完善我国客户尽职调查制度
客户尽职调查是金融机构预防洗钱的第一道防线,有助于堵住金融体系漏洞,预防和遏制不法分子利用金融体系清洗犯罪资金
客 户尽职调查是反洗钱工作的基础,是反洗钱义务主体的核心义务之一。近年来,我国虽已建立客户尽职调查制度基本框架,但仍然存在部分领域客户尽职调查制度缺失、“风险为本”理念落实不充分、持续客户尽职调查有效性低等问题。
我国客户尽职调查制度现状我国客户尽职调查制度演变过程
随着金融行业的发展和我国逐步融入国际反洗钱体系,我国客户尽职调查制度(考虑到客户身份识别并不能代表尽职调查的全部含义,今后将统称为“客户尽职调查”,但引用现有法律规定时仍沿用“客户身份识别”这一名称,以与法规表述保持一致)也在不断地演变、健全。以2006年《反洗钱法》的颁布和2012 年金融行动特别工作组(FATF)发布《新40项建议》为分界线,我国客户尽职调查制度的演变大致分为三个阶段。
一是“账户实名制”时期(2006 年以前)。这一时期,为便利支付结算、保护存款人利益和完善金融基础设施等目的,人民银行出台了《个人存款账户实名制》《人民币银行结算账户管理办法》。虽然这些制度并未使用“客户尽职调查”或“客户身份识别”字眼,但是提出了账户真实性审核要求,并禁止开立假名、匿名账户,相当于对客户开展了初步的尽职调查。二是形式合规时期(2007 ~ 2012年)。受我国加入 FATF 的推动,为充分发挥反洗钱对维护金融秩序的作用,我国颁布了《反洗钱法》,并制定了《金融机构客户身份识别和客户身份资料及交易记录保存管理办法》,规定金融机构在客户身份初次识别、持续识别和重新识别各个环节的操作要求,标志着我国客户尽职调查制度正式确立。三是“风险为本”时期(2012 年以后)。2012 年 FATF 发布了新的反洗钱国际标准,更加强调“风险为本”反洗钱方法。与此同时,非银行支付机构陆续获得支付业务许可,随后又不断出现各类互联网金融新兴业态。为符合国际标准并满足国内实践,2012 年以来,人民银行单独或会同有关部门陆续出台多项制度,包括《支付机构反洗钱和反恐怖融资管理办法》《金融机构洗钱和恐怖融资风险评估及客户分类管理指引》《关于进一步做好受益所有人识别工作有
关问题的通知》《互联网金融从业机构反洗钱和反恐怖融资管理办法(试行)》等多个规范性文件,明确新机构客户尽职调查要求、增加受益所有人识别、客户风险评估和分类管理、高风险领域客户尽职调查等要求。随着各项制度的陆续出台,我国金融行业客户尽职调查制度基本成型。与此同时,2018 年以来,我国在特定非金融领域反洗钱制度方面实现突破,人民银行或有关部门陆续出台关于贵金属、房地产、会计师等行业的反洗钱规定,明确特定非金融行业客户尽职调查义务。
客户尽职调查制度成效
客户尽职调查制度的不断建立,尤其是《金融机构客户身份识别和客户身份资料及交易记录保存管理办法》发布以后,指导金融机构通过客户尽职调查,识别并核对客户身份证件,确保客户身份的真实性,有效拦截匿名、假名开户等行为,从源头上对洗钱和恐怖融资活动起到了一定的遏制作用。而 2012 年以后人民银行各项制度的出台,通过不断强调“风险为本”反洗钱工作方法,指导金融机构全面认识客户、业务风险,将客户尽职调查嵌入业务流程,有力提高了金融机构客户尽职调查工作水平;通过指导金融机构开展客户风险评估和分类管理,关注并定期审查高风险客户身份信息,对高风险业务情形进行相应的风险管理措施,从而起到预防和遏制洗钱和恐怖融资的目的。
我国客户尽职调查的主要制度缺陷及实践困境
