第四十九条【合作机构定义】本办法所指合作机构是指在互联网贷款业务中，与商业银行在营销获客、联合贷款、风险分担、信息科技、逾期催收等方面开展合作的各类机构，包括但不限于银行业金融机构、保险公司等金融机构和融资担保公司、电子商务公司、大数据公司、信息科技公司、贷款催收公司以及其他相关合作机构等非金融机构。

基本上，贷款调查、授信评估、贷后管理等各环节均允许商业银行与合作机构开展合作（但不得外包核心风控环节）。合作机构的类型范围也包括了市场从事该等合作服务的绝大多（特别是电子商务公司、大数据公司、信息科技公司），为与这些机构业务合作留下了合法的空间。

第七条【风险管理总体要求】互联网贷款业务模式涉及与外部机构合作的，核心风控环节应当由商业银行独立开展且有效，不得将授信审查、风险控制、贷款发放、支付管理、贷后管理等核心业务环节委托给第三方合作机构。

《关于规范整顿"现金贷"业务的通知》（整治办函〔2017〕141号）（以下称"141号文"）第三条第三款规定，银行业金融机构与第三方机构合作开展贷款业务的，不得将授信审查、风险控制等核心业务外包。

在141号文的基础上，《暂行办法》进行了更加全面和具体规定。除了需注重授信审查、风险控制的贷前阶段，《暂行办法》将"贷款发放、支付管理、贷后管理"也进行了详细列举，要求同时需注重贷中和贷后管理。

对于大中型商业银行来说，这有利于发挥其在风控、技术方面的固有优势，从而进一步扩大市场占有率。对于主要依靠第三方金融科技公司提供上述服务的小型城商行、农商行来说，这将促使上述银行自己进一步加大科技投入，尽快建立和完善相关的系统、体系建设。

第二十六条【贷款支付】商业银行应当按照借款合同约定，对贷款资金的支付进行管理与控制，不得通过合作机构进行贷款支付。商业银行采用自主支付方式的，应当根据借款人过往行为数据、交易数据和信用数据等，确定单日贷款支付限额。

第二十七条【受托支付】具有以下情形之一的，应当采用商业银行受托支付方式：

（一）具有明确消费场景的个人贷款；

（二）支付对象明确且单笔支付金额超过10万元的个人贷款；

（三）支付对象明确且单笔支付金额超过30万元的流动资金贷款；

（四）商业银行认定的其他情形。

互联网金融贷款业务中，通常有二个途径可对外支付，一个是银行直接向借款人账户或电子账户发放贷款，第二个是通过向借款人在第三方支付开设的虚拟账户支付，第三方支付在其中起到了重要的清算、费用分配功能。该规定实际上已经堵住了第二个路径。

《个人贷款管理暂行办法》第三十三条规定，借款人无法事先确定具体交易对象且金额不超过三十万元人民币的，或者贷款资金用于生产经营且金额不超过五十万元人民币的，可以采取借款人自主支付方式。

比较来看，《暂行办法》对受托支付的规定更加严格，支付对象明确且单笔支付金额超过10万元的个人贷款以及支付对象明确且超过30万的流动资金贷款必须采用受托支付的方式。考虑到《个人贷款管理暂行办法》规范的是线下贷款业务，因此对客户身份和资金用途真实性核验的准确性更高。《暂行办法》规范的是线上互联网信贷业务，其受托支付限额低于线下标准实属情理之中。

第五十一条【合作协议】商业银行应当与合作机构签订书面合作协议。书面合作协议应明确约定合作范围、操作流程、各方权责、收益分配、风险分担、客户权益保护、数据保密、审计检查、争议解决、合作事项变更或终止的过渡安排、违约责任等内容。

商业银行应当自主确定目标客户群、授信额度和贷款定价标准；商业银行不得为合作机构自身及其关联方直接或变相进行融资。除联合贷款的合作出资方以外，商业银行不得将贷款发放、本息回收、止付等关键环节操作交由其他合作机构执行，应当要求合作机构不得以任何形式向借款人收取息费，并在书面合作协议中明确。

商业银行与合作机构合作的，应该签订书面合作协议，且合作协议应至少具备上述列举11个相关要素。不得将贷款发放、本息回收、止付等关键环节交由合作机构执行是商业银行不能将核心风控环节外包的具体体现之一。

114号文第三条第三款规定，银行业金融机构应要求并保证第三方合作机构不得向借款人收取息费。《暂行办法》规定第三方合作机构不得向借款人收取息费的内容需在合作协议中明确，这实际是《141号文》内容的重申和进一步细化。

实际业务中，向借款人收取服务费是大多数合作机构的主要利润来源。如《暂行办法》正式出台，合作机构是否会采用其他收费名目或者方式进行变通操作有望进一步观察。

第五十二条【合作信息披露】商业银行应当向借款人充分披露自身与合作机构信息、合作类产品的信息、自身与合作各方权利责任，避免客户产生品牌混同，按照适当性原则充分揭示合作业务风险。

