作者 | 论根本策

来源 | 论根本策

近期，中国人民银行下发了《关于加强反洗钱客户身份识别有关工作的通知(银发[2017]235号)》(以下简称《235号文》)。该文件为落实风险为本工作方法，指导反洗钱义务机构(以下简称义务机构)进一步提高反洗钱客户身份识别工作的有效性，并就加强反洗钱客户身份识别有关工作提出了一系列具体要求和执行标准。

文件中，对法人实体受益所有人信息的识别和管理要求不仅使用了与六部委下发的《非居民金融账户涉税信息尽职调查管理办法》几乎完全一样的标准，还首次提出了受益所有人信息集中登记的政策规定，具体为：

银行业金融机构应当将登记保存的受益所有人信息报送中国人民银行征信中心运营管理的相关信息数据库。义务机构可以按照相关规定查询非自然人客户的受益所有人信息。至于受益所有人信息登记、查询、使用及保密办法，由中国人民银行另行制定。

事实上，在此前的数年中，欧洲诸国都已经相继进入了实践阶段。而且这也是FATF的有关建议标准，不过，这一要求对于国内金融机构来说还比较新颖，《235号文》也由此引发了很多讨论，笔者亦不能免俗，也做了一些浅薄的思考和遐想。

根据FATF《新40项建议》第24条及第25条的要求，“各国应考虑采取措施，使金融机构和特定非金融行业和职业可以便利地获取受益人及控制权信息，以便执行建议10、建议22 的要求。”

与此同时，FATF第四轮互评估方法论中，亦有着类似的评估要求，比如“各国应要求所有在本国创立的公司都应在公司注册部门登记注册，注册登记信息包括公司名称、公司成立的证明文件、法定形式、法律地位、注册地址、基本职权(如备忘录和公司章程)、股东名单; 并公开上述信息。”以及“各国应采用以下机制的一种或几种来确保公司的受益所有权信息可从该公司获得, 并可在被评估国的某一特定地点获得, 或使主管部门可以及时对此信息作出判断…”等。

换言之，《235号文》的出台不仅仅是进一步完善我国反洗钱反恐怖融资监管政策体系，也是为了更好地迎接即将到的FATF中国第四轮互评估。.

欧盟反洗钱4号令的实践

2015年5月，欧洲议会最终核准通过了反洗钱4号令(The Fourth Money Laundering Directive 2015/849)，并期望通过此举促进反恐斗争的进行。为欧盟所采取的反洗钱措施主要包括以下内容：各成员国政府必须掌握公司受益所有权的详细注册资料；进行金融交易的公司或者机构必须提供更为清晰准确的收款人/受惠人信息；贵金属及宝石供应商必须跟踪所售出物品的去向。

与以往三份反洗钱指令有着明显不同的是，新通过的欧盟反洗钱4号令规定所有成员国都需要引入最终受益所有人的登记制度。同时，法人实体也需要保存相关所有权的准确和最新信息，这项要求还适用于其他法律安排。根据欧盟反洗钱4号令第三十款(Article 30)，各成员国都应当建立各自的法律体系和监管要求，以将法人实体的最终受益所有人(Ultimate Beneficial Owners (UBOs) of (legal) entities)的身份资料信息进行集中登记和保存。

根据指令要求，相关受益所有权的信息将由每个成员国进行集中登记，并可供银行、律师事务所和“任何可以证明合法意图的个人或组织(any person or organization that can demonstrate a legitimate interest)”访问。在进行集中登记时，受益所有人信息至少应当包含姓名、出生日期、国籍、居住国以及所有权益的性质和程度。

随后，欧洲各国先后根据其具体国情制定和落实了受益所有人信息集中登记制度。从已发布的政策看，在收集哪些信息内容方面，各国基本上大同小异。但是，引人注目的是，各国在保护相关信息安全以及隐私权方面都投入了很多的资源和审慎的思忖。

| 荷兰

1) 最终受益所有人信息的获取仅可以在工商局网上进行，并且，最终受益所有人也可申请对其信息进行分类屏蔽或另行保存；

2) 获取最终受益所有人信息时需要缴费；

3) 除了主管当局和荷兰金融机构，其余所有人士只可以获得有限的信息；

4) 在特定的极端情况下，禁止获取最终受益所有人信息。例如，最终受益所有人信息的获取会对其本人造成一定欺诈、绑架、勒索、暴力恐吓、或最终受益所有人还未成年或身患残疾。

| 英国

1) 不会公开的信息包括常住地址、出生年月以及与隐私保护条例相关的信息。例如，公开公司受益所有人/重要控制人的信息会对其本人造成暴力恐吓的危险 — 是否公开，取决于公司经营活动或受益所有人/重要控制人的关联程度。但是，在欧盟反洗钱4号令中规定了主管当局、金融情报机构和义务主体有权获取受益所有人/重要控制人的常住地址信息；

