观点 I 如何平衡“反洗钱合规”与“数据合规”
笔者此前发布的《如何应对欧盟反洗钱新指令》一文中曾指出,欧盟反洗钱4号令(4AMLD)[i]、5号令(5AMLD)[ii]规定的受益所有人披露、扩大数据主体获取范围、强化数据共享等措施促使并协助义务主体、主管部门等获取自然人和机构的受益所有人数据,推动各国反洗钱工作的开展。
在4号令的条款中,欧盟强调反洗钱工作下的数据收集、使用、储存、分析应当符合欧盟法规,包括应仅为就反洗钱之需要有限地进行数据收集。除欧盟反洗钱指令本身的数据保护规定外,被冠以“最严数据隐私条例”的《一般数据保护条例》(GDPR)于2016年出台,2018年生效,其出台时间晚于欧盟反洗钱4号令出台,生效时间处于欧盟反洗钱5号令出台前三天,其对于个人数据的严格保护也对目前的反洗钱工作提出了更高的要求。
需要注意,不仅是金融机构、虚拟货币交易商、艺术品交易商等反洗钱义务主体,对于拟与该等反洗钱义务主体建立业务关系的自然人或机构客户也应当关注反洗钱规定下的数据披露要求及保护规定,对数据申报、信息披露、保护等问题提起重视,在配合合规调查的同时最大限度的保障自身权益。
一、欧盟反洗钱指令中的数据保护原则
早在FATF建议中,“记录保存”、“泄密与保密”即为重要的建议内容,其中包括相关交易记录需要至少保存五年并可重现每一笔交易的实际情况,但相关义务主体及其人员不能违背合同、法律法规等关于信息披露的限制,应在合规框架下使用与披露相关记录文件。实践中,如何应对监管质询与调查要求的同时不违反保密原则也是一项关键问题。
在包括欧盟在内的世界各国反洗钱法规中,对于数据保护均有基本规定要求。在4号令中,欧盟专门对数据保护与维持要求进行了规定,例如义务主体的提示义务,即义务主体根据4号令要求应向客户发送提示以提醒客户其将为了反洗钱义务而进行数据的收集和处理。5号令中对于该数据保护要求也作出了进一步修订更新。
就自然人的个人数据的保护而言,根据4号令规定,在反洗钱工作中所收集到的个人数据的处理必须符合欧盟95/46号指令[iii]转化的国内法。鉴于欧盟95/46号指令目前已经被2018年5月25日生效的《一般数据保护条例》[iv](GDPR)所替代,且GDPR作为目前被广泛关注与适用的数据保护规定,因此个人数据的处理须符合GDPR的相关规定。反洗钱义务主体收集个人数据还应符合GDPR所规定的合法、公平、透明(lawfulness, fairness and transparency)的基本原则,保证收集数据信息的目的特定、明确、合法(specified, explicit and legitimate)。
总得来说,反洗钱义务主体在反洗钱工作中,应当遵守4号令、5号令等反洗钱法规的数据保护规定。在涉及个人数据时,除反洗钱指令本身的数据保护规定外,义务主体还须遵守GDPR的相关规定。这对反洗钱义务主体如何平衡反洗钱合规与数据保护合规提出了更高的要求。
二、欧盟反洗钱指令中的数据保护规定
(一)哪些数据需要被收集
根据欧盟反洗钱指令,反洗钱义务主体需对客户展开尽职调查以取得其个人/机构基本信息、受益所有人信息、交易目的信息、客户风险意识信息、资金来源信息等数据。虽然欧盟反洗钱指令并未对收集的数据具体范围进行限定性描述,但其要求反洗钱义务主体在进行数据收集时需以反洗钱和反恐怖融资为目的而进行,不得收集与之无关的用户资料,更不得用于商业目的。
就个人数据而言,在反洗钱语境下,欧盟4号令、5号令中并未对个人数据进行具体定义。根据GDPR第四条,个人数据(personal data)是指与一个已识别或可识别的自然人(数据主体)有关的任何信息。
