刑事立法在于告诫意图洗钱的行为人“不要做”,聚焦于事后惩治,而行政立法更倾向于指导反洗钱义务主体“怎么做”,注重在事前预防。我国以《反洗钱法》为核心,以《国务院办公厅关于完善反洗钱、反恐怖融资、反逃税监管体制机制的意见》为指导,辅之以多部部门规章,逐渐形成了全方位、多层次的反洗钱行政立法体系。
反洗钱行政立法肇端于银行业。1997 年《大额现金支付登记备案规定》要求各开户银行建立大额现金支付登记备案制度,此后的《关于大额现金支付管理的通知》《个人存款账户实名制规定》均旨在实现对金融风险的防控,其中也包括了洗钱风险。2003 年修订的《中华人民共和国中国人民银行法》第 4 条第 10 款规定中国人民银行指导、部署金融业反洗钱工作,负责反洗钱的资金监测。将此前由公安部负责的反洗钱职能交由中国人民银行承担。同年,中国人民银行发布了“一规两办法”,即《金融机构反洗钱规定》《人民币大额和可疑支付交易报告管理办法》《金融机构大额和可疑外汇资金交易报告管理办法》,规定了客户身份登记制度、大额可疑资金交易报告制度、客户账户资料保存制度等,初步构建了我国反洗钱行政管理框架,为《中华人民共和国反洗钱法》(以下简称《反洗钱法》)的出台奠定了基础。2006 年,《反洗钱法》正式表决通过,并于 2007 年 1 月 1 日开始实施。其颁布意义重大、影响深远,在整个反洗钱行政法律体系中起到了统领的核心作用,不仅明确了反洗钱行政管理部门的职责,也规定了反洗钱义务主体的责任,极大地推动了洗钱犯罪预防法律制度的完善,维护了经济社会的稳定与金融秩序的健康发展。
当前我国的反洗钱行政立法是以《反洗钱法》为核心,以《国务院办公厅关于完善反洗钱、反恐怖融资、反逃税监管体制机制的意见》为指导,涵盖多部部门规章、规范性法律文件的全方位、多层次的法律体系,主要内容包括以中国人民银行为中心的反洗钱监管工作框架和以反洗钱义务为核心的反洗钱预防法律制度。
《反洗钱法》的主要内容包括:第一,明确反洗钱监督义务主体。法律规定由国务院反洗钱行政部门设立反洗钱信息中心,反洗钱行政主管部门可以从国务院其他部门获得洗钱所需信息。根据第 8 条规定,国家金融监督管理总局(原银保监会)、中国证券监督管理委员会(以下简称“证监会”)承担相应领域内洗钱的监督、管理工作。第二,规定金融机构应实施的预防措施。《反洗钱法》在《金融机构反洗钱规定》的基础上进一步明确了客户身份识别制度、客户身份资料和交易记录保存制度、大额交易和可疑交易报告制度等,并规定金融机构在不履行上述义务时的法律责任。不仅对单位、机构进行罚款,还应当对直接负责的董事、高级管理人员和其他直接责任人员进行处罚。第三,规定了反洗钱调查以及程序。该法对制作询问笔录、查阅复制账户信息、调取封存文件进行详细规定,规范了反洗钱行政部门的调查程序,便于为行政处罚、刑事诉讼保存合法证据。第四,加强反洗钱国际合作。从法律层面确认与他国打击洗钱合作时应遵循互惠原则,依法与他国反洗钱机构开展司法协助、交换信息资料。
除了《反洗钱法》主导的反洗钱行政法律规范,对于反洗钱工作的规定还可散见于其他法律、法规当中。例如,《中华人民共和国禁毒法》第 29 条规定了反洗钱行政主管部门应当对疑似毒品犯罪交易的资金进行监测,并负有向侦查部门进行汇报线索的义务。
