作者|拓扬王珞潘善宝‘中国人民银行反洗钱局;中国人民银行青岛市中心支行;中国人民银行广州分行’
文章|《中国金融》2020年第16期
金融机构洗钱风险管理是反洗钱体系的重要方面
洗钱风险管理是金融机构全面风险管理的重要内容,也是反洗钱体系发挥预防作用的重要手段。与传统的交易记录保存、可疑交易报告等事后风险防范措施相比,洗钱风险管理更加侧重金融机构对洗钱风险的主动识别和事前、事中管控。从国际反洗钱实践经验来看,进一步发挥金融机构的作用已成为提升国家整体反洗钱体系有效性的必然要求,洗钱风险管理措施则是其中重要一环。
金融机构采取洗钱风险管理措施可分为两类:一是基于法律的强制性规定,不得与无法达到基本的身份识别条件的客户建立业务关系;二是根据金融机构自身的洗钱风险管理政策,对识别为高风险的业务或客户自主采取一定限制措施,直至中止业务或拒绝客户。两类措施的制度基础不同,适用范围和灵活性也有差异,如果说前者是必须遵守的“底线”,那后者则是应当不断逼近的“高线”。
根据法定客户身份识别要求采取风险管理措施
客户身份识别是金融机构各项反洗钱措施的基础,无法识别客户身份或无法完成客户尽职调查意味着不可控的洗钱风险。因此,金融行动特别工作组(FATF)在有关客户尽职调查的核心建议中,明确禁止金融机构存在任何匿名或假名账户,不得在无法完成客户尽职调查时开立账户、建立业务关系或进行交易。
各国反洗钱法律也普遍规定了对于无法完成客户身份识别的客户,金融机构不得为其开户、建立业务关系,或应采取其他控制措施。例如,美国《联邦法规》中有关金融犯罪的章节规定,金融机构在未能核实客户身份信息时,应拒绝开户、暂停交易活动、提交可疑报告,在客户身份验证失败后关闭账户。欧盟《反洗钱第四号指令》规定,对于无法满足客户尽职调查要求的客户,金融机构不得与其建立业务关系或者进行交易,已建立业务关系的则应立即终止。德国《反洗钱法》进一步明确,若金融机构无法完成客户尽职调查,即便是已建立业务关系的客户,金融机构决定终止业务关系时也无需考虑任何其他的法定条款和合同条款的约束,以免除金融机构在对客户采取风险管理措施时的顾虑。
根据机构自身洗钱风险管理政策采取措施
FATF《40项建议》要求金融机构建立“风险为本”的洗钱风险管理体系,包括识别风险、制定政策、实施监测以及对识别出的高风险情形采取强化控制措施。因此,在满足法定的客户尽职调查要求之外,金融机构还应针对不同情形自主采取洗钱风险管理措施。
事实上,金融机构作为独立经营的市场主体,采取风险管理措施属于其自身经营决策和风险管理范围内的事项,无需也不宜由国家出台硬性规定,当然也有部分国家以指引或建议的方式提出了监管期望。如英国反洗钱联合指导小组(JMLSG)在其《预防洗钱和反恐怖融资金融业指引》中提出,如果金融机构有合理理由证明或怀疑客户存在洗钱或资助恐怖主义的情形,必须向主管部门报告并冻结相关资金,所冻结资金直到获得主管部门同意后才可返还客户。德国中央银行在其监管建议中指出,对于涉及可疑交易的客户,银行反洗钱合规官应在与高级管理层协商后决定是否终止特定业务关系,若洗钱风险进一步提升,则必须终止业务关系或者相关交易。
从实践情况来看,在发达国家成熟的法治环境和较好的反洗钱工作基础上,美欧等经济体金融机构采取主动风险管理措施的情况较为普遍,冻结或关闭涉嫌洗钱活动账户的报道屡见不鲜,成为它们反洗钱机制的重要组成部分。
我国金融机构洗钱风险管理工作面临诸多困境
从我国实践情况来看,当前金融机构执行洗钱风险管理措施的情况存在数量少、层次低、范围窄的问题,已采取的措施中又以主动性较弱的第一类风险管理措施为主,而少量主动采取的风险管理措施,在实践中还面临着法律诉讼风险,可谓障碍重重。
究其根源,一方面是我国反洗钱工作起步较晚,金融机构和社会公众对洗钱问题认识程度不高,金融机构主动采取风险管理措施的意识和社会公众对风险管理措施的接受度还比较低;另一方面是反洗钱法律法规滞后。我国现行反洗钱法律法规既未赋予金融机构建立洗钱风险管理体系并主动采取洗钱风险管理措施的义务,也未在法律层面充分保障金融机构依法采取洗钱风险管理措施的权利,仅有的强制性限制措施还存在适用范围过窄的局限。这些因素都制约了洗钱风险管理措施在反洗钱体系中的预防作用。
