岁末冬深时节,在喜迎农历虎年新年的节日气氛里,新的重磅金融监管法规又不约而至。2022年1月26日,在向社会公众征求意见结束近一年之后,中国人民银行、中国银保监会、中国证监会共同发布了《金融机构客户尽职调查和客户身份资料及交易记录保存管理办法》(中国人民银行 中国银保监会 中国证监会〔2022〕第1号)(“《管理办法》”),并将自2022年3月1日起正式施行。值得注意的是,为了和FATF的反洗钱《40项建议》相接轨,也为了和法律位阶相同的《金融机构反洗钱和反恐怖融资监督管理办法》(中国人民银行令〔2021〕第3号)保持一致,《管理办法》从法规名称到具体内容,都不再使用“客户身份识别(KYC)”,而改用“客户尽职调查(due diligence)”这个术语。《管理办法》并不是一部从无到有新制定的法规,其体例形式和核心内容都是对已经沿用了15年之久的《金融机构客户身份识别和客户身份资料及交易记录保存管理办法》(中国人民银行 中国银监会 中国证监会 中国保监会令[2007]第2号)的继承和发展。《管理办法》并没有颠覆性地创立新的方法论或理论体系,更多地是对现存监管规则的融汇。通观五十二个条文,《管理办法》充分体现了自2007年《反洗钱法》颁布及中国加入金融行动特别工作组(FATF)以来,特别是自2018-2019年FATF对中国进行第四轮反洗钱反恐融资互评估以来,以中国人民银行为核心的反洗钱反恐融资监管机构陆续颁布的各监管法规的术语和核心内容;同时,也广泛地吸收了各类金融机构在洗钱和恐怖融资风险管理的实践经验和探索成果。在过往为境内外银行业、证券业、基金业、保险业、期货业、资产管理、互联网金融从业机构、银行卡清算组织等各类金融机构提供反洗钱反恐融资法律和合规服务中,我们汲取了丰富的行业知识和项目经验。此文是我们对《管理办法》思考的第一篇,以求抛砖引玉。在中国反洗钱反恐融资的监管规则之下,“反洗钱义务主体”的范围比较广泛,主要包括金融机构(银行业、证券业、保险业)、互联网金融从业机构(如第三方支付机构)、特定非金融机构(如房地产开发企业、房地产中介)和社会组织(如基金会、外国商会)等。同时,在中国的法律体系中,并没有关于“金融机构”的统一定义。“金融机构”的内涵和外延,总是随具体的语境和业务场景而变化,有时往往具有较大的差异性。这一点,在反洗钱反恐融资领域也不例外。本《管理办法》第2条对“金融机构”的范围,采取的是列举而非穷尽的方式,与《金融机构反洗钱和反恐怖融资监督管理办法》(中国人民银行令〔2021〕第3号)对“金融机构”范围的规定保持了一致,也与当前有效但零散的反洗钱反恐融资法规中对“金融机构”的定义彼此兼容而不冲突。但保险公司办理再保险业务时,其“客户尽职调查”不适用本《管理办法》(第49条)。当前金融市场上存在着大量活跃于金融交易,但因未被定义为“金融机构”,因而不是反洗钱义务主体的机构。例如,在中国证券投资基金业协议登记注册的私募基金管理人总数已经超过2.4万家,总的资产管理规模已近20万亿人民币。但私募基金管理人尚未被定义为负有反洗钱义务的 “金融机构”。再如,“7+4”地方性金融组织、券商直投子公司、基金公司子公司,也一样不在负有反洗钱义务的 “金融机构”范围之内。
