刘乃晗:反洗钱信息采集中的法律困境
合规的策略移动支付网2019/11/8 10:54:18

反洗钱工作中,客户身份识别、高风险客户名单预置和可疑交易分析判断等工作都需要收集关于客户的信息,由于法律规定的不完善,反洗钱义务机构采集信息的工作在法律上会遇到一些障碍。

一、受益所有人信息采集的法律困境

受益所有人(beneficialowner)信息是客户身份信息的一部分,反洗钱义务机构采集客户的身份信息时,可以适用“经客户同意”原则,如果客户不同意反洗钱义务机构收集,也不同意提供的话,通常意味着业务关系不能建立。但在采集受益所有人身份信息的场合,情况就很不相同。

受益所有人信息采集中最大的法律困境是遵守法律“事前告知并取得同意”等规定的问题。

按照《全国人民代表大会常务委员会关于加强网络信息保护的决定》(以下简称《网络信息保护的决定》)、《网络安全法》,收集公民个人电子信息时,需要经过被采集者本人同意。《网络信息保护的决定》规定,网络服务提供者和其他企业事业单位在业务活动中收集、使用公民个人电子信息,应当遵循合法、正当、必要的原则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。这部法律文件对“电子信息”没有作出解释,但在理论上,以计算机数据形式存在的信息都可以称为电子信息。《网络安全法》则更进一步,被收集的对象不限于公民个人电子信息,该法第四十一条规定,网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。现在,多数金融机构和支付机构都属于网络运营者中的“网络服务提供者”。

目前,反洗钱义务机构采集受益所有人身份信息的义务并不是由法律或者行政法规作出的规定,《反洗钱法》对受益所有人的身份识别没有作出规定,反洗钱义务机构收集受益所有人身份信息的义务是由《中国人民银行关于加强反洗钱客户身份识别有关工作的通知》(银发〔2017〕235号公布,以下简称“235号文”)确立的,这个文件甚至都不能称为部委规章,只能称作规范性文件。这个规范性文件不仅要求“穿透”非自然人,而且要求反洗钱义务机构记录受益所有人个人隐私信息性质的身份信息,要求义务机构登记客户受益所有人的姓名、地址、身份证件或者身份证明文件的种类、号码和有效期限,这些身份信息除姓名外,都属于按照规定不能公开的信息。

那么,是不是有了人民银行这个规范性文件,就可以豁免反洗钱义务机构对被收集人的“事前告知”并“取得同意”的义务呢?《网络信息保护的决定》)、《网络安全法》并没有采取豁免原则,也就是说,即使按照规定(姑且不论这个规定的性质是什么)必须采集的身份信息,在采集之前也必须告知被采集人并取得同意。必须明确,非自然人客户的同意与受益所有人的同意不是同一概念,非自然人客户和其受益所有人在法律人格上相互独立。也就是说,按照目前的法律规定,反洗钱义务机构采集受益所有人的身份信息,如果不告知受益所有人本人并取得同意,属于非法采集公民个人信息的行为。按《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(法释〔2017〕10号,以下简称《个人信息案件解释》),情节严重的,可能构成犯罪。

实际工作中,受益所有人可能根本不是本机构的客户,且反洗钱义务机构在获取受益所有人的身份信息之前也无法确知受益所有人是否属于本机构的客户。因此,“事前通知”“经过同意”的采集方式通常行不通。

假定一个反洗钱义务机构没有开办网络业务,而且全部使用线下方式采集受益所有人身份信息,是不是就意味着不需要经过被收集人本人同意呢?从《刑法》的规定来看,这种理解并不正确,《刑法》第二百五十三条之一第三款规定:“窃取或者以其他方法非法获取公民个人信息的,依照第一款的规定处罚。”结合《个人信息案件解释》的规定,未经被收集者同意,将合法收集的公民个人信息向他人提供的,属于刑法第二百五十三条之一规定的“提供公民个人信息”,但是经过处理无法识别特定个人且不能复原的除外。也就是说,合法持有个人信息的人,也不能向反洗钱义务机构提供个人信息。从以上法律及司法解释来看,除了经过本人同意之外,没有其他合法途径。

二、高风险客户名单预置中的法律困境

依据人民银行“235号文”的规定,对于外国政要,义务机构除采取正常的客户身份识别措施外,还应当建立适当的风险管理系统,确定客户是否为外国政要,同时应确定非自然人客户的受益所有人是否为特定自然人客户(包括外国政要)。在实际业务中,反洗钱义务机构可能需要以适当的方式获取外国政要的身份信息并预置于风险管理系统之中。这一操作,即使不存在名单买卖的问题,也同样违反了《网络安全法》第四十一条事前告知并经同意的规定,《网络安全法》所说的个人,不仅是指中国公民,还应当包括外国公民。外国政要不属于中国公民,因此,无法动用《刑法》第二百五十三条之一实施刑事处罚。

三、可疑交易分析判断中收集个人身份信息的法律困境

对可疑交易的分析判断,有时需要进一步收集客户和相关的个人的身份信息,假如按照上述法律及司法解释的规定履行告知并取得同意的义务,不仅可能造成泄密的危险,而且可能导致可疑交易的分析判断工作无法开展。

四、解决问题的方案

反洗钱义务机构在身份识别和可疑交易调查中遇到的问题,反映了部门法之间不协调或者规定不明确的问题,个人信息保护的法律及司法解释没有更多地考虑反洗钱工作的需要。中国人民银行的规范性文件位阶较低,无法改变法律的规定。目前,金融机构可以援引《反洗钱法》第十八条来免责。《反洗钱法》第十八条规定:“金融机构进行客户身份识别,认为必要时,可以向公安、工商行政管理等部门核实客户的有关身份信息。”

本文为作者授权发布,不代表移动支付网立场,转载请注明作者及来源,未按照规范转载者,移动支付网保留追究相应责任的权利。

展开全文
相关阅读
资讯查询取消