互金反洗钱新规解读及P2P网贷机构的应对

2019-04-17

2018年10月10日，由中国人民银行牵头，中国银行保险监督管理委员会、中国证券监督管理委员会共同参与制定的《互联网金融从业机构反洗钱和反恐怖融资管理办法（试行）》（以下简称“《管理办法》”）出台，并于2019年01月01日正式生效。这不仅弥补了互联网金融机构反洗钱的制度空白，而且给正在面临备案验收的P2P网贷机构提出了更高的合规要求。本文从律师角度解读《管理办法》，并以P2P网贷机构为例阐述互联网金融从业机构如何落实该反洗钱新规。

一、相关法规梳理

在《管理办法》出台之前，涉及反洗钱和反恐怖融资的法律法规主要包括《中华人民共和国反洗钱法》（下称“《反洗钱法》”）和《中华人民共和国反恐怖主义法》（下称“《反恐怖主义法》”）这两大纲领性法律，以及细分行业性法规中关于反洗钱的条款。就细分行业性法规而言，涉及P2P网贷机构（即，网络借贷信息中介机构）的反洗钱条款是《网络借贷信息中介机构业务活动管理暂行办法》（下称“《暂行办法》”）第九条第（七）款，即P2P网贷机构应当履行的义务包括：“依法履行客户身份识别、可疑交易报告、客户身份资料和交易记录保存等反洗钱和反恐怖融资义务”。就现在备案验收中的“三查”（即，网贷机构自查、互金协会行业自律检查和行政检查）而言，涉及的规定是《网络借贷信息中介机构合规检查问题清单》（下称“《网贷108条》”）中第36和37条： “制定、进行客户身份识别、可疑交易报告、客户身份资料和交易记录保存等反洗钱和反恐怖融资方面的制度、措施”。该规定重申并细化了《暂行办法》第九条第（七）款中的义务，并进一步要求P2P网贷机构制定和实施反洗钱和反恐怖融资的内控制度。

实际上，上述法条仅是概括性规定，而《管理办法》的出台对提出了更明确的要求。具体来说，《管理办法》对互联网金融从业机构进行具体定义，强调了中国互联网金融协会的重要地位，并规定了从业机构具体应履行的反洗钱和反恐怖融资义务和罚则，细化了原来的框架性规定。

二、《管理办法》重点法条解读

《管理办法》全文共二十五条，下文从如下几个主要方面进行重点解读：被监管主体（即从业机构），监管主体，及从业机构的三大义务“身份识别”、“大额交易和可疑交易报告制度”、“客户身份资料和交易记录保存”。

1.“从业机构”明确包含P2P网贷机构

《管理办法》第二条规定了适用该办法的主体范围，即“我国境内经有权部门批准或者备案设立的，依法经营互联网金融业务的机构”（下称“从业机构”）。对于调整金融业务的范围而言，《管理办法》的规定包括但不限于网络支付、网络借贷、网络借贷信息中介、股权众筹融资、互联网基金销售、互联网保险、互联网信托和互联网消费金融等，还包括金融机构和非银行支付机构开展的互联网金融业务。其中“网络借贷信息中介”指的是本文主要讨论的P2P网贷机构，与“网络借贷”不同的是，P2P网贷机构自身不提供借贷服务，而是以互联网为主要渠道，为借款人与出借人实现直接借贷提供居间撮合的信息服务。

需要注意的是《管理办法》承继了《国务院办公厅关于完善反洗钱、反恐怖融资、反逃税监管体制机制的意见》中要求的“风险为本”的原则，引导作为“第一道防线”的互金从业机构预防并化解风险。“风险为本”具体指的是“实质大于形式”，即P2P网贷机构即使形式上合规，如其未尽到审慎义务而实际发生风险也应承担责任。根据笔者的执业经验，现在大部分P2P网贷机构合规的水平与上述要求还有较大差距，因此不建议存在侥幸心理，比如认为在形式上具有可疑交易报告就达到反洗钱这项合规要求。

2.突显中国互金协会在监管中的地位

P2P网贷机构的反洗钱监管主体仍然是《反洗钱法》第四条以及《反恐怖主义法》第二十四条规定的国务院反洗钱行政主管部门，即以中国人民银行反洗钱局为主的行政部门。为落实上述法条的规定，中国人民银行设立并使用了网络监测平台。

