区块链风险系列之十六:互金反洗钱新规对区块链行业的影响
作者:王伟 周泱
近日,为规范互联网金融从业机构反洗钱和反恐怖融资工作,中国人民银行、中国银行保险监督管理委员会、中国证券监督管理委员会制定了《互联网金融从业机构反洗钱和反恐怖融资管理办法(试行)》(下称“《管理办法》”),《管理办法》将于2019年1月1日开始生效。
北京植德律师事务所区块链团队在详细研读《管理办法》的基础上及时发布最新、最专业的解读,供各位业内同仁参考。
1、具有反洗钱和反恐怖融资义务的主体
《中华人民共和国反洗钱法(2006)》(主席令第56号,现行有效)(下称“《反洗钱法》”)第三条,在中华人民共和国境内设立的金融机构和按照规定应当履行反洗钱义务的特定非金融机构,应当……履行反洗钱义务。
第三十五条,应当履行反洗钱义务的特定非金融机构的范围、其履行反洗钱义务和对其监督管理的具体办法,由国务院反洗钱行政主管部门会同国务院有关部门制定。
《管理办法》第二条,本办法适用于在中华人民共和国境内经有权部门批准或者备案设立的,依法经营互联网金融业务的机构(以下简称从业机构)。互联网金融是利用互联网技术和信息通信技术实现资金融通、支付、投资及信息中介服务的新型金融业务模式。
植德分析:
根据上述法条,本次《管理办法》是依据《反洗钱法》十五条规定,对应当履行反洗钱义务的特定非金融机构的范围、义务和具体管理办法做出的细化规定。
《管理办法》的适用主体要具备两个条件:1.在中国境内经有权部门批准或备案设立;2.经营互联网金融业务。常见的互联网金融企业如从事网络支付、P2P、股权众筹融资、互联网基金销售、互联网保险、互联网信托和互联网消费金融等业务的机构,自然成为《管理办法》下反洗钱和反恐怖融资的义务主体。
根据我们的观察,除了上述传统的互联网金融机构,目前市场上有相当一部分机构通过区块链技术从事着数字货币的跨境支付、投资、资产交易平台和信息中介的金融业务,除其交易客体不是法币外,这类业务与《管理办法》中互联网金融的定义并无二致。只是由于国内数字货币领域的监管体系尚待完善,此类机构现无明确义务需要中国境内经批准或备案设立,但我们不能简单地因此判断这类机构获得了《管理办法》下反洗钱和反恐怖融资义务的豁免,而应意识到随着加密货币领域逐渐沦为洗钱重灾区,这类区块链公司(下称“特定区块链公司”)更应当着手依据《管理办法》树立自己的内部合规体系。
此外,由于特定区块链公司的交易普遍具有跨国性,这些机构还应当考虑来自各个司法区域的反洗钱和反恐怖融资的合规义务,我们已经就此展开了深入研究。由于篇幅问题,不在本文中展开讨论,我们将于近期后续发布详细的全球反洗钱合规现状文章。
2、健全反洗钱和反恐怖融资内部控制机制
《管理办法》第六条,金融机构、非银行支付机构以外的其他从业机构应当通过网络监测平台进行反洗钱和反恐怖融资履职登记。
第七条,……从业机构应当建立统一的反洗钱和反恐怖融资合规管理政策……应当按规定方式向中国人民银行及其分支机构、国务院有关金融监督管理机构及其派出机构报备反洗钱和反恐怖融资内部控制制度。
第八条,从业机构应当明确机构董事、高级管理层及部门管理人员的反洗钱和反恐怖融资职责。从业机构的负责人应当对反洗钱和反恐怖融资内部控制制度的有效实施负责。从业机构应当设立专门部门或者指定内设部门牵头负责反洗钱和反恐怖融资管理工作。
第十条,从业机构应当勤勉尽责,执行客户身份识别制度,遵循“了解你的客户”原则,针对具有不同洗钱或者恐怖融资风险特征的客户、业务关系或者交易采取合理措施,了解建立业务关系的目的和意图,了解非自然人客户的受益所有人情况,了解自然人客户的交易是否为本人操作和交易的实际受益人。
从业机构应当按照法律法规、规章、规范性文件和行业规则,收集必备要素信息,利用从可靠途径、以可靠方式获取的信息或数据,采取合理措施识别、核验客户真实身份,确定并适时调整客户风险等级。对于先前获得的客户身份资料存疑的,应当重新识别客户身份。
从业机构不得为身份不明或者拒绝身份查验的客户提供服务或者与其进行交易,不得为客户开立匿名账户或者假名账户, 不得与明显具有非法目的的客户建立业务关系。
