互联网金融机构同样负有反洗钱、反恐融资义务。2018年10月10日,人民银行、银保监会、证监会联合发布《互联网金融从业机构反洗钱和反恐怖融资管理办法(试行)》(下称《办法》),旨在规范和切实预防互联网金融从业机构反洗钱和反恐怖融资工作。
但对于大量互联网金融机构,其反洗钱领域制度框架和经验几乎为空白。对此,6月24日,中国互联网金融协会发布《互联网金融从业机构反洗钱和反恐怖融资风险管理及内控框架指引手册》。
完整的反洗钱风险管理体系及内控机制具备以下基本要素:管理架构,管理策略,管理政策和程序,管理计划,信息系统与数据治理, 检查、绩效考核和奖惩机制,培训教育,客户身份识别,大额交易和可疑交易报告,身份资料和交易记录保存、保密等。《框架手册》对上述要素作出全面指引,有望为互金机构开展反洗钱风险管理体系和内控机制建设提供参考。也可以成为公众了解反洗钱制度的入门手册。
尽管该指引对互联网金融协会会员以外的从业机构无直接拘束力。但互金协会指出,《框架手册》将会根据市场变动、风险变化进行动态调整和完善,待时机成熟,将联合其他行业协会研究将《框架手册》上升为互联网金融反洗钱工作的行业规则。
身份识别+可疑交易监测
21世纪经济报道记者注意到,《框架手册》要求从业机构应建立专门的客户身份识别制度。不得为身份不明或者拒绝身份查验的客户提供服务或者与其进行交易,不得为客户开立匿名账户或者假名账户。落实对外国政要、国际组织高级管理人员及其特定关系人的客户身份识别措施。
《框架手册》提出,从业机构应制定专门的反洗钱监测分析方案。交易监测标准包括并不限于客户的身份、行为,交易的资金来源、 金额、频率、流向、性质等。对大额交易、可疑交易建立相应的监测和报告流程。当交易与涉恐名单相关时,除立即提交可疑交易报告外,还要依法对相关资金或者其他资产采取冻结措施。
对于客户身份资料和交易信息,机构应至少保存五年。机构破产或解散时,客户身份资料和交易记录应移交监管机构指定的机构。
跨境事项保密有特殊要求
《框架手册》还提出,机构应按照有关保密规定, 健全内部控制机制,严格保护反洗钱工作中获得的信息,非依法律规定,不得向任何单位和个人提供。跨境事项的保密要求更为特殊:境外有关部门因反洗钱和反恐怖融资需要要求其提供客户、账 户、交易信息及其他相关信息的,从业机构应告知对方通过外交途径、 司法协助途径或金融监管合作途径等提出请求,不得擅自提供。有关 国内司法冻结、司法查询、可疑交易报告、行政机构反洗钱调查等信 息不得对外提供。
高管、股东应进行背景调查
在职责权限上,机构应在组织架 构、管理流程等方面确保各部门及人员反洗钱履职的独立性,赋予其 反洗钱履职所需的充足资源和权限,保证其能够及时获得履职所需数 据信息。
除风险极低的机构外,从业机构应配备专职反洗钱人员,不得以兼职人员替代专职人员,反洗钱管理部门兼职反洗钱人员占全部反洗 钱工作人员的比例不得高于 80%。
从业机构在聘用员工、任命或授权高管、选用洗钱风险管理人员、引入战略投资者、引入新的大股东或控股股东之前,应对相关人员是否涉及刑事犯罪、是否存在其他犯罪记录及过往履职经历等情况进行充分的背景调查,评估可能存在的洗钱风险。
21世纪经济报道记者注意到,《框架手册》还对金融控股公司管理提出指导:金控集团应在集团层面实施统一的反洗钱风控政策,注重识别和应对跨市场、跨行业和跨机构的风险,防范洗钱风险在不同子公司间的传导。此外,应要求涉及互联网金融业务的各子公司结合自身的业务、产品特点,建立健全各自的反洗钱风控机制。
在提升反洗钱工作效能、减少人工成本方面,《框架手册》提出,从业机构应建立反洗钱相关信息系统,能支持洗钱风险评估、客户身份识别、反洗钱交易监测和分析、大额交易和可疑交易报告、名单实时监控和回溯性调查等多项要求。采集覆盖所有业务(含产品、服务)和客户的信息,及时、准确、完整采集和记录 洗钱风险管理所需信息。
原则上,从业机构应每年组织至少一次反洗钱检查。