但在制度细节上，《管理办法》进行了留白处理，如《管理办法》第四条授权中国互联网金融协会为代表的行业协会制定行业规则，以起到解释并细化《管理办法》的作用。而其他行业自律组织也依法对其行业内机构提出了反洗钱内控制度的要求。此外，《管理办法》第五条还规定，中国互联网金融协会应配合中国人民银行和其他上层监管部门的要求，对于上述网络监测平台肩负着建设、运行和维护的义务。新规将部分行政权力授予行业协会，不仅赋予其一定“立法权”，又赋予其主要的“执法权”，因此笔者认为中国互联网金融协会将在互金行业反洗钱实践中起到更加重要的作用。因此P2P网贷机构不应对行业自律规定掉以轻心，若其（不限于中国互联网金融协会的会员单位）违反协会制定的的具体细则，同时也可能面临中国人民银行、银保监会和证监会的行政处罚。

3.身份识别——“了解你的客户”

《管理办法》第十条规定“从业机构应执行客户身份识别制度”，遵循“了解你的客户”（KYC）原则。对于自然人客户而言，从业机构应当了解交易是否为本人操作以及交易的实际受益人；对于非自然人客户而言，从业机构应了解受益所有人（包括掌握控制权或者获取收益的自然人）的情况。P2P网贷机构了解客户的关键阶段是出借人、借款人注册时的用户审核。

a.了解出借人客户

出借人一般是线上注册的自然人客户，P2P网贷机构的审核措施一般是通过委托给合作存管银行进行“四码认证”（客户姓名、身份证号、银行卡号、手机号）的方式进行。存管银行验证以上信息与客户在发卡行开卡时预留的信息一致时即认证通过。但现在普遍存在的问题是线上出借人审核过度依赖于存管银行，而P2P网贷机构自身缺少或没有对于线上自然人客户交易是否为本人操作的复核。一种更好的做法是，采用生物活体检验，即需要自然人客户视频做一些指定动作的方式以验证交易是否为本人操作。至于了解自然人客户交易的实际受益人，尽管在实践中几乎很难实现，但至少应通过要求出借人自行披露的方式以满足形式上的要件。

b.了解借款人客户

借款人一般是线下审核后在线上注册的自然人客户和非自然人客户。实践中的审核措施一般是在借款人端同样链接存管银行的四码验证，从而在进行线下风控时可以有效甄别自然人客户交易是否是本人操作或了解非自然人客户受益所有人的情况。但是笔者在参与备案验收的检查过程中发现一些P2P网贷机构存在批量不合常理的借款人公司名称的情况。工商登记的信息显示，这些借款人公司注册地在同一座楼里，且法定代表人、股东为同一批人，而上述机构也未对这些公司实际经营业务的证明材料进行额外风控审核。笔者认为，此种情况属于风控审核不充分，即未通过内控制度对不同借款人之间关系进行综合平行比对时可能会导致批量借款人共享同一受益所有人的情形，并进而产生虚假借贷的情形。

c.客户风险等级划分

《管理办法》还规定应确定并适时调整客户风险等级。应注意此处的客户风险等级是指客户涉嫌洗钱和恐怖融资的风险等级，应区别于《暂行办法》中基于出借人保护目的对出借人进行尽职评估后的承受风险能力等级分级管理的规定。

4.大额交易和可疑交易报告制度——客观、主观标准均需满足

《管理办法》出台前法规中仅对“可疑交易报告”作出重点规定，比如《暂行办法》第九条第（七）款“依法履行客户身份识别、可疑交易报告、客户身份资料和交易记录保存等反洗钱和反恐怖融资义务”，《网贷108条》第36条、37条也仅罗列出可疑交易报告这一反洗钱和反恐怖融资方面的制度、措施，均未提到“大额交易报告制度”。《管理办法》第十四条至十九条规定了从业机构应当执行“大额交易和可疑交易报告”的制度，即通过网络监测平台提交大额交易和可疑交易报告。上述规定通过增加大额交易报告这一客观义务，以及重申可疑交易报告这一主观义务的方式实际上提高了P2P网贷机构的反洗钱义务的要求。

a.大额交易报告

上文中的“大额交易”根据《管理办法》的定义是指“客户当日单笔或者累计交易人民币5万元以上（含5万元）、外币等值1万美元以上（含1万美元）的现金收支”。由于大额交易上报下限（5万元）远低于《暂行办法》第十七条所要求的自然人/法人或其他组织在同一P2P网贷机构的借款余额上限（20万/100万），且网贷实践中存在大量20万/100万或者甚至超限额的借款交易，因此预计P2P网贷机构将面临承担报告大量大额交易的义务。

b.可疑交易报告

至于可疑交易报告，由于上述行业法规仅进行了框架性规定，因而P2P网贷机构不能基于上述法规明确可疑交易报告中应包括的具体要素或如何认定交易是否可疑。关于可疑交易报告的制定标准建议持续关注互联网金融协会的相关信息。

