金融机构反洗钱与客户身份识别规范

金融机构反洗钱与客户身份识别规范第1章总则1.1（目的与依据）本规范旨在贯彻落实《中华人民共和国反洗钱法》及《金融机构客户身份识别规则》等相关法律法规，强化金融机构在反洗钱工作中的主体责任，确保金融体系安全与稳定。依据《金融机构客户身份识别规则》第1条，金融机构需通过有效措施识别客户身份，防止洗钱行为的发生。根据国际清算银行（BIS）发布的《反洗钱与反恐融资原则》（PrinciplesforAnti-MoneyLaunderingandCombatingFinancingofTerrorism），金融机构应建立系统性反洗钱机制，确保信息透明与风险可控。本规范的制定基于2021年中国人民银行发布的《金融机构客户身份识别标准》及2022年《反洗钱监管评估指引》，确保政策与实践的统一性。金融机构需定期评估反洗钱措施的有效性，并根据监管要求和业务发展动态调整相关制度。1.2（规范适用范围）本规范适用于所有金融机构，包括银行、证券公司、基金公司、保险公司等，涵盖其客户身份识别与反洗钱相关业务流程。适用范围包括但不限于开立账户、交易处理、资金转移、信息报告等环节，确保全流程风险可控。本规范适用于境内外所有金融机构，包括在华设立的分支机构及境外机构，确保反洗钱工作全覆盖。本规范适用于涉及跨境资金流动、国际业务、电子支付等高风险领域，确保全球范围内的合规一致性。本规范适用于金融机构在开展金融业务过程中，对客户身份信息进行收集、存储、使用及报告的全过程管理。1.3（职责分工）金融机构法人机构承担反洗钱工作的总体责任，负责制定内部政策、组织培训、监督执行。业务部门负责具体业务流程中的客户身份识别与风险评估，确保符合反洗钱要求。信息技术部门负责反洗钱系统建设与运行，确保数据安全与系统稳定性。合规与审计部门负责监督检查，确保各项制度落实到位，及时发现并纠正违规行为。人民银行及监管机构负责制定监管政策、开展监督检查、提供指导与支持。1.4（术语定义的具体内容）客户身份识别（CustomerDueDiligence,CDD）是指金融机构在为客户开立账户、提供金融服务或进行交易时，通过合法手段收集并核实客户身份信息的行为。反洗钱（Anti-MoneyLaundering,AML）是指金融机构为防止洗钱行为的发生，采取的包括客户身份识别、交易监测、客户信息保存等在内的综合性措施。洗钱（MoneyLaundering）是指通过各种手段将非法所得转化为看似合法资金的行为，包括掩饰、隐瞒非法资金来源与去向。交易监测（TransactionMonitoring）是指金融机构对客户交易行为进行持续跟踪与分析，识别异常交易模式，防范洗钱风险。信息报告（Reporting）是指金融机构在发现可疑交易或风险事件时，按规定向监管机构提交相关报告的行为，确保信息透明与合规。第2章客户身份识别2.1客户信息采集根据《反洗钱法》和《金融机构客户身份识别规则》，客户信息采集应包括身份证件信息、联系方式、职业背景、资产状况等，确保信息的完整性与准确性。采集信息时应采用标准化模板，如《金融机构客户身份识别标准》中提到的“客户基本信息表”，以确保信息的一致性与可追溯性。信息采集应结合实名制要求，如通过联网核查系统验证身份证件真实性，确保客户身份信息与证件信息一致。采集信息过程中应遵循“了解你的客户”（KnowYourCustomer,KYC）原则，确保客户身份信息的全面性与真实性。信息采集应记录于客户身份识别工作日志中，便于后续核查与审计。2.2客户身份验证客户身份验证应采用多因素验证方式，如人脸识别、生物识别、证件核验等，确保身份信息的唯一性与真实性。根据《金融机构客户身份识别操作指引》，客户身份验证应结合证件信息与实名制系统，确保客户身份信息与证件信息一致。验证过程中应使用标准化的验证工具，如公安部身份证核验系统，确保验证结果的权威性与可靠性。验证结果应记录于客户身份识别档案中，作为后续业务办理的依据。客户身份验证应定期进行复核，确保信息的时效性与准确性，防止信息过期或失效。2.3客户身份资料保存客户身份资料应按照《金融机构客户身份识别和客户身份资料及交易记录保存管理办法》要求，保存至少10年，以备监管检查或法律纠纷。