虽然我国客户尽职调查制度基本建立,也取得一定的执行效果,但根据2019 年 FATF对我国的反洗钱评估报告,合规性评价中涉及客户尽职调查的10 项指标中,有6项指标的评价为合规或大致合规,4项指标为部分合规或不合规(即未达标)。同时与客户尽职调查相关的直接目标四(预防措施)与直接目标五(受益所有人透明度)的评级都为低有效性。经深入分析评估指出的问题,结合监管过程中对金融机构客户尽职调查工作,我国客户尽职调查制度还存在不少缺陷。
一是客户尽职调查要求未真正渗透到金融机构管理理念中,部分领域客户尽职调查要求缺失。一方面,长期以来,“客户身份识别”与“客户尽职调查”混用,导致金融机构理解出现偏差。身份识别主要停留在表面合规,如账户管理实名制、对身份证件简单核对等,并未触及真正了解客户、关注客户身份背景和交易目的、持续审查客户状况等客户尽职调查内在要求。另一方面,部分行业的客户尽职调查规定已不适应当前业务发展,如证券行业、支付行业,金融机构衍生出的新业务、新渠道也改变了客户尽职调查形式。另外,特定行业和特定领域的尽职调查要求存在缺失或不完善,如寿险保单受益人识别要求缺失,缺少涉及政治公众人物、电汇、新技术等特殊情形的尽职调查要求,特定非金融机构虽然要求履行客户尽职调查义务,但尚无具体的执行要求等。
二是缺乏系统的“风险为本”的客户尽职调查制度安排。《金融机构客户身份识别和客户身份资料及交易记录保存管理办法》注重合规性要求,对“风险为本”理念强调不够。近两年,人民银行出台的规范性文件虽然提到了“风险为本”,但在法律层级、强制性、实践上还存在诸多不足,总体上缺乏系统的“风险为本”客户尽职调查要求,例如,未要求金融机构基于风险状况制定客户接纳政策,未要求金融机构详细审查整个业务关系期间发生的交易,并确保客户行为与其身份和业务关系、风险状况相符;未明确强化和简化尽职调查适用的情形、金融机构采取与风险相匹配控制措施;未明确无法完成客户尽职调查情形下应采取的措施;等等。
三是持续客户尽职调查有效性低,制约反洗钱预防措施作用的发挥。《金融机构客户身份识别和客户身份资料及交易记录保存管理办法》强调初次建立业务关系时的身份识别和要素登记,虽然规定了业务存续期间客户尽职调查要求,但具体要求不够明确,导致金融机构对持续尽职
调查的理解停留在“更新失效的身份证件”上,不关注客户身份和交易背景的变化。由于缺少有效的持续尽职调查,金融机构往往对客户在准入时就“无限额放开所有业务权限”,给后期风险防控和监测带来较大难度,难以有效遏制非法集资、电信诈骗等金额巨大的非法交易,也造成已注销市场资格的虚假商户或空壳公司等客户的大量存在。
国际经验借鉴
针对国际评估中指出的我国客户尽职调查存在的缺陷以及金融机构反映的问题,本文通过对英国、美国等17 个国家(地区)客户尽职调查制度进行国际比较,作出了如下对应的分析。
各国(地区)客户尽职调查制度体系框架及特点
各国(地区)客户尽职调查虽然立法形式不一样,但从制度框架和内容来看,呈现以下特点。一是呈“金字塔”型制度体系架构。一般由总纲性制度与细化的操作性规定相结合,效力更高的文件中写入基本的、原则性要求,效力相对较低的文件再对其进行细化,或者在具体操作上进行指导。二是强调“风险为本”。多数均在反洗钱法律法规中明确了客户尽职调查工作应当遵循“风险为本”的总体要求。各国(地区)都在制度层面要求金融机构根据客户的风险状况采取匹配的尽职调查措施,对客户实施分类管理,同时各国(地区)明确监管同样适用“风险为本”方法。三是分行业细化规则。除了在法律中统一规定客户尽职调查的核心原则外,许多国家结合各行业实际情况,在多个“指令”或“规定”中,分行业明确具体的要求。