第二十条,从业机构应当按照法律法规和行业规则规定的保存范围、保存期限、技术标准,妥善保存开展客户身份识别、交易监测分析、大额交易报告和可疑交易报告等反洗钱和反恐怖融资工作所产生的信息、数据和资料,确保能够完整重现每笔交易,确保相关工作可追溯。
植德分析:
根据上述法规,从程序上来说,从业机构首先应当在央行设立的互联网金融反洗钱和反恐怖融资网络监测平台进行履职登记;在本机构内部设立或者指定部门负责反洗钱和反恐怖融资的管理工作,设立有效的内部控制制度,并按机构业务所属条线向其监管部门进行备案管理。
从内控制度的内容来说,内控制度至少应当包括如下规则:
(1)有效的KYC制度(了解你的客户),包括依据客户提供的及外部可靠途径获得的信息或数据,识别、核验客户的真实身份;
(2)对不同客户实施分级风险客户管理并适用不同审核频率;
(3)保存执行反洗钱和反恐怖融资义务所产生的信息、数据和资料,确保能够完整重现每笔交易,确保相关工作可追溯。对特定区块链公司来说,留档信息应当包括各方的数字钱包地址、IP地址以及数字货币类型和数量;
此外,值得注意的是,《管理办法》为保证机构制定的反洗钱和反恐怖融资内部控制制度职责边界清晰、具备可执行性和可追责性,要求机构明确其董事、高管及反洗钱部门管理人员对反洗钱和反恐怖融资的具体职责,机构的负责人还应当对反洗钱和反恐怖融资内部控制制度的有效实施负责。根据《管理办法》第二十一条,央行及其分支机构有权对从业机构进行反洗钱和反恐怖融资的现场检查、非现场监管和反洗钱调查,我们推测,该等检查重点之一即为机构内控制度的设立是否符合上述要求并在机构内部得到切实有效的执行。
3、大额交易和可疑交易报告制度
《管理办法》第十四条 从业机构应当执行大额交易和可疑交易报告制度,制定报告操作规程,对本机构的大额交易和可疑交易报告工作做出统一要求。金融机构、非银行支付机构以外的其他从业机构应当由总部或者总部指定的一个机构通过网络监测平台提交全公司的大额交易和可疑交易报告。
第十五条,从业机构应当建立健全大额交易和可疑交易监测系统,以客户为基本单位开展资金交易的监测分析,对客户及其所有业务、交易及其过程开展监测和分析。
第十六条,客户当日单笔或者累计交易人民币5万元以上(含5万元)、外币等值1万美元以上(含1万美元)的现金收支,金融机构、非银行支付机构以外的从业机构应当在交易发生后的5个工作日内提交大额交易报告。
第十七条,从业机构发现或者有合理理由怀疑客户及其行为、客户的资金或者其他资产、客户的交易或者试图进行的交易与洗钱、恐怖融资等犯罪活动相关的,不论所涉资金金额或者资产价值大小,应当按本机构可疑交易报告内部操作规程确认为可疑交易后,及时提交可疑交易报告。
第十九条,从业机构应当对下列恐怖组织和恐怖活动人员名单开展实时监测,有合理理由怀疑客户或者其交易对手、资金或者其他资产与名单相关的,应当立即提交可疑交易报告,并依法对相关资金或者其他资产采取冻结措施:(一)中国政府发布的或者承认执行的恐怖活动组织及恐怖活动人员名单;(二)联合国安理会决议中所列的恐怖活动组织及恐怖活动人员名单;(三)中国人民银行及国务院有关金融监督管理机构要求关注的其他涉嫌恐怖活动的组织及人员名单。
植德分析:
根据上述法规,从业机构应当建立大额交易和可疑交易检测系统并制定操作规程,系统触发大额交易和可疑交易标准时,生成并在5个工作日内向监管部门发送大额交易和可疑交易标准。不作为可疑报告的,还应当记录分析排除的合理理由。
目前,大额交易报告标准指当日单笔或者累计交易人民币5万元以上(含5万元)、外币等值1万美元以上(含1万美元)的现金收支;央行可根据需要调整大额交易报告标准。非银行支付机构提交大额交易报告的标准另行规定。
《管理办法》还列出了从业机构判断可疑交易报告的几个重要名单,分别是中国政府发布的或者承认执行、联合国安理会决议中所列以及央行及国务院有关金融监督管理机构要求关注的其他涉嫌恐怖活动的组织及人员名单。根据我们的经验,我们建议除了上述三个名单外,为避免经济制裁,区块链公司应当将FATF (Financial Action Task Force,目前世界上最具影响力的国际反洗钱和反恐融资领域最具权威性的国际组织之一)“不合作国家和地区”(NCCTs)黑名单也纳入禁止交易范围或者判断可疑交易的重点。