本《管理办法》“中国人民银行确定并公布的从事金融业务的其他机构”之规定,赋予了中国人民银行在条件成熟时,可以另行颁布新的规则以扩大“金融机构”反洗钱义务主体范围的权力。就“金融机构”而言,其反洗钱反恐融资的义务甚多,如建立适当的公司治理、提交准确的大额和可疑交易报告、穿透覆盖的全面审计、尽力配合监管调查、严格审慎的信息保密等。《管理办法》明确,本法规仅针对金融机构的3项核心反洗钱反恐融资义务,即 “客户尽职调查”、“客户身份资料保存”及“交易记录保存”,而并不涉及其他。(第3条)金融机构在开展客户尽职调查时,如发现客户的身份或行为涉嫌洗钱或恐怖主义融资行为的,应向中国反洗钱监测分析中心和中国人民银行当地分支机构报告。(第43条)长期以来,中国的反洗钱反恐融资监管规则混用“客户身份识别”和“客户尽职调查”两个术语。虽然较早时期发布的监管规则,如《关于进一步加强金融机构反洗钱工作的通知》(银发〔2008〕391 号)、《关于明确可疑交易报告制度有关执行问题的通知》(银发〔2010〕48 号)已经使用FATF倡导的术语“尽职调查”,但这并不是主流,更多的监管法规仍然奉“客户身份识别”为圭臬。本《管理办法》与《金融机构反洗钱和反恐怖融资监督管理办法》(中国人民银行令〔2021〕第3号)一起,统一使用“客户尽职调查”。“客户尽职调查”是一个持续的过程,而收集同一套材料就可一劳永逸反复使用,徒有形式的“客户尽职调查”只是走过场,并不能达成有效识别并控制洗钱和恐怖融资风险的目的。客户的身份基本信息是“客户尽职调查”的基础,在此之上,金融机构可以根据客户风险的具体程度,要求客户补充更多的支持性材料和信息,例如要求保理公司客户提供地方金融办允许其设立的批复来核实其经营的业务,要求外籍自然人客户提供《外国人就业许可证》以核实其职业。与现行的监管规则保持一致,本《管理办法》没有将“金融机构”单独列为一种客户类型,而是将之归入了“法人”的范畴。就洗钱和恐怖融资风险管理而言,金融机构“客户尽职调查”有三类,分别是“初始客户尽职调查”、“强化的客户尽职调查”及“重新的客户尽职调查”。本《管理办法》第二章了整整27条的篇幅,详细阐释了金融机构进行“客户尽职调查”的场景和一般性规则。完成并接受“客户尽职调查”后的客户洗钱和恐怖融资风险水平,是金融机构与客户建立业务关系的前提条件。但金融机构与客户建立“业务关系”,并不仅限于开立账户,实践中广泛地存在着金融机构为不开立账户的客户提供服务的业务场景(如提供单笔金额在一定数额之上的一次性交易服务)。金融机构在合理的业务场景中,可以接受由客户之外的人为客户来建立业务关系(“代理”),并对代理人进行身份识别(第26条)。在建立客户关系时的“初始客户尽职调查” (第8-21条);在客户关系存续期间的“持续客户尽职调查(ongoing due diligence)”及对针对高风险客户的“强化的客户尽职调查”(第23条、第29-30条);以及在客户关系存续期间,若“对先前获得的客户身份资料的真实性、有效性或完整性存疑的”,而实施的“重新客户尽职调查”(第7条、第28条)。基于FATF所倡导的“风险为本”原则,对于超出金融机构了解能力或风险承受能力的客户,金融机构应当拒绝建立业务关系或者办理业务。如果在持续的客户尽职调查过程中,发现客户的洗钱或恐怖融资风险超出了金融机构容忍的底线,则应终止客户关系(第32条)。为保证反洗钱反恐融资风险管理方法和措施的统一,金融机构的总行、总部、总公司应承担核心管理的职能,具体而言:制定本机构统一的客户尽职调查、客户身份资料及交易记录保存制度和程序,同时允许分支机构在此基础上作进一步细化操作程序的灵活性;对分支机构洗钱和恐融资风险管理进行监督,确保各项制定得以落实;可将本《管理办法》的要求适用于境外分支机构,除非境外分支机构驻在国家或地区有更严格要求。与境外市场实践相比,目前中国的反洗钱反恐融资监管要求的严格程度适中。“客户尽职调查”须留存客户有效身份证件或者其他身份证明文件的复印件或者影印件。