适用场景
计划或已在海外开展业务、涉及跨境资金流动的中国企业,特别是金融科技、跨境电商、支付、投资等领域的公司,在业务启动前及运营全周期均需关注。
核心要点
1. 内控要求全面升级,责任落实到人
新法草案强调从‘规则为本’转向‘风险为本’,要求企业必须建立并有效实施专门的反洗钱内部控制制度。企业负责人需对制度的有效性负责,并需设立专门机构或指定内设机构牵头,配备与风险状况匹配的人员和系统,同时接受内外部审计监督。
2. 客户尽职调查(CDD)标准大幅提高
‘客户身份识别’升级为更全面的‘客户尽职调查’。企业不仅需核实客户及受益所有人身份,还需了解其交易背景和风险状况。对于高风险情形,必须追溯资金来源和用途。尽职调查是贯穿业务关系存续期的持续性义务。
3. 受益所有人识别与信息联动成为法定要求
企业必须识别并采取合理措施核实法人或非法人组织客户的受益所有人身份。未来有望与官方登记机关的信息系统联动核查,但企业自身的独立核实义务依然存在,需关注后续具体规则的出台。
4. 跨境数据提供与长臂管辖风险
未经我国主管部门同意,不得擅自遵从外国机构要求提交境内客户资料或冻结资产。即使基于境外合规需要提供概要信息,也需事先向国内监管部门报告,并严格遵守数据出境及个人信息保护法规。
5. 处罚力度空前加强,个人责任凸显
草案大幅提高了对机构和个人的罚款金额,新增了大量受罚行为类型(如未配备足够人员、未制定可疑交易监测标准等)。董事、监事、高级管理人员及其他直接责任人员可能面临高额罚款、任职资格取消等个人处罚,但已勤勉尽责者可作为免责抗辩理由。
实务建议
- 立即检视并升级反洗钱内控制度,确保其符合‘风险为本’原则,明确负责人、牵头部门及工作流程。
- 建立或完善客户尽职调查程序,将受益所有人识别、持续风险监测及高风险情形强化调查纳入标准操作。
- 在运用新技术、新产品(如新的支付工具、区块链技术)前,必须进行洗钱风险评估。
- 若在境内外设有分支机构或属于集团企业,应在总部或集团层面建立统一的反洗钱制度,并明确内部信息共享的合规边界。
- 建立名单监控机制,及时获取并筛查国际国内制裁名单、恐怖分子名单等,并对命中对象依法采取冻结等特别预防措施。
- 所有反洗钱决策和操作过程(尤其是高管履职证明)必须做好完整记录和存档,以备监管检查或作为勤勉尽责的免责证据。
- 收到境外机构关于提供客户信息或配合调查的要求时,必须启动内部报告程序,未经国内主管部门批准不得擅自行动。
风险提示
- 切勿将反洗钱工作视为形式化的文件工作,监管重点已转向实质性的风险识别与管理效果。
- 委托第三方进行客户尽职调查时,委托方(金融机构)仍需承担最终法律责任,必须对第三方进行能力与风险评估并确保其合规操作。
- 对客户采取限制交易、拒绝业务等风险管理措施时,必须有充分的风险评估依据,避免措施与风险明显不符,否则可能引发客户投诉或诉讼。
- 注意区分‘可疑交易’和‘明显可疑交易’,后者未报告将面临更严厉的处罚,需制定清晰的内部监测与报告标准。
- 私募基金管理人目前虽未被明确纳入义务主体范围,但随着监管完善,未来被纳入的可能性极高,相关企业应提前准备,不可心存侥幸。