商业银行与第三方机构合作互联网贷款业务反洗钱合规问题研究

耿 燕 牛珊珊

(中国邮政储蓄银行，北京 100000)

一、合作类网贷业务模式

在合作类网贷业务中，商业银行与各类机构在营销获客、联合贷款、支付结算、风险分担、信息科技、逾期催收等方面开展了广泛合作，下面对相关业务模式进行梳理。

1.根据合作机构类别划分

根据合作机构类别不同，可将合作类网贷分为两种类型：一是与银行业金融机构、保险公司等金融机构合作，基于双方或单方流量的互联网贷款；二是与信息科技公司、小额贷款公司、融资担保公司、非银行支付机构、电子商务公司等非金融机构(外部平台方)合作，基于对方旗下平台流量的网络贷款。其中，拥有自身线上平台的互联网科技公司往往因掌握着海量用户资源和交易数据而受到商业银行青睐，在客户引流及风险控制方面合作普遍，如大型商业银行与头部互联网机构蚂蚁金服、腾讯、京东、百度、小米金融、360金融建立合作关系等。

2.根据合作模式划分

根据合作模式不同，合作类网贷业务又可分为助贷类和联贷类。助贷类是指合作方利用自身掌握的客户资源和管理优势，向商业银行推荐符合要求的借款人，提供风控信息等，并获取相关服务费用。联贷类则是指银行与具备贷款资质的合作方按约定比例出资，并联合向符合条件的借款人发放互联网贷款。

二、基于反洗钱视角梳理合作类网贷业务部分流程与要素

1.客户群体

一是基于合作机构线上平台流量开展的业务，客户群体多为平台实名用户，且需通过合作机构的模型筛选(条件包括实名认证、符合信用风险准入、无异常行为、活跃用户和绑卡一定时间等)，同时符合商业银行及合作机构的风控规则。二是基于双方客户流量开展业务，客户群体为商业银行与合作机构双方共同筛选获客。

2.客户身份信息获取

一是客户通过合作机构线上平台申请贷款并录入身份信息，上传身份证件资料，合作机构保存相关信息并推送商业银行。收集及推送信息的种类由双方协商确定，包括但不限于客户身份基本信息，活体特征、证件影像信息等。商业银行可基于以上信息在自身业务系统创建新客户信息或更新客户信息。二是客户通过商业银行手机银行等线上渠道进行贷款申请的，则由商业银行直接收集客户身份信息。

3.客户身份校验

客户在合作双方中一方的线上渠道进行贷款申请，一般由该方通过活体识别、身份证核验、绑卡四要素、后台身份匹配等方式对客户进行真实性确认，并将相关结果推送合作方。合作方则根据对方推送的证件、活体影像(或有)等对客户进行身份核实，规则可自行确定，如开展联网核查、反欺诈规则筛查等。

4.贷款(额度)审批

商业银行结合客户基础数据、合作机构推送的特色风控数据(如设备类型、活体特征、合作方自有的客户消费行为、信用行为、三方数据等)以及自身积累数据、征信信息、自采数据等，根据自身审批规则或风险模型进行审批。审批通过后将审批结果反馈合作机构，如双方审批结果一致则继续开展合作业务。

5.放款、还款

合作类网贷业务一般有两种放还款方式。一种为商业银行直接放款，即根据放款申请指令将款项发放至借款人银行账户，或采取受托支付方式放款至客户消费的商户账户；还款时，客户直接进行还款或由银行进行资金代扣。二是商业银行委托合作机构放款，即一方在指定银行开立账户，由商业银行将款项划入上述账户，并授权合作机构按照约定方式将款项划付至客户的银行账户、第三方支付账户，或进行受托支付等；还款时，由合作机构或第三方支付机构等将资金代扣至银行。

6.贷后管理

贷后管理规则策略多由合作双方商议确定，合作机构为外部平台方的，平台方可通过客户在其生态圈的消费、支付等行为数据构建监控模型，定期进行贷后监控模型运算，与商业银行共享结果信息。商业银行内部一般也建立了统一的贷后管理规则，可开展贷后检查预警，预警能力因金融科技水平不同而有所差异。

三、合作类网贷业务反洗钱监管规定梳理

1.合作机构管理方面

(1)商业银行应对合作机构实行名单制及分层分类管理，按照合作机构资质和其承担的职能相匹配的原则对合作机构进行准入前评估。严禁与以金融科技之名从事非法金融活动的企业及虚构交易背景或贷款用途，套取信贷资金的企业开展合作。