2) 英国的信息登记部门还认为信息保护申请应基于个案的形式，并咨询英国相关司法机构之后方可执行。

| 德国

1) 获取最终受益所有人信息由德国工商部门负责落实，其亦是承担最终受益所有人信息的网上登记和管理工作的政府机关；

2) 获取最终受益所有人的信息应予缴费；

3) 根据欧盟反洗钱4号令，除了主管当局和义务主体，其他任何人士都只可以获取有限的信息；

4) 如最终受益所有人认为或怀疑调查/访问等获取行为触犯了其个人的合法权益，那么信息申请过程中将可能会被全部或部分限制，这一环节应根据个案情况进行分析：

a) 比如，获取最终受益所有人的信息会使得其处于一个诈骗、绑架勒索、劫持人质、敲诈威胁、违法行为、强制措施和威胁时；

b) 又如，最终受益所有人是未成年或无法律义务。

不难发现，欧洲诸国都将个人信息安全和隐私保护等政策以及风险控制措施纳入了受益所有人信息集中登记的管理体系。对于即将启动同类机制建设的我国来说，我们又可以获得哪些启示呢？从《235号文》的描述看，受益所有人信息将报送至中国人民银行征信中心运营管理的相关信息数据库，故笔者猜测未来我国的受益所有人信息登记系统将会依托于现在的企业征信信息数据库进行延伸并实施管理。

2015年11月，国务院办公厅发布了《关于加强金融消费者权益保护工作的指导意见》，这是我国首次从国家层面部署金融消费者权益保护问题，尽管指导意见当时并未界定金融消费者概念。时间到了2016年12月27日，央行印发《金融消费者权益保护实施办法》，将金融消费者定义为“购买、使用金融机构提供的金融产品和服务的自然人。”

而在金融消费者权益保护工作中，对于个人信息特别是金融隐私信息的保护更是必须予以足够的重视。从世界各国来看，亦是如此。

欧美有关个人信息保护的立法

美国保护隐私利益的法律框架，覆盖了宪法、联邦、各州等层面。最初，美国隐私权保护主要针对的是公权力对公民隐私权的侵犯，1934年《侵权法重述(Restatement of Torts)》则将无正当理由严重侵犯个人隐私确定为民事诉讼的诉因。

计算机技术发展带来的数据隐私问题在1973年首次进入公众视野。美国卫生、教育与福利部曾因此而发布了一份题为《录音、计算机与公民权利(Records, Computers and the Rights of Citizens)》的报告，分析了"自动化个人数据系统可能导致的不良后果"，并提出了广为人知的"公平信息实践法则(Fair Information Practice Principles, FIPPS)"，并成为美国数据保护制度的基石。该法则规定个人有权知道他人收集了哪些关于他的信息，以及这些信息是如何被使用的；个人亦有权拒绝某些信息使用并更正不准确的信息；信息收集组织有义务保证信息的可靠性并保护信息安全。这些内容成为1974年《隐私法案(Privacy Act)》的基础，并被其他国家和国际组织所接受。

20世纪80年代，美国根据行业特点，逐步制定了相关行业领域的隐私法律，为以侵权行为为基础的习惯法提供了补充：比如，《金融隐私权法案(The Right to Financial Privacy Act, RFPA)》，对银行雇员披露金融记录及联邦立法机构获得个人金融记录的方式进行限制；以及《金融服务现代化法案(Financial Services Modernization Act of 1999)》要求金融机构尊重客户隐私并保护客户非公共信息的安全与机密；再比如，《儿童在线隐私权保护法案(The Children's Online Privacy Protection Act，COPPA)》，规定了网站经营者必须向其父母提供隐私权保护政策的通知，以及网站对13岁以下儿童个人信息的收集和处理原则与方式等。

在欧洲，由于《欧共体个人数据保护协定》和《欧盟个人数据保护指令》的出台，使得欧洲各国的个人信息法律在立法模式和基本原则上具有了相似性。欧盟先后出台过《有关个人数据自动化处理的个人保护协定》、《保护隐私及跨国交流个人资料准则》、《欧盟个人资料保护指令》等相关文件法规，其立法价值取向亦是十分明确，即更加关注对个人隐私的保护。 

