《中华人民共和国反电信网络诈骗法》已于2022年12月1日起施行。反电信网络诈骗法共五十条,包括总则、电信治理、金融治理、互联网治理、综合措施、法律责任、附则七个章节,坚持以人民为中心,统筹发展和安全,立足各环节、全链条防范治理电信网络诈骗,精准发力,为反电信网络诈骗工作提供有力法律支撑。反电信网络诈骗法规定了各部门职责、企业职责和地方政府职责,明确有关部门、单位在反电信网络诈骗工作中应当密切协作,实现跨行业、跨地域协同配合、快速联动,加强专业队伍建设,有效打击治理电信网络诈骗活动。
作为反诈条线上直接信息收集方和主要防范渠道,银行业金融机构、非银行支付机构承担了巨大的压力。【捷软反洗钱】关注到,人民银行营管部在2022年11月针对某支付机构做出了单位6000余万元,个人25万元的处罚,公示中的违法行为类型罕见的出现了“未落实防范电信诈骗风险相关要求”。反电信网络诈骗法正式实施后,银行业、支付业必将面临更大的合规风险压力。义务机构应在法律法规的框架内主动求变,积极与各职能部门配合,预防电诈案件及提供反诈线索。同时,反诈工作与反洗钱工作息息相关,应优化反洗钱内控机制,将反诈工作的新要求融入反洗钱工作。
本文将主要从反电信网络诈骗法中与银行业、支付行业相关的条款进行浅析,将应尽反电诈义务与现有反洗钱工作的融合,提出建议供银行、支付机构参考。
《中华人民共和国反电信网络诈骗法》
第十五条 银行业金融机构、非银行支付机构为客户开立银行账户、支付账户及提供支付结算服务,和与客户业务关系存续期间,应当建立客户尽职调查制度,依法识别受益所有人,采取相应风险管理措施,防范银行账户、支付账户等被用于电信网络诈骗活动。
【捷软反洗钱】认为:第十五条内容完全和反洗钱义务吻合,从制度建设的角度,各义务机构应根据《金融机构客户尽职调查和客户身份资料及交易记录保存管理办法》的规定,尽早建立客户全生命周期不同阶段的客户信息收集整理分析的机制,客户信息收集应具备全面性和及时性,应该满足开展反洗钱工作及实际业务需要。特别强调了识别受益所有人的重要性,应在内控体系内重点关注。
《中华人民共和国反电信网络诈骗法》
第十六条 开立银行账户、支付账户不得超出国家有关规定限制的数量。
对经识别存在异常开户情形的,银行业金融机构、非银行支付机构有权加强核查或者拒绝开户。
中国人民银行、国务院银行业监督管理机构组织有关清算机构建立跨机构开户数量核验机制和风险信息共享机制,并为客户提供查询名下银行账户、支付账户的便捷渠道。银行业金融机构、非银行支付机构应当按照国家有关规定提供开户情况和有关风险信息。相关信息不得用于反电信网络诈骗以外的其他用途。
【捷软反洗钱】认为:此条款与央行一系列发文的要求吻合,将之前“全面推进个人账户分类管理”及“加强开户管理”的规范性文件要求提升到法律层面,为义务机构按要求执行提供了更有力的法律支撑。并扩展增加了“建立跨机构开户数量核验机制和风险信息共享机制,并为客户提供查询名下银行账户、支付账户的便捷渠道”的具体举措,值得期待。
义务机构应根据《关于加强支付结算管理防范电信网络新型违法犯罪有关事项的通知》(银发〔2016〕261号)的要求,切实落实“同一个人在同一家银行只能开立一个Ⅰ类户”及“同一个人在同一家支付机构只能开立一个Ⅲ类账户”的规定。实践中比较大的困难在于对“一人多卡(含账户)、长期不动户”等存量客户账户的整合或撤并,可参照反洗钱工作中一证多户的整改方案进行客户信息整合及制定后续管控措施。
