数据是信息的反映,是信息的表现形式。反洗钱法所要求的客户身份信息和交易信息的真实、准确、完整实际上就是数据的真实、准确、完整。数据的真实、准确、完整既是合规的要求也是有效开展洗钱风险管理的基础。在一定程度上可以说,没有高质量的数据就没有反洗钱工作的有效性,所以《法人金融机构洗钱和恐怖融资风险管理指引(试行)》第六条专门将数据治理作为洗钱风险管理体系的必要要素。
数据既是情报的载体,也是情报的核心的内容。从不同的角度我们可以给反洗钱很多不同的定义,但一言以蔽之,反洗钱的核心要义在于情报的获取。无论是对违法犯罪行为的预防也好,监测、打击也罢都是以获取有效的情报信息为基础或目标。而数据既可以是情报的载体,同时也可以是情报的核心内容,数据的失真,必然造成信息反馈的失灵,使预防失去方向,监测失去目标,打击失去对象。直接的后果是义务机构报告的大额和可疑交易报告的错误,不但于预防和打击违法犯罪行为无补,反而会给信息监测工作带来误导。
数据治理工作可以分为四个维度。分别是真实性、准确性、完整性和逻辑性。这四个方面既有区别亦有联系,不能彼此孤立地看待。
真实性是指数据本身要与客观实际相符合,是对信息的客观反映,不能脱离信息的自身。如客户的证件类型是身份证,业务人员在系统录入时录成了护照,这就是不真实。当然真是性也可以从更广阔的角度理解,缺少准确性和完整性的数据本身也可以说是不真实的。
准确性是对数据精确方面的要求,是数据在保证真实的同时,能精确地对客观事物进行描述。如客户的职业信息,客户的职业是政府工作人员,在客户职业分类时,就不能只按照《职业分类大典》的大类将其描述为国家机关、党群组织、企事业单位负责人。这种分类虽然符合真实性的要求,但不精确,因为在该项大类职业之下,还有5个中类、16个小类和25个细类,只有进一步的细分,才能符合准确性的要求,才能对不同主体的职业情况进行区分。真实性是反映数据与客观事实之间的关系,准确性是用于区别主体之间的关系,两者有联系有区别。
完整性是在真是性的基础上,通过数据能全面反映事物本身。如果说准确性是用来区分事物之间的性状特征,全面性则更侧重于事物本身。但两者也有联系,只有全面的、完整地反映事物本身,才能对不同信息进行准确的区别,因此完整性也是准确性的另一个侧面。比如客户在核心业务系统中有五笔交易,但反洗钱系统在数据抓取时,只抓取了三笔数据,反洗钱系统中的数据就是不完整的。
逻辑性是对不同数据之间关系的校验,是发现数据真实性、准确性和完整性的一个有效手段。如客户李某年纪只有五岁,其职业信息却填写为国家工作人员,这显然缺少逻辑性,要么出生年月填错,要么职业信息填错,总之,两者之间缺少逻辑性。
数据治理的对象包括义务机构为客户提供服务的过程中形成的客户身份资料和交易记录数据。客户身份信息的数据治理范围要含盖《金融机构客户身份识别和客户身份资料及交易记录保存管理办法》中所规定的“身份基本信息”。交易信息的数据治理范围要能含盖《关于大额交易和可疑交易报告要素及释义的通知》(银发[2017]98号)附件中关于大额交易报告和可疑交易报告要素及释义中涉及的相关数据要素。同时也可参考《现场检查数据接口规范》中的相关要素开展数据治理工作。
1、自然人主体的身份基本信息。包括客户的姓名、性别、国籍、职业、住所地或者工作单位地址、联系方式,身份证件或者身份证明文件的种类、号码和有效期限。
2、非自然人主体的身份信息。客户的名称、住所、经营范围、统一社会信用代码;可证明该客户依法设立或者可依法开展经营、社会活动的执照、证件或者文件的名称、号码和有效期限;控股股东或者实际控制人、法定代表人、负责人和授权办理业务人员的姓名、身份证件或者身份证明文件的种类、号码、有效期限。
3、主体的其他信息。客户号、客户号归属机构网点代码、创建日期、结束日期,年收入,注册资本金、注册资本金币种等
(1)卡信息。账户类型、客户开户时间、客户销户时间、账号、银行卡类型、银行卡号码。
(2)交易行为信息。交易时间、交易发生地、交易金额、币种、交易方式、资金收付标志业务标识号、收付款方匹配号类型、收付款方匹配号、涉外收支交易分类与代码、资金来源和用途、非柜台交易方式、非柜台交易方式的设备代码、银行与非银行支付机构之间的业务交易编码。
(3)对手方信息。对方金融机构网点名称、对方金融机构网点代码类型、对方金融机构网点代码、对方金融机构网点行政区划代码,交易对手姓名或名称、交易对手身份证件或证明文件类型,交易对手身份证件或证明文件号码,交易对手账户类型,交易对手账号。
