客户尽职调查问题及对策建议

【摘要】：近年来银行与第三方机构联合开展互联网贷款规模快速扩张,成为主要的互联网金融产品之一。本文着眼于联合开展互联网贷款业务中的客户尽职调查问题，力图厘清银行、合作机构等各参与方的反洗钱职责边界，希望对推动各参与方切实履行自身反洗钱职责，夯实业务发展中的客户尽职调查工作提供有益指导，为有效防范和化解互联网金融风险、维护国家经济金融安全发挥积极作用。

客户尽职调查工作是反洗钱工作的核心义务之一，也是金融业务中开展反洗钱工作的起点。传统银行的金融产品或服务基本建立在为客户开立账户的基础上，但银行与合作机构联合开展互联网贷款，彻底改变了上述模式。在联合开展互联网贷款业务中，客户（借款人）往往不需要在银行开立账户即可完成贷款的申请、审核及获得贷款资金，银行则主要依托合作机构推送的客户信息开展客户尽职调查、信用风险评估等工作,这种不基于开立账户建立业务关系的形式给银行客户尽职调查工作带来了全新的挑战。梳理近年来的反洗钱监管处罚案例，不难发现这一业务领域已成为金融机构客户尽职调查工作被处罚问责的重灾区，亟待加以关注和规范。

（一）业务模式。

2020年1月银保监会发布《商业银行互联网贷款管理暂行办法》（以下简称《办法》）明确了商业银行互联网贷款的定义。根据《办法》并按照合作模式，可以将商业银行互联网贷款分为三种【1】：联合贷款模式、助贷引流模式、自营放贷模式（见下表）。本文研究对象“与第三方合作机构【2】联合开展互联网贷款”特指前两者（以下统称“联合贷”），即商业银行依托掌握一定多维度场景客户数据和信息处理技术的第三方合作机构，为客户提供信贷服务的一种新型业态。与传统银行业自营放贷相比，联合贷的主要区别在于有合作机构参与营销获客（客户引流）、身份信息收集、信贷风险控制策略、征信和贷后管理、逾期催收等业务环节。目前市场上主流的联合贷产品有花呗【3】、借呗【4】、微粒贷【5】等，根据《财新》2019年10月发布的报告，彼时蚂蚁集团、微众银行、平安普惠三家机构联合贷业务占到了整个市场份额的近90%。

（二）业务流程及客户尽职调查管理。

1.业务流程。一是银行根据协议在结算银行开立同业结算账户，用于预存、调拨、扣划联合贷信贷投放资金。二是有信贷需求的客户通过合作机构（文中所指的合作机构与《办法》规定一致，特定情形下以“互联网平台”、“互联网支付平台”指称）发起提款申请，合作机构基于多维的用户分析模型筛选出优质客户，利用大数据风险模型对客户进行风险定价，并将客户信息和初审结果推送给银行，是否放贷以银行基于获取的客户信息独立评审结果为准。三是客户提款申请审核通过后，合作机构将资金发放到客户指定的账户。四是银行与合作机构分别开展贷后管理，合作机构借助自身掌握的大数据对已授信客户开展定期排查和监测，形成预警信息。客户发生逾期后，按约定由一方报送不良征信数据，并由合作机构负责催收。

2.客户尽职调查管理情况。根据上述业务流程，客户申请联合贷时不需要向放贷银行申请开立账户，放贷银行无法直接收集客户信息，其客户信息依赖合作机构定向推送。具体包括：借款人申请联合贷时，需要通过合作机构对应的互联网平台提交姓名、身份证号、手机号等基础信息，对于实名认证、绑定手机均校验通过的客户，通常将通过互联网平台的大安全身份核实控件，对客户进行身份校验。合作机构初审通过后，将客户随机或基于一定的算法推送给银行。银行依托公民身份联网核查系统以及自主选择的外部第三方征信机构对推送的客户识别身份和核验，个别银行还辅助生物识别、银行卡四要素鉴权等措施，对客户数据进行逻辑一致性推断检验，尽可能保证客户信息真实有效。审核通过后，银行在核心系统中为客户建立客户号，导入客户身份信息，合作机构根据业务协作约定将客户身份信息以及身份证明文件的影像资料等传输给银行留存。银行还会将客户身份信息与反洗钱各类名单进行交叉匹配，防止与监控名单人员发生业务往来。根据调研了解，某银行对于经某合作机构初审后推送的客群再次审核，因身份联网核查不通过、不符合本机构授信标准等因素实际授信率约为50%-60%左右。