各国(地区)客户尽职调查制度核心内容
各国(地区)客户尽职调查的核心内容基本一致,均包含客户尽职调查的情形、适用于所有客户的尽职调查措施、基于风险的尽职调查措施(强化与简化)、
受益所有人尽职调查要求、特定客户和活动的尽职调查要求。
一是开展客户尽职调查的情形。各国(地区)均规定了按照 FATF中“建议 10”的5 种情形开展客户尽职调查,新加坡和加拿大进一步对于不同行业提出更具针对性的要求,如加拿大针对寿险公司、证券交易商,新加坡金融管理局针对银行、信用卡持牌人、信托公司等分别发布具有法律约束力的监管指令。二是适用于所有客户的尽职调查。这项要求主要包含三个要点,即识别(Identify)客户,通过可靠、独立的证明文件、数据或信息核实(Verify)客户身份,以及持续的客户尽职调查。最终目的是通过收集所有信息,形成一个客户的“风险图像” (Risk Profile),以便对客户的活动、交易规模和交易类型形成一个动态预期,并基于这些预期来判断客户后续交易活动是否属于可疑交易,体现了对客户全生命周期的管理。三是基于风险的客户尽职调查措施。为体现“风险为本”的要求,大部分国家(地区)都对客户尽职调查措施在范围和强度上做了区分,分为强化、简化和无法完成三种形式,并且规定了适用情形和措施。同时要求金融机构开展风险评估工作,将评估结果作为实施尽职调查强度的依据。大部分国家(地区)明确机构无法完成客户尽职调查的情况下,应当拒绝与客户建立业务关系、中止业务关系、停止交易或者提交可疑交易报告。四是特定领域的客户尽职调查。多数国家(地区)是通过制定或修订专门的客户尽职调查制度,以明确金融机构对非自然人客户的受益所有人尽职调查的义务。一些国家(地区)对涉及高风险国家(地区)、政治公众人物、代理行、新技术等特定客户和活动采取强化尽职调查措施,同时也有专门的基于特定业务的规定,主要是针对新技术,如在线识别、虚拟货币等。
完善我国客户尽职调查制度的建议
目前我国已经进入第四轮评估的后续
评估程序。针对评估提出的问题以及实践中的难点,对完善“风险为本”的客户尽职调查制度体系提出如下意见。
第一,结合国际标准和实践需要,修改《金融机构客户身份识别和客户身份资料及交易记录保存管理办法》。首先,在现有的第一章的总则部分更加突出强调“风险为本”的基本原则,强化对于高风险情形及客户的管理措施。其次,在现有第二章的基础上,按照《反洗钱法(修订草案)》给出客户尽职调查的含义,摒弃原有“客户身份识别”的狭隘理解;借鉴大多数国家(地区)的经验,增加“建议10”(客户尽职调查)的要求,着力对识别和核实客户、识别和核实受益所有人、了解客户交易的目的和性质、持续尽职调查、强化和简化尽职调查、无法完成客户尽职调查、代理关系等情形进行规定。最后,将FATF建议中关于高风险国家(地区)、政治公众人物、代理行、新技术等领域的总体要求,新增一章,写入《金融机构客户身份识别和客户身份资料及交易记录保存管理办法》中。
第二,修订各行业客户尽职调查的适用情形。短期来看,应遵循规章修订变动最小化原则,保留现有按行业来规定的体例,但同时对于每个行业的客户尽职调查的适用情形及措施进行更新,改变原来对业务进行列举的方式,这样既保证政策的连续性,也避免金融机构过高的“菜单成本”。如银行业、证券业对是否开立账户、一次性交易进行分类,保险业是否以承保、保全、理赔等流程环节进行分类,分别规定客户尽职调查的要求。但长期来看,需借鉴大多数国家(地区)的经验,会同行业监管部门、行业协会等进一步研究制定行业细则,对客户尽职调查总体要求、操作指引进行细化,指导金融机构更好地理解和履行客户尽职调查义务,保持制度的灵活性和精细化。
