反洗钱监管机构FATF就数字身份识别技术的使用发布指引草案
The following article is from 阿炜的反洗钱资讯 Author 阿炜的反洗钱资讯
SELMAN DESIGN
反洗钱全球标准的制定者FATF(金融行动特别工作组)就使用数字身份识别技术的使用发布了一份指引草案,为金融机构决策者和研究者提供指导原则。
FATF的提案将涵盖那些使用客户生物识别和地理定位数据、以及依赖高分辨扫描仪和其他新技术形式的系统。
根据该组织发布在网站上的指导意见草案,数字识别技术可能带来风险,比如大规模的身份窃取威胁。该指导意见的出台,是为了应对数字交易的快速增长。
据FATF估计,到2022年,数字交易与全球生产总值之比料达到60%。
点击“阅读原文”查看FATF公开文件
Kristin Broughton
(本文版权归道琼斯公司所有,未经许可不得翻译或转载。)
更多阅读:
FATF就数字身份识别指引草案公开征求意见
图片来源:FATF网站
金融行动特别工作组(FATF)正在制定一份指引,以澄清如何使用数字身份(Digital ID)系统进行客户尽职调查(CDD)。指引草案旨在帮助各国政府、金融机构及其他相关实体采用风险为本方法使用数字身份进行客户尽职调查。
FATF正在征求私营部门利益相关方的意见,以最终确定指引。我们欢迎您就以下重点领域发表意见,并对指引文本提出具体建议。我们主要征求银行、虚拟资产服务提供商及其他受监管实体的意见,也欢迎主管部门发表意见。
FATF将在公开征求意见的同时修订指引及特定章节(例如附录B,其中包含案例研究)。
重点领域
1、除指引第四章中已经提到的外,使用数字身份系统进行客户尽职调查会产生任何特定洗钱和恐怖融资风险吗?
如果是,如何处理这些风险,谁来处理这些风险?还有哪些打击洗钱和恐怖融资的具体时机没有在指引中提到?
2、数字身份系统在持续尽职调查或交易监控中的作用是什么?
您在开户时及授权账户访问期间通过身份认证获取了哪些信息?谁来获取这些数据?
您获取的身份认证数据是否与持续的反洗钱和反恐怖融资尽职调查和/或交易监控有关?如果是,如何有关?
3、数字身份系统如何为普惠金融提供支持?
如何使用具有不同身份验证/注册及/或身份认证保证等级的数字身份系统执行分层式客户尽职调查,根据客户尽职调查的程度,特别是在风险较低的情况下,为客户提供一系列账户功能?请提供任何实例。
您是否采用较低的身份验证保证等级为普惠金融提供支持?您还采取哪些额外措施来缓释风险?请提供任何实例。
通过数字身份系统进行的渐进式客户尽职调查如何有助于普惠金融(即随着时间的推移逐步提升对客户身份的把握)?
4、使用数字身份系统进行客户尽职调查会对执行FATF记录保存要求带来明显问题吗?
您在使用数字身份系统进行客户尽职调查时会保存哪些记录?
您在使用数字身份系统进行客户尽职调查时为满足记录保存要求会遇到哪些挑战?
如果您在使用数字身份系统进行开户时保存了不同记录,这是否会影响其他反洗钱和反恐怖融资措施(例如持续尽职调查或交易监控)?