（一）存在的主要问题。

1.客户身份信息完整性、有效性不足或信息不匹配。一是客户身份信息完整性不足。近年来随着监管环境的变化，银行对客户身份信息重视程度和治理力度持续提升，联合贷业务的客户身份信息完整性较业务发展初期有了很大提升。但由于该业务客户群体庞大，加之历史遗留问题较多，客户身份信息缺失问题仍然较为普遍。调研显示某银行联合贷当年新增客户身份信息缺失率约12%。二是客户身份信息有效性不足。根据调研，一些银行与合作机构协议约定合作机构应核实客户信息，但银行反映其根据自身掌握的信息以及外部公开信息，很难核实所有客户手机号、地址、职业等信息的真实性。如某互联网支付平台登记的个人客户地址信息为根据客户授权从集团内部获取的收货地址，导致银行从该平台获取的大量联合贷申请客户的地址信息有效性存疑。三是合作机构推送的信息无法准确映射到银行业务系统。以个人客户职业为例，监管政策要求客户职业信息必须真实有效，但未明确要求信息采集的具体标准。实践中银行主要参考《职业分类大典》自主按照一级类目或二级类目等进行分类，有些银行设置了自主填报的非标准字段。如某银行采用GB/T6565-2015职业分类二级类目，其合作机构则按照一级类目，由于双方职业采集标准不一，导致该合作机构推送的职业信息字段无法准确映射到银行的客户信息系统。实践中，合作机构也反映与其合作的不同银行在职业分类、地址信息等方面没有统一的标准，难以满足所有银行的数据匹配需求。

2.客户风险等级划分有效性不足。客户洗钱风险等级的准确划分是落实反洗钱“风险为本”履职要求的关键，特别是在面对庞大的互联网贷款客户群体时，如果不能及时、准确地划分此类客户的风险等级，将难以高效地开展洗钱风险管理工作。当前，银行对联合贷客户洗钱风险等级划分主要存在如下问题：一是未及时划分客户风险等级。由于互联网突破空间的特性会造成客户归属地/行不清，同时叠加一些银行仍然受困于以开立账户地作为客户落地的传统标准，未将无本行账户的联合贷客户作为本行客户，造成银行接纳合作机构推送的客户后，未及时建立客户号并导入客户信息，进而造成洗钱风险等级划分工作缺失。如某银行因上述原因造成客户落地时间延误，导致该行部分联合贷客户风险等级人工复审超时300天以上。二是客户风险等级缺乏统一管理。为适应联合贷业务特性，一些银行专门开发了联合贷业务系统管理此类客户。但因未将联合贷系统与反洗钱/核心系统关联和同步，极易出现未以客户为单位开展洗钱风险管理的情形。如某城商行一直将联合贷客户与行内其他客户进行分类管理，未按要求识别该类客户身份，未将联合贷系统与反洗钱系统的客户洗钱风险等级统一管理，出现同一客户存在不同洗钱风险等级的情形。三是客户风险等级评定指标有效性不足。制度规定金融机构应按照客户特点或者账户属性，并考虑地域、业务、行业、客户是否为外国政要等因素，划分洗钱风险等级。但一些银行未充分结合联合贷客户身份信息开展洗钱风险等级划分，一些银行简单地认为联合贷无账户特性大大降低了本行的洗钱风险，赋予联合贷款客户较低风险等级。如某银行将联合贷客户首次洗钱风险等级一律评定为“低风险”，存在较大的洗钱风险隐患。