(2)发现合作机构无法继续满足准入条件的，应当及时终止合作关系。合作机构在合作期间有严重违法违规行为的，应当及时将其列入禁止合作机构名单。

2.反洗钱义务及职责划分方面

(1)建立完善的合作机制，确定各方职责边界。在合作协议中明确双方反洗钱和反恐怖融资职责，承担相应法律义务，相互间提供必要协助，采取有效的风险管控措施。

(2)不得将对借款人的身份核验全权委托合作机构办理；除共同出资发放贷款的合作机构外，不得将贷款发放、本息回收、止付等关键环节操作全权委托合作机构执行。

3.客户身份识别方面

(1)应按照反洗钱和反恐怖融资等要求，通过构建身份认证模型，采取联网核查、生物识别等有效措施识别客户，线上对借款人的身份数据、借款意愿进行核验并留存，确保借款人的身份数据真实有效，借款人的意思表示真实。无法进行客户身份识别工作，或经评估超过本机构风险管理能力的，不得与客户建立或维持业务关系。

(2)对合作机构推荐的客户，不得变相降低授信审查和风险控制标准。商业银行对合作机构提供的借款人借款资料真实性和完整性承担管理责任。

(3)商业银行依托第三方机构开展客户身份识别的，应确认第三方机构接受反洗钱和反恐怖融资监管,并按照要求采取了客户身份识别及交易记录保存措施；可立即从第三方机构获取客户身份识别的必要信息；在需要时可立即从第三方机构获取客户身份证明文件和其他相关资料的复印件或影印件；应承担第三方机构未履行客户身份识别义务的责任。

4.交易管理及监测方面

(1)采取切实可行的管理措施，确保交易记录和客户身份信息完整准确，便于开展资金监测，配合反洗钱监管和案件调查。

(2)按照穿透原则，严查资金用途合规性，严防信贷资金违规流入禁止性领域。贷款发放后，应采取有效方式对贷款资金使用等进行跟踪检查和监控分析，发现借款人违反法律法规或未按照约定用途使用贷款资金的，应当按照合同约定提前收回贷款。

综合来看，在洗钱风险管理方面，监管部门要求商业银行：一是要加强合作机构管理，从风控水平、技术实力等方面对合作机构进行准入评估，合作机构及事项均应符合法规要求；二是明确双方反洗钱职责，建立完善的合作机制；三是有效开展客户身份识别校验，并独立对客户身份做出判断；四是加强贷后监测分析，必要时采取有效手段控制风险。

不难发现，合作类网贷业务中，监管部门始终将商业银行作为第一责任人，注重商业银行如何在此类业务中“履职尽责”，要求商业银行将风险控制贯穿于业务流程，部分监管政策的实施更倾向于通过商业银行向合作机构传导。合作机构反洗钱措施不到位，如出现风险，商业银行将承担相应责任。

四、商业银行在合作类网贷业务中面临的反洗钱合规风险

1.合作机构反洗钱机制不健全或不受监管，向银行传导风险并带来合规漏洞

在商业银行的合作方中，反洗钱机制建设相对成熟的有银行、保险类金融机构，以及非银行支付机构等，监管部门对于上述机构有较为明确的反洗钱制度安排及履职监督检查程序。但对于信息科技公司、大数据公司等，反洗钱机制建设起步较晚，多数情况下在业务中充当信息中介的角色，根据监管要求，从事网络借贷信息中介的机构属于互联网从业机构，应当通过网络监测平台进行反洗钱和反恐怖融资履职登记。据了解，部分科技公司并未履行此项程序，反洗钱履职尚未受到全面监管。如果合作机构反洗钱机制不健全或被认定为不受反洗钱和反恐怖融资监管，银行与其开展合作将面临较大的洗钱风险与合规风险。

2.客户身份识别、校验工作一定程度上依托外部机构，银行反洗钱合规履职难度增加

在依托合作机构线上平台开展的业务中，对接客户的具体操作多由合作机构线上完成。部分合作机构难以真正做到对客户身份、资金来源、借贷情况进行全面审核和跟踪管理，此时商业银行可能面临合作机构客户身份识别校验技术不足、履职不尽责、篡改识别校验结果等风险，并难以确定合作机构对客户身份进行了持续识别。同时，监管部门要求商业银行不得将客户身份核验事项进行“全权委托”，商业银行如仅对合作机构的客户身份核验结果进行审查及接受，而未基于自身获取信息独立采取核验措施，则还有可能在履行反洗钱主体责任中存在缺位。

3.无法完整准确获取和保存客户身份信息，削弱银行反洗钱工作有效性

基于合作机构线上平台获客的业务模式中，商业银行反洗钱工作高度依赖于合作机构推送的信息。由于线上环境的局限性，本身获取的客户身份信息不完整或不准确已较为普遍，如部分线上平台直接将个人客户证件地址识别为联系地址，无法准确识别单位客户受益所有人等，并且出于客户信息保护等目的，合作机构可能还要在将信息送出前进行相关加工和处理，导致信息无法支撑商业银行进行客户洗钱风险分类管理等反洗钱实际工作，削弱了商业银行反洗钱工作有效性。