第三,将“风险为本”要求贯穿到客户尽职调查制度中。客户尽职调查是“风险为本”反洗钱工作的核心,建议在《金融机构客户身份识别和客户身份资料及交易记录保存管理办法》中补充以下内容。一是要求金融机构建立清晰的客户接纳政策,明确无法完成客户尽职调查,或经评估超过本机构风险管理能力的情况下,不得与客户建立或维持业务关系。二是完善持续尽职调查规定,将客户全生命周期管理融入持续尽职调查的要求中,采取定期审核与事件触发相结合的方式,确定客户持续尽职调查开展的时机,确保交易与金融机构所掌握的客户资料、客户业务、风险状况等信息吻合;确保尽职调查收集的证明文件、数据和信息的时效性及相关性。三是增加关于强化尽职调查和简化尽职调查的要求,明确适用情形以及相应的措施。
第四,查漏补缺,弥补合规性缺陷。虽然我国关于客户尽职调查的原则性规定总体满足 FATF“建议 10”的要求,但在细节上还存在一些缺陷。为此提出建议如下。修订《金融机构客户身份识别和客户身份资料及交易记录保存管理办法》的适用范围,增加非银行支付机构、网络小额贷款机构等;完善对一次性交易的规定,对“有关联的数次交易”提出客户尽职调查要求;明确受益所有人定义、判定规则,对于识别时机、信息收集内容作出规定;完善关于对寿险保单受益人的尽职调查要求,将寿险保单受益人作为一个风险因素来决定是否采用强化的客户尽职调查措施;在满足合规性要求的前提下,对部分规定进行细化和完善,如用“客户尽职调查”取代“客户身份识别”,明确金融机构应当了解客户建立业务关系的目的和性质,进一步细化持续尽职调查有关要求等。■
金融机构洗钱风险管理是反洗钱体系的重要方面
洗钱风险管理是金融机构全面风险管理的重要内容,也是反洗钱体系发挥预防作用的重要手段。与传统的交易记录保存、可疑交易报告等事后风险防范措施相比,洗钱风险管理更加侧重金融机构对洗钱风险的主动识别和事前、事中管控。从国际反洗钱实践经验来看,进一步发挥金融机构的作用已成为提升国家整体反洗钱体系有效性的必然要求,洗钱风险管理措施则是其中重要一环。
金融机构采取洗钱风险管理措施可分为两类:一是基于法律的强制性规定,不得与无法达到基本的身份识别条件的客户建立业务关系;二是根据金融机构自身的洗钱风险管理政策,对识别为高风险的业务或客户自主采取一定限制措施,直至中止业务或拒绝客户。两类措施的制度基础不同,适用范围和灵活性也有差异,如果说前者是必须遵守的“底线”,那后者则是应当不断逼近的“高线”。
根据法定客户身份识别要求采取风险管理措施
客户身份识别是金融机构各项反洗钱措施的基础,无法识别客户身份或无法完成客户尽职调查意味着不可控的洗钱风险。因此,金融行动特别工作组(FATF)在有关客户尽职调查的核心建议中,明确禁止金融机构存在任何匿名或假名账户,不得在无法完成客户尽职调查时开立账户、建立业务关系或进行交易。
各国反洗钱法律也普遍规定了对于无法完成客户身份识别的客户,金融机构不得为其开户、建立业务关系,或应采取其他控制措施。例如,美国《联邦法规》中有关金融犯罪的章节规定,金融机构在未能核实客户身份信息时,应拒绝开户、暂停交易活动、提交可疑报告,在客户身份验证失败后关闭账户。欧盟《反洗钱第四号指令》规定,对于无法满足客户尽职调查要求的客户,金融机构不得与其建立业务关系或者进行交易,已建立业务关系的则应立即终止。德国《反洗钱法》进一步明确,若金融机构无法完成客户尽职调查,即便是已建立业务关系的客户,金融机构决定终止业务关系时也无需考虑任何其他的法定条款和合同条款的约束,以免除金融机构在对客户采取风险管理措施时的顾虑。