3.高风险客户强化尽职调查工作质量不高。制度规定需要定期审核高风险客户身份信息，了解其资金来源、资金用途、经济状况或者经营状况，加强对其交易活动的监测分析等。但是银行对联合贷业务中的高风险客户强化尽职调查难度较传统有账户的高风险客户明显加大，主要原因有：一是商业协议制约了银行对高风险客户强化尽职调查。询问交易目的，核实交易动机和背景是尽职调查的主要手段之一，但是由于客户和数据是合作机构的核心资源，合作机构与银行签订协议时往往约定银行通常情况下不能直接联系客户，否则即存在违约的可能，一定程度上影响了强化尽职调查质量。二是联合贷客户在银行业务较为单一。现有的联合贷产品除部分有一定消费场景支撑外，大部分产品中银行均难以监测到资金的最终去向和真实用途。三是银行未实质依托合作机构开展尽职调查。联合贷业务发展前期，一些银行将识别客户身份、尽职调查等工作完全委托给合作机构，本身未开展客户尽职调查工作等；现行一些协议尽管约定银行有要求合作机构配合其尽职调查的权利，但是实践中往往因履职能动性不足、合作机构配合程度不高等，该工作机制大多未发挥出实质作用。如某银行调高联合贷客户风险等级的原因几乎都是客户涉及到了司法查冻扣、买卖银行卡惩戒客户等外部风险事件，但该银行未将这部分客户推送给合作机构并要求其配合开展尽职调查，相关的客户尽职调查内容较为简单空洞，客户身份基本信息多项记载为“未知”或“不详”，交易基本仅描述为“联合贷款”，强化尽职调查工作质量不高。

4.为不明身份客户提供金融服务的问题突出。目前依靠查询国家企业信用信息公示系统、公民信息联网核查系统【6】是银行发现不明身份客户的主要手段。在联合贷业务中，通常协议约定由合作机构对联合贷客户开展第一道身份核实，核实通过后再推送至银行，并由银行再次开展联网核查、授信审查等后续流程。实际业务开展中，由于线上客户群体庞大、业务量快速膨胀以及业务环节处理机制不健全等因素，导致联合贷业务成为为不明身份客户提供金融服务的重灾区。原因如下：

合作机构方面。一方面，合作机构主要功能之一是客户引流，其客户准入机制与传统金融机构存在较大差异，对于联合贷的潜在客户未完全做到逐户核查。另一方面，一些合作机构身份核实只核对“姓名+身份证号码”两要素即确认通过，忽略非面对面开户情形下对证件“照片”这一关键要素的核查比对，容易出现冒用他人身份证件甚至直接伪造身份证件进入合作机构体系的虚假身份客户，合作机构将此类不明身份客户连同正常客户一并推送给银行，极易造成那些过度依赖合作机构风控策略的中小银行或小贷公司“踩雷”。如不法分子利用某合作机构身份核实的一些漏洞，通过伪造身份证明文件，成功利用虚假身份申请成为合作机构（互联网支付平台）客户。在此情形下，该合作机构直接或间接为多家银行或小贷公司等引流，势必造成风险进一步向银行或其他金融机构传导。据了解，该合作机构向某小贷公司推送的客户中涉高风险、查冻扣、电诈分子等问题客户的占比较高。

银行方面。一是当前一部分银行严重依赖合作机构的客户身份识别机制，未能独立再次开展联网核查，是为不明身份客户提供服务的重要因素。二是有相当一部分银行受限于自身联网核查系统承载量，难以及时对每日接收的联合贷申请客户逐户开展联网核查，同时也由于传统银行技术能力的限制，难以充分利用OCR等技术逐一比对接收的客户身份影像资料与合作机构推送信息的一致性。三是还有一部分银行因联合贷业务系统和反洗钱系统协同联动不畅等因素，出现银行发放贷款后才发现客户身份存疑、联网核查不能通过等情况。如某银行为了兼顾保障其他业务的身份联网核查需求，将联合贷客户单日联网核查量限定在5万户以内，面对合作机构每日数十万甚至近百万的客户推送量，该银行只能对溢出部分客户分批次核查，一些客户的联网核查时滞长达1年以上，实践中出现了客户在联网核查不通过的情形下仍获得了银行的授信或贷款

从职责分工来看，当前主流的联合贷业务模式下，成为联合贷客户的前提是成为互联网平台背后互联网支付平台的客户。因此，互联网支付平台是联合贷业务中把好联合贷客户准入关、做好客户持续尽职调查工作的第一道重要关口。其次，联合贷业务的实际贷款方，也必须根据“风险为本”要求独立将客户尽职调查工作做到位。鉴于合作双方本身均属于法律法规规定的反洗钱义务机构【7】，双方可以全面加强此类业务洗钱风险管理的协同配合，并独立承担履职不到位产生的法律后果，各自都不可以将联合贷客户的准入和持续尽职调查工作过度依赖于另一方。从当前联合贷业务反洗钱工作存在的问题看，双方均存在着一定的深层原因，具体是：

