央行福州中心支行陈靖:支付机构客户身份识别实践、问题及建议


来源:中国反洗钱实务    作者:陈靖    2021-8-20 11:04

摘要:客户身份识别是支付机构履行反洗钱义务的第一道关口,实践中,支付机构的客户身份识别覆盖网络支付、预付卡的发行与受理、银行卡收单等业务,包括开户流程管理和信息真实性核对、实名认证体系管理和证件真实性核查等具体环节。本文通过对4家代表性支付机构的客户身份识别实践进行分析,总结出支付机构具有客户存量规模大、客户集中度高、不同业务风险差异明显、以非面对面业务为主等特点,并根据这些特点提出相关建议。

2012年,人民银行明确将支付机构纳入反洗钱义务主体,规范其反洗钱和反恐怖融资履职要求。实践中,支付机构客户具有存量规模大、客户集中度高、以非面对面业务为主等特点,不同业务风险差异明显,识别要求不尽相同。为配合支付机构客户身份识别政策制度修订,本文选择Z公司、C公司、Y公司、H公司4家代表性支付机构,围绕当前支付机构客户身份识别实践开展调研。

一、支付机构客户身份识别实践

《非金融机构支付服务管理办法》(中国人民银行令〔2010〕第2号)规定,非金融机构支付服务包括网络支付、预付卡的发行与受理、银行卡收单等;《支付机构反洗钱和反恐怖融资管理办法》(银发〔2012〕54号,以下简称“54号文”)将支付机构的客户身份识别分为初次识别、持续识别(含重新识别)等环节。实践中,支付机构主要围绕开户流程管理和信息真实性核对、实名认证体系管理和证件真实性核查等具体操作步骤落实客户身份识别的法定义务。

(一)网络支付业务

网络支付业务[1]指收款人或付款人通过计算机、移动终端等电子设备,依托公共网络信息系统远程发起支付指令,且付款人电子设备不与收款人特定专属设备交互,由支付机构为收付款人提供货币资金转移服务的活动。经营网络支付业务中具有代表性的机构主要是C公司、Z公司等。

1.初次识别

C公司、Z公司[2]客户数均超过7亿户,开立支付账户数均超过10亿个,在开户流程管理和信息真实性核对方面,分为个人客户与单位客户两种情况。对于个人客户而言,通过四步操作确定开户意愿:一是通过手机短信验证;二是提交客户信息;三是绑定本人银行卡;四是设置支付密码。单位客户在开户流程中,通过账密认证、打款认证、法定代表人扫脸认证等方式验证单位的开户意愿。如操作者为非法定代表人或负责人,需事前确认该操作者和单位存在关联关系,并监控单位账户的操作。为管控单位财务等人员伪造单位意愿的风险,还会通过短信、邮件、手机客户端内消息等方式将账户操作实时通知该单位有权限的其他相关人员;此外,系统后台建立了风控策略对客户提供的信息和操作情况进行大数据模型识别,如发现非本人注册,系统会将其标记为异常客户,并根据风险特征进行后续管控。客户身份信息收集要素涵盖了“54号文”要求采集的各项要素,并通过公安部数据库实名校验、绑定银行卡校验、运营商信息实名校验、银联实名校验等多种渠道核对其真实性。

在实名认证体系管理方面,完成1~2个实名渠道[3]验证,为Ⅰ类支付账户,限制累计余额支付金额1000元人民币;完成3~4个实名渠道验证,是为Ⅱ类支付账户,限制一年累计余额支付金额10万元人民币;完成5个及以上实名渠道验证,是为Ⅲ类支付账户,限制一年累计余额支付金额20万元人民币。

在证件真实性核查方面,根据“54号文”规定的情形以及开展客户尽职调查过程中(如交易异常、疑似命中名单)等情形需要上传证件时,通过OCR识别与客户影像或公安部进行人脸比对。对于境内客户,通过市场管理部门接口、公安部数据库查询、购买第三方数据对企业登记信息进行核验。对于境外单位客户的身份证明文件,主要依赖人工审核,对受益所有人信息则通过采购第三方数据进行辅助核对。

2.持续识别

在持续识别措施方面,C公司在商户发生大额交易、触发可疑类型规则、发生投诉或舆情信息等情况下,需人工审核客户交易。针对特约商户,通过委托外包开展现场巡检,同时采取用户众包方式开展非现场巡检。对涉嫌可疑交易的特约商户采取包括但不限于关闭支付接口、限制交易金额、延迟结算、冻结结算、调整结算周期等控制措施。Z公司则通过可疑交易监控体系持续监控客户的身份和行为是否相符。在业务风险评估的基础上,从账户属性、身份信息、交易方式、交易频率、金额特征、地理位置、负面信息、黑点扩散、关联网络等多维度开发有针对性的监控规则。针对特约商户,每年对商户进行年审,并通过微客、用户问卷等多种方式对商户开展巡检。制定了特约商户风险分层排查策略。针对中高风险特约商户,通过微客巡检[4]等方式现场核实商家的经营情况,如发现风险情况将及时采取延迟结算、限制收款、清退等处罚措施。

