数字身份在商业银行个人客户尽职调查中的应用探究
2020-08-04宁敏
宁敏
摘 要:“数字身份”作为数字时代的通用基础设施,正在受到全球各国政府的高度重视。本文结合“数字身份”的概念及初步应用,探索性地提出将“数字身份”应用于我国商业银行反洗钱个人客户尽职调查,分析其在现实应用方面存在的问题,借鉴国外“数字身份”应用于客户尽职调查的先进经验,提出了健全制度体系、构建数字身份信息统一平台、将“数字身份”应用到商业银行个人客户尽职调查的各个环以及加强人才培养和储备等相关建议。
关键词:数字身份;商业银行;个人客户尽职调查
DOI:10.3969/j.issn.1003-9031.2020.06.012
中图分类号:F831.2 文献标识码:A 文章编号:1003-9031(2020)06-0075-08
一、引言
“数字身份”作为数字时代的通用基础设施,正在受到全球各国政府的高度重视。2019年7月1日,我国担任FATF(金融行动特别工作组)主席国,指出要充分利用数字身份应用等新技术带来的机遇,使用“数字身份”进行客户的身份识别和验证,推动反洗钱工作智能化。然而,我国数字化转型过程中还存在着数字资源开发利用能力不足、數字基础设施尚不完善、数字社会治理面临挑战等诸多问题。商业银行作为洗钱犯罪的主要渠道在我国反洗钱工作中居于核心地位,对数字身份的应用也较为迫切。为此,本文结合“数字身份”在商业银行客户尽职调查应用的必要性及当前存在的问题入手,借鉴国外“数字身份”应用于客户尽职调查的先进经验,探索性地提出将“数字身份”应用到商业银行个人客户尽职调查方面的具体思路和建议。
二、文献综述
(一)“数字身份”的概念
国内外一些学者对于数字身份的定义主要有两类,一是根据数字身份包含的信息来定义,二是根据数字身份的使用情境来定义。Julian Kinderlere(2012)将数字身份定义为一组区别于其他人或实体的数据,是关于一个人或实体所有在数字上可得的信息的总和。刘千仞、薛淼等(2019)指出数字身份分为广义和狭义两种,狭义的数字身份仅是数字账号,广义的数字身份涉及互联网上进行的各项活动,不仅包括人、公司的身份,甚至还包括物品的身份。FATF对“数字身份”主要有两个方面的解释,一是以数字化或“非物质化”的形式将个体可识别地刻画出来,即在“现实世界”中通过设立标识的方法来验证个体身份,为需要事先将所需要的信息登记并进行核实,其目的将电子身份和真实人员的信息联系起来。二是通过个人的线上活动产生的数据信息来确认个人身份,如登录各类网站用户名及密码、微信与QQ等线上社交软件信息、浏览各类网站记录、发表各类评论、在线搜索记录、历史购买记录、游戏、音频和视频播放等,综合这些不同属性的信息以构成个人数字身份相对完整的数据,来对个体身份进行认定。
(二)数字身份的初步应用研究
当前我国“数字身份”还处在以eID为主流的初级阶段,这是目前相对成熟的一种应用。严则明(2014)提出eID即以密码技术为基础,以智能安全芯片为载体,由“国家公民网络身份识别系统”签发给公民的网络身份标识,将该标识与身份查询渠道以及身份证信息绑定,实现相关证件的第三方核实验证。胡传平(2015)指出eID可满足民众在网络交易和虚拟财产安全保障及个人隐私保护等方面的迫切需求,并将其应用到民生服务、政务服务和商业服务等领域。贺鑫焱和刘海龙(2018)对eID与人社联合认证签发电子社保卡的应用实践进行研究,指出可将eID从政务推广应用到居民日常生活领域。郭建伟、燕娜和陈佳宇(2018)探析了eID在网络应用领域的前景,指出eID可应用于网银、互联网金融等领域。刘千仞、薛淼等(2019)指出当前的数字身份系统存在操作繁琐、信息易泄露、容错性低等缺点,指出数字身份未来可应用于政府、金融、民生、医疗、交通等多个领域。
(三)数字身份应用于反洗钱方面的研究