资料保存应采用电子或纸质形式，确保资料的完整性和可追溯性，避免因存储不当导致信息丢失。保存的客户身份资料应包括身份证件复印件、影像资料、客户信息登记表等，确保信息的全面性与安全性。资料保存应遵循“最小必要”原则，仅保存与业务相关的信息，避免信息过载与隐私泄露。资料保存应定期进行备份与归档，确保在发生数据丢失或损坏时能够及时恢复。2.4客户身份持续识别的具体内容客户身份持续识别应贯穿于客户整个生命周期，包括开户、交易、账户维护等各个环节，确保客户身份信息的动态更新。根据《金融机构客户身份识别和客户身份资料及交易记录保存管理办法》，客户身份持续识别应定期进行身份信息复核，确保信息的持续有效性。持续识别应结合客户行为分析、交易记录等信息，识别异常交易或可疑行为，防范洗钱风险。持续识别应建立客户身份识别动态管理机制，如设置客户身份识别等级，根据风险等级进行差异化管理。持续识别应定期进行客户身份识别培训，提升从业人员的专业能力，确保识别工作的规范性和有效性。第3章反洗钱监测与报告3.1监测机制与流程金融机构应建立多层次、多维度的反洗钱监测体系，包括客户身份识别（CustomerDueDiligence,CDD）、交易监测（TransactionMonitoring）和风险评估（RiskAssessment）等环节，确保对可疑交易的及时识别与预警。监测机制通常涵盖实时监控、定期审查和异常交易分析，其中实时监控是核心手段，利用大数据和技术对交易流进行动态分析，提高识别效率。金融机构需设立专门的反洗钱监测部门，配备专业人员，负责交易数据的收集、分析和报告，确保监测工作的系统性和连续性。监测流程应遵循“识别—分析—评估—报告”的闭环管理，确保可疑交易在发现后能够及时上报并采取相应措施。机构应定期开展监测机制的内部审计与外部评估，确保监测体系符合监管要求，如《反洗钱法》和《金融机构客户身份识别管理办法》的相关规定。3.2交易监测标准交易监测标准应基于风险导向，涵盖交易金额、频率、渠道、交易类型等要素，如《金融机构反洗钱监测分析管理办法》中提到的“交易异常指标”和“客户行为特征”。金融机构应设定明确的监测阈值，例如大额交易超过50万元人民币或频繁交易超过一定次数，作为初步可疑交易的识别依据。监测标准需结合行业特性与地域经济状况，例如在高风险地区或高风险行业，交易监测标准应更为严格，以降低洗钱风险。交易监测应采用量化指标与定性分析相结合的方式，既注重数据的客观性，也重视交易行为的主观判断，确保监测的全面性。金融机构应定期更新监测标准，根据监管政策变化和市场环境调整，确保监测体系的时效性和适应性。3.3可疑交易报告可疑交易报告（ReportofSuspiciousTransaction,RST）是反洗钱工作的关键环节，需在发现可疑交易后48小时内上报监管机构。报告内容应包括交易时间、金额、交易双方、交易方式、交易目的及风险等级等信息，确保信息完整、准确。金融机构应建立可疑交易报告的分类管理机制，如按风险等级分为高风险、中风险、低风险，确保资源合理分配。报告应遵循《金融机构客户身份识别和客户交易记录保存管理办法》的相关要求，确保信息的保密性和合规性。金融机构应通过内部系统自动触发可疑交易预警，结合人工复核，确保报告的准确性和及时性。3.4信息报送要求的具体内容金融机构需按照《反洗钱法》和《金融机构客户身份识别管理办法》的要求，定期向中国人民银行报送反洗钱监测报告，包括监测数据、风险评估和应对措施。报告内容应涵盖监测范围、监测方法、异常交易数量及处理情况，确保信息全面、真实、准确。信息报送应遵循“及时、准确、完整、保密”的原则，确保数据的可追溯性和可验证性。金融机构应建立信息报送的内部流程和责任制度，确保信息报送的合规性和有效性。信息报送可通过电子系统或纸质文件进行，且需在规定时间内完成，确保监管机构能够及时掌握反洗钱工作动态。第4章客户交易记录保存4.1交易记录内容交易记录应包含客户身份信息、交易时间、交易金额、交易类型、交易渠道、交易对手信息及交易凭证等核心要素，确保信息完整性与可追溯性。