查看原文
其他

论•策 l 央行发文要求加强反洗钱客户身份识别有关工作

2017-11-09 论根本策 论根本策


近日,中国人民银行下发了《关于加强反洗钱客户身份识别有关工作的通知(银发[2017]235号)》(以下简称《235号文》)。该文件为落实风险为本工作方法,指导反洗钱义务机构(以下简称义务机构)进一步提高反洗钱客户身份识别工作的有效性,就加强反洗钱客户身份识别有关工作提出了一系列具体要求和执行标准。


客户身份识别的定义与概念


鲁政先生在《反洗钱客户身份识别制度设计与实务操作技巧》一书中曾指出,在我国反洗钱语境中,“客户身份识别”与“客户尽职调查(Customer Due Diligence)”或“尽职调查(Due Diligence)”等词汇基本上是可以通用的,意指金融机构在勤勉尽责的基础上采取(甚至是穷尽一切)合理手段了解客户身份信息及其交易情况,以预防洗钱及其他违反犯罪活动发生。


国际反洗钱监管标准中,例如FATF颁布于2012年的《新40项建议》则对“客户尽职调查”、“客户身份识别”等概念做了明确的区分。简单说来,客户身份识别一般指对客户身份的辨别审查,并可进一步细化为身份辨识(Identify,即了解客户的身份信息)和身份信息确认(Verify,即确认所掌握的身份信息真实有效)。除此之外,客户尽职调查还包括持续的客户尽职调查工作、可疑交易监测等方面的要求。换言之,客户尽职调查包含客户身份识别,两个概念有着包含与被包含的关系,但需要强调的是,所谓“客户身份识别”并不可以望文生义并片面地理解为“识别客户的身份”,也就是说,金融机构不仅要了解静态的人(客户),而且还要关注人员的行为动作(即交易);不仅要了解眼前看得见摸得着的事物,还要透过现象看本质,探求交易的真实目的,判断交易的真实性质,是否是为了洗钱,是否是存在洗钱。


当前,无论是我国现行的反洗钱监管体系,还是以金融行动特别工作组(FATF)的《新40项建议》为代表的反洗钱国际标准,均已将客户身份识别制度、可疑交易报告制度、客户资料和交易保存制度以及金融机构反洗钱内控制度要求等监管制度作为金融反洗钱制度的核心内容或基础框架。在这种体制下,客户身份识别制度又居于核心地位,事实上,所谓的可疑交易报告工作无外乎客户身份识别的结果,没有对客户的了解、没有对交易目的的分析、没有对交易性质的定性,就难以产生导致可疑交易报告提交上报的“合理理由”,也将会使得金融情报的意义渐趋薄弱,因此,从某种意义上说,金融机构的反洗钱工作在一定意义上就是客户身份识别或者客户尽职调查工作。



《235号文》之背景


根据FATF的计划安排,中国将于2018年夏季接受第四轮互评估(评估报告预计将于2019年春季发布)。也正因为客户身份识别制度在反洗钱反恐怖融资机制所起到的重要作用,在技术性合规的评估过程中,建议10(客户尽职调查)成为了五个核心指标之一,根据本轮互评估方法论,若未能从制度上未能明确客户身份识别的有关合规要求,那么,将极有可能被认定为“部分合规”甚至“不合规”,所以说,央行的本次发文亦顺应了这一外在要求。


去年9月时,FATF曾向G20集团提交了一份具体的报告建议,宣布其计划著力加强落实有关法人企业透明度和受益所有权的国际标准,同时,FATF还决定针对各国执行《关于加强受益所有权标准的文件》的情况进行评估,并会通过后续强化流程(FATF follow-up process)来确保相关缺失得到相应的纠正。其中,至关重要的是,FATF评估的着眼点在于审视各国是否真正有效地落实了相关标准,而不仅仅关注各国法律中是否包括了这些标准。因此,受益所有权的国际标准执行并不只是一个阈值(25%)、一项文件就可以解决的问题,因此,《235号文》才只是一个起点。


FATF在2014年时还发布了《有关透明度与受益所有权的指引文件》(Guidance on Transparency and Beneficial Ownership),进一步地将有关建议和标准进行了阐述。该文件就应当如何访问和获取有关公司组织以及股权构成形式等信息也提供了一个循序渐进的指南。而在《235号文》当中,除了首次明确了认定受益所有权的阈值外,还引入了由中国人民银行征信中心负责营运集中登记的相关内容。据悉,有关受益所有权信息登记、查询、使用及保密办法,目前正在由中国人民银行另行制定。


