实务研讨(二):客户身份持续识别的适用情形
合规的策略移动支付网2019/11/22 14:29:16

《反洗钱法》第十六条对客户身份的重新识别作出了规定,但对客户身份持续识别没有规定。客户身份识别是一项持续性的工作,是金融机构自觉的工作,是动态掌握客户交易情况的需要。持续识别为客户风险评级和交易监测提供基础性的评估依据。除了金融机构自觉的持续识别之外,还应当遵守法律法规、规范性文件所要求的应当进行持续识别的情况,后者可以称为法定的持续识别。法定的持续识别主要包括以下几种情形;对客户基本信息的定期审核、非面对面办理业务中的识别、客户出现金额较大的业务或者高频业务时的识别、对特约商户的定期检查等情形。

一、关注客户及其经营活动

金融机构自觉的持续识别的总体要求见于《金融机构客户身份识别和客户身份资料及交易记录保存管理办法》第十九条,本条规定要求金融机构在与客户的业务关系存续期间,应当采取持续的客户身份识别措施,关注客户及其日常经营活动、金融交易情况,及时提示客户更新资料信息。对于高风险客户或者高风险账户持有人,金融机构应当了解其资金来源、资金用途、经济状况或者经营状况等信息,加强对其金融交易活动的监测分析。客户为外国政要的,金融机构应采取合理措施了解其资金来源和用途。客户先前提交的身份证件或者身份证明文件已过有效期的,客户没有在合理期限内更新且没有提出合理理由的,金融机构应中止为客户办理业务。《支付机构反洗钱和反恐怖融资管理办法》第二十一条、第二十二条也有类似的规定。

金融机构持续关注客户的方式包括询问客户、从公开渠道获取、调查等,但获取信息的方式不能违反法律规定。金融机构应将获悉的客户及其经营活动的情况录入系统或者工作表。为避免系统字段过于复杂,不必增加字段,可以将持续识别中获取的信息录入原有的字段,新录入的信息不允许覆盖原信息,不同时间所获取的信息之间用竖线隔开。如果经了解,客户信息没有发生变化的,也应当记录。

二、对客户基本信息的定期审核

关于客户基本信息的定期审核规定,见于《金融机构客户身份识别和客户身份资料及交易记录保存管理办法》第十八条和《支付机构反洗钱和反恐怖融资管理办法》第二十条。金融机构、支付机构应根据客户或者账户的风险等级,定期审核客户基本信息,对风险等级较高客户或者账户的审核应严于对风险等级较低客户或者账户的审核。对本机构风险等级最高的客户或者账户,至少每半年进行1次审核。《支付机构反洗钱和反恐怖融资管理办法》还同时要求支付机构了解客户资金来源、资金用途和经营状况等信息。

客户身份信息是一个动态变化的过程,每一次的身份识别所获取的客户身份信息只反映客户在被识别的那一时刻的身份信息,是静态的信息。假定客户的身份信息可能发生变化是持续识别的理论基础,也是贯彻风险为本原则的需要。另外,持续识别也是实现对客户风险持续追踪的要求,客户的身份信息,尤其是业务的变化与客户风险密不可分,对客户身份的持续识别是动态追踪客户风险的需要。因此,定期审核客户基本信息是必要的,当出现客户风险升高等情形时,需要采取进一步的身份识别措施,比方说了解客户的业务、资金来源、资金用途,这些措施同时也是持续识别的一部分。

对客户基本信息的定期审核是在没有迹象表明客户身份和行为发生重大变化情况下的审核,这种审核应当视为客户身份的持续识别。所审核的客户基本信息不限于身份基本信息,也应当包括业务情况。客户基本信息定期审核的周期应根据客户风险的高低确定,对风险高的客户给予较短的审核周期短,这是合理配置反洗钱资源的一种方式。

定期审核中获取信息的方式和记录信息的方式与前述相同。

三、非面对面办理业务

《金融机构客户身份识别和客户身份资料及交易记录保存管理办法》第十七条规定;“金融机构利用电话、网络、自动柜员机以及其他方式为客户提供非柜台方式的服务时,应实行严格的身份认证措施,采取相应的技术保障手段,强化内部管理程序,识别客户身份。”本条的关键词是“身份认证”,把身份认证措施看作是识别客户身份的手段,但此处的“识别客户身份”未指明是初次识别还是持续识别。就实际场景而言,金融机构与客户建立业务关系的主要方式是面对面,也就是说,客户身份的初次识别主要通过面对面的方式完成,这一点与网络支付机构明显不同。将本条规定的身份认证措施的适用范围限定于初次识别不符合规章的本意,在建立业务关系后,更多的操作将通过非面对面的方式进行,因此,可以认为本条所规定的“识别客户身份”主要适用于客户身份持续识别的场合。