在提示客户更新身份信息方面,C公司在商户管理平台站内提前90天向客户发出提示,如在规定期限内未提交,采取“关闭支付权限”的限制措施。针对个人身份证件过期问题,正制定治理规划。Z公司对于证件即将过期或者已过期的客户,定期以短信、App端发送弹屏、公告内消息推送等方式向客户发送证件更新通知,对于没有通过人脸识别且没有更新证件的客户,进行余额支付限权,引导用户更新证件或者通过人脸识别后解限。

在重新识别方面,在发生“54号文”第二十三条第一项规定的重要信息变更情形时,客户可在商户平台上提交相关变更资料以及市场管理部门变更证明,经人工审核确认后生效。其他需要重新识别的情形有:符合可疑交易模型、存在重大舆情和投诉、客户行为与其身份背景明显不符等。上述情形将会生成可疑交易案例,经人工审核后,根据审核情况发起可疑交易报告。在客户洗钱风险等级划分方面,将客户洗钱风险划分为5个等级,对高风险客户设定半年的回顾周期,对次一级风险等级客户增加一倍周期回顾并依此类推。由“系统+人工”方式,对客户身份和交易信息进行分析。对风险等级最高的客户,要求客户提供信息资料,通过后台调单、大数据分析等手段,从客户和交易两个维度开展尽职调查。

(二)预付卡业务

预付卡[5]指发卡机构以特定载体和形式发行的、可在发卡机构之外购买商品或服务的预付价值。近年来,由于受业务产品定位和市场前景不明等原因影响,预付卡业务发展不断萎缩,客户身份识别主要存在于售卡环节和赎回环节。

1.售卡环节[6]

H公司[7]认为,记名预付卡指预付卡业务处理系统中记载持卡人身份信息的预付卡,购卡人即为预付卡登记的卡主,因此,该公司未发生代理他人购买记名预付卡的业务,该公司预付卡充值主要场景是机构客户为其员工的预付卡充值。在个人客户方面,按照“54号文”采集客户身份9要素信息,同时通过全国公民身份证号码查询服务中心查询核验客户身份信息的有效性,当核验通过后,受理其业务申请,并留存客户身份证件的影印件或复印件。在机构客户方面,识别机构经办人的身份,同时留存机构客户有效身份证件的复印件或影印件。同时,通过全国组织机构统一社会信用代码数据服务中心、国家企业信用信息公示系统等平台查询核验机构客户身份信息的真实性和有效性。

2.赎回环节

H公司要求赎回人提供原始购买凭证,并识别赎回人的身份,登记赎回人身份基本信息,核对赎回人有效身份证件,并留存赎回人有效身份证件的复印件或者影印件。

(三)银行卡收单业务

银行卡收单业务[8]指收单机构与特约商户签订银行卡受理协议,在特约商户按约定受理银行卡并与持卡人达成交易后,为特约商户提供交易资金结算服务的行为。银行卡收单业务中,客户身份识别主要是对特约商户及其受益所有人的识别。

1.与特约商户建立业务关系

Y公司[9]采取现场考察和系统采集核验相结合的方式开展客户身份识别。在现场考察方面,客户经理通过对商户进行现场调查,了解其经营状况,留存现场考察照片,采集商户基本信息。在系统采集核验方面,应用移动客户端等载体采集客户身份信息,并辅以OCR技术自动识别功能上送商户信息档案管理系统,对接市场管理、公安等渠道实现客户身份证件自动核验、基础信息自动回填及客户身份信息要素强制登记等功能。

2.受益所有人识别

采取现场考察和系统核验相结合方式进行。在现场考察方面,由客户经理现场调查、了解受益所有人情况,采集、收集其身份信息和证明材料。在系统核验方面,通过全国企业信用信息公示系统、上市公司官网和公告等查验受益所有人真实性。

(四)综述

从上述四家代表性机构情况看,支付机构的客户身份识别实践与传统金融行业相比有以下特点。

一是存量客户规模巨大,客户集中度高。从Z公司、C公司客户数据看,两家存量客户均超7亿户,远远超过单家传统金融机构,客户身份识别工作量大。二是不同业务风险差异明显。网络支付业务无论在业务复杂度、客户类型、交易规模等方面,均远超预付卡和银行卡收单业务,调研中反映的问题和风险主要集中在网络支付业务。三是客户身份识别以非面对面方式为主。不同于传统金融行业,由于网络支付业务对客户、特约商户的识别均以线上为主,无法实现“人、证、核查结果”三比对同时完成。