5.客户身份资料和交易记录保存制度

《管理办法》第二十条规定，“从业机构应当按照法律法规和行业规则规定的保存范围、保存期限、技术标准，妥善保存开展客户身份识别、交易监测分析、大额交易报告和可疑交易报告等反洗钱和反恐怖融资工作所产生的信息、数据和资料，确保能够完整重现每笔交易，确保相关工作可追溯。”

具体到P2P网贷机构，关于保存范围，应根据行业法规《暂行办法》第十八条的标准，记录并留存借贷双方上网日志信息，信息交互内容等数据。《网贷108条》中的40条到45条也细化了信息安全保障的管理要求。关于这些信息、数据和资料的保存期限，应结合《暂行办法》第十八条和第二十三条档案保存管理的要求来理解，即“借贷双方上网日志信息，信息交互内容等数据留存期限为自借贷合同到期起5年”以及“借贷合同到期后应至少保存5年”。由于P2P借贷合同一般为线上签订的电子合同，与其他电子数据一样占用物理空间极小，所以笔者建议尽量延长其保存时间，以达到可追溯重现过去交易的目的。

三、P2P网贷机构的应对建议

作为互联网金融从业机构，P2P网贷机构应将新规纳入自己公司的合规标准中，除此之外，还应持续关注不断出台的细则，并积极配合存管银行的反洗钱和反恐怖融资工作。笔者的应对建议具体细化为下述三点：

1.健全并实施内控制度

目前大多数P2P网贷机构已经建立了反洗钱及相关制度，因此目前建议对照新的法规相应更新、健全内控制度，如增加客户反洗钱风险评级制度和大额交易报告制度等。在设计反洗钱制度时应注意制度的可执行性、规定具体事项、负责人和罚则并考虑与出借人、借款人审核制度、信息保存制度等其他制度相结合。此外，P2P网贷机构还应接入互联网金融协会监测系统以执行可疑、大额交易报告制度并着重关注互联网金融协会未来可能出台的反洗钱细则。

2.敏感行业重点关注

P2P网贷机构应重点关注其业务模式、用户职业以及用户借款用途中是否包括涉及反洗钱特殊规定的敏感行业，并着重审查借款用途的证明材料，做好风控措施。如专注房地产融资的机构应注意不得违反《关于规范购房融资和加强反洗钱工作的通知》中第一条第二款规定“严禁互联网金融从业机构、小额贷款公司违规提供“首付贷”等购房融资产品或服务。互联网金融从业机构和小额贷款公司不得以线上、线下或其他任何形式为购房人提供首付融资或相关服务。”《网贷108条》第98条也规定禁止“提供首付贷、赎楼贷、房地产场外配资等购房融资借贷撮合服务。”

3.配合存管银行进行反洗钱工作

目前大多数P2P网贷机构已与存管银行签订协议、接入并上线存管银行。全量接入“白名单”存管银行不仅是《网贷108条》第66条至68条的硬性要求，也是有效预防归集资金问题的突破口，更可以依托较为成熟的银行业反洗钱系统间接打击P2P行业的洗钱活动。《网络借贷资金存管业务指引》第十五条第（十）款规定存管合同应包括反洗钱职责条款，我们建议P2P网贷机构重新审查其与存管银行签署的存管协议中是否已经包含反洗钱、反恐怖融资方面的条款，若上述条款缺失，应尽快与存管银行签署补充协议加以约定。

至于P2P网贷机构与存管银行的工作分配问题，笔者认为，一方面，存管银行作为银行业金融机构，受到《银行业金融机构反洗钱和反恐怖融资管理办法》规制，P2P网贷机构应积极配合存管银行履行法定义务，比如在存管银行发现可疑交易需要上报时为其提供数据资料支持，每日与存管银行进行账务核对等；另一方面，P2P网贷机构不得完全依赖存管银行进行反洗钱工作，其自身也应按照前文所述履行客户身份识别、大额交易和可疑交易报告及客户身份资料和交易记录保存等义务。

四、结 语

P2P网贷机构及其高管应给予《管理办法》足够重视，P2P网贷机构在现阶段若不履行新规义务可能会影响其顺利通过备案验收，而在备案完成后若不履行新规义务，可能面临限期整改或行政处罚，甚至刑事责任。对于P2P网贷机构的高管，《管理办法》第八条规定“从业机构应当明确机构董事、高级管理层及部门管理人员的反洗钱和反恐怖融资职责”，明确了责任到人、到业务条线（部门）的要求。

本文作者：