比如，英国与信息保护有关的法律主要是1998年《数据保护法》和1974年《消费信用法》，1998年修订后的英国《数据保护法》也引入了欧盟《数据保护指令》的要求，对涉及个人的信息处理进行了新的规定。规定只有为特定的和合法的目的，才能持有个人数据；必须采取安全措施，以防止个人数据未经许可而被扩散、更改、透露或销毁；对于遗失、毁坏有关数据，或者未经许可而透露有关数据的，数据主体有权请求赔偿。通过一系列法律规制，平衡了信息收集部门、服务机构以及个人的权利与义务，确保了个人信息的客观性和准确性。

总的看来，欧美关于采集、使用个人金融信息的立法规定都较为严格，政府机构、信息提供者、信息使用者责任义务不断增加，且公共部门与私营部门保护金融消费者权益的责任义务标准基本趋同。

我国在个人信息保护方面的立法

中国人民银行在2005年时，通过了有关个人信用信息管理及保护的专门性部门规章《个人信用信息基础数据库管理暂行办法(中国人民银行令[2005]第3号)》，为我国个人信息保护立法史上的一座里程碑，它开创了我国特殊领域的个人信息保护立法。

2011年，中国人民银行在其职权范围内发布的《关于银行业金融机构做好个人金融信息保护工作的通知(银发[2011]17号)》，则对个人金融信息进行了详细明确的规定和保护。随后，《征信业管理条例》获国务院审核通过，从此，我国征信业开展和个人信息保护将有章可循。

2009年12月，我国通过了《侵权责任法(中华人民共和国主席令第二十一号)》，在该法第2条中，明确了隐私权的具体人格权法律属性，并规定除了具体人格权外的民事权益也要受到《侵权责任法》的保护。这样一来，个人信息侵权在民事侵权法方面便开始有了直接的法律依据。

然而，我国关于个人信息保护方面的立法仍然相对分散(比如《中华人民共和国护照法》、《中华人民共和国身份证法》中都曾直接规定了“个人信息”的保护问题)，民法中也有着相关的个人名誉、个人隐私方面的规定，而且一些行政法规、单行法以及地方性法规都有涉及个人信息保护方面的内容。

2016年11月6日，《中国人民共和国网络安全法》由全国人大正式通过并已于2017年6月1日正式生效，作为国内第一部系统性提出网络空间治理的法律法规，特别加强和明确了个人信息保护方面的要求。这些要求不仅继承现有法律法规的主要条款要求，例如2012年全国人大《关于加强网络信息保护的决定》、2014年全国人大《刑法修正案》、2015年工商总局《侵害消费者权益行为处罚办法》等法律法规，而且还根据新形势、新情况和新需求，增加新内容。

但是，由于始终未能出台一部统一的《个人信息保护法》，使得我国在个人信息立法保护方面仍旧显得有些不足。

从国际范围看，亚太经合组织(APEC) 经济体较早就已认识到确保电子商务发展的关键在于整合并促成有效率的个人信息隐私保护以增进消费者的信赖，为此，2004年各成员国在韩国釜山第17届APEC部长会议中签署了《APEC隐私保护纲领》，也称《APEC隐私保护框架》，框架进一步明确了APEC保护数据隐私的意义，并为亚太地区的个人信息隐私保护提供了指导性原则和标准。该框架提出了九大原则，分别是：预防损害原则、告知原则、收集限制原则、个人信息原则、自主选择原则、完整性原则、安全管理原则、查阅及更正原则、责任原则。

有鉴于综上之所述，期待中国的受益所有人信息集中登记制度可以基于这一系列有关个人信息保护以及金融隐私权方面的原则制定以及出台，并注重未成年人(特别是14岁以下青少年)以及残障人士的合法权益之保护。

受益所有人信息登记方式的遐想

我国有关法人实体受益所有人信息集中登记的具体实施方式暂时不得而知，不过或许可以借鉴外汇管理政策中《单位基本情况表》的有关做法。类似于《国家外汇管理局关于印发<通过银行进行国际收支统计申报业务实施细则>的通知(汇发[2015]27号)》的相关规定，我们暂且将《单位基本情况表》改名为“受益所有权信息申明表”。

操作程序上，当法人企业在境内银行任何一家网点首次办理开户业务时，则应先填写“受益所有权信息申明表”，同时向银行提供相关资料予以佐证，银行应当对申报主体填写的“受益所有权信息申明表”信息与该机构提供的证明文件进行核对，核对有误的须退回申报主体修改；核对无误的，银行方可以于规定时限内登录系统将相关信息发送至征信营运管理中心。

随后，若该法人实体前往其它银行办理开户业务，如果该主体的“受益所有权信息申明表”信息在集中登记系统中已经存在，且与该主体在执行该行尽职调查程序时填写的“受益所有权信息申明表”相关要素一致的，经办银行则可以将该主体的“受益所有权信息申明表”以及客户提交的身份识别资料进行直接保存。反之，如果相关要素不一致的，经办银行就必须将其执行尽职调查程序后识别出的信息予以补录/修改，并再次发送至系统之中，同时，妥善保存客户身份识别的有关补充资料。