对于非自然人客户,这意味着需要留存其全部的企业登记注册文件、开展业务经营所需的执照、证件或者文件(如适用)、公司章程、一致行动协议等自治性文件,以及受益所有人有效身份证件或者其他身份证明文件的复印件或者影印件。金融机构应通过来源可靠、独立的数据或信息,对客户递交的身份信息进行核实,而不能仅依赖于客户提交的身份材料。例如,通过联网核查公民身份信息系统进行核查自然人居民身份证信息,通过税单核实客户资金来源。(第24条)(6)客户洗钱和恐怖融资风险等级(第27、29、31条)金融机构应根据客户尽职调查所获得的信息,根据本《管理办法》及《金融机构洗钱和恐怖融资风险评估及客户分类管理指引》(银发[2013]2号)规定的风险评估指标体系,划分每一个客户的洗钱和恐怖融资风险等级,并在建立客户业务关系之后的持续性客户尽职调查中持续关注并及时调整。有所不同的,《管理办法》将洗钱和恐怖融资风险等级最高客户的审核频率,从“6个月”延长到了“1年”,与FATF建议及多数欧美金融市场实践相一致。金融机构的跨境业务,如信用证、贷款、金融衍生品、对外担保、汇兑等,也应无差别地遵循反洗钱反恐融资风险管理要求。对风险较高的跨境业务(如代理行、为境外投资者开立经纪交易账户等),还须获得董事会或董事会授权的高级管理层批准。(8)外国政要客户与名单筛查(第35条、第41条、第42条)与现行监管规则保持一致,若客户或其受益所有人中“有外国政要、国际组织高级管理人员、外国政要或者国际组织高级管理人员的特定关系人”,则会直接导致客户风险登记被认定为“高风险”,与之建立客户关系须金融机构高级管理层批准,且须采取强化的持续性监测措施。为识别客户及其交易对手方中是否存在外国政要、恐怖分子、“红通名单人员”或来自于FATF认定的:呼吁对其采取行动的高风险国家或地区(High-risk jurisdictions subject to a call for action,黑名单国家)或 “应加强监控的国家或地区(Jurisdictions under increased monitoring, 灰名单国家)4. 不同类型金融机构业务的“客户尽职调查”(第9-21条)以虚假身份在金融机构开立账户、进行交易,是常见的洗钱和恐怖融资手法之一,也是历来金融机构严防的重点。在2000年,国务院《个人存款账户实名制规定》就规定:“个人在金融机构开立个人存款账户时,应当出示本人身份证件,使用实名”。真名开户的要求也一样适用于非自然人。尤其值得注意的是,本《管理办法》第20条对“信托产品”作为金融机构“客户”的业务情景下(如集合资金信托投资于理财公司发行的权益类理财产品),要求金融机构识别信托关系的“委托人、受托人、受益人以及其他最终有效控制信托财产的自然人身份”,即要求信托公司提供信托产品的委托人及受益人信息。这一条并不是新的监管规定,实际上早在2007年颁布的《金融机构客户身份识别和客户身份资料及交易记录保存管理办法》第21条已经做了含义完全相同的监管要求,只是在语言描述上有些不同。然而这一规定在资产管理领域从来就没有得到很好的落实,究其根本原因在于信托是源于普通法的一项法律制度,普通法关于信托的法律理论和法律实践,尚未完美地融合到中国法律体系之中。这种穿透式地识别信托产品“委托人”和“受益人”,不能为多数信托产品投资责任理解和接受。5. 非自然人“客户尽职调查”的核心:“受益所有人”识别(第22条)