请您在2019年11月29日(UTC时间18:00)前将主题为“[某人]对数字身份指引草案的意见”的回复发送至FATF.Publicconsultation@FATF-gafi.org
请您在提交回复时注明您所在机构的名称、业务性质(金融机构或特定非金融行职业、数字身份服务提供商、认证或保证机构、行业集团、其他)及您的联系方式。您可以将任何具体起草建议直接插入至随附的指引草案文本中,并显示修订痕迹。您提供的联系信息仅用于本次公开征求意见。FATF不会在未经您同意的情况下与第三方共享此信息。
现阶段,FATF尚未批准该指引草案版本。FATF将在2020年2月全会上做进一步修订。
附录:
FATF数字身份识别指引草案(征求意见稿)
摘要:
1、数字支付正在以每年12.7%的速度增长,预计到2020年将达到7260亿笔的年交易量。到2022年,估计全球GDP的60%将被数字化。对FATF来说,数字金融交易的增长需要更好地理解如何在数字金融服务领域进行个人身份识别与核实。数字身份技术的快速发展产生了各种各样的数字身份系统。本指引旨在帮助各国政府、受监管实体及其他利益相关方判断如何使用数字身份系统实施FATF建议10项下某些客户尽职调查(CDD)要素。
2、理解数字身份系统的工作方式对于采用本指引中建议的风险为本方法至关重要。本指引第二章简要总结数字身份系统的关键特性,并在附录A中详细说明。
3、第三章总结FATF对本指引中所述客户身份识别与核实及持续尽职调查的主要要求,并阐明依赖可靠、独立数字身份系统的非面对面客户身份识别及交易,其风险可以是标准水平,甚至是较低水平。
4、本指引建议的风险为本方法依赖于一套开源、共识驱动的数字身份系统保证框架和技术标准(下称“数字身份保证框架和标准”),多个司法管辖区已经制定出这样的框架和标准。国际标准化组织(ISO)和国际电工委员会(IEC)正在对这些数字身份保证框架进行标准化,并对一系列与身份、信息技术安全和隐私有关的ISO/IEC技术标准进行更新,以制定全面的数字身份系统全球标准。身份保证框架要求设置不同的“保证等级”。保证等级是指对数字身份系统及其组件可靠性的信心水平。尽管各司法管辖区制定的保证等级在某些方面可能有所不同,但为便于参考,本指引主要参考美国国家标准与技术研究院(NIST)数字身份保证框架和标准(NIST数字身份指引),以及欧盟《电子身份识别及信任服务条例(e-IDAS)》。按照国内数字身份保证框架及其他相关技术标准,各司法管辖区应当考虑本指引中规定的方法。
5、数字身份保证框架和标准与反洗钱和反恐怖融资法规有着不同的起源和目标受众。本指引将数字身份保证框架和标准与FATF客户尽职调查要求联系起来,以证明数字身份系统的关键组件符合建议10项下特定客户尽职调查要求。因此,数字身份保证框架和技术标准为出于反洗钱和反恐怖融资目的评估数字身份系统的可靠性和独立性提供了非常有用的工具。
6、本指引说明在数字金融和数字身份背景下有效认证客户身份以授权账户访问如何为反洗钱和反恐怖融资工作提供支持。
7、第五章是本指引的核心,为各国政府、受监管实体及其他相关方提供指引,说明如何采用风险为本方法根据建议10⑴使用数字身份系统进行客户身份识别与核实,并为建议10⑷中的持续尽职调查提供支持。建议的方法是技术中立的(即不偏好任何特定类型数字身份系统)。本方法有以下两个要素:
理解数字身份系统技术主要组件(包括架构和治理)的保证等级,以判断其可靠性和独立性;以及
鉴于其保证等级,对特定数字身份系统是否针对潜在的洗钱、恐怖融资、欺诈及其他非法金融风险提供适当水平的可靠性和独立性做出更加广泛、风险为本的判断。