另外,反洗钱与反恐怖主义融资在立法上关系密切。两者之所以具有天然的关联性,主要基于:第一,恐怖主义活动的资金流动与处理上游犯罪所得的资金流动均需要秘密性,并需要借助一定的媒介将非法的资金掩饰为合法资金并加以利用。第二,恐怖主义也是洗钱罪的上游犯罪之一,利用恐怖主义获得的犯罪所得要么接着用于资助其他恐怖主义活动,要么转化为合理收入流进金融市场、破坏金融管理秩序,均可产生严重的社会危害。第三,反洗钱的重要目的之一就是防止犯罪分子利用洗白的资金为恐怖主义活动融资,根据全球的反洗钱与反恐怖融资实践经验来看,不具备良好反洗钱措施的国家也往往是恐怖主义活动地或恐怖主义的资金周转地。由于我国 2015 年才出台《反恐怖主义法》,在此之前反恐怖融资的监控按照《反洗钱法》第36 条要求适用《反洗钱法》的规定。现行法律规范中,多将反洗钱与反恐怖融资作为一个整体共同推进。例如,《中华人民共和国反恐怖主义法》第 24条规定:“国务院反洗钱行政主管部门、国务院有关部门、机构依法对金融机构和特定非金融机构履行反恐怖主义融资义务的情况进行监督管理。国务院反洗钱行政主管部门发现涉嫌恐怖主义融资的,可以依法进行调查,采取临时冻结措施。”本条赋予反洗钱行政主管部门以反恐怖主义融资的监管权与执法权。再如,《中华人民共和国境外非政府组织境内活动管理法》第 44 条与2019 年修订的《中华人民共和国外资银行管理条例》第 9 条和第 20 条均规定了对外国银行代表处、中外合资银行及其他非政府组织代表机构做出建立有效反洗钱、反恐怖主义融资制度的要求。又如,《银行业金融机构反洗钱和反恐怖融资管理办法》《中国银保监会办公厅关于进一步做好银行业保险业反洗钱和反恐怖融资工作的通知》《金融机构洗钱和恐怖融资风险评估及客户分类管理指引》《银行跨境业务反洗钱和反恐怖融资工作指引(试行)》等,赋予了以银行为主的金融机构更详细的反洗钱和反恐怖融资要求。
《中华人民共和国中国人民银行法》《金融机构反洗钱规定》《反洗钱法》明确中国人民银行作为反洗钱主管部门的地位,负责统领我国反洗钱监管工作。
一方面,中国人民银行主要负责金融机构的反洗钱监督工作。中国银行保险监督委员会和中国证券监督管理委员会就中国人民银行对银行、保险及证券机构的反洗钱工作提供相应支持。对于非银行支付机构尚未形成专门的监督,主要由中国人民银行对其进行监管。同时,银保监会对非银行金融机构、境外金融机构作为金融租赁公司发起人、货币经纪公司的境外出资人是否具有反洗钱措施进行审核,证监会对证券期货业进行反洗钱的监督。
另一方面,中国人民银行与其他非金融领域的有关部门联合,指导特定非金融领域的反洗钱监管工作。其中,司法部负责对律师办理执照及监督,财政部负责监督会计师事务所及注册会计师,住房和城乡建设部负责房地产行业的监管,而上海黄金交易所作为中国人民银行设立的自律监管机构主要负责对其会员的监督,民政部负责社会组织的监管。不过,这些部门均未形成对专门性反洗钱的监管,基本由中国人民银行负责反洗钱工作的开展。而对于其他的特定非金融机构基本只能在登记、许可环节予以限制,并未形成有效的监管。除此之外,货币和贵金属的跨境流动由海关总署负责监管。
(一)反洗钱义务主体
洗钱犯罪的预防主要依靠反洗钱义务主体积极履行反洗钱具体制度得以实现。现行《反洗钱法》初步划定了反洗钱义务主体的范围,规定了金融机构与特定非金融机构两大类主体,并主要明确了金融机构的定义与范畴。此外,其他法律法规也规定了一些需要履行反洗钱义务的特殊主体。下文将对部分义务主体及其责任展开阐述。
1.金融机构
《反洗钱法》第 34 条规定:“金融机构,是指依法设立的从事金融业务的政策性银行、商业银行、信用合作社、邮政储汇机构、信托投资公司、证券公司、期货经纪公司、保险公司以及国务院反洗钱行政主管部门确定并公布的从事金融业务的其他机构。”依据不同金融机构的类型,各类法律规范文件又对其反洗钱监管法律制度进行了细致化规定。
(1)商业银行