之所以需要将受益所有权集中登记,主要是因为对于金融机构来说,在识别以及核实法人实体的受益所有权时,往往是非常困难的,也充满了诸多挑战:


1) 复杂法律结构和/或多层公司实体(特别是在离岸主体受不同法律法规要求 - 更不用说那些避税港的情况下)可能会掩盖法律实体的所有权结构。在许多情况下,错综复杂的法人结构以及离岸主体的多层组合往往为洗钱、欺诈和恐怖分子创造了一个游乐场,他们可以通过非常可靠的方式消无声息地转移犯罪收益,令人难以觉察;

2) 具有多层所有权的法律结构或公司实体增加了金融机构需要核实的主体数量;

3) 不同司法管辖区的法人/公司实体注册机制各具特点,使得金融机构更难获得准确的记录来识别和核实受益所有者信息;

4) 各国之间缺乏标准化文件,使得履行合规义务和核实受益所有权的工作困难重重;

5) 在受益所有权便于转让的司法管辖区,金融机构则可能不会意识到这种变化,但是却会影响银行与客户开展业务时的风险处境;

6) 金融机构在应对特定政策环境变化时缺乏灵活性,而可能会受到监管机构的质疑;

7) 由于法人结构、公司实体和司法管辖法律层面的复杂化,金融机构可能会发现难以发现可疑模式的变化。


当前,随着采取基于风险为本的准则来确保遵守当地和全球反洗钱条例的趋势,金融机构开始面临着更大挑战,即如何拥有挖掘每一位客户受益所有权复杂结构的能力,以确定满足合规义务乃至严厉的制裁法令。那么,国际上又有过哪些可以值得借鉴的实践呢?


受益所有权集中登记的国际实践


2015年6月26日通过的欧盟反洗钱4号令(the 4AMLD, (EC) 2015/849)第三十款(Article 30)明确了各成员国都应当建立各自的法律体系和监管要求,以将法人实体的最终受益所有人(Ultimate Beneficial Owners (UBOs) of (legal) entities)的身份资料信息进行集中登记和保存。


为了提高这方面的透明度,该指令规定所有成员国都必须建立集中登记机制,并存储在其司法管辖下注册的公司“足够、准确和最新的受益所有权信息”。在这些登记体系中,公司也有义务保存相关受益所有权的信息,并向主管当局和欧盟金融情报机构报告。 


关于信托,会员国则需要确保根据其司法管辖下的任何受托人获取并持有关于该信托的受益所有权的信息,至少应包括以下身份资料:


1) 委托人;

2) 受托人;

3) 保护人(如有);

4) 受益人或受益人类别;

5) 任何对该信托进行有效控制的其他自然人。


信息应集中登记在管理信托的成员国,如果信托产生税收后果,信托信息还应及时地在登记系统里予以更新。然而,值得注意的是,欧盟反洗钱4号令却并不要求信托人资料作为需要进行登记的受益所有权信息的一部分。


关于已登记信息的使用问题上,根据欧盟的规定,任何可以证明合法权益的个人或组织都可以访问信托登记系统,可获得的信息应包括受益所有者的姓名、出生年月、国籍和居住国家。而对于所有其他公司的登记信息,将向公众全面公开。会员国除了计划公开有关企业和某些商业信托的受益所有权特定信息外,还有可能逐步实现数据信息共享,以促进会员国之间的经济合作。


除此之外,欧盟委员会还建议成员国建立自动化集中机制,以迅速地识别银行账户持有人的身份信息,提议允许成员国在下列两个方案中选择:


1) 一体化集中登记系统,其中载有必要的数据,允许查明银行账户持有人的信息,并授予其本国的国家金融情报机构和反洗钱反恐怖融资监管当局全面迅速地查阅资料信息的权力;或

2) 其他模式的登记机制,例如中央数据检索系统,授予政府部门同样的权力,这将有助于可疑交易甄别和案件追踪工作中更快地查找和核对信息,并改善预防措施。



如何保护最终受益所有人的隐私权?