1.银行和互联网支付平台的共性问题。一是尚未完全树立全面洗钱风险管理的理念。调研发现一些银行和互联网支付平台尽管能够积极探索互联网金融业务，但主要着眼点在于业务迅速发展带来海量的客户和利润增长，未能对联合贷业务洗钱风险的快速累积形成清晰认识，不少银行和支付平台执行的是“先上业务后筹划洗钱风险管理”的路径，缺乏对联合贷等业务系统性的反洗钱工作机制安排。这也与银行、支付平台业务条线对于反洗钱工作的认识停留在被动履职有一定关系。二是产品洗钱风险评估不到位。联合贷是一项金融创新业务，在起步阶段银行和支付平台对产品洗钱风险、反洗钱职责划分等各方面认识均较为模糊，未能深入全面地评估、充分揭示现有工作机制的漏洞和薄弱环节并有效管理剩余风险。三是联合贷业务流程制约了对身份存疑以及交易异常客户管控的及时性。目前主流的结算模式是通过开立在第三方银行的同业结算账户，银行和合作机构每日头寸轧差结算。放贷银行并不直接实施逐笔的放款，对身份异常的客户及时采取限制措施的主动权在于合作机构，放贷银行需要将身份异常客户及时推送合作机构，由合作机构在业务推送阶段即采取控制措施。因此，存在银行发现客户身份存疑或交易异常，但未能与合作机构及时对接，导致在一定时间内仍然持续发生信贷业务或资金交易的情况。

2.参与方的个性问题。一是互联网支付平台未能严格把好客户准入关。联合贷业务中互联网支付平台有引流和开立支付账户双重身份，前者重在创新各种形式尽可能拓展潜在客户群体，后者则要严格履行识别客户身份、做好尽职调查工作。实践中互联网支付平台不同程度的将客户引流与开立支付账户绑定，未能明确区分客户引流与开立支付账户的区别，在一味追求获客的驱动下，使准入时较为明确的客户尽职调查标准被模糊、降低，甚至出现了一定数量的身份真实性存疑的客户。二是互联网支付平台未能充分支持银行开展尽职调查工作。联合贷业务中，互联网支付平台总体上居于优势地位，不仅是获客，而且在识别客户身份、交易行为判断等方面也有着较大的信息优势，甚至一定程度上垄断着客户信息数据。从维护自身竞争优势以及客户隐私保护等目的出发，其给银行推送的客户信息往往有限【8】，且用协议约定等方式限制合作银行直接与客户沟通，一定程度上造成银行获取客户信息的完整性和有效性不足。三是银行缺乏对联合贷客户开展尽职调查的手段和渠道储备。传统银行识别客户身份手段较为单一，主要是通过公民身份信息联网核查系统、企业信用信息网核对自然人客户和非自然人身份并登记身份信息要素，强化尽职调查时以电话联系、上门走访等方式予以补充。在联合贷业务下，传统尽职调查方式不仅难以支撑庞大客群，也难以通过电话联系、上门走访实现，亟待进一步拓展和创新身份核验和信息获取渠道。

3.其他方面的原因。联合贷款业务涉及互联网平台、互联网支付平台、放贷银行、小额贷款公司等多个行业主体，反洗钱监管政策在不同行业尚未形成相对统一的制度体系【9】，而且在银行和支付两类反洗钱义务主体间，监管政策还存在着标准不一的情形【10】。即使在同一行业（如银行），监管政策的执行尺度也因各地执法思路、监管资源投入不同等原因有着较大差异，导致不同银行间反洗钱履职差异较大，出现了不同银行开展的联合贷业务反洗钱执行标准迥异的乱象。这种监管政策差异、监管资源分配上松紧不一、宽严不同，客观上形成了监管政策套利空间。调研发现规模相对较小的地方法人银行在发放联合贷款时对申请客户的筛查标准相较于全国性银行整体上要宽松，且对合作机构提出的客户信息获取要求也相对简单。