由于外商独资银行、中外合资银行、外国银行分行的独特性,我国对于普通商业银行与上述三类银行的反洗钱义务作出了区分。
普通银行的反洗钱义务不仅体现在《反洗钱法》当中,也体现在部门规章和规范性法律文件中以及对不同的银行业务所遵守的规定做出的不同要求中。《商业银行互联网贷款管理暂行办法》规定应当在办理借贷业务时对客户身份信息、生物信息进行识别,而且应当注重核实是否为本人真实意愿借款,防止出现为他人洗钱进行借贷的情况。对首次从事网络借贷业务的商业银行应当以书面报告反洗钱、反恐怖融资制度。《银行跨境业务反洗钱和反恐怖融资工作指引》有针对性地对银行办理跨境业务可能遇到的洗钱风险做出有针对性的预防措施,例如,通过联网核查身份,客户跨境交易业务种类、数额、途径与历史习惯不符时应当重点监控。根据《银行业金融机构反洗钱和反恐怖融资管理办法》,银行业金融机构的董事会承担最终责任,高级管理层承担实施责任。未按照规定履行反洗钱义务、建立反洗钱管理制度的,应当按照《中华人民共和国银行业监督管理法》进行处罚,而非《反洗钱法》。
《中国银保监会外资银行行政许可事项实施办法》中规定,申请筹建外商独资银行、中外合资银行、外国银行分行的申请人、股东应当具备有效的反洗钱措施,其专营机构及支行开业、设立外国代表处、调整出资比例、更改股东、变更公司组织形式、公司合并分立、开办衍生产品交易业务等情形,均应当向当地的银保监局提交洗钱、反恐怖主义融资制度或相关报告、承诺书。
(2)保险机构
保险公司、保险资产管理公司及分支公司履行反洗钱义务的主要依据为《互联网保险业务监管办法》《保险公司管理规定》《保险业反洗钱工作管理办法》。依据上述规定,保险机构应履行客户识别、尽职调查、保存客户身份资料与交易记录、对大额交易与可疑交易向反洗钱检测中心及人民银行报告等义务。
《保险机构洗钱和恐怖融资风险评估及客户分类管理指引》提出了保险业务客户尽职调查详尽有效的措施,要求保险机构对短时间内频繁投保、退保的客户进行风险识别,对高风险用户重点监控,例如,对受益所有人应按照《中国人民银行关于进一步做好受益所有人身份识别工作有关问题的通知》,具化受益人身份识别的内部管理制度和操作规程。此外,保险机构提高了对董事、监事、高级管理人员的注意义务程度,2021 年发布的《保险公司董事、监事和高级管理人员任职资格管理规定》要求负责人接受反洗钱培训。在公司出现反洗钱内控巨大隐患时,由银保监会对其谈话,并可责令限期整改。
(3)证券、期货、基金、保荐公司
与银行、保险机构类似,证券期货机构应当建立客户风险等级划分、资料保存、可疑交易报告等制度,每年年初要上报证监会派出机构宣传与预防工作的进展。在不履行上述义务时应对其责令改正、监管谈话或责令参加培训等。《公开募集证券投资基金销售机构监督管理办法》中也明确基金销售机构要具有有效的客户尽职调查制度和交易记录保存制度,违反规定的证监会可对其采取监管谈话、出具警示函、责令改正等措施。除此之外,证券激活机构还须承担举报义务,即在收到反洗钱行政处罚或发现工作人员、客户从事洗钱行为时应当在 5 个工作日内通知证监会的派出机构。保荐机构同样也须承担上述义务,但是在违反相关义务时须承担相对严格的责任,根据《证券发行上市保荐业务管理办法》,保荐机构疏于反洗钱业务管理的,视情节轻重,责令其暂停保荐业务、更换董事或高级管理人员、撤销保荐资格。
2.特定非金融机构