4.无法实时准确获取客户交易信息，难以有效开展监测分析

当委托外部机构进行贷款发放和还款，特别是需放款至他行账户或第三方支付账户时，客户交易信息需合作方配合传输于银行。一方面，此时银行端可获取的交易信息十分有限，如多数情况下无法获取交易IP地址、MAC地址等重要信息；另一方面，此种模式下客户交易链存在一定断裂，银行无法实时准确获知客户资金去向、还款来源，难以纳入其交易监测，对于客户伪造交易套现贷款款项、还款资金来源异常等可疑情形，存在无法及时有效监测和预警的风险。

五、商业银行合作类网贷业务反洗钱合规建议

1.对合作机构实行分类分级管理，建立黑白名单库

目前，多数商业银行已建立覆盖各类零售信贷业务合作机构的准入机制，针对合作类网贷业务，商业银行可在合作机构管理中加入对其洗钱风险控制的考量，如尝试根据合作可能产生的洗钱风险程度对合作机构进行分类管理，设置差异化机构评估标准等。比如，根据合作机构反洗钱机制健全程度不同，可将合作机构按照金融机构、非银行支付机构、其他机构等属性进行分类，对金融科技公司等进行相对更严格的考察。再如，根据在合作中所承担反洗钱职责不同，可将合作机构按照引流、出资、风险分担等服务提供内容进行分类，重点考察合作机构提供客户身份信息真实性，信息系统支撑数据服务可靠性等能力与其在合作中承担的反洗钱职责的匹配程度。商业银行可探索在不同类别合作机构项下建立黑白名单，进行统一授权和动态管理，以严格防范合作机构洗钱风险传导。

2.明晰合作双方反洗钱职责，保持自身一贯工作标准

合作协议是双方权责约束的基础，商业银行应在合作开始前与合作机构共同就业务开办过程中各项反洗钱职责作出具体安排，并约定双方在业务存续期间对洗钱风险调查、控制等进行必要配合，相关内容应严格写入合作协议。应确定以客户为单位，各项反洗钱义务在客户业务开展全流程中均得到了充分履行，且在客户身份识别等重要环节，商业银行进行了独立的审查和判断。同时，即使商业银行与合作机构承担的反洗钱职责各有所侧重，商业银行仍应协商和督促合作机构在各个业务环节中达到自身在非合作类业务中一贯的反洗钱工作标准。如在收集客户身份信息时，部分合作机构出于用户体验等考虑，对所收集的客户信息内容进行了删减，未达“了解你的客户”要求，商业银行应协商合作机构以自身反洗钱工作标准收集和传送信息，以支撑后续各项反洗钱基础工作开展。

3.建立无账户客户洗钱风险防控机制

部分合作类网贷业务的客户由合作方推送商业银行，因此其此前可能并未在该银行开立账户。商业银行应明确此类无账户客户在本行的归属及管理责任，如由具体业务开办分支机构管理，或由商业银行总行业务条线部门统筹管理等。针对无账户客户，商业银行也需建立起完整的洗钱风险防控机制，开展洗钱监控名单筛查等各项反洗钱基础工作，并着重完善无账户客户的身份持续识别机制，发现身份证件信息失效等情况时，自行或反馈合作机构及时开展客户身份重新识别。面对无账户客户管理，商业银行可增加外部信息搜集、非现场检查等手段对客户进行非现场监测，提升自身无账户客户反洗钱信息来源的多样性和相对独立性。

4.加速数据积累和整合，推进独立风控模型建设

量化风控是商业银行开展互联网贷款业务的重要支撑，在依托外部平台开展的合作类网贷业务中，商业银行往往在客户消费场景、生态圈、行为等数据获取方面处于劣势，从而掣肘自身线上模型的建设及应用。商业银行可加速内部存量数据的收集和整理，建立内部客户身份信息、生物特征、可疑交易等数据库，同时推动与外部数据的整合，基于这些数据加快建立起适用于合作类网贷业务贷前、贷中、贷后的独立分析模型。在模型设计中，应尝试覆盖客户信息完整性验证、身份认证、资金跟踪等标准化反洗钱工作要求，逐步实现对业务、客户、资金洗钱风险的量化判断和控制。随着业务规模的不断扩大和数据积累，商业银行即可对模型进行持续论证和迭代优化，形成数据积累—模型改进—数据验证的良性循环，从而逐步克服部分合作类业务中与客户隔绝的洗钱风险控制短板，以金融科技手段赋能合作网贷业务长足发展。

5.建议监管部门加强对互联网金融从业机构的反洗钱履职监管

首先建议强化对监管政策宣传解读，进一步明确细化合作类网贷业务中对合作方的反洗钱履职要求。同时，加大监督检查力度，特别是针对金融机构、非银行支付机构以外的其他互联网从业机构，督导推动其完善反洗钱内控机制，防范因个别机构反洗钱工作不力而导致洗钱风险通过合作网贷业务等进行传导。在条件允许时，监管部门可及时对外公布已进行履职登记、受到反洗钱和反恐怖融资监管的互联网金融从业机构名单，指导商业银行与名单内机构合规开展合作类网贷业务。