汤俊、王妍等(2016)以大数据技术和反洗钱工作为主要研究对象,指出当前反洗钱工作尽职调查存在的问题,提出构建反洗钱大数据系统将反洗钱犯罪活动的发生概率降至最低限度。陈思、邵杨和蔡真(2018)梳理了FATF于2018年发布的《数字身份界定及相关建议》探索性地提出将数字身份纳入我国反洗钱监管。张奕卉和魏凯(2019)指出加拿大、美国等发达国家将数字身份应用于客户的身份验证与识别。FATF(2019)发布《数字身份系统使用指南》意见征询,旨在帮助各国政府、受监管实体及其他利益相关方判断如何使用数字身份系统实施FATF建议10项下某些客户尽职调查要素。
综合国内外相关研究来看,国外研究主要站在发达国家的立场上进行理论分析,而国内学者主要着重于提出数字身份在各个场景下的应用。随着FATF在2018年2月开始提出将数字身份应用于金融机构反洗钱尽职调查,并在2019年10月就数字身份应用于反洗钱尽职调查公开征求意见,数字身份应用于金融机构反洗钱尽职调查已成为当前重要的研究课题。由于我国开展研究时间相对较短,在数字身份应用于反洗钱尽职调查的工作中缺乏具体了解和清晰认识,而商业银行相较于其他金融机构对数字身份的应用具有更迫切的需要,为此,本文以商业银行为研究主体,从当前存在的问题入手,并借鉴国外先进经验,对我国将数字身份应用于商业银行反洗钱尽职调查提出建议。
三、“数字身份”应用于客户尽职调查的必要性及问题
据央行官网各分支机构的公示信息,2019年共对319家义务机构进行了反洗钱行政处罚,罚款金额合计达到16302.5万元,其中,203家银行共获315张罚单,罚没金额高达9931万元①。银行涉及的罚单数量和金额最高,受到反洗钱处罚的商业银行多触犯了“未按照规定履行客户身份识别义务”、“未按照规定报送可疑交易报告”这两条关于客户尽职调查方面的规定,主要原因是商业银行在开展业务时为了节约对客户开展尽职调查的成本,并未按规定对客户开展尽职调查,导致本问题频次较高。在当前“数字身份”迅速发展的时代背景下,将“数字身份”信息应用于商业银行个人客户尽职调查,不仅有助于商业银行更加及时、便捷、准确地开展尽职调查,构建科学的反洗钱管理体系,还可以应对新的洗钱风险形势变化,但商业银行在数字身份应用个人客户尽职调查方面仍存在不少问题。
(一)缺乏应用数字身份的反洗钱制度安排
当前公安部仅从我国数字身份发展的突出需求出发,依据《电子签名法》《网络安全法》《民法总则》等法律法规要求,研发了“网络电子身份标识(eID)”技术并形成相关标准体系,并将数字身份应用于智慧入住、移动展业、流动人口管理、快递实名等领域。然而遗憾的是,从eID的应用试点来看,我国尚未将eID应用到反洗钱领域,也缺乏相应的制度安排将数字身份信息应用于商业银行个人客户尽职调查。数据身份作为一项创新技术,能有效帮助商业银行开展客户尽职调查,提升甄别洗钱等犯罪行为的能力。目前《反洗钱法》《反恐怖主义法》《关于完善反洗钱、反恐怖融资、反逃税监管体制机制的意见》等反洗钱方面的主要法律法规,对数字身份信息在商业银行个人客户尽职调查中的应用未作出明确的规定,特别是未对在客户尽职调查中使用数字身份信息是否侵犯客户隐私给出清晰的界定。这使得商业银行是否使用外部数据以及如何使用外部数据缺乏明确、规范的法律依据,导致商业银行只能简单采取与公安部联网建立的公民身份核查系统对客户的居民身份证进行简单核实,并不能利用多元化的信息,通过复杂网络关联分析技术识别出潜在的洗钱风险,对高风险客户、异常交易趋势和资金变动路径作出准确判断。
(二)客户基本信息界定狭窄,应用数字身份尚无需求
《金融机构客户身份识别和客户身份资料及交易记录保存管理办法》(以下简称《办法》)规定,自然人客户的“身份基本信息”包括客户的姓名、性别、国籍、职业、住所地或工作单位地址、联系方式,身份证件或身份证明文件的种类、号码和有效期限。本文以安徽省的一些国有商业银行、股份制商业银行、城市商业银行、农村商业银行为样本对其个人开户业务进行调研,并从中挑选具有代表性的4家商业银行,了解其客户身份信息资料采集的执行情况(见表1)。