第一,洗钱风险管理未纳入反洗钱法定义务范围。尽管近年来人民银行不断强调“风险为本”的反洗钱原则,引导金融机构反洗钱工作从合规性向洗钱风险管理转变,但总体而言,金融机构普遍未建立有效的洗钱风险管理框架。究其原因,现行《反洗钱法》规定的金融机构反洗钱基本义务只包括建立反洗钱内部控制制度、客户身份识别等基础性要求,而未对金融机构建立洗钱风险管理体系和采取风险管理措施作出规定,也无相应罚则。虽然人民银行在一系列制度文件中已提出了相应要求,但法律层级较低,且缺乏坚实的上位法依据和对应的罚则。作为监管工作最重要的“指挥棒”,对金融机构违规行为的处罚只能以《反洗钱法》所规定的基础性合规工作为主,难以有效督促金融机构将反洗钱工作从合规性层次提升至风险管理层次,并自主采取风险管理措施。
第二,法律法规规定应采取管理措施的客户身份识别条件过于苛刻。根据《反洗钱法》和相关法规,只有在“身份不明”和“身份证过期且无合理理由不更新”的情况下,金融机构才须依法中止与客户的业务。对于未完成客户身份识别的其他情形,包括无法获取客户联系方式、职业等身份基本信息,无法核实客户身份,无法识别受益人所有人等,均未在法律层面作出规定,而这些信息和措施对于金融机构履行反洗钱义务、了解和识别客户及交易的背景和目的具有重要意义。在一些诉讼案例中,尽管金融机构援引《反洗钱法》关于“禁止与身份不明客户建立业务关系”的条款为自身采取风险管理措施辩护,但法院根据现行法律法规认为电话号码、职业等客户基本信息缺失不适用“身份不明”条款,往往判决金融机构败诉。因此,实践中“身份不明”的判定标准被进一步局限于客户未提供真实有效的身份证件的单一情形。本应作为反洗钱体系的一道重要“底线”被一降再降,未能充分发挥其应有效果。
第三,金融机构自主采取风险管理措施面临外部压力,且法律保障不足。尽管金融机构是否与某客户建立业务关系或为其提供何种服务本质上属于机构经营自主权,但在当前社会舆论环境中,一些部门和社会公众普遍将金融机构视为“准公共产品”的提供方及合同关系中的强势方,客户“维权”意识高涨,金融机构限制或中止为客户提供服务时常面临投诉、起诉甚或以“曝光”相威胁。更重要的是,《反洗钱法》对于机构自主采取风险管理措施缺乏明确的规定和保障,人民银行出台的部门规章、规范性文件法律层级较低,司法机关在此类案件中只能适用《民法》《合同法》《消费者权益保护法》等一般性法律,通常倾向于保护消费者权益。特别是在对已建立业务关系的客户采取风险管理措施时,还涉嫌侵犯客户财产权、知情权,在没有坚实法律支持的情况下,也无法得到司法机关支持。
抓紧完善反洗钱法律法规,保障金融机构合法履职
为促进金融机构反洗钱工作向“风险为本”模式转变、更加积极主动采取洗钱风险管理措施,切实防范当前利用银行账户从事电信诈骗、网络赌博、非法集资等涉众犯罪,必须尽快修订反洗钱法律法规,完善相关规定。
第一,强化金融机构洗钱风险管理义务。建议在《反洗钱法》中增加金融机构应基于“风险为本”原则建立洗钱风险管理体系和内部控制制度的规定,落实“风险为本”原则,将洗钱风险管理作为金融机构核心义务之一,要求金融机构识别、评估业务和客户洗钱风险,在本机构风险控制能力范围内开展相关业务。这是督促金融机构反洗钱工作向洗钱风险管理模式转变的必要基础。
第二,适当扩大禁止性条款的适用范围。我国金融机构客户身份识别起步于2000年前后的“账户实名制”要求,经过20年的发展和规范,目前“账户实名制”已基本实现全覆盖,各类违法犯罪活动已从利用匿名、假名账户转向更加复杂的手段,金融机构客户身份识别的目标和要求也必须与时俱进,逐步提升。建议借鉴国际经验,将禁止建立业务关系和办理业务的法定条件,由目前的“未提供真实有效的身份证件或者其他身份证明文件”“身份不明”“身份证件过期”等,扩大为无法完成客户尽职调查或无法核实客户(包括受益所有人)真实身份。
第三,明确金融机构对与客户业务关系和交易采取管理措施的自主权。建议在《反洗钱法》或部门规章中体现金融机构具有洗钱风险管理职责与自主权的内容,明确金融机构在与客户新建立业务关系时和业务关系存续期间,可以基于自身对客户的尽职调查和风险判断,对高风险客户和交易采取包括拒绝建立业务关系、限制账户功能或额度、中止金融服务在内的风险管理措施。同时将未按规定有效执行洗钱风险管理措施纳入行政处罚范围。
第四,增加客户配合尽职调查义务的规定。建议在《反洗钱法》中赋予客户配合尽职调查的义务,确保客户提供信息的真实性和完整性。在客户不履行配合义务或提供虚假身份证明材料等情况下,允许金融机构合理行使相关风险管理措施并免于承担有关的法律或合同责任。
第五,注重保护合法消费者权益。为防止个别金融机构或从业人员滥用风险管理措施,在《反洗钱法》及相关法律法规中应同时体现消费者权益保护原则,通过指引等形式进一步规范风险管理措施的前提条件、工作流程、种类和适用范围等,并为客户提供相应申诉渠道和救济措施。