适用场景
所有涉及跨境业务、金融交易或特定非金融服务的中国出海企业,尤其是在2025年1月1日新《反洗钱法》生效后,需全面审视并调整其合规策略,以应对更严格的监管要求和更广泛的义务范围。
核心要点
1. 洗钱活动定义拓宽,风险识别需升级
新法明确洗钱活动不再局限于特定七类犯罪,而是涵盖了隐藏或掩饰其他犯罪所得(如电信诈骗、偷逃税款)的来源和性质的行为。这意味着企业在进行风险评估和交易监控时,需要识别更广泛的潜在洗钱风险。
2. 反洗钱义务主体范围扩大,非金融企业受影响
新法明确将房地产开发、会计师事务所、律师事务所、公证机构以及贵金属和宝石经销商等特定非金融机构纳入反洗钱义务主体。出海企业若涉及这些业务类型,或与这些机构合作,需关注其合规要求。
3. 数据保护与跨境共享规范化
新法强调反洗钱信息的保密性,并首次明确了集团内部信息共享的条件,以及应对境外监管机构信息请求的原则。企业在进行跨境数据传输时,仍需遵守《个人信息保护法》等相关数据保护法律法规。
4. 受益所有人(UBO)识别成强制要求
新法首次明确UBO定义,并要求市场主体在注册时识别并备案UBO信息,同时反洗钱义务机构需独立识别和核实客户的UBO。这要求出海企业建立健全的UBO识别和更新机制。
5. 内部控制与数据留存期限延长
新法要求金融机构建立健全的反洗钱内控体系,并明确客户身份资料和交易记录的最低保存期限从5年延长至10年。出海企业应相应调整其数据管理和档案保存策略。
实务建议
- 全面审视并更新内部反洗钱政策与流程:确保现有制度与2025年1月1日生效的新《反洗钱法》保持一致,特别是针对洗钱活动和义务主体范围的扩大。
- 加强受益所有人(UBO)识别与管理:建立并严格执行UBO识别、核实和定期更新机制,确保客户和合作伙伴的UBO信息准确无误,并及时向相关部门备案。
- 优化数据管理与跨境传输合规:评估并调整客户身份资料和交易记录的保存期限至10年,同时制定清晰的集团内部反洗钱信息共享协议和流程,确保跨境数据传输符合《个人信息保护法》等数据保护法规要求。
- 强化内部控制与风险评估体系:设立专门的反洗钱部门或指定负责人,定期进行洗钱风险评估,并根据风险等级建立相应的风险管理系统和程序,通过内部或外部审计确保内控有效性。
- 关注特定非金融机构合规要求:若企业业务涉及房地产、法律、会计、贵金属等领域,需了解并履行相应的反洗钱义务,或在选择合作方时将其反洗钱合规能力纳入考量。
- 建立应对境外监管信息请求的机制:明确处理境外监管机构信息请求的内部流程,区分一般合规信息与重要数据/个人信息,并严格遵循国家关于互惠原则和报告要求。
- 关注“黑名单”预警与特殊预防措施:建立对反洗钱“黑名单”的监测机制,一旦发现相关实体或个人,立即停止提供服务、冻结资金,并采取必要的预防措施。
风险提示
- 未能识别扩大化的洗钱风险:仅关注传统洗钱犯罪,忽视电信诈骗、偷逃税款等新型或关联犯罪的洗钱风险,可能导致合规漏洞。
- 忽视特定非金融业务的反洗钱义务:认为反洗钱仅是金融机构的责任,未意识到自身业务(如房地产、法律服务等)可能已被纳入义务主体范围。
- 跨境数据共享与传输不合规:在集团内部或与境外监管机构共享反洗钱信息时,未能遵守中国数据保护法律法规,可能面临高额罚款和声誉损失。
- UBO识别不力或信息更新不及时:未能准确识别或及时更新受益所有人信息,可能导致交易被拒绝、账户被冻结,甚至面临监管处罚。
- 内部控制体系薄弱:未建立健全的反洗钱内控体系,或内控执行不力,无法有效识别和防范洗钱风险,将承担法律责任。
- 未妥善处理客户异议:忽视客户对反洗钱风险管理措施提出的异议,可能引发客户投诉、监管介入甚至法律诉讼。
- 委托第三方尽职调查责任不免除:错误认为将客户尽职调查(CDD)委托给第三方即可免除自身责任,一旦第三方不尽职,委托方仍需承担责任。