可以看出,在客户基本信息采集方面,各类商业银行信息采集要求与《办法》规定基本上是一致的,并未将个人的线上活动产生的信息纳入采集范围。一方面,《办法》与商业银行信息采集要求仍然停留在十几年前,面对当前互联网技术的广泛应用,层出不穷的新洗钱途径和方式,无论是监管规定的层面还是商业银行具体实践的层面都无法满足现时的反洗钱需要,也与国际上的普遍要求不相符合。另一方面,《办法》自2007年颁布以来,并未对信息采集范围进行补充修订,各家商业银行在反洗钱工作中并未对数字身份应用产生迫切需求,从而制约商业银行数字身份的应用及推广。
(三)数据孤岛尚未打破,个人信息安全难以保障
一是目前相关单位之间(包括各家商业银行、非银行业金融机构、工商、税务、海关、第三方支付机构、社交平台、搜索引擎等)的系统互不联通,所采集的数据被封存在各自系统中,数据缺乏有效整合。这就使得大量的可用数据被割裂开来,成为信息孤岛,信息的共享、反馈难,有价值的数据资源不能发挥更大作用。商业银行即使能收集到一定数量的个人开户、存取款、转账交易等数据信息,也难以对这些数据进行整合分析,并且无法关联识别出洗钱团伙的可疑交易。在机构之间数据孤岛难打破的情况下,商业银行被迫调整甚至放弃数字身份信息的应用。二是在现代信息社会下,数字身份信息的应用大大扩展了对个体的了解范围。如果商业银行在管理过程中出现差错,就可能导致个人信息或商业机密被非法窃取。如某个客户的姓名、身份证号码、电话号码、职业、日常行踪、资金转账记录、互联网记录等。若用户意识到自己的个人信息安全得不到有效保障,就会对数字身份信息的普及产生心理上的排斥。
(四)数字身份应用的综合人才稀缺
数字身份属于交叉性学科范畴,要求从业人员既是专业高素质人才又是高复合型人才,需要具备计算机编程、算法建立、统计分析、逻辑推理、数学建模、金融分析等综合能力。但当前商业银行专职从事反洗钱的人员相对较少,高学历人员则更为稀缺,且绝大多数反洗钱从业人员并没有经过系统的岗位培训。一是商业银行的人才储备以傳统的会计和经济金融专业为主,人才知识结构较为单一,普遍呈现开发人员不懂业务、业务人员不懂技术的特点,专业而全面的反洗钱人才就更加稀缺。二是在数据综合分析人员缺少的限制下,商业银行难以对采集的客户身份进行整理和分析,数字身份的应用和推广受到极大影响。
四、“数字身份”应用于客户尽职调查的相关国外经验
(一)由政府主导数字识别认证系统
从世界范围来看,无论是发达国家还是发展中国家对数字身份这类基础设施都极为重视。与很多企业级应用不同,国家级“数字身份”的源头需要一个强大的背书和认证机构,这部分工作需要由政府机构来主导进行,因此,“中心化”和“去中心化”并存将是国家级“数字身份”的基本框架形态。当前,印度、爱沙尼亚、新加坡、意大利、英国、新西兰、挪威、瑞士、瑞典、澳大利亚、加拿大等国家纷纷推出自己的“数字身份系统”,且主要是由政府主导数字身份系统的建立。如在印度,政府早在2010年9月就启动Aadhaar项目,收集并管理包括国民姓名、住址、生物特征信息等,公共机关及银行会根据国民ID确认享受社保、开设银行账号的申请者是否为本人,截至目前注册人数超过10亿,并已经渗透到日常生活的各个方面。在爱沙尼亚,每个15岁以上的公民都有一个安全的、经过认证的“数字身份”,这被认为是每个公民与生俱来的权利,这个电子身份证可用于医疗保健、电子银行服务、购物、签署合同和加密电子邮件等许多事项。在新西兰,政府在2013年就联合新西兰内务部和新西兰邮政推出RealMe认证服务系统,该系统主要提供两项服务:RealMe基本账户以及RealMe认证账户,RealMe基本账户主要应用于登录政府在线服务平台,RealMe认证账户则是一个在线ID,使用范围包括银行等在内诸多机构。