在数据治理中我们可以使用excel表,也可以使用oracle等数据库工具。也可以前期通过excel表对数据进行初步治理后,对发现的问题进行汇总归类,针对相关问题开发相应的程序,通过程序对数据进行校验。目前excel表的功能完全能满足数据治理的需要,且使用方便,能够非常直观地呈现数据的状况,但也存在不足之处,主要表现为数据处理量有限,数据处理量过大会造成表格无法打开、无法运行等问题。在通过excel对数据质量进行分析的同时,也需要对提取的数据与留存的客户影像资料或纸质资料中相关的信息进行核对,以确保数据的真实性。
(一)数据的提取。数据治理首先是要提取数据,义务机构应按照前文所述的数据治理要素提取相应的数据。数据提取中应注意以下几个问题。一是务必保证提取的数据能完全、真实、准确地反映业务系统中记载的相关数据的原貌,与系统数据保持一致。需要数据使用人员与数据提取人员事前进行充分的沟通,明确数据提取的口径和范围。
(二)问题类型摸排。数据治理单位应组织精兵强将,根据自身的业务规模,按照一定的比例抽查数据,对存在的问题进行摸排。抽查的数据要达到一定的规模,才能较为完全地反映出本机构数据方面存在的问题。
(三)分解任务进行普查。在数据摸排的基础上,义务机构应将数据摸排中发现的问题分解给相应部门和分支机构,要求各部门和分支机构对存在的问题进行普查,并要求各机构将在普查中发现的其他问题及时反馈给总部,总部应对其中的突出和典型性问题要求各分支机构和部门进行普查。
(四)及时进行整改。在普查的基础上,针对发现的问题及时进行整改,落实相关责任主体。
数据治理中会涉及到客户的姓名、身份证号、交易等与客户主体身份和财产密切相关的核心信息,在数据治理中要做好保密性工作。
一是要保证所有数据在传输过程中不能上互联网,数据治理使用的电脑要做好网络的物理隔离。不能使用移动介质传输数据,电脑要做好技术处理,避免使用移动介质拷贝数据。
二是在数据治理中使用的excel表格、word文档等要设置密码,加强对数据的保护。
三是要限制接触和使用数据的主体。对数据的使用主体要严格限制,防止出现数据失泄密事件。对聘请第三方进行数据治理的,要与第三方签订保密协议,明确保密责任。
一个客户只能有一个客户号这是进行以客户为维度的洗钱风险管理的基本要求和前提保障。但我们仍然发现部分机构存在一个客户多个客户号的问题。这必然导致大额交易和可疑交易的漏报和错报,无法实现以客户为基础的洗钱风险管理目标。这一问题的出现原因有很多。比如部门机构在客户号的设置中以证件号码和证件类型相同为客户号设置的条件,业务人员在选择客户证件类型时出现选择错误,导致同一主体出现多个客户号;也有的机构在2018年三证合一之后,对存量客户更换新证件后未与原有组织机构代码证进行映对,对存量客户赋予了新的客户号;也有客户取得外国国籍或取得华侨身份后使用外国护照或中国护照再次开户,开户机构未能识别出两者系同一主体。
1、部分机构出现业务系统中的客户姓名或名称与开户申请书中的客户姓名/名称不一致的问题。出现这种问题的原因也是多种多样的,既包括客户在填写开户申请书的时候可能使用了曾用名,柜员在开户时未仔细核对开户申请书中的姓名是否与有效身份证件上的姓名是否一致,导致业务系统中登记的姓名与开户申请书姓名不一致的问题。也包括客户姓名中出现生僻字,系统在扫描客户有效证件时出现识别错误的问题。此外还有其他的一些原因也可能导致此类问题的出现。
2、部分机构系统登记的我国大陆居民的姓名为英文名。根据《中华人民共和国居民身份证法》第四条、《中华人民共和国国家通用语言文字法》第九条、第十八条第二款规定精神,居民身份证姓名登记项目应当使用规范汉字填写,并与常住人口登记表和居民户口簿姓名登记项目保持一致。出现系统中登记的客户姓名为英文名的情况可能是在采取手工录入客户姓名的情况下,误将客户开户申请表上的英文名录入系统中。如客户所持证件显示客户名为英文名,需对该客户进行强化的尽职调查,以查明证件的真假。
证件号码常见的问题主要表现为对有效证件中的大写英文字母I和数字1,字母O和数字0录入时出现混淆。
证件类型的分类可以按照《通用可疑交易报告模版-身份证件和证明文件代码》的分类标准进行分类。常见的问题主要表现为不能准确填写客户身份证件或证明文件类型。常将身份证填写为护照,或将护照填写为身份证。