二、存在的问题

(一)现行规定部分条款有待进一步完善

首先,“54号文”第十一条规定应当识别客户的情形包括“通过取得网上金融产品销售资质的网络支付机构买卖金融产品的”,该条款对于“买卖金融产品”的界定不清晰。实务中,按照监管要求,支付机构应专营支付业务[10],并无相关销售金融产品的资质。支付机构的普遍做法是作为销售平台向客户展示金融产品,并提供支付方式,实际与客户签约的仍然是相关具有销售金融产品资质的企业。

其次,“54号文”第五十一条规定的单位客户身份基本信息要素设置待优化。例如,法定代表人与授权办理业务人的识别要求在各个法规规定不一致。《金融机构客户身份识别和客户身份资料及交易记录保存管理办法》规定单位客户要素包括“法定代表人和授权办理业务人”,但《支付机构反洗钱和反恐怖融资管理办法》《银行卡收单业务管理办法》《非银行支付机构网络支付业务管理办法》规定的是“法定代表人或授权办理业务人”。支付机构理论上可不收集法定代表人,而只收集授权办理人信息,不符合风险为本要求。此外,自统一社会信用代码推广后,组织机构代码信息已包含其中,无须单独收集。

再次,“54号文”第十三条规定的向未开立支付账户的客户办理支付业务时的识别要求,不符合行业惯例。符合该条款的实际业务主要是客户通过银行网银发起的支付交易,支付机构与客户之间并未建立业务关系,因此难以采集客户信息。实务中,各机构均无法有效执行该条款。

最后,“54号文”第二十三条规定的重新识别要求和可疑交易报告要求存在重叠。当前相关规定未对重新识别作出清晰的定义,也未规范重新识别的具体操作,仅要求出现特定情形时需开展重新识别。实务中,需要开展重新识别的情形往往符合(如客户行为或者交易情况出现异常的)可疑交易预警标准,义务机构排查分析的过程实质上也开展了重新识别,两项工作存在重叠。

(二)落实现行规定存在一些普遍性问题

在受益所有人身份识别方面,目前支付机构普遍通过全国企业信息公示系统等官方渠道开展客户身份信息查验,但这些渠道目前仅能查询到一级股东名称,无法逐层深入并最终明确掌握控制权或获取收益的自然人,且无地址、身份证件类型、号码、有效期等信息;通过现场考察采集的信息因客户主观性问题,可能存在与官方渠道采集的信息不一致的情况,可能较难保证其身份信息的准确性和有效性。

在客户身份信息核验方面,支付机构在采集客户身份基本信息后,可校验客户证件号码和姓名是否匹配;但由于规定并未要求所有个人客户开立支付账户时上传身份证影印件,因此在客户未提供身份证影印件的情况下,支付机构难以核实客户填写的证件有效期、职业、联系地址等信息的真实性。此外,部分客户身份识别25难度较大。例如,客户持非居民身份证件开户难以核验真伪、居民客户持护照开户,但是否在国外居住难查明,存在一人持多个证件开多户的隐患等。

三、政策建议

支付行业在客户身份识别方面与传统金融业相比,有共性,也有特殊性。从洗钱风险看,网络支付业务风险最高、银行卡收单业务风险次之、预付卡业务风险相对较小。对支付机构客户身份识别制度的修订,应充分总结监管和业务实际,确保政策的合理性。

(一)完善客户身份识别政策总体架构

从国际国内监管和业界实践看,客户身份识别重要性显著提升,范畴明显拓展,体现在两方面:一是不仅指识别客户身份,还包括识别客户关联人(受益所有人)身份;二是不仅指收集、核对、登记客户身份信息,留存客户资料的活动,还包括名单筛查、风险评级、异常监测、可疑报告等一整套洗钱风险管理和控制过程。因此,完善客户身份识别政策应融入近年来的国际、国内反洗钱监管导向,总体上应涵盖:一是身份识别,包括初次识别、持续识别、标准识别、简化识别、强化识别、特殊识别;二是客户洗钱风险等级划分;三是名单筛查;四是风险监测(如识别过程中关注异常行为);五是风险缓释措施,包括高风险客户管理、风险极高客户(超出管控能力)或风险难以识别客户的拒绝准入、退出等。