8、第五章说明如何利用数字身份保证框架和标准来评估可靠性和独立性,并为受监管实体规定了一项决策程序,指导其判断使用数字身份实施客户尽职调查是否符合建议10。各国政府和受监管实体将需要调整该决策程序以适应司法管辖区和单个实体的特殊情况。根据特定司法管辖区的数字身份系统和监管框架,政府和受监管实体在评估数字身份系统的保证等级及对客户尽职调查的适当性方面可能有不同的作用和责任,详见下文受监管实体决策流程图(略)。
9、本指引第四章探讨数字身份系统的某些好处及其构成的风险。许多有关数字身份系统的风险也存在于身份证明文件中。然而,通过开放式通信网络(互联网)进行个人身份验证及身份认证会产生数字身份系统特有风险,特别是与网络攻击和潜在的大规模身份盗窃有关的风险。另一方面,根据数字身份保证框架和标准来缓释这些风险的数字身份系统在强化客户尽职调查与反洗钱和反恐怖融资控制措施、增强普惠金融、改善客户体验及降低受监管实体成本方面具有广阔前景。
10、本指引强调使用数字身份系统进行客户尽职调查可以为普惠金融提供多种方式的支持。首先,数字身份系统可以使各国政府采用更加灵活、细致、前瞻的方法来制定所需的属性、身份证据和证明官方身份的程序,包括以能够促进普惠金融目标的方式实施开户时客户身份识别与核实。其次,数字身份保证框架和标准本身在进行个人身份验证及身份认证的程序上提供了一些灵活性,可以通过定制来满足普惠金融目标。最后,按照FATF于2017年11月发布的《反洗钱和反恐怖融资措施与普惠金融指引(补充客户尽职调查)》中的方法,监管机构和受监管实体在采用风险为本方法进行客户尽职调查时可以为普惠金融提供支持,包括通过使用数字身份系统。
对主管部门的建议:
11、制定明确的指引或法规,允许受反洗钱和反恐怖融资监管实体以适当、风险为本的方式使用可靠、独立的数字身份系统。将理解司法管辖区内可用的数字身份系统及其如何适应现行关于客户身份识别与核实及持续尽职调查(及相关记录保存和依托第三方要求)的要求或指引作为起点。
12、评估现行客户尽职调查法规和指引是否适用于数字身份系统,并根据司法管辖区背景和身份生态系统进行酌情修订。例如,出于客户尽职调查目的,在使用具有健全保证等级的数字身份系统进行远程客户身份识别与核实及身份认证时,主管部门应当考虑澄清非面对面开户,其风险可以是标准水平,甚至是较低水平。
13、出于客户尽职调查目的,在制定所需的属性、身份证据和证明官方身份的程序时采用原则、性能及/或基于结果的标准。鉴于数字身份技术的快速发展,这将帮助推动负责任的创新并使监管要求历久弥新。
14、采用政策、法规、监管和检查程序,鼓励受监管实体在所有相关工作中制定高效、综合的方法来通过数字身份流式传输适用的数字流程。
15、制定综合的、涉及多个利益相关方的方法来理解与数字身份有关的机遇和风险并制定相关法规和指引以缓释风险。在适当的情况下,评估并利用负责身份、网络安全/数据保护和隐私(包括技术、安全、治理和资源考虑)的主管部门所采用的现行数字身份保证框架和技术标准,以评估用于客户尽职调查的数字身份系统的保证等级。按照FATF建议2,与相关主管部门合作与协调,以促进全面、协调的方法来理解和处理数字身份生态系统中的风险,并确保反洗钱和反恐怖融资对数字身份系统的要求与数据保护和隐私规则相兼容。
16、反洗钱和反恐怖融资主管部门可以考虑采用与包括受监管实体和数字身份服务提供商在内的私营部门利益相关方加强对话与合作的机制,以帮助确认与身份有关的关键机遇、风险和缓释措施。机制可以包括提供一个受监管环境以测试数字身份系统如何与国家反洗钱和反恐怖融资法律法规互动的监管“沙盒”方法。主管部门也可以考虑制定机制推动跨行业合作,以识别和解决现行数字身份系统中的漏洞。
17、考虑通过对照透明的数字身份保证框架和技术标准对数字身份系统进行审计和认证,或通过批准专家机构履行这些职能,为开发和执行可靠、独立的数字身份系统提供支持。
