《银行业客户身份识别风控审查规范(试行)》

《银行业客户身份识别风控审查规范(试行)》一、总则（一）目的为加强银行业客户身份识别风险管理，规范风控审查工作，有效防范洗钱、恐怖融资、逃税及其他违法犯罪活动，维护金融秩序稳定，依据相关法律法规和监管要求，制定本规范。（二）适用范围本规范适用于在中华人民共和国境内依法设立的各类银行业金融机构，包括政策性银行、商业银行、农村合作银行、农村信用社、村镇银行等开展的客户身份识别风控审查工作。（三）基本原则1.真实性原则：确保客户身份信息真实、准确、完整，审查过程和结果应基于真实有效的资料和信息。2.风险为本原则：根据客户的风险状况，采取相应的身份识别和风控审查措施，合理配置资源，提高审查效率和效果。3.持续识别原则：对客户身份进行持续监控和审查，及时发现和处理客户身份信息的变化以及潜在的风险。4.保密原则：严格保护客户身份信息和审查过程中的相关信息，防止信息泄露。二、客户身份识别要求（一）客户身份初次识别1.开户环节银行业金融机构在为客户办理开户业务时，应要求客户提供真实有效的身份证件或其他身份证明文件，并对其进行查验。对于个人客户，应查验居民身份证、护照等法定证件；对于单位客户，应查验营业执照、组织机构代码证、税务登记证等相关证照。通过联网核查公民身份信息系统等方式，核实客户身份证件的真实性和有效性。对于存在疑问的身份证件，应采取进一步的核实措施，如要求客户提供辅助证明材料或与发证机关进行核实。了解客户的基本信息，包括姓名、性别、出生日期、职业、联系方式、住所地或经营场所等，并准确记录在客户身份档案中。对于高风险客户，应进一步了解其资金来源、交易目的、交易性质等信息，评估客户的风险状况。2.非面对面业务对于通过电子渠道等非面对面方式办理业务的客户，应采取有效的身份识别措施，如采用数字证书、动态口令、生物识别技术等手段，确保客户身份的真实性和唯一性。要求客户提供必要的身份信息和证明材料，并通过多种方式进行核实。例如，通过电话回访、短信验证等方式确认客户身份。对于风险较高的非面对面业务，应要求客户到银行网点进行身份核实或提供额外的证明材料。（二）客户身份持续识别1.定期审核银行业金融机构应定期对客户身份信息进行审核，更新客户身份档案。审核周期应根据客户的风险等级确定，对于高风险客户，审核周期应相对较短。在审核过程中，应关注客户身份信息的变化情况，如客户姓名、联系方式、住所地等信息的变更，及时进行更新和核实。2.交易监测建立健全交易监测系统，对客户的交易行为进行实时监测和分析。通过设定合理的监测指标和规则，及时发现异常交易行为。对于异常交易，应及时进行调查和核实，了解交易的背景和目的。如果发现客户身份存在疑问或交易涉嫌违法犯罪活动，应及时采取相应的措施，如限制交易、报告监管部门等。3.客户身份重新识别当出现以下情况时，银行业金融机构应重新识别客户身份：客户要求变更姓名、身份证件号码、经营范围等重要身份信息；客户的交易行为出现异常变化；怀疑客户身份信息的真实性或有效性；监管部门要求重新识别客户身份等。重新识别客户身份时，应按照初次识别的要求，采取更加严格的措施，确保客户身份的真实性和准确性。三、风控审查流程（一）初审1.资料收集：业务部门在受理客户业务申请时，应收集客户的身份信息、业务资料等相关文件，并确保资料的完整性和准确性。2.初步审核：初审人员应对收集到的资料进行初步审核，检查资料是否齐全、合规，客户身份信息是否清晰、有效。对于存在疑问的资料，应及时与客户沟通，要求其补充或提供进一步的证明材料。3.风险评估：初审人员应根据客户的身份信息、业务情况等因素，对客户进行初步的风险评估，确定客户的风险等级。风险等级可分为高、中、低三个等级。（二）复审1.深入审查：复审人员应对初审通过的客户资料进行深入审查，重点审查客户身份信息的真实性、合法性，以及客户的交易背景和目的。对于高风险客户，应进行更加严格的审查。2.信息核实：复审人员应通过多种渠道对客户身份信息进行核实，如查询相关数据库、与客户的开户行或其他金融机构进行沟通等。