“受益所有人”(“ultimate beneficiary owner”, “UBO”或“BO”)是反洗钱反恐融资领域的专有概念,它不同于公司法意义上的“实际控制人”,指的是“最终拥有或实际控制市场主体,或者享有市场主体最终收益的自然人。”也就是说,任何一个市场主体,无论是金融机构还是非金融机构,还是国家机关、企事业单位、合伙组织、个人公司商户等,其“受益所有人”必须是、也只能是一个或数个中国籍或外国籍的自然人。 “受益所有人”识别是非自然人“客户尽职调查”的核心,也是在反洗钱反恐融资风险管理实践中争议极大的问题。即使是同一个企业,由于不同金融机构适用的“客户尽职调查”标准不同,金融机构和客户之间强势关系的变化,被识别出来的“受益所有人”也往往存在差异,甚至会出现大相径庭、完全不同的情况。比如,在识别私募基金产品“受益所有人”时,有的金融机构会将参考公募基金管理,将私募基金产品的基金经理识别为“受益所有人”;有的金融机构则会将发行该私募基金产品的管理人高管识别为“受益所有人”。由于颁布年代久远的原因,《反洗钱法》没有要求金融机构对客户识别“受益所有人”,而《金融机构客户身份识别和客户身份资料及交易记录保存管理办法》(中国人民银行 中国银监会 中国证监会 中国保监会令[2007]第2号)要求识别“实际控制人”。直到2017年,中国人民银行在《关于加强反洗钱客户身份识别有关工作的通知》(银发[2017]235号)中使用“受益所有人”这个术语,并规定了反洗钱义务机构识别“受益所有人”的程序和方法。随后,中国人民银行《关于进一步做好受益所有人身份识别工作有关问题的通知》(银发[2018]164号)进一步补充了“受益所有人”识别的方法论。《管理办法》充分吸收了现存反洗钱反恐融资监管规则对“受益人”识别的规定,并在此基础上对相关的描述进行了调整。在“受益人”识别方面,本《管理办法》没有将非自然人客户再细分为公司、合伙、信托、基金等,而是笼统地将是否持有25%的权益作为判断非自然人客户“受益所有人”的识别标准,要求金融机构应综合使用“股权/合伙权益”、“实际控制”和“收益权”三种方式来识别并核实非自然人客户的受益所有人。当使用上述方式均无法识别时,应替代性地识别法人或者非法人组织的高级管理人员。合理的理解是,本《管理办法》规定的“受益所有人”识别方法,与《关于加强反洗钱客户身份识别有关工作的通知》(银发[2017]235号)和关于进一步做好受益所有人身份识别工作有关问题的通知》(银发[2018]164号)并没有任何冲突。之所以在描述的具体文字上有些差异,是因为《管理办法》是立法层级高于“通知”的“部门规章”,其内容相对比较原则而非着力于操作细节。金融机构在实践中,仍应执行银发[2017]235号和银发[2018]164号确定的识别标准与方法。6. 强化和简化“客户尽职调查”(第25、第30-31条)对于洗钱或者恐怖融资风险较高的情形以及高风险客户,金融机构应当根据风险情形采取相匹配的强化尽职调查措施(如实地查访、提高客户身份信息审查频率等),对其交易目的和性质、资金来源和用途、经营状况等进一步核实。经常存在的一个误区是,许多金融机构认为只要是“高风险”客户,就必须对其进行交易管控(如限制使用网银支付功能),但实际上这并非是一定之规。本《管理办法》第31条就明确了只有在“采取强化尽职调查措施后”,认为“需要对客户的洗钱或者恐怖融资风险进行风险管理的”,才应当对客户的“交易方式、交易规模、交易频率等实施合理限制”。相对应地,对经风险评估且具有充足理由判断其洗钱和恐怖融资风险较低时,可以采取相匹配的简化尽职调查措施,如可以先建立业务关系再完成客户及其受益所有人身份核实。不过在实践中,简化的“客户尽职调查”已经近乎是一项沉睡的制度。虽然偶尔会应用到个例客户尽职调查中,但由于顾虑监管机构在现场检查中不认可金融机构自身认定的“低风险”,因此金融机构普遍地并未将之作为一项日常的洗钱和恐怖融资风险管理制度来实施。