(二)细化非面对面业务客户身份识别规定

传统金融机构主要通过柜面或客户经理开展客户身份识别,是人人交互,而互联网支付机构普遍采用App或网页非面对面方式进行客户身份识别,主要是人机交互。一般认为,非面对面方式风险较高,人人交互更加可靠,但人机交互在风险管控上也有优点,如能有效降低道德风险和操作风险。建议考虑支付行业普遍做法,在无法核对证件原件的现实情况下,完善关于客户身份识别措施的规定,对通过互联网开展客户尽调的做法的效力予以确认,包括但不限于:客户自拍证照上传、从官方或第三方平台拉取数据、OCR识别、大数据分析、数据交叉验证、远程授权确认等。此外,在持续身份识别的要求中,允许支付机构可以使用人脸识别的方式代替过期后采集客户的身份证影印件,来验证账户为客户本人操作使用。

(三)将风险为本监管理念融入政策内容

根据FATF建议1、建议10,应针对不同风险的客户采取不同的客户身份识别措施。因此,客户身份识别政策应结合《非银行支付机构网络支付业务管理办法》界定的账户类型进行区别要求,对于功能齐全的账户的识别要求应高于限制功能账户的。此外,对于低风险客户可以采取简化的身份识别措施。例如,客户使用人民币1000元以下的支付服务、购买的保险属于单次金额较低的(通常低于人民币5元)的“运费险”、信贷额度低于人民币500元以下的小额消费信贷的时候,可以采取相对简化的身份识别措施,如仅通过公安网进行客户姓名和证件号码比对,或通过银行卡验证,而无须填写职业和地址等信息。对于高风险客户应采取强化的身份识别措施,如触发可疑预警、怀疑账户非本人使用、账户交易规模和频率异常等情形的,可规定暂停账户权限,要求完善信息后恢复[11]。此外,规定对于无法详尽的应当强化或简化的情形,是否可以授权由支付机构按照风险为本原则自定义识别要求,当监管部门检查发现存在实质风险时,可以追究支付机构责任。

(四)完善受益所有人识别政策

鉴于目前受益所有人识别实践情况,在修订客户身份识别相关规定时,可将受益所有人名称和证明材料等从公开来源获取的信息作为必要信息和资料,将受益所有人地址、身份证件类型、号码、有效期等信息仅作为辅助信息,根据实际操作情况和风险程度明确受益所有人身份不同信息的采集要求。

[1]参见《非银行支付机构网络支付业务管理办法》(中国人民银行公告〔2015〕第43号)。

[2]Z公司:截至2019年7月,个人客户8.3亿户,开立支付账户24.46亿个,单位客户(含特约商户)共427.08万户。Z公司:截至2019年11月,个人客户7亿户、开立支付账户10亿个,单位客户599万户、开立支付账户858万个,特约商户180万家。

[3]《非银行支付机构网络支付业务管理办法》规定的验证方式。

[4]微客巡检,通过微客平台随机发送商家巡检任务,Z公司用户通过实名认证后便可领取相关任务,并按照Z公司的页面提示完成操作。用户完成巡检任务后,Z公司将对其巡检任务情况进行人工审核,如审核通过则给予一定的奖励金。

[5]参见《支付机构预付卡业务管理办法》(中国人民银行公告〔2012〕第12号)。

[6]包括出售记名预付卡或一次性金额人民币1万元以上的不记名预付卡、办理记名预付卡或一次性金额人民币1万元以上不记名预付卡充值业务。

[7]2019年前三个季度预付卡发行1095万张,金额33.1亿元,充值10.1万笔,金额9359.17万元,预付卡特约商户19923户。

[8]参见《银行卡收单业务管理办法》(中国人民银行公告〔2013〕第9号)。

[9]截至2019年10月31日,Y公司存量特约商户数量为583.4万户,2019年收单交易笔数为50.1亿笔,交易金额为57096.1亿元。

[10]《中国人民银行关于印发〈条码支付业务规范(试行)〉的通知》(银发〔2017〕296号)第五条:支付机构不得基于条码技术,从事或变相从事证券、保险、信贷、融资、理财、担保、信托、货币兑换、现金存取等业务。

[11]例如,针对中缅边境地区电信网络诈骗犯罪活动猖獗、严重侵害人民群众财产安全的情况,国务院打击治理电信网络新型违法犯罪工作部际联席会议办公室决定自2019年10月14日起,对缅北部分电信网络诈骗活动严重区域的QQ、微信、Z公司、POS机等社交和支付账户采取封停措施。

本文转载目的在于知识分享,版权归原作者和原刊所有。如有侵权,请及时联系我们删除。
评论加载中
相关文章

月点击排行
关于本站    联系我们    版权声明    手机版
Copyright © 2011-2021 移动支付网    粤ICP备11061396号    粤公网安备 44030602000994号