对于重要信息，应进行实地核实。3.风险分析：复审人员应根据审查情况，对客户的风险状况进行进一步分析，评估客户潜在的风险，并提出相应的风险防控建议。（三）审批1.综合评估：审批人员应综合初审和复审的结果，对客户的身份识别和风险状况进行全面评估。根据评估结果，决定是否批准客户的业务申请。2.决策依据：审批人员应依据相关法律法规、监管要求和银行内部规定，结合客户的风险等级和业务需求，做出合理的审批决策。对于高风险业务，应严格控制审批标准。3.审批记录：审批人员应详细记录审批过程和决策结果，以备后续查询和审计。四、风险等级划分与管理（一）风险等级划分标准1.客户因素客户的职业、行业性质、经营规模等因素会影响其风险等级。例如，从事高风险行业（如珠宝、贵金属交易等）的客户风险相对较高；大型企业客户的风险相对较低。客户的信用状况也是划分风险等级的重要依据。信用记录良好的客户风险较低，而有不良信用记录的客户风险较高。2.业务因素不同类型的业务具有不同的风险程度。例如，涉及跨境交易、大额资金转移等业务的风险相对较高；而普通的储蓄业务风险较低。业务的复杂程度也会影响风险等级。复杂的金融产品和业务，如衍生产品交易、结构化融资等，风险相对较高。3.地域因素客户所在地区的经济发展水平、金融监管环境、犯罪率等因素会影响其风险等级。例如，经济欠发达地区、金融监管薄弱地区的客户风险相对较高。（二）风险等级管理措施1.高风险客户对于高风险客户，应采取更加严格的身份识别措施，如要求客户提供更多的证明材料、进行实地调查等。加强对高风险客户的交易监测，提高监测频率和敏感度，及时发现异常交易行为。限制高风险客户的业务范围和交易额度，对其业务进行更加严格的审批和管理。定期对高风险客户进行风险评估和审查，及时调整风险等级和管理措施。2.中风险客户对中风险客户，应适当加强身份识别和交易监测，确保客户身份信息的真实性和交易的合法性。要求中风险客户定期更新身份信息，及时了解客户的情况变化。根据客户的风险状况，合理调整业务范围和交易额度。3.低风险客户对于低风险客户，可以适当简化身份识别程序，提高业务办理效率。定期对低风险客户进行抽查，确保客户身份信息的准确性和交易的正常进行。五、客户身份信息管理（一）信息收集1.银行业金融机构应按照合法、正当、必要的原则收集客户身份信息。在收集信息前，应向客户说明收集信息的目的、方式和用途，并取得客户的同意。2.收集的客户身份信息应包括但不限于客户的姓名、性别、出生日期、身份证件号码、联系方式、住所地或经营场所等基本信息，以及客户的职业、收入来源、资金用途等相关信息。（二）信息存储1.银行业金融机构应建立安全可靠的客户身份信息存储系统，采用加密技术等手段保护客户身份信息的安全。2.客户身份信息应存储在专门的数据库中，实行严格的访问控制和权限管理，确保只有授权人员才能访问和使用客户身份信息。3.定期对客户身份信息进行备份，防止数据丢失或损坏。（三）信息使用1.银行业金融机构应严格按照法律法规和监管要求使用客户身份信息，不得将客户身份信息用于与客户身份识别和风险管理无关的目的。2.在使用客户身份信息时，应遵循最小化原则，仅使用必要的信息进行身份识别和风险评估。3.对于需要向第三方提供客户身份信息的情况，应事先取得客户的同意，并确保第三方采取必要的保密措施。（四）信息销毁1.当客户身份信息不再需要用于身份识别和风险管理时，银行业金融机构应按照规定的程序进行销毁。2.销毁客户身份信息应采用安全可靠的方式，如粉碎、焚烧等，确保信息无法恢复。3.销毁客户身份信息应进行记录，包括销毁的时间、方式、内容等，以备审计和监管检查。六、监督与检查（一）内部监督1.银行业金融机构应建立健全内部监督机制，定期对客户身份识别风控审查工作进行检查和评估。2.内部审计部门应定期对客户身份识别和风控审查工作进行审计，检查业务流程是否合规、风险防控措施是否有效等。3.对于发现的问题，应及时进行整改，并追究相关人员的责任。（二）外部监管1.银行业金融机构应