反洗錢工作中,客戶身份識別、高風險客戶名單預置和可疑交易分析判斷等工作都需要收集關於客戶的信息,由於法律規定的不完善,反洗錢義務機構採集信息的工作在法律上會遇到一些障礙。
一、受益所有人信息採集的法律困境
受益所有人(beneficialowner)信息是客戶身份信息的一部分,反洗錢義務機構採集客戶的身份信息時,可以適用「經客戶同意」原則,如果客戶不同意反洗錢義務機構收集,也不同意提供的話,通常意味著業務關係不能建立。但在採集受益所有人身份信息的場合,情況就很不相同。
受益所有人信息採集中最大的法律困境是遵守法律「事前告知並取得同意」等規定的問題。
按照《全國人民代表大會常務委員會關於加強網絡信息保護的決定》(以下簡稱《網絡信息保護的決定》)、《網絡安全法》,收集公民個人電子信息時,需要經過被採集者本人同意。《網絡信息保護的決定》規定,網絡服務提供者和其他企業事業單位在業務活動中收集、使用公民個人電子信息,應當遵循合法、正當、必要的原則,明示收集、使用信息的目的、方式和範圍,並經被收集者同意。這部法律文件對「電子信息」沒有作出解釋,但在理論上,以計算機數據形式存在的信息都可以稱為電子信息。《網絡安全法》則更進一步,被收集的對象不限於公民個人電子信息,該法第四十一條規定,網絡運營者收集、使用個人信息,應當遵循合法、正當、必要的原則,公開收集、使用規則,明示收集、使用信息的目的、方式和範圍,並經被收集者同意。現在,多數金融機構和支付機構都屬於網絡運營者中的「網絡服務提供者」。
目前,反洗錢義務機構採集受益所有人身份信息的義務並不是由法律或者行政法規作出的規定,《反洗錢法》對受益所有人的身份識別沒有作出規定,反洗錢義務機構收集受益所有人身份信息的義務是由《中國人民銀行關於加強反洗錢客戶身份識別有關工作的通知》(銀髮〔2017〕235號公布,以下簡稱「235號文」)確立的,這個文件甚至都不能稱為部委規章,只能稱作規範性文件。這個規範性文件不僅要求「穿透」非自然人,而且要求反洗錢義務機構記錄受益所有人個人隱私信息性質的身份信息,要求義務機構登記客戶受益所有人的姓名、地址、身份證件或者身份證明文件的種類、號碼和有效期限,這些身份信息除姓名外,都屬於按照規定不能公開的信息。
那麼,是不是有了人民銀行這個規範性文件,就可以豁免反洗錢義務機構對被收集人的「事前告知」並「取得同意」的義務呢?《網絡信息保護的決定》)、《網絡安全法》並沒有採取豁免原則,也就是說,即使按照規定(姑且不論這個規定的性質是什麼)必須採集的身份信息,在採集之前也必須告知被採集人並取得同意。必須明確,非自然人客戶的同意與受益所有人的同意不是同一概念,非自然人客戶和其受益所有人在法律人格上相互獨立。也就是說,按照目前的法律規定,反洗錢義務機構採集受益所有人的身份信息,如果不告知受益所有人本人並取得同意,屬於非法採集公民個人信息的行為。按《最高人民法院、最高人民檢察院關於辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》(法釋〔2017〕10號,以下簡稱《個人信息案件解釋》),情節嚴重的,可能構成犯罪。
實際工作中,受益所有人可能根本不是本機構的客戶,且反洗錢義務機構在獲取受益所有人的身份信息之前也無法確知受益所有人是否屬於本機構的客戶。因此,「事前通知」「經過同意」的採集方式通常行不通。
假定一個反洗錢義務機構沒有開辦網絡業務,而且全部使用線下方式採集受益所有人身份信息,是不是就意味著不需要經過被收集人本人同意呢?從《刑法》的規定來看,這種理解並不正確,《刑法》第二百五十三條之一第三款規定:「竊取或者以其他方法非法獲取公民個人信息的,依照第一款的規定處罰。」結合《個人信息案件解釋》的規定,未經被收集者同意,將合法收集的公民個人信息向他人提供的,屬於刑法第二百五十三條之一規定的「提供公民個人信息」,但是經過處理無法識別特定個人且不能復原的除外。也就是說,合法持有個人信息的人,也不能向反洗錢義務機構提供個人信息。從以上法律及司法解釋來看,除了經過本人同意之外,沒有其他合法途徑。
二、高風險客戶名單預置中的法律困境
依據人民銀行「235號文」的規定,對於外國政要,義務機構除採取正常的客戶身份識別措施外,還應當建立適當的風險管理系統,確定客戶是否為外國政要,同時應確定非自然人客戶的受益所有人是否為特定自然人客戶(包括外國政要)。在實際業務中,反洗錢義務機構可能需要以適當的方式獲取外國政要的身份信息並預置於風險管理系統之中。這一操作,即使不存在名單買賣的問題,也同樣違反了《網絡安全法》第四十一條事前告知並經同意的規定,《網絡安全法》所說的個人,不僅是指中國公民,還應當包括外國公民。外國政要不屬於中國公民,因此,無法動用《刑法》第二百五十三條之一實施刑事處罰。
三、可疑交易分析判斷中收集個人身份信息的法律困境
對可疑交易的分析判斷,有時需要進一步收集客戶和相關的個人的身份信息,假如按照上述法律及司法解釋的規定履行告知並取得同意的義務,不僅可能造成泄密的危險,而且可能導致可疑交易的分析判斷工作無法開展。
四、解決問題的方案
反洗錢義務機構在身份識別和可疑交易調查中遇到的問題,反映了部門法之間不協調或者規定不明確的問題,個人信息保護的法律及司法解釋沒有更多地考慮反洗錢工作的需要。中國人民銀行的規範性文件位階較低,無法改變法律的規定。目前,金融機構可以援引《反洗錢法》第十八條來免責。《反洗錢法》第十八條規定:「金融機構進行客戶身份識別,認為必要時,可以向公安、工商行政管理等部門核實客戶的有關身份信息。」
作者簡介:劉乃晗,畢業於北京大學法學院,法學碩士,現為北京德恆律師事務所律師,主要研究方向和執業領域如下:金融、支付機構的反洗錢、風控諮詢、培訓、評估等業務。