网络攻击等威胁。涉及数据交互行为的，应当采取切实措施，实现敏感数据的有效隔离，保证数据交互在安全、合规的环境下进行；应当采用有效技术手段，保障借款人数据安全，确保商业银行与借款人、合作机构之间传输数据、签订合同、记录交易等各个环节数据的保密性、完整性、真实性和抗抵赖性，并做好定期数据备份工作。

《暂行办法》的出台除了有望扭转商业银行互联网贷款业务乱象、优化监管部门金融风险的管控外，其将进一步加速金融科技的应用和互联网贷款业务中网络和数据安全系统防护的升级。

我们认为，虽然《暂行办法》安排了3年的过渡期，但是商业银行等金融机构和消费金融公司、融资担保公司、电子商务公司、大数据公司、信息科技公司、贷款催收公司以及其他相关合作机构等非金融机构，应该及早筹划相关业务的适应性调整，加速相关金融科技产品的研发，加速网络和数据安全保护技术的迭代。