根据机构自身洗钱风险管理政策采取措施
FATF《40项建议》要求金融机构建立“风险为本”的洗钱风险管理体系,包括识别风险、制定政策、实施监测以及对识别出的高风险情形采取强化控制措施。因此,在满足法定的客户尽职调查要求之外,金融机构还应针对不同情形自主采取洗钱风险管理措施。
事实上,金融机构作为独立经营的市场主体,采取风险管理措施属于其自身经营决策和风险管理范围内的事项,无需也不宜由国家出台硬性规定,当然也有部分国家以指引或建议的方式提出了监管期望。如英国反洗钱联合指导小组(JMLSG)在其《预防洗钱和反恐怖融资金融业指引》中提出,如果金融机构有合理理由证明或怀疑客户存在洗钱或资助恐怖主义的情形,必须向主管部门报告并冻结相关资金,所冻结资金直到获得主管部门同意后才可返还客户。德国中央银行在其监管建议中指出,对于涉及可疑交易的客户,银行反洗钱合规官应在与高级管理层协商后决定是否终止特定业务关系,若洗钱风险进一步提升,则必须终止业务关系或者相关交易。
从实践情况来看,在发达国家成熟的法治环境和较好的反洗钱工作基础上,美欧等经济体金融机构采取主动风险管理措施的情况较为普遍,冻结或关闭涉嫌洗钱活动账户的报道屡见不鲜,成为它们反洗钱机制的重要组成部分。
我国金融机构洗钱风险管理工作面临诸多困境
从我国实践情况来看,当前金融机构执行洗钱风险管理措施的情况存在数量少、层次低、范围窄的问题,已采取的措施中又以主动性较弱的第一类风险管理措施为主,而少量主动采取的风险管理措施,在实践中还面临着法律诉讼风险,可谓障碍重重。
究其根源,一方面是我国反洗钱工作起步较晚,金融机构和社会公众对洗钱问题认识程度不高,金融机构主动采取风险管理措施的意识和社会公众对风险管理措施的接受度还比较低;另一方面是反洗钱法律法规滞后。我国现行反洗钱法律法规既未赋予金融机构建立洗钱风险管理体系并主动采取洗钱风险管理措施的义
务,也未在法律层面充分保障金融机构依法采取洗钱风险管理措施的权利,仅有的强制性限制措施还存在适用范围过窄的局限。这些因素都制约了洗钱风险管理措施在反洗钱体系中的预防作用。
第一,洗钱风险管理未纳入反洗钱法定义务范围。尽管近年来人民银行不断强调“风险为本”的反洗钱原则,引导金融机构反洗钱工作从合规性向洗钱风险管理转变,但总体而言,金融机构普遍未建立有效的洗钱风险管理框架。究其原因,现行《反洗钱法》规定的金融机构反洗钱基本义务只包括建立反洗钱内部控制制度、客户身份识别等基础性要求,而未对金融机构建立洗钱风险管理体系和采取风险管理措施作出规定,也无相应罚则。虽然人民银行在一系列制度文件中已提出了相应要求,但法律层级较低,且缺乏坚实的上位法依据和对应的罚则。作为监管工作最重要的“指挥棒”,对金融机构违规行为的处罚只能以《反洗钱法》所规定的基础性合规工作为主,难以有效督促金融机构将反洗钱工作从合规性层次提升至风险管理层次,并自主采取风险管理措施。