联合贷业务作为一种与互联网深度融合的金融产品，由于互联网的先天特性，使其在客户准入、尽职调查以及风险控制等环节上呈现出门槛低、数量大、规模发展快以及高度依赖线上实施尽职调查等特点。必须指出的是，互联网基因的加入并没有实质性改变客观存在的洗钱风险，也不能改变洗钱风险与信用风险等各类风险之间的紧密关联。从调研情况来看，洗钱风险较高的客户，其联合贷的违约率也明显高于平均违约率【11】。因此，做好联合贷业务洗钱风险管理，防止洗钱风险与信贷风险等风险之间交织、传染，必须要厘清主要参与方的反洗钱职责，抓住反洗钱履职上的关键主体，优化现有监管标准，推动银行方和互联网支付平台方共同发力，促进这一领域反洗钱履职能力和水平有效提升。

(一）加快建立有机统一的联合贷业务反洗钱履职标准。

1.建立清晰统一的履职规则。一是不断完善监管规则。充分梳理银行和互联网支付平台关于识别客户身份的监管规定并进行完善，明确识别客户身份应涵盖准入识别、持续识别、风险等级划分、名单筛查、风险监测等一套洗钱风险管理和控制过程。同时要充分考虑银行账户和支付账户在洗钱风险和监管标准上的一致性和公平性，统一明确实名制和身份证影像件收集的要求，避免在风险相近的业务中由于在客户接纳、持续尽调等方面门槛不一、标准不同，导致行业间出现不公平竞争的情况。二是打破客户信息垄断壁垒。监管部门要充分平衡数据共享和产权保护，可就履行反洗钱公法义务推动一定范围内客户身份信息共享，解决银行等金融机构反洗钱履职关切的客户身份信息问题；同时按照市场化原则推动参与方以合同形式构建平等的市场主体关系，保护互联网支付平台深化数据技术应用积累的数据产权。三是进一步统一规范执法尺度。从全国层面进一步明晰监管标准和范围，通过加大业务培训、实施交叉执法等方式统一各地监管思路和执行尺度。同时对于监管发现的问题，明确统一问题定性，统一责任划分和统一处罚标准，避免监管问责的随意性。

2.合理统筹分配监管资源。一是探索开展专项监管。监管部门可持续开展联合贷等互联网金融创新领域的专项监管行动，从源头上提升客户尽职调查水平，大幅压缩洗钱风险的跨行业传导。也可探索对同一联合贷业务品种涉及的跨行业专题检查，明确检查内容应覆盖的范围，并对尽职调查机制、身份核实方式、客户管理逻辑等机制性、系统性问题进行剖析，全链条揭示履职问题，为所涉及的机构提供整改思路。二是充实完善监管手段。鉴于联合贷业务所涉银行众多，为有效弥补监管资源难以全面覆盖的情况，建议探索建立以问题为导向的监管思路，围绕该业务风险突出、日常监管或举报投诉集中、相关部门移送案件等情况，建立“以案倒查”的监管模式，补充现有的监管措施。三是加强日常窗口指导。充分利用监管约谈和走访、定期通报、风险提示等方式，摸清行业内普遍性、共性问题，通过窗口指导规范联合贷业务的反洗钱工作。

（二）持续完善客户尽职调查工作机制。

1.银行方面。一是明确业务实质。明确联合贷业务的客户实质，把未开立账户但获取贷款的客户纳入本行客户范畴管理，建立唯一客户号，明确客户归属，有效采集客户信息，准确划分客户风险等级。二是持续开展客户尽职调查。应将身份联网核查和名单监控前置客户接纳环节，对于不符合实名制要求的客户坚决拒绝接纳。业务开展期间要强化合约意识，推动合作机构配合开展客户尽职调查、洗钱风险调查、高风险客户评定及管控等，并视情况开展差异化的尽调措施。当银行发现联合贷客户涉及风险事件或交易异常等高风险情形后，应及时将风险信息传递给合作机构，推动其协同开展尽职调查，并根据尽职调查结果采取相应的风险控制措施。三是深化数据资源的运用。可充分借助人民银行征信中心的数据、各类征信数据平台有效拓展非面对面客户以及未开立账户客户的尽职调查渠道，提升尽职调查工作质量。同时可加强与合作机构的技术合作，进一步完善反洗钱工作技术设施，积极引入机器学习、大数据、先进算法等金融科技工具，多渠道收集和整理客户信息，建立内部客户身份信息、交易行为、生物特征等数据库，尽快建立起适用无账户客户的数据资源，提升无账户客户身份信息来源的多样性，寻求对传统资产负债表、抵押质押物的替代，识别客户潜在的信贷风险、洗钱风险等。