(二)立法保障“数字身份”应用于客户尽职调查
各国数字身份识别系统的主要使用范围也各不相同,目前主要有意大利、加拿大、新加坡、瑞典和挪威等国家开始将“数字身份”应用到反洗钱领域开展客户尽职调查。如意大利允许金融机构将数字ID用于客户尽职调查,并在反洗钱法中明确规定,义务实体可通过以下方式进行数字身份识别和验证:一是可通过由意大利数字标识机构进行数字身份识别和验证客户;二是通过欧盟委员会的电子身份来识别客户。在加拿大,政府在2018年3月发布了《银行法案修正案》,允许金融机构在联邦监管下提供身份识别、认证和核验服务。2018年5月,加拿大银行家协会发布《加拿大数字身份认证的未来——联合身份认证白皮书》,倡导建立一个基于可信信息来解决身份识别问题的“加拿大数字身份体系”,目前该国多家银行积极与第三方机构展开合作,用户可以直接通过手机APP验证身份。在2018年2月,新加坡金融管理局发布公告,支持金融机构在接纳新客户阶段运用新科技执行尽职调查程序,允许金融机构通过Mylnfo(由新加坡财政部和政府科技局共同开发的平台,用于储存经过政府认证的个人信息)对客户身份进行非当面验证。
(三)多种手段维护客户信息安全
国外许多国家数字化建设进程中面临众多安全考验,不同国家采取各种不同的手段来解决个人信息安全的问题。一是出台信息保护法规。如欧盟GDPR通用数据保护条例、德国BDSG《联邦个人资料保护法》、英国DPA2018《数据保护法》等。二是建设良好的数字化国家基础设施。如爱沙尼亚,将所有的数据文件分散存储在各个提供数据的机构,并且所有的数据库必须通过一个系统接入,政府机构有权查看公众的个人信息,但只能在其权限规定的范围内查看他有权查看的信息,并且提供了技术手段让用户可以知道谁查看了自己的信息,若用户觉得有问题,可以要求对方必须在30日内说明情况。三是规定使用数字身份信息时需达到相应的安全水平,并且需经过相关部门的授权。如挪威政府允许金融机构使用由外国政府提供或由政府认证的私人数字身份提供者提供的数字身份用作客户尽职调查,前提是所提供的数字身份要达到最高安全水平。在意大利,银行、金融服务提供商、保险、信贷报告机构被允许进入数字身份公共系统,但须经财政部授权。
五、对我国商业银行将数字身份应用于客户尽职调查的建议
(一)建立健全法律制度,强化数字身份应用于客户尽职调查的需求
一是建议由中国人民银行牵头对《办法》中基本信息采集部分进行补充修订,可明确要求将数字身份信息纳入基本信息采集范围或纳入补充信息采集范围,如微信、Facebook存储的社交信息,支付宝、亚马逊存储的交易信息,游戏、视频软件存储的娱乐信息等等,都可以纳入信息采集范围。二是建议由中国人民银行通过下发专门性监管指引或指导意见的形式,对“数字身份”应用于客户尽职调查进行战略部署和整体规划,明确“数字身份”应用于反洗钱个人客户尽职调查领域的合规性,并围绕“数字身份”在客户尽职调查中可能遇到的法律问题,如对数据泄露风险、系统故障风险的责任界定开展前瞻性调研,从法律层面为数字身份信息的开发应用提供支撑。三是基于目前我国应用eID数字身份的现状,着眼于未来在金融机构当中广泛运用的前景,专题研究如何将eID数字身份应用到反洗钱监测当中去。同时,鼓励有条件的商业银行主动开发“数字身份系统”,对“数字身份系统”开发及应用过程中可能产生的风险进行研判并及时提示,以推动数字身份信息系统应用的全面推广。
(二)构建数字身份信息统一平台,明确查询权限
一是建议借鉴国际先进经验。由政府主导在综合分析各行业数据类别以及数据特点的基础上,充分依托监管收集掌握、各行业各机构的结构化和非结构化数据信息,统一制定数据存储的规范和标准,构建跨部门、跨行业、跨机构的数字身份信息统一平台。平台应具有完整强大的系统架构、数据收集、数据存储、计算分析、智能挖掘、查询运用等综合功能,能进一步实现监管和各类义务机构在反洗钱监管履职中的协调、共建、共享,為数据的融合整理和分析应用提供便利。二是统一数据脱敏的条件和标准,严格规范科技人员数据收集和使用的管理措施和技术手段,有效预防和控制数据泄露风险。在数据安全的前提下,建议该平台向商业银行开放数字身份信息查询权限,为数字身份信息应用于个人客户尽职调查提供数据基础。