根据《金融机构客户身份识别和客户交易行为记录保存办法》（中国人民银行令〔2016〕第3号），交易记录需详细记录客户身份证明文件信息、交易双方的账户信息及交易过程中的关键环节。交易记录应涵盖交易双方的账户名称、账号、交易类型（如存取款、转账、理财等）、交易金额、交易时间、交易方式（如柜台、手机银行、第三方支付平台等）等信息。交易记录中应包括交易双方的联系方式、交易金额的币种及汇率、交易凭证编号、交易对手的账户信息等，以确保交易可追溯。交易记录应结合金融机构的业务系统，确保数据的准确性和时效性，避免因系统延迟或数据丢失导致记录不完整。4.2交易记录保存期限根据《金融机构客户身份识别和客户交易行为记录保存办法》（中国人民银行令〔2016〕第3号），交易记录的保存期限原则上为交易结束后的5年，特殊情况可延长至10年。例如，银行在客户账户交易中，若交易金额较大或涉及高风险业务，交易记录的保存期限可延长至10年，以满足反洗钱监管要求。交易记录的保存期限应根据交易类型、金额、频率及风险等级进行分类管理，高风险交易的记录保存时间应更长。金融机构应建立交易记录的归档制度，确保记录在保存期限届满后仍可调取，以应对监管检查或法律纠纷。保存期限届满后，交易记录应按规定销毁，销毁前应确保数据已备份并完成归档，防止信息泄露或误用。4.3交易记录的调取与使用的具体内容金融机构应建立交易记录的调取机制，确保在反洗钱调查、合规检查或法律诉讼中，能够及时、准确地调取相关交易记录。调取交易记录时，应遵循《金融机构客户身份识别和客户交易行为记录保存办法》的相关规定，确保调取过程合法合规。交易记录的调取应由具备相应权限的人员操作，确保调取过程的保密性和真实性，防止信息被篡改或泄露。金融机构应建立交易记录的调取登记制度，记录调取时间、调取人、调取用途及调取结果，确保调取过程可追溯。交易记录的使用应严格限定在规定的范围内，不得随意泄露或用于非监管目的，以保障客户隐私和金融安全。第5章客户身份与交易信息保密5.1保密义务根据《金融机构客户身份识别和客户交易行为管理规程》（银保监办发〔2017〕12号），金融机构需对客户身份信息及交易信息承担保密义务，确保相关信息不被非法获取或泄露。保密义务涵盖客户身份信息、交易记录、风险评估资料等，涉及客户隐私和金融安全，需遵循“最小必要”原则，仅限于履行反洗钱职责所需。金融机构应明确保密责任主体，包括客户经理、柜员、系统管理员等，确保信息在处理过程中不被未经授权的人员接触。保密义务的履行需建立在合法合规的基础上，不得通过任何形式泄露客户信息，包括但不限于口头、书面、电子或物理介质。依据《个人信息保护法》及相关司法解释，金融机构在处理客户信息时应遵循合法、正当、必要原则，不得超出必要范围收集、使用或共享客户信息。5.2信息保密措施金融机构应采用加密技术、访问控制、权限管理等手段，确保客户信息在存储、传输和处理过程中的安全性。信息保密措施应包括数据加密、安全认证、权限分级、日志审计等，以防止信息被篡改、窃取或泄露。依据《信息安全技术个人信息安全规范》（GB/T35273-2020），金融机构需建立信息分类分级管理制度，对不同级别的客户信息采取差异化的保密措施。信息保密措施应定期进行安全评估和风险排查，确保符合国家信息安全标准和行业监管要求。金融机构应建立信息保密管理制度，明确保密责任，定期开展保密培训，提升员工信息安全意识和操作规范性。5.3信息泄露处理的具体内容一旦发生信息泄露，金融机构应立即启动应急响应机制，查明泄露原因，控制泄露范围，并采取补救措施。信息泄露处理应包括对涉事人员的追责、对受影响客户的告知、对相关系统的修复以及对信息的销毁或封存。根据《金融违法行为处罚办法》（中国人民银行令〔2017〕第1号），金融机构需在泄露事件发生后10个工作日内向监管部门报告，不得瞒报或迟报。信息泄露处理应结合具体情形，如泄露范围、影响程度、责任归属等，制定差异化的应对策略，确保合规与风险可控。金融机构应建立信息泄露事件的记录与分析机制，总结经验教训，完善保密制度，提升整体信息安全水平。