对于不配合客户身份识别、有组织同时或分批开户、开户理由不合理、开立业务与客户身份不相符、有明显理由怀疑客户开立账户存在开卡倒卖或从事违法犯罪活动等情形,根据《关于加强开户管理及可疑交易报告后续控制措施有关文件的通知》(银发〔2017〕117号)各银行业金融机构和支付机构有权拒绝开户。根据客户及其申请业务的风险状况,可采取延长开户审查期限、加大客户尽职调查力度等措施,必要时应当拒绝开户。
《中华人民共和国反电信网络诈骗法》
第十七条 银行业金融机构、非银行支付机构应当建立开立企业账户异常情形的风险防控机制。金融、电信、市场监管、税务等有关部门建立开立企业账户相关信息共享查询系统,提供联网核查服务。
市场主体登记机关应当依法对企业实名登记履行身份信息核验职责;依照规定对登记事项进行监督检查,对可能存在虚假登记、涉诈异常的企业重点监督检查,依法撤销登记的,依照前款的规定及时共享信息;为银行业金融机构、非银行支付机构进行客户尽职调查和依法识别受益所有人提供便利。
【捷软反洗钱】认为:此条款特别强调防范“开立企业账户”时的异常情形,并对后续企业信息共享及联网核查服务提出了要求。
义务机构应根据《关于加强支付结算管理防范电信网络新型违法犯罪有关事项的通知》(银发〔2016〕261号)的要求,建立企业开户审慎核实机制,对于被全国企业信用信息公示系统列入“严重违法失信企业名单”,以及经银行和支付机构核实单位注册地址不存在或者虚构经营场所的单位,银行和支付机构不得为其开户。对存在法定代表人或者负责人对单位经营规模及业务背景等情况不清楚、注册地和经营地均在异地等异常情况的单位,银行和支付机构应当加强对单位开户意愿的核查。银行应当对法定代表人或者负责人面签并留存视频、音频资料等,开户初期原则上不开通非柜面业务,待后续了解后再审慎开通。支付机构应当留存单位法定代表人或者负责人开户时的视频、音频资料等。
《中华人民共和国反电信网络诈骗法》
第十八条 银行业金融机构、非银行支付机构应当对银行账户、支付账户及支付结算服务加强监测,建立完善符合电信网络诈骗活动特征的异常账户和可疑交易监测机制。
中国人民银行统筹建立跨银行业金融机构、非银行支付机构的反洗钱统一监测系统,会同国务院公安部门完善与电信网络诈骗犯罪资金流转特点相适应的反洗钱可疑交易报告制度。
对监测识别的异常账户和可疑交易,银行业金融机构、非银行支付机构应当根据风险情况,采取核实交易情况、重新核验身份、延迟支付结算、限制或者中止有关业务等必要的防范措施。
银行业金融机构、非银行支付机构依照第一款规定开展异常账户和可疑交易监测时,可以收集异常客户互联网协议地址、网卡地址、支付受理终端信息等必要的交易信息、设备位置信息。上述信息未经客户授权,不得用于反电信网络诈骗以外的其他用途。
【捷软反洗钱】认为:近年来,随着电诈风险的逐年增加,监管部门对义务机构如何针对涉诈账户的交易进行监控给予了重点指导,如发布《涉电信诈骗犯罪可疑特征报送指引》、《洗钱风险提示》等提示。值得注意的是,涉电信诈骗的资金清洗交易环节复杂、交易层级较多,其间涉及众多账户。各义务机构不能简单设置一个交易监测规则就完全依赖监测系统提示,而必须在客户尽职调查的基础上,结合监管部门、公安部门发布的风险提示,进行综合判断。一旦确定可疑行为或交易,及时上报可疑交易报告。
此条款同样界定了义务机构对异常账户的后续管控措施和合理获取IP/MAC地址的合法性,为其采取合理的防范措施提供了法律保障。