18、在开发和执行政府提供的数字身份系统时采用适当的数字身份保证框架和技术标准,主管部门应当对数字身份系统的工作方式和保证水平保持透明。
19、鼓励采用灵活、风险为本的方法使用数字身份系统进行客户身份识别,为普惠金融提供支持。考虑就如何使用具有不同身份验证/注册及身份认证保证等级的数字身份系统执行分层式客户尽职调查提供指引。
20、监控数字身份空间的发展以共享知识、最佳实践,并在国内和国际层面建立法律框架,推动负责任的创新,使境内和跨境数字身份系统具有更大的灵活性、高效性和功能性。
对受监管实体的建议:
21、采用明智的、风险为本的方法依靠数字身份系统进行客户尽职调查,包括:
理解数字身份系统,特别是身份验证及身份认证的保证等级;以及
确保保证等级与有关客户、产品、司法管辖区、地理范围等的洗钱和恐怖融资风险相适应。
22、理解数字身份系统的基本组件,特别是身份验证及身份认证,以及它们如何映射到所需的客户尽职调查要素(详见第二章和附录A)。
23、在洗钱和恐怖融资风险低的情况下,考虑具有较低保证等级的数字身份系统是否适用于简化尽职调查。例如,在允许的情况下,采用分层式客户尽职调查方法,利用具有不同保证等级的数字身份系统为普惠金融提供支持。
24、如果根据内部政策或惯例,非面对面客户身份识别始终被划分为高风险,则审查并修订这些政策,以考虑到依赖可靠、独立、具有强大风险缓释措施的数字身份系统进行客户身份识别与核实,其风险可以是标准水平,甚至是较低水平。
25、在相关的情况下,利用反欺诈和网络安全程序为反洗钱和反恐怖融资工作(开户时进行客户身份识别与核实及持续尽职调查和交易监控)提供数字身份验证及/或身份认证支持。例如,受监管实体可以利用内置在数字身份系统中的安全措施来防止欺诈行为(即监控身份认证事件,以甄别系统性滥用数字身份以访问账户的情况,包括通过丢失、泄露、盗窃或出售数字身份证书/认证器)进入系统,从而对业务关系实施持续尽职调查并监控、甄别和向主管部门报告可疑交易。
26、受监管实体应当确保其能够获取或有程序使主管部门能够获取个人身份识别与核实所需的基本身份信息和证据或数字信息。鼓励受监管实体参与监管机构和政策制定者及数字身份服务提供商的工作,探讨如何在数字身份环境中高效率、高效益地实现这一目标。
对数字身份服务提供商的建议:
27、理解反洗钱和反恐怖融资对客户尽职调查(特别是客户身份识别与核实及持续尽职调查)的要求,以及包括受监管实体保存客户尽职调查记录要求在内的其他相关法规。
28、寻求政府或经批准的专家机构的保证测试和认证,或在不可用的情况下寻求另一个国际知名专家机构的保证测试和认证。
29、向受反洗钱和反恐怖融资监管实体提供透明信息,说明数字身份系统的身份验证、身份认证及(在适用的情况下)联合与互操作性保证等级。
作者简介:
楼嘉炜,现任宁波银行反洗钱中心高级副经理。历年带领团队积极挖掘洗钱线索,上报重点可疑交易报告,公安机关据此成功侦破多起案件,为维护社会稳定发挥了作用。2019年率领宁波银行代表队参加宁波市金融机构反洗钱技能大赛,获得团体一等奖、个人一等奖。
(注:本文已获作者授权发布。文中所述仅代表作者个人观点。)
更多阅读:
中国人民银行关于进一步做好受益所有人身份识别工作有关问题的通知(银发【2018】164号)
道琼斯公司(Dow Jones)创建于1882年,旗下有道琼斯指数、Barron's《巴伦》、WSJ《华尔街日报》、MarketWatch、Factiva、VentureSource、Risk & Compliance等品牌。“道琼斯风险合规”是全球领先的风险合规服务商。本公众号由道琼斯风险合规中国团队运营。欢迎您关注或咨询:Johnson.Ma@dowjones.com