客户的国籍(地区)应按照GB/T 2659-2000 国家/地区代码标准规范填写。但应注意,我国是一国两制的国家,香港、澳门和台湾是我国领土不可分割的重要组成部分。根据全国人民代表大会常务委员会关于《中华人民共和国国籍法》在香港特别行政区实施的几个问题的解释和全国人民代表大会常务委员会关于《中华人民共和国国籍法》在澳门特别行政区实施的几个问题的解释的规定香港、澳门同胞的国籍为中国。台湾属我国领土不可分割的组成部分,台湾同胞的国籍自然也为中国。个别机构核心业务系统关于国籍栏目未采取“国籍(地区)”的栏目设置,只命名为“国籍”,此时香港、澳门、台湾同胞的国籍应填写为“中国”,而不能填写为香港、澳门、台湾。对采取“国籍(地区)”命名规则的,应填写为中国(香港)、中国(澳门)和中国(台湾)。
对客户的职业和行业我国均公布了国家标准。现行的国家职业分类标准为中华人民共和国国家标准-GB/T6565—2015-职业分类与代码。在国家市场监督管理总局官网国家标准全文公开系统模块下即可查询。(链接http://openstd.samr.gov.cn/bzgk/ ... 7A826331A251E7EB1F9)国家行业分类标准由国家统计局制定,现行标准为GB/T 4754—2017-国民经济行业分类。常见的问题主要表现为职业和行业分类不准。尤其是保险业金融机构,在职业分类中大量采用内勤人员、外勤人员的职业分类,不能反映客户的职业特点。部分银行机构出现大量的“不便分类的其他从业人员”;客户的职业信息与客户的年龄存在逻辑矛盾。如未成年人登记的职业信息为企事业单位工作人员。
联系电话常见的问题主要表现在以下几个方面。一是多人共用一个电话,常出现在批量开卡业务中登记了用工单位批量开卡代办人员的电话,在持卡人激活卡片时,未更改电话号码;二是手机号码位数不正确,出现了10位或12位的手机号。
地址信息常见的问题主要表现为以下几个方面。一是登记的地址缺少省市一级信息;二是城镇居民登记的地址信息未能到门牌号,只登记了所在街道;三是农村居民的地址信息未登记到组。(但也存在部分地区客户有效证件上的地址仅到村一级)
经营范围信息常见的问题主要表现为系统中登记的经营范围与客户营业执照上的经营范围不一致或不全。
客户风险等级划分中常见的问题主要表现为以下几个方面。一是系统不能完全抓取数据仓库中的客户信息,导致客户风险等级划分最终结果与数据模型不一致。二是由于一个客户多个客户号问题的存在导致同一客户出现多个风险等级。
证件有效期字段常见的问题主要表现为以下几个方面。一是证件有效期填写错误,与客户有效证件的实际有效期不一致。如未成年人证件有效期填写为长期等。二是部分保险业金融机构留存的证件是新生儿医学出生证明,证件有效期填写为长期。三是部分机构业务系统同一客户在办理不同业务时,出现多个证件有效期。
需要关注客户证件有效期到期日与业务办理日之间的关系,以便判断是否为证件有效期过期的客户办理了业务。
需要关注客户证件有效期与数据治理基准日之间的关系,以判断在数据治理基准日哪些客户的证件有效期已过期,是否通知客户在合理的期限内更新。
需要关注客户年龄与客户职业之间的逻辑关系。主要是对16周岁以下的未成年人以及60周岁以上的离退休人员的职业状况与客户年龄之间是否存在逻辑矛盾。如部分机构将五岁以下的学龄前儿童的职业填写为政府机关工作人员。
需要关注部分老年人账户的使用主体是否为本人。如可以筛选80周岁以上账户活跃的老年人,在联网核查公民身份信息系统中或采取其他手段进一步核查客户的存活状况。
需要关注未成年人账户的使用情况,在系统中核查是否登记、留存了监护人的相关信息以及能够证明彼此之间具有监护关系的证明文件。
证券业金融机构需要核实客户的证券账户与资金账户的相关信息是否一致。
保险业金融机构在投保人、被保险人为同一人时,需核对相关信息是否一致。
以上仅是数据治理工作中反映出来的部分常见问题,对上述问题的解决还需要义务机构依靠科技手段,优化业务系统功能,确保业务系统中登记的相关信息与客户尽职调查中获取的客户相关信息保持一致,并通过数据之间的逻辑判断确保数据的真实、准确、完整。
作者:李云飞,法学博士,高级经济师,中国行为法学会金融法律行为研究会理事,西南政法大学专任教师。曾在中国人民银行金融稳定局、中国人民银行重庆营业管理部等单位工作。
狗仔卡
发表于 2021-7-19 12:49 PM
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