适用场景
所有计划或正在开展海外业务的中国企业,特别是涉及跨境资金流转、在特定非金融行业(如房地产、法律服务、贵金属交易)运营,或需向境外监管机构提供信息的企业。
核心要点
1. 遵循风险为本与比例原则
新规强调反洗钱措施的强度应与业务风险相匹配,避免过度干扰正常经营。企业需建立基于风险的客户尽职调查(CDD)和增强尽职调查(EDD)体系,根据客户特征动态调整风控力度。
2. 明确特定非金融机构义务主体
法律明确将房地产开发及中介、会计师事务所、律师事务所、公证机构、贵金属宝石交易商等纳入反洗钱义务范围。这些机构在从事特定业务时,须参照金融机构要求履行反洗钱义务。
3. 强化个人信息保护与数据安全
新规严格限制反洗钱信息的用途,强调保护个人隐私。要求信息仅用于反洗钱目的,向第三方共享需获个人明确同意,并实施加密、访问控制等安全措施,按规定期限保存和处置数据。
4. 规范跨境信息共享与国际合作
企业境外分支机构需在集团层面统筹反洗钱工作,境内外可共享必要信息,但须明确机制并限定用途。若外国监管要求提供信息,必须事先向国内主管部门报告,并符合数据安全与个人信息保护规定。
5. 引入技术工具并保障救济权利
鼓励使用人工智能、机器学习等技术监测可疑交易。同时,单位或个人对反洗钱措施有异议,可直接提起诉讼,这为权益受损提供了更直接的司法救济途径。
实务建议
- 立即评估自身是否属于‘特定非金融机构’范畴,并参照金融机构标准建立或完善反洗钱内控制度。
- 按照风险等级对客户进行分类,制定差异化的尽职调查和持续监控流程,确保措施与风险相符。
- 审查数据管理政策,确保收集、使用、存储和跨境传输个人信息均获得合法授权,并采取强加密等安全措施。
- 若集团在境内外设有机构,需在总部层面建立反洗钱信息共享的明确机制和程序,并严格限制信息用途。
- 在收到境外监管机构的信息提供要求时,务必启动内部报告流程,在获得国内主管部门许可后方可配合。
风险提示
- 误区:认为只有银行等传统金融机构才需履行反洗钱义务。注意:房地产中介、律所等特定非金融机构已被明确纳入义务范围。
- 误区:为满足风控要求过度收集客户信息或长期保存。注意:必须遵循最小必要和目的限定原则,保护个人隐私,定期清理数据。
- 注意事项:跨境共享反洗钱信息时,切勿仅按境外要求直接提供,必须履行向国内主管部门的事先报告义务。
- 注意事项:利用AI等工具进行监测时,需确保算法决策的透明度和可解释性,避免因技术黑箱引发合规争议。