当“受益所有权信息申明表”中相关要素发生变更时，法人实体则应及时通知其中任何一家经办银行，提交变更信息的证明文件，并完成受益所有人信息的更新以及传输工作。

采取这样的安排，一方面，可以使金融机构较为容易地掌握受益所有人信息登记以及传输工作的操作，毕竟该模式与外汇指定银行(即各金融机构)长期以来的工作实践比较吻合。另一方面，也有利于反洗钱监管数据与外汇收支相关信息的融合，从而提高数据分析质量。根据中国国务院办公厅所发布的《关于完善反洗钱、反恐怖融资、反逃税监管体制机制的意见(国办函[2017]84号)》(以下简称《意见》)的指导精神，在建立健全我国反洗钱反恐怖融资反逃税监管机制体制的道路上，数据融合与共享也是一个不容忽视的关键领域和努力方向。

因为，由于打击金融犯罪并不是某一个或某几个行业部门就可以完成的，所以，在国务院办公厅的《意见》中，明确了加强监管协调，健全监管合作机制的工作要求。同时，在当前大数据、云计算的时代背景下。《意见》还提出了依法使用政务数据，建立共享机制，并推动优化监管资源配置，以期最终形成打击洗钱、恐怖融资和逃税的合力，维护金融秩序和社会稳定。

进一步的思考

从实践经验上，我国对于如何集中管理受益所有权信息还处于刚刚起步的阶段，需要解决和明确的问题还有很多。

如我们所熟知的，任何银行都有符合自身风险偏好和管控能力的客户尽职调查程序以及制度，那么，这就意味着，每家银行所能采集或识别出客户身份信息资料的种类和质量将会毫无疑问的有所不同，因此，监管机构又会否因此而去质疑部分银行的内控制度不力或者客户身份识别工作执行不够到位呢？在此，也希望监管机构可以明确出类似“最低防控要求”和“最佳实践”的标准，并允许银行根据各自的实际情况，在“最低防控要求”和“最佳实践”之间基于风险为本这一准则执行客户尽职调查程序。毕竟受益所有权信息集中登记制度的最终目标是符合FATF的建议标准，即“各国应采用以下机制的一种或几种来确保公司的受益所有权信息可从该公司获得, 并可在被评估国的某一特定地点获得, 或使主管部门可以及时对此信息作出判断…”

再比如，当法人实体在工商登记时提供的信息与金融机构执行客户尽职调查程序中所获取的信息出现不一致时，监管机构又将会如何界定和审视公共部门和私营部门在反洗钱反恐怖融资这个统一战线上彼此的责任呢？所以说，这还需要从其他的制度安排入手，例如将故意虚假披露工商注册登记信息的行为认定为行政/刑事责任或辅以更具劝诫性的处罚手段，并纳入工商登记管理或者公司法等有关制度法令之中。

根据《意见》中的要求，到2020年，我国将初步形成适应社会主义市场经济要求、适合中国国情、符合国际标准的“三反”法律法规体系，建立职责清晰、权责对等、配合有力的“三反”监管协调合作机制，有效防控洗钱、恐怖融资和逃税风险。虽然中国的反洗钱工作起步较晚，但有理由相信，经过不懈努力，中国的反洗钱反恐怖融资政策制度以及执行标准和成效都将会达到国际标准，并最终参与到国际规则的顶层设计之中。

致各位读者：如果您喜欢这里的文章，欢迎后台留言或发送电子邮件至lungenbence@163.com告诉我们，一起享受学习与分享之乐趣。同时，本公众号发布的所有文章与翻译仅为学术研究及专业探讨之用途，不代表任何机构的政策制度流程以及业务执行标准。

合规给金融机构增加的额外成本，在反洗钱领域体现的淋漓尽致。无论是金融机构还是企业，势必需要加强内部管理，强化自律意识，提高守法合规经营水平，将防范背锅进行到底。反洗钱作为每个机构的标配，如何加强？如何践行？不再让反洗钱沦为冗长的过场，如何让它发挥真正的防患未然的作用呢？反洗钱国际制裁研讨会隆重上线！多角度与最专业的实务型大咖讲师线下交流，现场进行权威政策解读和政策问询，完善组织架构和业务模式，从源头做到节省成本，防止被罚被关被警告。讲师天团带你构建完善的理论和实操体系！浑身都是知识点，就等你来撩！上海12月16-17日，我们不见不散！

点击“阅读原文”，直接报名