虽然法人实体的受益所有权集中登记能够大幅度提升透明度,并有利于追踪和打击洗钱犯罪的幕后黑手,但仍旧还涉及到客户信息保护、财务隐私权的诸多法律问题,因此,如何做好信息以及数据保护,亦成为了一个必须足够重视的问题。事实上,欧洲各国在这方面已有过一些实践,比如


| 荷兰


1) 最终受益所有人信息的获取仅可以在工商局网上进行,而最终受益所有人也可申请对其信息进行分类屏蔽或另行保存;

2) 获取最终受益所有人信息时需要缴费;

3) 除了主管当局和荷兰金融机构,其余所有人只可以获得有限的信息;

4) 在极端情况下,禁止获取的最终受益所有人信息。例如,最终受益所有人信息的获取会对其本人造成一定欺诈、绑架、勒索、暴力恐吓、或最终受益所有人还未成年或身患残疾。


| 英国


1) 不会公开的信息包括常住地址、出生年月以及与隐私保护条例相关的信息。例如,公开公司受益所有权/重要控制人的信息会对其本人造成暴力恐吓的危险 — 是否公开,取决于公司经营活动或受益所有权/重要控制人的关联程度。但是,在欧盟反洗钱4号令中规定了主管当局、金融情报机构和义务主体有权获取受益所有权/重要控制的常住地址信息;

2) 英国的信息登记部门还认为信息保护申请应基于个案的形式,并应当咨询英国相关司法机构方可执行。


| 德国


1) 获取最终受益所有人信息由德国工商部门负责落实,其亦是承担最终受益所有人信息的网上登记和管理工作的政府机关;

2) 获取最终受益所有人的信息应予缴费;

3) 根据欧盟反洗钱4号令,除了主管当局和义务主体,其他任何人都只可以获取有限的信息;

4) 如最终受益所有人认为或怀疑调查/访问等获取行为触犯了其个人的合法权益,那么信息申请过程中将可能会被全部或部分限制,这一环节应根据个案情况进行分析;

a) 比如,获取最终受益所有人的信息会使最终受益所有人处于一个诈骗、绑架勒索、劫持人质、敲诈威胁、违法行为、强制措施和威胁;

b) 又如,最终受益所有人是未成年或无法律义务。



行百里者半九十


2017年9月13日,中国国务院办公厅发布《关于完善反洗钱、反恐怖融资、反逃税监管体制机制的意见(国办函[2017]84号)》(以下简称《意见》)。明确指出反洗钱、反恐怖融资、反逃税(以下统称“三反”)监管体制机制是建设中国特色社会主义法治体系和现代金融监管体系的重要内容,是推进国家治理体系和治理能力现代化、维护经济社会安全稳定的重要保障,是参与全球治理、扩大金融业双向开放的重要手段。该《意见》的下发意味着中国将建立“三反”机制体制提升至国家战略层面。


也正如国务院办公厅的《意见》所指出的那样,自2007年反洗钱法公布实施以来,我国“三反”监管体制机制建设取得了重大进展,工作成效明显,与国际通行标准基本保持一致。但同时相关领域仍然存在一些突出矛盾和问题,主要是监管制度尚不健全、协调合作机制仍不顺畅、跨部门数据信息共享程度不高、履行反洗钱义务的机构履职能力不足、国际参与度和话语权与我国国际地位不相称等。


所以说,尽管央行发布了提高法人企业透明度的文件通知,然而,需要我们去做的还有很多,包括一些其他制度的安排。


例如《中华人民共和国公司法》中虽有控股股东以及实际控制人的概念,但却未针对认定标准给予更多的明确,反观《2006年英国公司法》附件1A中则对“关于公司重大控制人”的判定标准和场景运用给予了较为明确的指导。


再比如《中华人民共和国公司登记管理条例》中,对于虚假披露公司登记信息的行为,也仅规定了罚款等惩戒性措施。似乎又会显得劝诫性不足,同样是《2006年英国公司法》,在其第790R条“重要控制人登记册:与请求信息或者披露信息相关联的犯罪”一款中,则规定了对于重要详情故意或过失做出误导性、虚假或欺诈声明的人,则构成犯罪。一旦经过公诉程序定罪,将被处以最高2年的监禁或罚金(或两者兼之);如果是经简易程序定罪的,则在英格兰、威尔士和苏格兰(北爱尔兰为最高6个月的监禁)将被处以最高1年的监禁或罚金(或两者兼之)。