我们理解,特定区块链公司在制定大额交易报告标准时可以参照“日单笔或者累计交易人民币5万元以上、外币等值1万美元以上”的标准,但由于其目前可能缺乏直接提交报告的渠道,我们建议公司在此基础上合理设置交易上限额度,即交易到达该额度后即不支持为该客户提供服务。对于涉及上述涉恐和制裁名单的客户,可直接拒绝服务此类客户或向公安机关进行举报。
4、未履行反洗钱和反恐怖融资义务之罚则
《管理办法》第二十二条,从业机构违反本办法的,由中国人民银行及其分支机构、国务院有关金融监督管理机构及其派出机构责令限期整改,依法予以处罚。从业机构违反相关法律、行政法规、规章以及本办法规定,涉嫌犯罪的,移送司法机关依法追究刑事责任。
《反洗钱法》第三十一条,金融机构有下列行为之一的,由国务院反洗钱行政主管部门或者其授权的设区的市一级以上派出机构责令限期改正;情节严重的,建议有关金融监督管理机构依法责令金融机构对直接负责的董事、高级管理人员和其他直接责任人员给予纪律处分:(一) 未按照规定建立反洗钱内部控制制度的;(二) 未按照规定设立反洗钱专门机构或者指定内设机构负责反洗钱工作的;(三) 未按照规定对职工进行反洗钱培训的。
第三十二条,金融机构有下列行为之一的,由国务院反洗钱行政主管部门或者其授权的设区的市一级以上派出机构责令限期改正;情节严重的,处二十万元以上五十万元以下罚款,并对直接负责的董事、高级管理人员和其他直接责任人员,处一万元以上五万元以下罚款:(一) 未按照规定履行客户身份识别义务的;(二) 未按照规定保存客户身份资料和交易记录的;(三) 未按照规定报送大额交易报告或者可疑交易报告的;(四) 与身份不明的客户进行交易或者为客户开立匿名账户、假名账户的;(五) 违反保密规定,泄露有关信息的;(六) 拒绝、阻碍反洗钱检查、调查的;(七) 拒绝提供调查材料或者故意提供虚假材料的。
金融机构有前款行为,致使洗钱后果发生的,处五十万元以上五百万元以下罚款,并对直接负责的董事、高级管理人员和其他直接责任人员处五万元以上五十万元以下罚款;情节特别严重的,反洗钱行政主管部门可以建议有关金融监督管理机构责令停业整顿或者吊销其经营许可证。
《中华人民共和国刑法(2015)》(下称“《刑法》”)第一百九十一条,洗钱罪,明知是毒品犯罪、黑社会性质的组织犯罪、恐怖活动犯罪、走私犯罪、贪污贿赂犯罪、破坏金融管理秩序犯罪、金融诈骗犯罪的所得及其产生的收益,为掩饰、隐瞒其来源和性质,有下列行为之一的,没收实施以上犯罪的所得及其产生的收益,处五年以下有期徒刑或者拘役,并处或者单处洗钱数额百分之五以上百分之二十以下罚金;情节严重的,处五年以上十年以下有期徒刑,并处洗钱数额百分之五以上百分之二十以下罚金:
(一) 提供资金账户的;
(二) 协助将财产转换为现金、金融票据、有价证券的;
(三) 通过转账或者其他结算方式协助资金转移的;
(四) 协助将资金汇往境外的;
(五) 以其他方法掩饰、隐瞒犯罪所得及其收益的来源和性质的。
植德分析:
《管理办法》虽未明确机构违反本法适用的具体罚则,但根据《管理办法》第二十四条,本办法由中国人民银行会同国务院有关金融监督管理机构负责解释。《反洗钱法》对违反《反洗钱法》的金融机构适用罚则做出了清晰规定,我们推测,央行和银保监会、证监会可能会在实际执行《管理办法》的过程中参照适用《反洗钱法》的罚则。
此外,许多人可能仍然对区块链公司是否具有中国行政法规下的反洗钱和反恐怖融资义务存在不同看法,但值得区块链公司注意的是,《刑法》中构成洗钱罪并不以行为主体本身具有行政法下的反洗钱义务为前提,只要构成对七种犯罪“明知”或“具有可能性认识”并提供资金账户、协助资金转移或汇往境外的,都可能面临严苛的刑法追责。正是因此,特定区块链公司(尤其是涉及法币业务的区块链公司)根据其实际业务情况在内部依照《管理办法》建立反洗钱和反恐怖融资的内控制度也是大有裨益的。