对于特定非金融机构的主体范围以及义务内容,当前《反洗钱法》并没有明确。只是在 2018 年《中国人民银行办公厅关于加强特定非金融机构反洗钱监管工作的通知》(以下简称《非金融机构反洗钱通知》)中列举了五类非金融机构,包括房地产业、贵金属业、会计师与律师事务所、公证机构、公司服务提供商,并发布了各非金融机构的反洗钱部门规章,包括《中国人民银行关于加强贵金属交易场所反洗钱和反恐怖融资工作的通知》《住房城乡建设部 人民银行 银监会关于规范购房融资和加强反洗钱工作的通知》《财政部关于加强注册会计师行业监管有关事项的通知》。比如,贵重金属交易具有重塑性强、现金流动大等特点,国际组织也将其视为洗钱犯罪多发领域。中国人民银行出台《关于加强贵金属交易场所反洗钱和反恐怖融资工作的通知》,要求交易商户应当坚持“了解你的客户原则”,将保存交易记录 5 年。对可疑交易人员及时向反洗钱监测中心进行反馈,并告知公安、国安等部门。
3.其他主体
随着洗钱手段的日益丰富,所涉及的领域也逐渐拓宽,反洗钱义务主体范围也进一步扩张,各行各业的反洗钱部门规章相继出台。
第一,金融消费者具有配合银行完成反洗钱调查的义务。根据《中国人民银行金融消费者权益保护实施办法》,若因为金融消费者致使银行、支付机构不能完成反洗钱义务的,银行或支付机构可以限制或拒绝对其提供金融服务。
第二,互联网的飞速发展也使其逐渐成为信息时代洗钱犯罪分子的重要渠道之一。互联网金融机构指的是以互联网络平台为依托,提供融资、支付、投资、借贷、众筹等服务的机构。《互联网金融从业机构反洗钱和反恐怖融资管理办法》指出,互联网金融机构除了传统的可疑交易、客户身份识别等常规反洗钱措施,还应当对反洗钱、反恐怖融资人员名单进行实时监测。违反此办法的由中国人民银行责令整改。
第三,在支付形式多元化的背景之下,丰富的非银行支付机构也为洗钱与恐怖融资提供了新型渠道。非银行支付机构指的是可以进行网络支付、预付卡发行以及中国人民银行确定的其他支付服务的机构,例如,发行超市购物卡、互联网转账支付、移动电话卡支付等。这些支付机构应当具备有效的反洗钱措施并接受中国人民银行不定期的检查。违反相关义务的按照《反洗钱法》规定对其进行处罚,严重违法的可以吊销其《支付业务许可证》。
第四,社会组织也被赋予了反洗钱义务。根据《社会组织反洗钱和反恐怖融资管理办法》,社会组织包括社会团体、基金会、社会服务机构和外国商会,这些组织应当雇专人进行反洗钱业务指导,制定反洗钱内控制度,在与对方交易时要尽到合理的注意义务,核实对方真实身份,并保存 5 年内的交易信息;发现洗钱线索时及时向中国人民银行汇报;违反规定的,由中国人民银行或者其地市中心支行以上分支机构依法予以处罚。
(二)反洗钱义务内容
《反洗钱法》中对于反洗钱义务的具体内容也作出了基本规定,其他监管机构在此基础上依据各行业的特色作出了细化规定,由此初步形成了客户身份识别与尽职调查、客户身份资料与交易记录保存、大额交易和可疑交易报告以及洗钱与恐怖融资风险评估这四项义务。
1.客户身份识别与尽职调查
客户身份识别与尽职调查即了解客户身份、交易背景和风险状况,从而采取相应的风险管理措施。《反洗钱法》要求在与客户建立业务关系或者为客户提供规定金额以上的一次性金融服务时应识别并核实客户身份。 中国人民银行、中国证监会、中国银保监会联合发布的《金融机构客户身份识别和客户身份资料及交易记录保存管理办法》将《反洗钱法》中所指“规定金额”确定为单笔人民币 1 万元以上或者外币等值 1000 美元以上,符合上述条件时,应当识别客户身份,了解实际控制客户的自然人和交易的实际受益人,核对客户的有效身份证件或者其他身份证明文件,留存有效身份证件或者其他身份证明文件的复印件或者影印件。中国人民银行、国家外汇管理局联合印发的《银行跨境业务反洗钱和反恐怖融资工作指引(试行)》指出,银行应在为客户开立外汇账户或与客户建立跨境业务关系时坚持“了解你的客户”原则,进行持续的客户识别。中国证监会印发的《公开募集证券投资基金销售机构监督管理办法》中第 18 条要求有效识别投资人身份,核对投资人的有效身份证件,登记投资人身份基本信息。上述文件均提出了对客户尽职调查的要求。在客户尽职调查制度的执行过程中,监管机构针对不同情形作出了区别标准以及加强审查的要求。