另外,由于打击金融犯罪并不是某一个或某几个行业部门就可以完成的,因此,国务院办公厅的《意见》中,亦明确了加强监管协调,健全监管合作机制的工作要求。同时,在当前大数据、云计算的时代背景下。《意见》提出了依法使用政务数据,建立共享机制,并推动优化监管资源配置,以期最终形成打击洗钱、恐怖融资和逃税的合力,维护金融秩序和社会稳定。


《235号文》中规定,对非自然人客户受益所有人的追溯,义务机构都应当逐层深入并最终明确为掌握控制权或者获取收益的自然人,其判定标准事实上恰于此前六部委下发的《关于发布<非居民金融账户涉税信息尽职调查管理办法>的公告(国家税务总局财政部人民银行银监会证监会保监会公告2017 年第 14 号)》中的第十三条一致,因此,能否更好地建立并实现数据信息共享和协调机制,将会对《235号文》的生命力起到意义非凡的支撑作用。 


从金融机构业务发展的角度来说,某些复杂架构的法人实体往往能够带来大量资金或资产,这就使得客户准入和合规流程处于了并列位置 -- 一方面需要一个高效快速的开户流程,另一方面银行则亦有义务识别和核实受益所有权信息。因此,除了依靠国家有关受益所有权信息的登记机制外,金融机构还必须确保其资源充足,以处理这些数据,进而形成对客户/受益所有者及其所有权关系、股权架构和控制权状况的整体判断。


这将需要获取、处理、保存和交换大量数据和文档,以帮助金融机构进行风险评估,并确保合规流程和决策的质量。此时,客户生命周期管理(Client Lifecycle Management)与集中数据存储系统之间的和谐就显得至关重要了,因为,只有确保数据收集过程尽可能高效,才有望不致对客户产生不利影响。


其次,除了通过集中登记系统获取受益所有权信息外,金融机构还应能够利用自己现有的数据存储系统来掌握信息并进行分析。为了尽可能高效地实现这一点,金融机构应该设法建立一个集中存储客户和交易对手数据的信息系统,以便在多个业务部门和司法辖区内访问和灵活使用这些数据文档和资料,且可以兼容于多个监管框架。


目前,全球各国(比如美国的FinCEN)正逐渐引入了客户尽职调查概况档案(Customer KYC Profile)这一概念,所谓客户尽职调查概况档案指的是以准入/开户期间收集的信息为起点,用于分析客户及其交易对金融机构风险影响的基础。而风险因素往往包括客户类型、所依据的司法管辖权、交易产品和业务本身。这也可以作为未来对可疑活动进行评估的基准。如果触发事件发生(或背离其正常的交易历史时),这将会改变客户的风险登记,对于金融机构而言,则必须能够及时捕获信息,并更新系统和客户尽职调查概况档案,必要时,还应当提交可疑活动报告。


一言以蔽之,即金融机构应当以客户为基础,建立相关制度,并基于风险为本的准则执行客户尽职调查工作,其最终目的在于识别并核实客户建立业务关系的真实意图并了解客户的初始状态。而这才是《235号文》的初衷之所在。


附录


《235号文》还明确了,银行业金融机构应当遵守《金融机构客户身份识别和客户身份资料及交易记录保存管理办法》等规章制度,同时参照金融行动特别工作组、沃尔夫斯堡集团关于代理行业务的相关要求,严格履行带来行业务的身份识别义务。有关代理行的国际建议标准及指引亦可参阅往期:


译•读 l 美国货币监理署关于代理行业务的风险管理指引

译•读 l BSA/AML:美国当局在外国代理行业务领域的监管期望

译•读 l 沃尔夫斯堡集团有关SWIFT往来关系管理应用程式(RMA)的尽职调查指引

译•读 l 金融行动特别工作组关于代理行业务的风险指引



致各位读者:如果您喜欢这里的文章,欢迎后台留言或发送电子邮件至lungenbence@163.com告诉我们,一起享受学习与分享之乐趣。同时,本公众号发布的所有文章与翻译仅为学术研究及专业探讨之用途,不代表任何机构的政策制度流程以及业务执行标准。

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存