结合反洗钱指令项下数据收集的原则与GDPR规定的原则,义务主体应当保证收集数据信息的目的特定、明确、合法,即严格遵守以反洗钱和反恐怖融资为目的而进行,不得收集其他无关的用户资料。虽然个人数据在GDPR中存在明确定义,但鉴于反洗钱指令并未对数据予以释明及定义,相关表述使得在如何判断合理收集数据的问题上可能会出现不同理解。
(二)数据的采集来源
从方法上讲,反洗钱义务主体主要有三个途径获取数据:一是义务主体在与客户发生监管交易时开展尽职调查掌握的相关信息,形式为客户主动披露;二是由客户提供予相关政府登记部门,储存于集中登记簿的相关信息,该等信息可能登记在欧盟国家内,亦可能登记在第三国,义务主体自登记簿取得相关数据;三是由反洗钱义务主体通过第三方主体的调查或分享取得的信息数据。
就第二项来源而言,为了更好地识别受益所有人,4号令规定成员国应当设立集中登记簿保存受益所有人相关信息,包括受益所有人的姓名、出生年月、居住国、国籍以及所持权益的性质及比例,该等信息可根据法规披露给相关政府部门、反洗钱义务主体等。5号令补充规定,为了进一步确认受益所有人,欧盟内国家可以在一定条件下披露受益所有人的出生日期及具体联系方式,但该等披露必须符合数据保护规则。
(三)数据的保存要求
1、反洗钱义务主体的保存义务
根据反洗钱4号令规定,就客户尽职调查而言,义务主体应当保存与客户尽职调查相关的数据,包括通过电子识别手段、信托服务、其他安全远程或电子识别过程识别的数据。就交易而言,义务主体应当保存交易的记录及证据,包括能够识别交易的原始文件或司法程序中复印件。该等数据和文件的保存时间均为与客户的业务关系结束后或偶然交易之日后的5年内。[v]
4号令规定,数据保存期限届满,义务主体应当删除数据,除非在国家法律规定的特定情况下,义务主体才可以进一步保存数据。但数据保存期限的延长需要进行评估且该等数据保存的延长期限也不得超过5年。[vi]
2、政府集中登记簿的数据保存要求
为了便利数据共享,4号令规定成员国利用集中登记簿(a central register)保存受益所有权信息。5号令规定进一步,通过国家登记簿保存的信息,其保存时间为至少为5年,且至多不超过10年,期限自在公司或其他法人实体从登记簿中注销时起算。
3、与GDPR中删除权/被遗忘权的冲突与协调
就个人数据而言,反洗钱指令中的数据保存要求与GDPR规定的删除权/被遗忘权(Right to erasure /right to be forgotten)并不一致。根据GDPR第17条的规定,该权利允许数据主体在要求控制者无不当延误地删除与其有关的数据,且在特定情形下控制者有义务无不当延误地删除数据。但为了更好地实现反洗钱目的,反洗钱指令规定义务主体应当在一定期限内保存相关数据以供调查,这实际是反洗钱指令以其法规位阶及社会利益的内核排除被遗忘权的适用。但需要关注的是,一旦超出规定保持期限,则原则上反洗钱义务主体应删除该等个人数据。
综上,无论是个人数据还是一般数据,在反洗钱指令规定的期限内,义务主体等均有义务对相关数据予以保存以应对反洗钱需求,但也需关注最长期限要求。
(四)数据的共享与流动
1、反洗钱义务主体与监管机构间的数据流动
4号令、5号令并未明确规定义务主体应当将收集的数据提供给FIU或其他监管部门。但4号令第40条规定,为了FIU或其他监管部门能够阻止、侦查和调查可能的洗钱行为,义务主体应当保存客户尽职调查、交易相关的文件及数据。并且,根据4号令42条,义务主体应当设立系统以便全面应对FIU或其他监管部门的调查,包括为FIU或其他监管部门调查时所需信息提供反馈通道,并且其系统应可以满足保密要求防止外泄。
2、反洗钱义务主体与关联公司间的数据流动
4号令规定,义务主体可以依赖第三方主体以满足客户尽职调查的相关要求,该等第三方主体包括义务主体所在组织、联盟、其他机构或个人等。其中,欧盟领域内的反洗钱义务主体也可依据其集团内第三方(主要为关联企业)提供的数据履行反洗钱义务,但该等集团内适用的客户尽职调查、记录保存规则符合欧盟反洗钱指令。据此,笔者认为,集团反洗钱及数据保护要求符合欧盟标准的,原则上同一集团内的与洗钱相关的信息应当允许进行共享。