2.合作机构方面。一是切承担起源头管理职责。要持续完善客户尽职调查机制，进一步健全联网核查工作机制，全面实现“姓名+身份证号+照片”三要素核查，将已经进入应用阶段的指纹、人脸识别等技术嵌入联合贷业务系统以及非面对面业务实时验证系统等，降低非面对面开户带来的假名、匿名、冒名开户风险。二是建立动态客户信息管理机制。建立新旧信息核验机制，及时将更新的客户信息推送至合作的银行。对于风险较高的客户，在合规的前提下及时与银行共享客户的高风险信息，并根据风险状况及时将客户纳入管控，提高反洗钱工作整体有效性。三是推动行业内客户信息标准化建设。合理把握自身金融和科技的属性，在反洗钱领域要按照现有监管规则，在科技领域鼓励不断创新，推动行业内客户信息基础数据标准化建设，如明确职业分类统一类目、地址信息定位层级，持续规范数据传输接口，提升识别客户身份的效率，降低行业履职成本。

（三）扎实做好联合贷等互联网贷款的产品风险评估。

1.建立健全产品洗钱评估的基本框架和方法。一是银行和互联网支付平台要建立起涵盖固有风险、控制措施、剩余风险的基本思路和方法，从客户、地域、业务等方面充分开展联合贷业务的风险点识别与评估，采取行之有效的控制措施以降低剩余风险。二是要结合联合贷业务的历史交易特征、历史交易规模、交易方式、客户群体变化等因素，定期对数据进行全面分析，针对已有管控策略是否充分缓释风险，是否有新的风险变化等方面及时梳理，查找原因并提出应对措施。同时，银行和互联网支付平台可就彼此的评估情况进行适当的信息共享，必要时共同对风险漏洞进行研究解决或联合实施应对措施。三是要改变产品洗钱风险评估工作主要由反洗钱牵头部门负责、联合贷相关业务部门仅配合提供数据和资料的局面，推动联合贷相关业务部门“实质性”参与产品评估，使其充分认识该产品的洗钱风险及反洗钱工作薄弱环节，并将洗钱风险管理要求嵌入该业务的研发、流程设计、业务管理和操作等各环节。

2.要结合产品特性开展针对性的洗钱风险评估。如前文所述，包括联合贷业务在内的互联网贷款产品深度结合了互联网特性，使产品洗钱风险呈现出了一些新的特点。互联网支付平台在评估此类产品洗钱风险时，要梳理联合贷业务各环节上所涉及的具体支付产品，重点关注网络支付的匿名、快捷、跨境等特点，在交易过程中与客户完全非面对面，容易发生虚假交易和被掩盖的非法交易的风险。银行在开展产品洗钱风险时，还应合理划分产品颗粒度，不能简单的将传统线上贷款产品与联合贷业务归并为一类进行评估。应结合联合贷不在本行开立账户、客户无法接触、交易用途无法监测等特点，从客户群体特性、交易透明度、支付渠道、账户特性等方面合理设置针对性的洗钱风险评估指标，全面、准确评估该产品的洗钱风险。

关于ACAMS

ACAMS 是聚集各界防范金融犯罪专业人士的最大国际会员制组织。我们透过前沿思想、持续的专业进修以及卓越的同业人际网络，支援所有打击金融犯罪的个人和组织。

为完成使命，ACAMS 致力于：

• 对会员的成就予以认证

• 建立专业人士交流联络的平台，分享全球各国的最佳实践

• 对所有防范金融犯罪的专业人士，不论身处何方，还是所在何种行业，我们都一致提供世界一流的专业进修教育

• 支持各机构建立坚固的反金融犯罪体系

道琼斯公司(Dow Jones) 创建于1882年，旗下有道琼斯指数, Barron's《巴伦周刊》, WSJ《华尔街日报》, MarketWatch, Factiva, Risk & Compliance等品牌。“道琼斯风险合规”是风险管理和合规治理全球领先品牌，由道琼斯风险合规中国团队运营。欢迎您关注公众号或联系道琼斯风险合规中国负责人：Johnson.Ma@dowjones.com