与现行的反洗钱反恐融资监管规则一样,本《管理办法》允许金融机构将部分客户尽职调查外包给合格“第三方机构”来实施,且并不限制此“第三方机构”是否金融机构,但不得通过来自高风险国家或地区的第三方开展客户尽职调查。在“客户尽职调查”外包的安排中,“第三方机构”只按照与金融机构协议中约定的内容开展工作,“客户尽职调查”的责任依然归属于金融机构。在市场实践中,“客户尽职调查”外包是大量、频繁发生的,尤其是在资管产品或理财产品的代销中,如证券公司代销私募证券投资基金、银行代销公募基金。代销机构为了保护自己的客户资源不会流失,因而不会将客户的全部信息和资料交付给资管产品或理财产品的管理人,尤其拒绝交付客户的联系方式信息。尽管代销机构以上的做法并不符合本《管理办法》第39条“金融机构能够立即从第三方获取客户尽职调查的必要信息”之规定,但是在代销渠道强势的情况之下,金融机构往往只能接受。“保存客户身份资料及交易记录”的
具体要求(第44-47条)
本《管理办法》阐释了金融机构“客户身份资料及交易记录”的基本原则,即必须精细到“足以重现和追溯每笔交易”。这并不是新的法规要求,而是15年来中国人民银行一贯的监管规定。考虑到金融机构交易的复杂性及频繁程度(尤其是证券业和第三方支付机构),要做到这一点,对任何金融机构都是巨大的挑战,尤其是在当前金融交易普遍存在纸质文档和数字化文件交织的情形之下。仅以一笔商业银行贷款为例,从客户提出贷款申请,到商业银行审查贷款申请资料、查阅申请人征信记录、批准授信额度、签订贷款合同、开立贷款账户、发出放款指令、贷款自主或受托支付、贷后审查合同发票原件、借款人归还本金和利息、撤销关闭贷款账户等全过程,银行须按照时间顺序和业务推进的步骤,保留每一个环节上的“交易记录”,尤其是需要将纸质文件和电子交易痕迹建立一一对应的映射关系。更重要的是,金融保存的“客户身份资料”,不仅是“客户身份资料”,还要保存“反映金融机构开展客户尽职调查工作情况的各种记录和资料”,也就是还须保存“客户尽职调查”整个工作程序中的痕迹。“客户身份资料及交易记录”的保存期限,一般是从交易结束后至少保存5年。法律、行政法规对客户身份资料及交易记录有更长保存期限要求的,从其规定。例如,中国证监会法规要求资管产品投资者适当性材料的保存期限长达20年之久。金融机构违反本办法的,由中国人民银行按照《反洗钱法》第31-32条的规定予以处罚;并区别不同情形,采取或者建议中国银监会和中国证监会采取下列措施: 取消金融机构直接负责的董事、高级管理人员和其他直接责任人员的任职资格、禁止从事有关金融行业的工作。以2022年3月1日为时间节点,在此之前已建立业务关系或进行交易,但未满足本《管理办法》有关客户尽职调查要求的,应自2022年3月1日起1年内完成较高风险以上存量客户的尽职调查,自2022年3月1日起2年内完成全部存量客户的尽职调查。《金融机构客户尽职调查和客户身份资料及交易记录保存管理办法》是一部继承多于创新的监管规则,有利于保持金融机构反洗钱反恐融资风险管理系统和方法稳定性。《反洗钱法(修订草案)》公开征求意见期也早已期满,期待着反洗钱立法上的更大突破。
注:本文件非基金宣传推介材料,仅作为本公司旗下基金的客户服务事项之一。本文件所提供之任何信息仅供阅读者参考,既不构成未来本公司管理之基金进行投资决策之必然依据,亦不构成对阅读者或投资者的任何实质性投资建议或承诺。本公司并不保证本文件所载文字及数据的准确性及完整性,也不对因此导致的任何第三方投资后果承担法律责任。本文所载的意见仅为本文出具日的观点和判断,在不同时期,朱雀基金可能会发出与本文所载不一致的意见。本文未经朱雀基金书面许可任何机构和个人不得以任何形式转发、翻版、复制、刊登、发表或引用。