第6章客户尽职调查6.1尽职调查内容根据《金融机构客户尽职调查和客户身份资料及交易记录保存管理办法》（中国人民银行令[2016]第3号），尽职调查内容应涵盖客户身份信息、资金来源、业务关系、风险状况等核心要素。金融机构需通过身份证件核验、联网核查、人脸识别等技术手段，确认客户真实身份，并记录其基本信息，如姓名、性别、国籍、住所地、职业等。客户身份识别应结合客户类型（如个人、企业、机构）及业务性质，对高风险行业或高风险客户采取更严格的尽职调查措施。根据《反洗钱法》及相关法规，金融机构需对客户进行持续监控，包括交易行为、资金流动、账户活动等，以识别潜在的洗钱或恐怖融资风险。金融机构应建立客户信息档案，记录客户身份信息、交易记录、风险评估结果等，确保信息的完整性、准确性和可追溯性。6.2尽职调查流程尽职调查流程通常包括客户信息收集、身份识别、风险评估、资料留存、持续监控等环节。金融机构在与客户建立业务关系前，应通过实地调查、背景调查、资料审核等方式，全面了解客户的真实身份和业务背景。在客户维持业务关系期间，需定期进行尽职调查，监测客户是否符合风险等级，是否存在异常交易或可疑行为。金融机构应建立尽职调查报告制度，由专人负责记录调查过程、发现的问题及风险评估结果，并形成书面报告。为确保尽职调查的有效性，金融机构应定期对尽职调查流程进行内部审核与优化，提升合规管理水平。6.3尽职调查结果应用的具体内容尽职调查结果应作为客户分类管理的重要依据，用于确定客户的风险等级，进而决定其业务权限、交易限额及监管要求。根据《金融机构客户身份识别和客户交易行为监控操作规程》，金融机构需将尽职调查结果纳入客户风险评级系统，作为后续反洗钱措施的参考。尽职调查结果应与反洗钱监测系统联动，用于识别异常交易、可疑资金流动及潜在洗钱活动。金融机构应根据尽职调查结果，采取相应的风险控制措施，如加强交易监控、限制客户权限、要求客户提供额外证明材料等。尽职调查结果需定期复核与更新，确保其与客户实际情况保持一致，避免因信息滞后导致风险控制失效。第7章业务操作规范7.1业务操作流程金融机构应按照《反洗钱法》及相关监管规定，建立标准化的业务操作流程，确保客户身份识别、交易监测、可疑交易报告等环节合规执行。业务操作流程需涵盖开户、交易、账户管理、信息变更、销户等关键环节，每一步均需记录并留存完整资料，以备监管检查。业务流程应结合金融机构实际业务规模和风险等级，制定差异化操作规范，例如对高风险客户实施更严格的身份验证措施。业务操作流程需明确岗位职责，确保业务经办人、审核人、负责人各司其职，避免职责不清导致的合规风险。业务流程应定期进行内部审核与流程优化，确保其与最新监管政策和业务发展保持一致，提升操作效率与合规性。7.2业务操作合规性金融机构在业务操作中必须遵循《金融机构客户身份识别规定》和《反洗钱监管规则》，确保客户身份信息的真实性和完整性。业务操作合规性需通过内部审计、外部监管检查及客户反馈等方式进行验证，确保所有操作符合法律和监管要求。业务操作中应严格区分“正常业务”与“可疑交易”，对高风险客户实施动态身份识别，避免因信息不全导致的合规风险。业务操作合规性需建立完善的记录与报告机制，确保所有操作有据可查，便于追溯和审计。业务操作合规性应结合金融机构实际业务数据进行评估，如客户交易频率、金额、类型等，以判断操作是否符合合规标准。7.3业务操作监督与检查的具体内容金融机构应设立专门的反洗钱监督部门，负责对业务操作合规性进行定期检查，确保各项制度落实到位。监督检查内容包括客户身份识别、交易监控、可疑交易报告、内部审计等，需覆盖业务全流程。监督检查应采用定量与定性相结合的方式，如通过系统数据比对、人工核查、客户访谈等方式，确保全面覆盖。监督检查结果应形成报告，并作为内部考核和整改依据，确保问题及时发现和纠正。监督检查应结合业务实际运行情况，如客户数量、交易规模、风险等级等，制定针对性检查计划，提升监督效率。第8章附则1.1规范解释本章所称“反洗钱与客户身份识别规范”是指《金融机构反洗钱与客户身份识别管理办法》（以下简称《办法》）及其配套细则，其核心内容包括客户身份识别、交易监测、可疑交易报告等关键要求。根据《中华人民共和国反洗钱法》第十八条，金融机构需建立完整、