《非银行支付机构网络支付业务管理办法》第二十二条规定,支付机构可以组合选用下列三类要素,对客户使用支付账户余额付款的交易进行验证:(一)仅客户本人知悉的要素,如静态密码等;(二)仅客户本人持有并特有的,不可复制或者不可重复利用的要素,如经过安全认证的数字证书、电子签名,以及通过安全渠道生成和传输的一次性密码等;(三)客户本人生理特征要素,如指纹等。本条是关于在网络支付业务中客户身份持续识别的规定。

非面对面业务容易发生名义客户与实际客户背离的现象。名义客户通常是初次识别中被认定为的客户的自然人或者非自然人,即便是通过面对面身份识别建立的业务关系,在客户办理非面对面业务的过程中,保持名义客户与实际客户之间的一致仍旧是一个重要的课题,即使名义客户与实际客户不一致,也必须确保实际客户被恰当授权或者从身份识别措施中合理推定为已授权,并可以对实际客户的身份进行追溯。因此,在交易中必须验证当前操作的人与名义客户是否为同一人,这种验证客户身份的操作应视为持续识别措施。网络支付业务中验证客户身份的操作都可以看做是持续识别措施,这种持续识别的另一个作用是在名义客户与实际客户不一致的情况下获取实际客户被恰当授权的确凿理由,目的是保护客户权益,同时保证金融机构在被客户追诉时有充分的免责事由。

在非面对面的操作中,通常难以实施人证符合性判断,较多地采取技术措施以验证操作人的身份,并代替人证符合性判断。验证操作人身份的技术措施由客户与金融机构事前秘密约定,技术措施必须使用计算机能够识别的数字信息或者最终能够解析成数字信息的人体生物信息。数字信息或者人体生物信息必须且只能由客户掌握并提供,并在双方约定后采用加密措施存储于系统,在技术措施的控制下,金融机构的工作人员也无从知悉用于验证操作人身份的数字信息或者人体生物信息。客户输入的数字信息或者人体生物信息与系统中事前存储的信息比对一致的情况下,推定操作人为客户本人。目前使用的比较广泛的验证操作人身份的技术措施包括密码、数字证书、面部识别、指纹识别等验证措施。

四、客户出现金额较大的业务或者高频业务

《金融机构客户身份识别和客户身份资料及交易记录保存管理办法》第八条规定,商业银行、农村合作银行、城市信用合作社、农村信用合作社等金融机构为自然人客户办理人民币单笔5万元以上或者外币等值1万美元以上现金存取业务的,应当核对客户的有效身份证件或者其他身份证明文件。依据本条规定,即使金融机构此前已经与客户建立了业务关系,仍然应当核对客户的有效身份证件或者其他身份证明文件,毫无疑问,这是客户身份的持续识别。

根据《支付机构反洗钱和反恐怖融资管理办法》第十一条的规定,客户为个人客户的,出现下列情形时,应核对客户有效身份证件,并留存有效身份证件的复印件或者影印件。这个规范性文件并无要求网络支付业务的客户在开通网络业务时提供身份证件,只在客户出现某种情形时才需要提供。这也是一种客户身份的持续识别措施。需要客户提供身份证件的情形包括以下几种:(一)个人客户办理单笔收付金额人民币1万元以上或者外币等值1000美元以上支付业务的;(二)个人客户全部账户30天内资金双边收付金额累计人民币5万元以上或外币等值1万美元以上的;(三)个人客户全部账户资金余额连续10天超过人民币5000元或外币等值1000美元的;(四)通过取得网上金融产品销售资质的网络支付机构买卖金融产品的;5.中国人民银行规定的其他情形。

五、保险合同赔付

规定金额以上的保险合同赔付时,需要对被保险人和受益人的进行身份识别。如果在保险合同订立时,已经对被保险人和受益人进行过身份识别的,保险合同赔付时的身份识别应为持续识别,这是一种法定的持续识别。

六、特约商户的定期检查(巡检)

《银行卡收单业务管理办法》第二十条要求收单机构建立特约商户检查制度,明确检查频率、检查内容、检查记录等管理要求,落实检查责任。对于实体特约商户,收单机构应当进行现场检查;对于网络特约商户,收单机构应当采取有效的检查措施和技术手段对其经营内容和交易情况进行检查。本条规定,既是关于业务风险的规定,也是反洗钱规定,属于法规的竞合。这种定期检查措施,属于客户身份的持续识别。

本文为作者授权发布,不代表移动支付网立场,转载请注明作者及来源,未按照规范转载者,移动支付网保留追究相应责任的权利。

展开全文
相关阅读
资讯查询取消