商业银行应在借款合同中以醒目方式向借款人充分披露合作类产品的贷款主体、实际贷款年利率、年化综合资金成本、还本付息安排、逾期催收、咨询投诉渠道等信息。商业银行需要向借款人获取风险数据授权时，应在线上相关页面醒目位置提示借款人详细阅读授权书内容，并在授权书醒目位置披露授权风险数据内容和期限，并确保借款人完成授权书阅读后签署同意。

《中华人民共和国消费者权益保护法》第八条规定了消费者的知情权，即消费者享有知悉其购买、使用的商品或者接受的服务的真实情况的权利。商业银行披露合作机构相关信息以及借款合同的具体情况，是商业银行履行信息告知义务，维护借款人的消费知情权的具体体现。

第五十三条【联合贷款合作】商业银行与其他有贷款资质的机构联合发放互联网贷款的，应当建立联合贷款内部管理制度，并在制度中明确本行联合贷款授权管理机制。商业银行应当独立对所出资的贷款进行风险评估和授信审批。商业银行不得以任何形式为无放贷业务资质的合作机构提供资金用于发放贷款，不得与无放贷业务资质的合作机构共同出资发放贷款。

第一版的《商业银行互联网贷款管理办法（征求意见稿)》中曾规定——单笔联合贷款中，作为客户推荐方的商业银行出资比例不得低于30%；接受推荐客户的银行出资比例不得高于70%。作为客户推荐方的商业银行全部联合贷款余额不得超过互联网贷款余额的50%；接受客户推荐的商业银行全部联合贷款不得超过全部互联网贷款余额的30%。新版的《暂行办法》取消了该类比例限制，但同时强调了商业银行对其出资的贷款应进行独立的风险评估和授信审批，并需建立和完善相关的内部管理制度。

同时，114号文第三条第二款规定，银行业金融机构不得以任何形式为无放贷业务资质的机构提供资金发放贷款，不得与无放贷业务资质的机构共同出资发放贷款。《暂行办法》对上述规定进行了重申，这也体现了金融业务要持牌经营，并纳入监管的原则。

第五十五条【担保增信】商业银行不得接受合作机构直接和变相的风险兜底承诺。商业银行不得接受无担保资质和无信用保证保险资质的合作机构提供的直接或变相增信服务。商业银行与有担保资质和有信用保证保险资质的合作机构合作时应当充分考虑上述机构的增信能力和集中度风险。

114号文第三条第三款规定，"助贷"业务应当回归本源，银行业金融机构不得接受无担保资质的第三方机构提供增信服务以及兜底承诺等变相增信服务。《暂行办法》对上述规定进行了进一步的强调和明确。

银行与外部机构开展合作时，要求合作方兜底风险，不参与风控、管理等核心环节，自身仅提供资金赚取利差的行为或将面临改变和调整。

第五十六条【催收合作】商业银行不得委托有暴力催收等违法违规记录的第三方催收机构进行贷款催收。发现合作催收机构存在暴力催收等违法违规行为的，应当立即终止合作，并将违法违规线索及时移交相关部门。

商业银行需选择管理规范的催收机构进行合作，并对暴力催收行为具有举报义务，这将有利于打击暴力催收行为。

第三十条【风险数据来源】商业银行进行借款人身份验证、贷前调查、风险评估和授信审查、贷后管理时，如果需要从外部合作机构获取借款人风险数据，应当至少包含借款人姓名、身份证号、联系电话、银行账户等基本信息，且通过适当方式确认合作机构的数据来源合法合规，并已获得数据所有权人的明确授权。

第三十一条【风险数据使用】商业银行收集、使用借款人风险数据应当遵循合法、必要、有效的原则，不得违反法律法规和借贷双方约定，不得将风险数据用于从事与贷款业务无关或有损借款人利益的活动，不得违法违规向第三方提供借款人风险数据和泄露借款人敏感数据。

《中华人民共和国网络安全法》第四十一条规定，网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则。《暂行办法》规定"合法、必要、有效"原则与上述原则是一脉相承的关系，并且更为具体。 

如商业银行因业务需求需向借款人收集信息，应取得借款人知情并同意的《授权书》，并通过合法渠道和方式获取目标客户数据。商业银行不得将风险数据用于与贷款业务无关的活动，也不得违规向第三方提供。

商业银行如需从外部合作机构获取借款人风险数据，则应通过适当方式确认合作机构的数据来源的合法合规，且已获得数据所有权人的明确授权。实际业务操作中，很多客户数据是由第三方合作机构提供，上述要求加重了银行对第三方合作机构的审查义务。

2019年12月20日，APP治理工作组发布了《关于61款APP存在收集使用个人信息问题的通告》。被通告的APP中，金融借贷、服务类的APP数量占比超过了三分之一，如小米贷款、微贷网、招商银行掌上生活、壹钱包等。在实际业务过程中，商业银行需关注自行收集客户数据的合法合规性。在与外部合作机构收集风险数据时，也需要尽到合理的审查义务，关注合作方是否依法获取客户数据。