《中华人民共和国反电信网络诈骗法》
第十九条 银行业金融机构、非银行支付机构应当按照国家有关规定,完整、准确传输直接提供商品或者服务的商户名称、收付款客户名称及账号等交易信息,保证交易信息的真实、完整和支付全流程中的一致性。
【捷软反洗钱】认为:根据《金融机构客户身份识别和客户身份资料及交易记录保存管理办法》,金融机构应当保存的交易记录包括关于每笔交易的数据信息、业务凭证、账簿以及有关规定要求的反映交易真实情况的合同、业务凭证、单据、业务函件和其他资料。此条款中强调了支付信息中的商品或者服务商户名称、收付款客户名称及账号等交易信息在传输过程中的真实性、完整性和一致性。
实践中,因为种种原因,仍有部分义务机构在保存或提取交易信息时存在部分信息缺失的情况,也是监管部门现场检查中出具罚单的 “重灾区”。建议应将此类问题作为近期数据检查治理的重点,避免违法违规风险。
《中华人民共和国反电信网络诈骗法》
第二十条 国务院公安部门会同有关部门建立完善电信网络诈骗涉案资金即时查询、紧急止付、快速冻结、及时解冻和资金返还制度,明确有关条件、程序和救济措施。
公安机关依法决定采取上述措施的,银行业金融机构、非银行支付机构应当予以配合。
【捷软反洗钱】认为:根据《关于建立电信网络新型违法犯罪涉案账户紧急止付和快速冻结机制的通知》(银发〔2016〕86号),义务机构应通过接口方式与电信网络新型违法犯罪交易风险事件交易平台建立关联,规范紧急止付和快速冻结的业务流程。
建议义务机构根据法律法规要求,建立完善相关制度,除包括涉诈资金的处理方式外,也可以与反洗钱工作中涉及刑事查询、冻结、扣划的制度相结合,对相关工作的配合方法、流程、后续管理措施等内容予以明确。
除上述条款明确规定外,义务机构也应在反洗钱制度建设、日常反洗钱宣传、培训、绩效考核等方面将反诈要求纳入整体考虑。
通过上述分析不难看出,反电信网络诈骗法的出台并没有对义务机构提出超出原反洗钱工作的新要求,基本还是涵盖在洗钱风险管理的整体框架内,但强调了部门联动、系统联网、行业联防的协同打击治理体系,与目前的反洗钱工作可充分融合,并注意具体举措的区别。
1、客户账户交易尽职调查的融合和挑战
对客户尽职调查、受益所有人识别的要求可继续参照《反洗钱法》、07年2号令、235号文、164号文等相关规定执行。对自然人账户应关注账户持有人与实际使用人的一致性,是否存在同一控制人风险,同时履行个人信息保护职责;对企业账户应充分利用市场监管部门提供的公开平台联网核查,及时掌握企业经营状态及账户运行情况,切实履行持续尽职调查义务。
对于账户的管理应重点关注开立账户时的可疑行为,可采取延长开户审查期限、加大客户尽职调查力度等措施,必要时有权拒绝开户。同时应继续压降一人多卡/账户等存量账户等风险,同时建立健全账户分类分级管理体系,分级授权授额,动态调整以满足客户对金融账户的实际需求。
挑战一
“金融、电信、市场监管、税务等有关部门建立开立企业账户相关信息共享查询系统,提供联网核查服务。”——义务机构现行业务系统/客户管理系统/反洗钱系统是否可支持业务关系建立前、持续过程中即时便捷地对企业及其关联人的相关信息进行联网核查?
挑战二
“建立跨机构开户数量核验机制和风险信息共享机制,并为客户提供查询名下银行账户、支付账户的便捷渠道。银行业金融机构、非银行支付机构应当按照国家有关规定提供开户情况和有关风险信息。”——义务机构现行系统是否可及时提供相关信息,行业跨机构共享?