《金融机构客户身份识别和客户身份资料及交易记录保存管理办法》对不同机构达到何种业务量时采取身份识别做出不同标准。例如,银行、信用社对自然人单笔超过 5 万元人民币或 1 万美元以上的现金存取应当进行身份识别;保险机构退还保单、保费超过 1 万元或 1000 美元时应当进行客户识别;证券、期货、基金等机构办理业务时不以金额为依据地进行客户身份识别。
2017 年《中国人民银行关于加强反洗钱客户身份识别有关工作的通知》则要求对特定业务关系与特定自然人单位采取针对性加强的方式。特定自然人包括实际受益人、代理人、外国政要、国际组织的高级管理人员及上述主体的特殊关系人。实际受益人即实际控制客户的自然人和交易的实际受益人,通常包括公司实际控制人以及最终交易过程享受经济利益的人。 中国人民银行对公司、合伙企业、基金等自然人、机构以 25%的份额或收益为标准进行识别判定。对代理人进行身份识别的原因在于可能出现代理人借用被代理人的名义或帮助被代理人进行洗钱,对代理人的识别相较实际受益人而言难度更小。对外国政要以及国际组织的高级管理人员重点监测缘由在于腐败官员为逃避司法侦查将资产转移至境外。外国政要洗钱不但造成贪污资金外流,其案件若被公之于众容易引起金融市场的波动。因此,对其身份识别重点了解是否为真实身份、是否获得国家或组织授权,对其提高监测的频率与强度。特定业务关系包括对于寿险和具有投资功能的财产险业务,业务中无法进行客户身份识别的,业务主体包括国际反洗钱组织指定高风险国家或者地区的客户等。洗钱行为往往通过洗钱成功率高、反洗钱监督薄弱的环节入手进行洗钱行为,例如,大额现金存取、跨境汇款汇兑、签订解除保险合同、保险给付以及批量代发等业务。因此,《中国人民银行关于加强反洗钱客户身份识别有关工作的通知》中强调应当根据产品、业务的风险评估结果,结合业务关系特点开展客户身份识别。不同的金融机构采取针对性、差异性的客户身份识别流程,这也是落实“风险为本”的体现。
2.客户身份资料与交易记录保存
金融机构的客户身份资料与交易资料保存是一项重要而基础的工作,各个国家经济法、金融法律以及会计法均有所规定。从反洗钱角度,保存身份资料与交易资料能够协助客户尽职调查的顺利完成,同时便于司法机关搜集证据、刑事诉讼。在可疑交易监测过程中发现异常的,也需要以客户的身份资料背景为依据,判断对特定客户而言是否为异常操作。
客户身份资料与交易记录保存应当恪守安全、准确、保密等原则。根据我国《反洗钱法》和诸多规范性法律文件,客户身份资料与交易资料应当严格保密,无法律依据的情况下不得对任何组织提供,司法机关获得相应资料也只能用于刑事诉讼。金融机构在采集和保存个人信息的时候应当告知并经过客户同意,《网络安全法》第 22 条和第 41 条规定互联网产品、服务收集用户个人信息的应当经过用户同意,收集范围、目的和方式也应当被用户知悉。2020 年 10 月开始实施的《信息安全技术个人信息安全规范》中同样载明,收集个人信息的应确保被收集主体是在自愿、明知的基础上做出的决定,并明确告知拒绝或同意收集信息所带来的后果。
