适用场景
计划或已在海外运营、涉及跨境金融业务的中国企业,特别是金融科技、支付、消费金融、网络小贷等机构,在业务扩张和日常运营阶段均需关注。
核心要点
1. 适用范围显著扩大
新规将反洗钱义务主体范围扩展至网络小额贷款公司、消费金融公司、非银行支付机构等。明确商业银行理财子公司、证券公司子公司适用,但私募基金管理人暂未被纳入。出海企业需首先确认自身是否属于义务主体。
2. 强化内部风险管理与自评估义务
要求金融机构在总部层面建立洗钱风险自评估制度,定期评估并报送。必须建立健全内控制度、风险管理政策,并将反洗钱职责与董事会、高管绩效考核挂钩,建立有效的内部审计机制。
3. 加强境外机构与跨境业务管理
对境外分支机构和控股附属机构提出明确管理要求,需遵循“更严格原则”执行反洗钱规定。总部需向监管机构报告境外机构接受当地监管的情况,以防范跨境监管风险。
4. 反洗钱信息跨境传输面临双重合规挑战
反洗钱信息(客户身份资料和交易信息)受严格保密要求约束,跨境传输需谨慎。实践中,这可能与《个人金融信息保护技术规范》对个人金融信息出境的要求产生重叠,企业可能需同时满足两套规则,合规复杂性增加。
实务建议
- 立即自查定位:判断企业自身及海外子公司是否属于新规下的反洗钱义务主体。
- 建立或完善风险自评估体系:在总部层面制定制度,定期开展洗钱风险自评估,并按规定向中国人民银行报送。
- 审视并强化内控:确保反洗钱内部控制制度覆盖组织架构、人力资源、信息系统,并建立与绩效考核挂钩的奖惩机制。
- 审计全覆盖:确保内部审计机制覆盖所有境内外分支机构和控股附属机构,审计报告需提交董事会或授权委员会。
- 制定跨境信息传输规范:建立严格的跨境信息传递审批流程。如需向境外提供反洗钱信息,必须通过外交、司法协助或监管合作等合法途径,不得擅自提供。
- 协调数据合规要求:在处理涉及个人金融信息的反洗钱数据跨境传输时,需同时评估并满足反洗钱保密规定与个人金融信息保护规范的双重要求,获取客户明示同意并完成安全评估。
风险提示
- 误区:认为只有传统银行才需遵守反洗钱规定。事实是,支付机构、网络小贷等众多金融科技企业已被明确纳入监管范围。
- 误区:将国内反洗钱要求简单套用于海外分支机构。必须遵循“更严格原则”,并关注当地法律是否禁止执行中国更严规定,需采取补充措施并报告。
- 注意事项:反洗钱信息与个人金融信息的范围存在重合,但监管规则尚未完全清晰衔接,企业需按最严格标准审慎处理,避免合规漏洞。
- 注意事项:私募基金管理人虽暂未被直接纳入,但其管理的基金产品仍可能存在洗钱风险,相关机构应保持关注并采取适当风控措施。