挑战三
“应当按照国家有关规定,完整、准确传输直接提供商品或者服务的商户名称、收付款客户名称及账号等交易信息,保证交易信息的真实、完整和支付全流程中的一致性。”——义务机构现行系统是否可及时提供相关信息,尽职调查保障交易信息的真实、完整?
2、可疑交易监测融合
对账户交易的监测可继续参照银发〔2016〕261号附件《涉电信诈骗犯罪可疑特征报送指引》、银支付〔2020〕49《涉赌涉诈可疑资金特征及账户线索核查要点》、银办发〔2021〕163号《电信网络诈骗和跨境赌博资金链治理工作方案》等提示,按照《金融机构大额交易和可疑交易报告管理办法》执行,关注各级监管部门、公安机关发布的可疑特征风险提示,分析涉诈洗钱犯罪案例及洗钱手法,总结涉诈账户的资金流向的特征,持续优化适用于本机构的反洗钱监测模型。提升反洗钱从业人员的分析处理能力,以金融科技发展和大数据处理加专家经验的判断,及时发现可疑交易行为。
挑战一
随着国内外各类创新产品、技术的发展,犯罪分子的洗钱手段层出不穷,防不胜防。现行交易监测系统是否可以准确识别和记录“互联网协议地址、网卡地址、支付受理终端信息”等信息?使用多年未变的交易监测规则是否可以应对电信网络诈骗新技术包装下的跨境交易、虚拟货币洗钱威胁?反洗钱专兼职人员是否具备从纷繁复杂的各类信息中发现可疑线索的能力?
3、可疑报告和后续处理的融合和区别
对涉诈主体进行可疑交易上报流程目前可继续参照《金融机构大额交易和可疑交易报告管理办法》执行,同时对重点可疑的涉诈账户在向中国反洗钱监测分析中心提交可疑交易报告的同时,还应上报所在地中国人民银行和公安机关,并在后续公安机关调查时予以积极配合。对于可疑人员到银行网点办理开户、挂失补卡等业务的,银行网点将可疑信息报送当地反诈中心,公安机关快速排查,协助银行网点做好预警劝阻。
银行、支付机构须按照央行和公安部要求与电信网络新型违法犯罪交易风险事件管理平台连接,发送和接收“可疑账户信息统计报文”,以实现对涉案账户的紧急止付、快速冻结、信息共享和快速查询功能。
并且根据涉案信息,须倒查涉案账户、商户、产品、渠道、钱包等客户信息,对于倒查工作不彻底、整改流于形式、发生重大涉诈涉赌案件或舆情、收到重大涉诈涉赌举报线索的,相关银行、支付机构将面临合规性风险。对报送可疑交易报告后的后续控制措施还可参照《关于加强开户管理及可疑交易报告后续控制措施有关文件的通知》,同时应在监管部门与公安机关指导下,对涉诈账户采取“核实交易情况、重新核验身份、延迟支付结算、限制或者中止有关业务等必要的防范措施。”
未来随“中国人民银行统筹建立跨银行业金融机构、非银行支付机构的反洗钱统一监测系统,会同国务院公安部门完善与电信网络诈骗犯罪资金流转特点相适应的反洗钱可疑交易报告制度”,将采用新的报告方式。
小结
从《反电信网络诈骗法》对银行和支付机构的处罚条款来看,主要是四个方面:
(一)未落实国家有关规定确定的反电信网络诈骗内部控制机制的;
(二)未履行尽职调查义务和有关风险管理措施的;
(三)未履行对异常账户、可疑交易的风险监测和相关处置义务的;
(四)未按照规定完整、准确传输有关交易信息的。
建议与反洗钱内控机制整合建设反电信网络诈骗内控机制;对账户、尤其商户整合尽职调查和反洗钱反欺诈风险管理;对异常账户、可疑交易整合进行风险监测和后续处理;并完善与电信网络新型违法犯罪交易风险事件管理平台的对接,在完成反电信网络诈骗规定完整、准确传输信息的基础上,利用其共享涉案账户信息,全面加强相关账户反洗钱的管理工作。