但就个人数据而言,反洗钱指令并未对个人数据的跨境流出进行规定,根据GDPR的规定,个人数据如需向欧盟外第三国或国际组织进行传输的,转移目的国或国际组织须经欧盟委员会认定达到充分保护水平[vii],目前达到该水平的仅有十几个国家[viii];或者跨境数据传输满足充分保障措施要求(如公司约束规则)[ix],但需要提醒注意的是,该等保障措施要求较高。因此,对于欧盟内个人数据向欧盟外流动的问题仍应当格外提起关注,以免触及罚则。
3、欧盟各国监管机构的数据共享
在欧盟层面内,欧盟各成员国对于数据的共享是被允许的,根据5号令的规定,欧盟成员国内的主管部门与FIUs之间应当免费且及时地共享受益所有人的相关数据。就集中登记簿保存的信息而言,5号令规定能够共享信息的主管当局应是负有打击洗钱责任的公共当局,以及税务机关、义务主体的监管者和具备调查、起诉洗钱、相关上游犯罪和资助恐怖主义以及追查、扣押、冻结和没收犯罪资产职能的部门。因此,并不是全部政府部门均可以共享相关数据。
需要关注的是,目前英国已完成脱欧,就其与欧盟其他国家间数据共享的问题仍需进一步注意。
4、欧盟各国政府与社会一般主体的数据共享
此外,为了保护受益所有人的数据及身份安全,5号令规定,成员国可以制定规定对相关主体提供披露保护,限制金融监管部门、金融机构、信贷机构或者属于公职人员的公证人或其他法律专业人士等特定主体以外的个人或机构获取数据的权利。
三、自然人或机构应关注的相关问题
1、对于反洗钱义务主体而言,其在收集、使用客户及其受益所有人的数据时要符合欧盟法规要求,并且除所在国另有明确规定,一旦超出保存期限则应该删除相关数据,避免触及罚则
如前文所述,无论是反洗钱4号令、5号令还是GDPR的规定,均对于合理收集及使用数据有严格的要求,且除收集、使用数据的限制要求外,也需注意反洗钱指令对于数据保存的期限要求的具体内涵,除为协助司法部门进行洗钱调查而保存数据外,一旦保存期限届满,义务主体应当根据所在国法规进行数据删除,如确需延续保存的,必须有所在国法律有明确规定,并且在此情况下也不得延长超过5年。
违反数据保护相关规则的罚则是十分严厉的,根据GDPR的规定,企业违反相关规定,最高可面临2000万欧元或全球年度营业额的4%的罚款。并根据反洗钱4号令,企业违反反洗钱指令相关规定,对法人的最高罚款额至少为500万欧元或年营业额总额的10%,对自然人的最高罚款额至少为500万欧元。
2、对于被收集数据的自然人或机构,应在法规限度内配合提供数据,但应警惕那些忽略反洗钱义务的金融机构等义务主体,该等主体可能存在较高合规风险,且亦可能存在欺诈、洗钱犯罪风险
对于被收集数据的自然人或机构(即客户)而言,首先需关注,反洗钱义务主体(即银行、信托、基金、投资公司、拍卖场、画廊等)进行客户尽职调查是其法定义务,如其无法完成尽职调查取得数据,则其不能与客户建立业务联系,并可能需视情况将该客户纳入可疑交易范围上报FIU,此举将可能对此后该等自然人和机构客户在欧盟内开展业务造成很大的影响。
就此,如被收集数据的自然人或机构(即客户)在与反洗钱义务主体开展业务时发现该等义务主体并未向客户收集信息进行尽职调查的,则应当提高警惕。
一方面不能履行反洗钱义务将导致义务主体被监管部门及司法部门检查与处罚,并可能对其他客户也产生不利影响。如部分银行曾因未履行反洗钱义务被处罚,期间被长期调查并没收了大量相关商业文件;又如立陶宛电子货币机构MisterTango因违反反洗钱规定导致被监管部门采取临时措施,仅允许向风险最低的客户提供支付服务[x]。