第二,法律法规规定应采取管理措施的客户身份识别条件过于苛刻。根据《反洗钱法》和相关法规,只有在“身份不明”和“身份证过期且无合理理由不更新”的情况下,金融机构才须依法中止与客户的业务。对于未完成客户身份识别的其他情形,包括无法获取客户联系方式、职业等身份基本信息,无法核实客户身份,无法识别受益人所有人等,均未在法律层面作出规定,而这些信息和措施对于金融机构履行反洗钱义务、了解和识别客户及交易的背景和目的具有重要意义。在一些诉讼案例中,尽管金融机构援引《反洗钱法》关于“禁止与身份不明客户建立业务关系”的条款为自身采取风险管理措施辩护,但法院根据现行法律法规认为电话号码、职业等客户基本信息缺失不适用“身份不明”条款,往往判决金融机构败诉。因此,实践中“身份不明”的判定标准被进一步局限于客户未提供真实有效的身份证件的单一情形。本应作为反洗钱体系的一道重要“底线”被一降再降,未能充分发挥其应有效果。
第三,金融机构自主采取风险管理措施面临外部压力,且法律保障不足。尽管金融机构是否与某客户建立业务关系或为其提供何种服务本质上属于机构经营自主权,但在当前社会舆论环境中,一些部门和社会公众普遍将金融机构视为“准公共产品”的提供方及合同关系中的强势方,客户“维权”意识高涨,金融机构限制或中止为客户提供服务时常面临投诉、起诉甚或以“曝光”相威胁。更重要的是,《反洗钱法》对于机构自主采取风险管理措施缺乏明确的规定和保障,人民银行出台的部门规章、规范性文件法律层级较低,司法机关在此类案件中只能适用《民法》《合同法》《消费者权益保护法》等一般性法律,通常倾向于保护消费者权益。特别是在对已建立业务关系的客户采取风险管理措施时,还涉嫌侵犯客户财产权、知情权,在没有坚实法律支持的情况下,也无法得到司法机关支持。
抓紧完善反洗钱法律法规,保障金融机构合法履职
为促进金融机构反洗钱工作向“风险为本”模式转变、更加积极主动采取洗钱风险管理措施,切实防范当前利用银行账户从事电信诈骗、网络赌博、非法集资等涉众犯罪,必须尽快修订反洗钱法律法规,完善相关规定。
第一,强化金融机构洗钱风险管理义务。建议在《反洗钱法》中增加金融机构应基于“风险为本”原则建立洗钱风险管理体系和内部控制制度的规定,落实“风险为本”原则,将洗钱风险管理作为金融机构核心义务之一,要求金融机构识别、评估业务和客户洗钱风险,在本机构风险控制能力范围内开展相关业务。这是督促金融机构反洗钱工作向洗钱风险管理模式转变的必要基础。
第二,适当扩大禁止性条款的适用范围。我国金融机构客户身份识别起步于2000年前后的“账户实名制”要求,经过20年的发展和规范,目前“账户实名制”已基本实现全覆盖,各类违法犯罪活动已从利用匿名、假名账户转向更加复杂的手段,金融机构客户身份识别的目标和要求也必须与时俱进,逐步提升。建议借鉴国际经验,将禁止建立业务关系和办理业务的法定条件,由目前的“未提供真实有效的身份证件或者其他身份证明文件”“身份不明”“身份证件过期”等,扩大为无法完成客户尽职调查或无法核实客户(包括受益所有人)真实身份。
第三,明确金融机构对与客户业务关系和交易采取管理措施的自主权。建议在《反洗钱法》或部门规章中体现金融机构具有洗钱风险管理职责与自主权的内容,明确金融机构在与客户新建立业务关系时和业务关系存续期间,可以基于自身对客户的尽职调查和风险判断,对高风险客户和交易采取包括拒绝建立业务关系、限制账户功能或额度、中止金融服务在内的风险管理措施。同时将未按规定有效执行洗钱风险管理措施纳入行政处罚范围。
第四,增加客户配合尽职调查义务的规定。建议在《反洗钱法》中赋予客户配合尽职调查的义务,确保客户提供信息的真实性和完整性。在客户不履行配合义务或提供虚假身份证明材料等情况下,允许金融机构合理行使相关风险管理措施并免于承担有关的法律或合同责任。