反洗钱法也规定了金融机构对客户身份资料、交易记录的保存、变更办法,但对哪一些身份信息、交易记录进行保存无明确规定,应当根据不同行业、不同业务需求进行定夺。《金融机构客户身份识别和客户身份资料及交易记录保存管理办法》细化金融机构保存相关信息规定,同时也为了契合《FATF 40 项建议》,要求交易信息从当年计起至少保存 5 年,若有洗钱嫌疑的应当至少保存到洗钱调查结束。客户资料包括但不限于以下内容:个人有效身份证件、代理人的有效身份证件、个人外貌及生物特征、业务经办人的身份资料、法人的董事与其他高级管理人员的名单、股份制公司的股东名单及持股类型、客户经营状况、受益人的身份资料及家庭背景等。需要保存的类型一般认为可以分成两大类:财目变动的交易记录与操作变动记录。 财目变动记录泛指能够引起资金、资产增加或减少的记录。操作记录根据业务类型不同所记录的内容也不同,例如,银行业银行卡的解除、绑定、挂失银行卡,保险业更换受益人等等。此外,若金融服务客户拒绝提供个人信息,根据《中国人民银行金融消费者权益保护实施办法》规定,金融消费者拒绝履行反洗钱义务的银行或支付机构可以限制或拒绝为其服务。
3.大额交易和可疑交易报告
大额交易与可疑交易报告是大部分国家金融机构预防、控制与识别洗钱活动的主要途径。 中国人民银行在 2016 年发布《金融机构大额交易和可疑交易报告管理办法》,在《反洗钱法》所规定的报告义务基础之上,进一步明确不同主体、不同范围大额交易的标准。证监会制定的《中国证券监督管理委员会关于做好大额交易和可疑交易报告及相关反洗钱工作的通知》和保监会制定的《中国保险监督管理委员会关于加强保险业反洗钱工作的通知》,均对大额交易与可疑交易做出了与业务相关的管理规定。可见大额交易与可疑交易的报告制度成为金融机构的强制性义务,识别大额交易与可疑交易应当按照法律或行政主管部门标准对数额、交易目的和受益所有人身份等内容进行监控。
大额交易的数额有不同分类标准,对于所有现金结算,超过 5 万元人民币或 1 万美元应当报告。内地银行账户之间划转自然人超过 50 万元人民币或非自然人超过 200 万元人民币应当报告。大额交易的计算方法一般是以客户为单位,《支付机构反洗钱和反恐怖融资管理办法》中要求同一个用户开设了多个账号时应当建立联系、统一管理。大额交易与交易记录保存在管理要求上近似,将大额交易的记录保存至 5 年以上,处在反洗钱调查过程中的应当保存至调查工作结束。大额交易记录非依法律规定也不得向任何单位和个人提供。
2004 年我国成立了反洗钱监测中心,其职能之一是接受各行业所提交的可疑交易报告。与大额交易的标准不同,可疑交易报告的标准由不同机构自己拟定,《金融机构大额交易和可疑交易报告管理办法》只发布了原则性参考依据,提醒机构注意高风险的地区、资产规模、客户群体。非自然人交易监测不仅仅关注客户身份、资金流向、资金数量等,还应当对当地犯罪情况、洗钱风险评估、地域分布、资产规模等内容进行综合性的判断。可疑交易监测由银行先通过系统建模对可疑交易进行提取,随后进行人工判断。一般认为需要提取的内容包括:有证据证明异常交易违法;没有证据表明该异常交易合法;无法完成客户尽职调查内容;身份识别过程中发现了可疑情形。《金融机构大额交易和可疑交易报告管理办法》还规定了回溯性调查,即恐怖主义活动组织或成员名单调整的,金融机构要对调整人员过去三年内的交易进行回溯性调查并提交报告。目前仅针对涉恐的回溯性调查作出规定,在洗钱高危名单采取回溯性调查也应当考虑是否需采取该措施。
对于既是大额交易又是可疑交易的,金融机构应当分别提交两种不同报告,在提交反洗钱检测中心之后还应当以电子或书面形式向中国人民银行或分支机构进行报告。提交之后应当提高相关客户、账户的风险等级,对这些客户采取限制账户、降低交易限额等措施,并重新对客户身份进行识别。