另一方面,如相关反洗钱义务主体对于客户的资金来源、身份等并不在意,未进行尽职调查的,则应被收集数据的自然人或机构(即客户)也应当提防该等主体业务的合法性,避免陷入欺诈、洗钱犯罪陷阱。
3、对于被收集数据的自然人或机构,应当了解数据收集方的收集方式、收集内容、使用方式是否合法合规,为避免自身数据被滥用引发不利后果,应考虑根据规定提出合法合理的主张
为满足反洗钱要求,反洗钱义务主体有权向被收集数据的自然人或机构(即客户)收集数据,且政府登记部门可向反洗钱义务主体甚至其他有关人员披露受益所有人信息。但是,需要注意的是,反洗钱指令及各国反洗钱与数据合规规定对于该等收集及披露行为有所限制(包括反洗钱义务主体必须向披露人明示其数据收集目的及内容),因此,被收集数据的自然人或机构(即客户)应当审慎了解反洗钱义务主体在数据收集方面是否合规,自身数据是否可能被滥用,并据此与反洗钱义务主体进行沟通与变通。
即使对于政府收集的受益所有人信息,4号令中也规定为避免发生欺诈、绑架、勒索等犯罪行为的发生或存在未成年人、无行为能力人等特殊情形的,经有权部门的审查,可以禁止一些数据的披露与转移,但需一事一议。因此,对于被收集数据的自然人或机构(即客户),应结合自身情况进行考量(比如是否受益所有人为社会公众人物、艺人等因素,不便于公开自身信息),合理针对数据信息披露向政府部门提出主张,以保障自身权益。
作者简介:
唐梦沅 资深律师 北京市中伦律师事务所 北京办公室
盛于兰 律师 北京市中伦律师事务所 北京办公室
穆 耸 合伙人 北京市中伦律师事务所 北京办公室
参考文献:
[i] https://eur-lex.europa.eu/legal-content/EN/TXT/?qid=1579069194909&uri=CELEX:32015L0849。
[ii] https://eur-lex.europa.eu/legal-content/EN/TXT/?qid=1579069279497&uri=CELEX:32018L0843。
[iii]https://eur-lex.europa.eu/legal-content/EN/TXT/?qid=1581044043476&uri=CELEX:31995L0046。
[iv]https://eur-lex.europa.eu/legal-content/EN/TXT/?qid=1581043672484&uri=CELEX:32016R0679。
[v] See Article 40 of 4AMLD.
[vi] See Article 40 of 4AMLD.
[vii]See Article45 of GDPR.
[viii]目前,获得认定的国家包括安道尔、阿根廷、加拿大(部分)、法罗群岛(属丹麦)、格恩西、以色列、马恩岛(英国属地)、泽西、新西兰、瑞士、乌拉圭、美国(隐私盾)。参见 http://lawv3.wkinfo.com.cn/topic/61000000515/17.HTML。
[ix] See Article46 of GDPR.
[x]https://www.lb.lt/en/news/mistertango-uab-fined-eu245-thousand-for-non-compliance-with-aml-requirements.
(注:本文已获作者授权发布。文中所述仅代表作者个人观点。)
更多阅读:
道琼斯公司(Dow Jones)创建于1882年,旗下有道琼斯指数、Barron's《巴伦》、WSJ《华尔街日报》、MarketWatch、Factiva、VentureSource、Risk & Compliance等品牌。“道琼斯风险合规”是全球风险与合规服务品牌。本公众号由道琼斯风险合规中国团队运营。欢迎您关注或咨询:Johnson.Ma@dowjones.com