第五,注重保护合法消费者权益。为防止个别金融机构或从业人员滥用风险管理措施,在《反洗钱法》及相关法律法规中应同时体现消费者权益保护原则,通过指引等形式进一步规范风险管理措施的前提条件、工作流程、种类和适用范围等,并为客户提供相应申诉渠道和救济措施。■
我国《反洗钱法》以专章的形式对洗钱法律责任予以了明确规定。虽然《反洗钱法》为打击洗钱行为构建起了一个法律责任框架体系,但在实际执行中仍有处罚形式过于单一和罚款力度弱两个突出问题,需要引起关注。笔者认为,较弱的罚款力度和有限的处罚手段在实践中会导致诸多弊端,主要表现:一是惩戒作用低,部分金融机构认为与其在反洗钱工作中投入巨大资源和成本,不如认缴罚款了事;二是小额、零散的罚款,无法起到“处罚一家、触动一片”的正面警示效应,不仅难以触动金融机构,而且还会引发外界对我国政府推进反洗钱工作的决心与能力的质疑。
反洗钱处罚实施难点
一是《反洗钱法》关于经济处罚适用范围的限定过窄。以反洗钱内控机制为例,《反洗钱法》仅规定对“未按照规定建立反洗钱内部控制制度的”等情形责令机构限期改正,不能满足现有反洗钱监管的实际需要,也与国际通行做法不一致。一方面,反洗钱内控机制是义务机构反洗钱履职的基本制度保障。内控制度仅是反洗钱内控机制的组成部分之一,未能涵盖反洗钱人力资源配备、内部监督、反洗钱信息系统建设等其他关键要素。另一方面,按照《反洗钱法》规定,执法检查即便发现内控制度存在缺陷也无法进行罚款,内控机制建设的实际违法成本几乎为零,义务机构往往“头痛医头、脚痛医脚”,难以从机制上解决问题,反洗钱监管的有效性受到极大制约。
二是《反洗钱法》关于处罚幅度的设定不尽合理。《反洗钱法》采用“数值数距式”框定罚款金额区间。虽然保有“数距式”上下限设置的优点,但也难以避免“数值式”刚性呆板的缺陷,无法适应洗钱及其上游犯罪形势的变化,严重削弱处罚的惩戒力度。例如,从近年来已侦破的洗钱及上游犯罪案例看,涉及的犯罪资金动辄数亿元甚至百亿元,但对致使洗钱后果发生的义务机构,按现行规定处罚上限仅 500万元,惩戒与警示效应严重不足。
三是《反洗钱法》授予的法律责任追究手段不充分。从实践角度看,除罚款外的其他行政处罚手段未能被充分使用,尤其是“处罚建议权”在实践中运用困难重重。究其原因,一是《反洗钱法》对金融监管机构如何落实“处罚建议”的要求不明确,对其履职不具有实质约束力;二是对情节严重的界定无明确标准,实践中也缺乏争议解决机制。对于个人处罚方面,目前也只有罚款一种方式,手段过于单一。
国际国内经验与借鉴经济处罚范围
在美国,对于内控制度(措施和流程)、组织机构(权责分工、人员配备)、审计、培训、(监测)系统管理、风险管理等内控管理违规,均可直接进行罚款。比如, 2016年美国纽约州金融服务局(DFS)对某中资银行纽约分行处以2.15 亿美元罚款即是针对内部控制、独立审计、合规官及反洗钱培训等支柱性义务的欠缺,而非针对具体的实质性违法行为。在英国,针对内控管理的违规问题(比如内部控制制度、组织机构、培训、审计、系统管理等)可直接进行罚款。2017 年,英国金融行为监管局对德意志银行罚款1.63 亿美元,处罚范围包括风险管理体系存在缺陷、合规和内审资源不足、组织架构存在缺陷等。
民事罚款幅度
在美国,按照违法行为的次数及持续时间单独计算,单次违法行为可处以最高 10万美元罚款;如涉及多次违法行为或者持续多日,处罚金额按照违法次数或持续日期累加计算,上限为违法交易总金额。在新加坡,对每项反洗钱违法行为可处以不超过 100万新加坡元的罚款;如属持续的违法行为,按照持续时间每一日另处 10万新加坡元的罚款。在中国香港,按违法情节采取数罪并罚或从一重罪处