(三)将“数字身份”应用于商业银行个人客户尽职调查的各个环节
一是建议在与个人客户建立关系时,一方面采集个人客户的基础信息,如身份证信息、现住址、职业等,商业银行应利用数字身份信息系统对所采集的信息进行对比核实,以确认客户身份真实性;另一方面,采集客户人脸信息、指纹信息、虹膜信息,并将其录入数字身份信息系统,以便于在客户使用电子银行设备进行业务办理时能够准确核实客户身份,确定客户为本人办理。二是建议在日常交易业务办理时,将各个商业银行的反洗钱系统与数字身份信息系统相关联,通过数字身份信息系统来了解客户的交易目的、资金来源和资金去向等,识别出客户交易存在是否异常,进而判别客户是否存在洗钱行为,如果存在可疑交易,则在数字身份信息系统进行风险提示,以便持续开展尽职调查。
(四)加强借鉴和学习,强化人才培养和储备
政策推动方面。为做好“数字身份”在我国反洗钱监测中运用的前期准备工作,中国人民银行可组织各金融机构通过成立专题研究团队,密切跟踪意大利、瑞典和挪威等国家反洗钱领域应用数字身份信息的情况和进展,学习借鉴这些国家的理念和做法,并结合国情,尽快推动转化和应用。鼓励商业银行与提供数据身份信息服务的第三方机构及高校等研究机构成立联合研究室、实验室等方式开展数据、算法、计算机学习等知识研究,为商业银行开发应用数字身份信息系统奠定实践基础。商业银行可以选拔部分员工重点从事数字身份信息平台的建设,对其开展关于数字身份信息的专业培训,增加互联网、大数据、云计算、人工智能和第三方支付业务等知识,打造专业、高效、守法的数字身份信息平台建设队伍,为数字身份信息平台的实际应用提供人才支持。
(责任编辑:孟洁)
参考文献:
[1]Julian Kinderlerer,Peter Dabrock,Hille Haker,Herman Nys.Ethics of information and communication technologies[R].Brussels:European Commission,2012.
[2]刘千仞,薛淼,任梦璇,王光全.基于区块链的数字身份应用[J].邮电设计技术,2019(4):81-85.
[3]严则明.eID构筑移动金融安全基石[J].金融电子化,2014(4):21.
[4]胡传平.公民网络电子身份标识eID的发展与应用[J].铁道警察学院学报,2015(1):39-42.
[5]贺鑫焱,刘海龙.eID与人社联合认证签发电子社保卡的应用实践[J].网络空间安全,2018(12):14-18,40.
[6]郭建伟,燕娜,陈佳宇.EID在网络应用领域的前景分析[J].天津科技,2018(10):47-50.
[7]汤俊,王妍,车奕蓉.大数据技术在反洗钱工作中的应用前景[J].海南金融,2016(2):28-30,46.
[8]陈思,邵杨,蔡真.FATF 数字身份界定及建议对我国的经验启示[J].金融发展评论,2018(8):118—120.
[9]张奕卉,魏凯.区块链重塑数字身份 哪些应用值得期待?[N].人民邮电,2019-04-11.
[10]FATF.Public consultation on FATF draft guidance on digital identity[EB/OL].[2019-10-30].http://www.fatf-gafi.org/publications/fatfrecommendations/documents/consultation-digital-id-guidance.html.