4.洗钱与恐怖融资风险评估
风险评估包括两方面:一是对自身面临的洗钱与恐怖融资风险进行评估;二是对自身产品、服务、控制措施在遏制洗钱行为的有效性方面进行测评,目的是提高反洗钱工作的有效性与针对性,为金融机构划分客户洗钱风险等级提供依据,优化资源配置。《国务院办公厅关于完善反洗钱、反恐怖融资、反逃税监管体制机制的意见》中便提出了“以风险为本”的要求。应建立健全以防控风险为本的监管机制,以有效防控风险为目标,持续优化反洗钱监管政策框架 ,各监管机构也发布了具体的风险评估指引。
中国保监会发布的《保险机构洗钱和恐怖融资风险评估及客户分类管理指引》中提出保险机构的风险自我评估应当坚持风险为本、动态管理和保密三大原则。从内外两方面对自身遭受洗钱可能性进行自评,包括产品与业务流程两大主线。对内的产品评估要从属性进行考察,例如,历史退保比例和退保金额大的产品更有可能被洗钱犯罪分子所利用,保单质押变现能力越高,其洗钱风险也就随之增长。为防止业务流程出现洗钱行为漏洞,《保险机构洗钱和恐怖融资风险评估及客户分类管理指引》提出了十二项高风险业务流程环节,例如,保险费收取方式是否包括现金,是否限制退保至第三方账户,资金支付至境外是否有规定等。这些环节把控严格则会大大降低洗钱犯罪的可能性。对外部的风险评估采取人与行为综合测评的方式。对客户的风险评估近似于客户尽职调查的规定,对保险机构客户的国籍、所在地洗钱犯罪率、身份年龄进行综合判断。对行为要看其是否出现趸缴大额保费、重复投保、全额退保等异常性行为。
中国人民银行针对金融机构分别印发《法人金融机构洗钱和恐怖融资风险自评估指引》与《金融机构洗钱和恐怖融资风险评估及客户分类管理指引》,旨在提升反洗钱和反恐怖融资工作有效性。金融机构风险评估风险坚持相当原则、全面性原则、同一性原则、动态管理原则、自主管理原则、保密原则,适用于银行业、保险业和特定非金融机构。其风险评估的四个基本指标是客户特性、地域、业务、行业,根据不同金融机构的不同特点还可以设置差异化、针对化的评估要素。法人金融机构的风险评估与此类似,针对地域环境、客户群体、产品业务、交易渠道进行风险评估,具体来说:
第一,地域环境方面。要遵循FATF、亚太反洗钱组织(以下简称APG)、欧亚反洗钱及反恐怖融资组织(以下简称EAG)等组织提供的风险提示,并重点考虑恐怖宗教主义、贩卖妇女儿童、海盗、金融有组织犯罪、贪污腐败等犯罪活动频繁的国家和地区,既要考虑我国反洗钱监控要求又要考虑其他世界组织提倡并被我国认可的要求。
第二,产品业务方面。要及时清点本金融机构的高风险金融服务,定期评估与改良。对与现金关联程度高、非面对面交易、跨境交易、代理中介等经济活动重点监测。频繁进行异常、大额交易的组织人群,金融机构应当考虑提高其风险评级。
第三,行业方面。重点对《FATF 40 项建议》提到的高风险行业、现金流密集行业、外国政要及国际组织负责人等职业进行风险评估。合理预判一些行业客户的金融状况、经济交易背景,适当地考虑某些职业技能被不法分子用于洗钱的可能性。
第四,客户方面。综合考虑客户的信息隐蔽程度、身份文件种类、股权架构、控制权所在、客户持续交易往来,权威报道的新闻、名誉、声誉也是进行风险评估的重要因素。
基于上述四大要素,通过定性分析和定量分析相结合的方式计算风险等级,以百分制为参考,风险最高即 100 分,评级不得少于三级,充分体现灵活性。同时规定了低风险评估客户的否定性行为,即出现某些行为时即使是低风险客户也要进行审慎考虑,不可随意基于低分进行评价。