对于金融机构而言,开展客户尽职调查是与客户建立和维持业务关系的前提,是预防洗钱和恐怖融资风险的第一道防线。伴随着全球数字化技术的演进,金融领域数字化需求快速增长,加之全球新冠疫情的暴发,互联网经济的迅猛发展,世界各国的金融机构迫切需要利用数字身份开展客户尽职调查、交易监测等反洗钱工作。
FATF关于数字身份的指导意见
数字身份的界定
反洗钱金融行动特别工作组(Financial Action Task Force on Money Laundering,FATF)定义数字身份是一种证明身份的技术,将生物识别、大数据等新兴技术引入身份识别系统,解决“如何证明你是你”的问题。数字身份技术主要包括一系列生物识别技术;互联网电话和移动电话(包括采用带有摄像头、麦克风和其他应用智能技术的“智能电话”);数字设备标识符和相关信息(如MAC和IP地址、手机号码、SIM卡、GPS等);高清扫描仪(用于扫描身份证、驾驶证等证件);高分辨率视频传输(允许远程识别、验证和“活度”证明);人工智能/机器学习(如用于确定数字身份ID的有效性);分布式账本技术(DLT)等。
数字身份的适用范围
FATF发布的《数字身份监管指引》(以下简称《指引》)标准适用于金融机构、虚拟资产服务提供商和特定非金融机构等被监管实体,以及向被监管实体提供服务的数字身份服务提供商。《指引》鼓励金融机构将数字身份认证系统用于客户尽职调查,并采用灵活的、基于风险为本的方法,考虑使用具有不同保证级别的数字身份认证系统进行身份验证,分层开展客户尽职调查。对于洗钱和恐怖融资(ML/TF)风险较低的情况,使用较低保证级别的数字身份识别系统开展简化尽职调查;对于非面对面等高风险业务,应考虑运用可靠、独立的数字身份识别系统开展客户身份识别和身份验证,采取适当的风险缓释措施降低潜在的洗钱风险。同时,金融机构可利用内置于数字身份认证系统中的保障措施(如反欺诈和网络安全保护措施检测系统性滥用数字身份的风险)来支持初次身份识别、持续的客户尽职调查以及异常交易监测等反洗钱工作。
应用前景
从FATF标准角度看,可靠、独立的数字身份识别技术极大地提高了金融服务部门在进行身份识别时的可靠性、安全性、私密性、便利性和效率,弥补人为控制措施的不足。在客户准入环节,可协助开展有效的客户身份识别,在业务关系存续期间,能够进行持续的客户身份识别。此外,还可以支持在整个业务过程中对交易进行尽职调查和审查,满足多种客户尽职调查措施需求,协助交易监测,发现和上报可疑交易报告,以及进行一般风险管理和反欺诈工作。除此之外,在促进金融包容性、改善客户体验和降低经营机构管理成本、提高效率等方面具有广阔的前景。
潜在的风险
数字身份识别的可靠性取决于用于身份验证、认证和身份管理的文档、流程、技术和安全措施的强度。然而,通过开放通信网络(互联网)对个人进行身份验证或认证会产生数字身份系统特有的风险,特别是在网络攻击和潜在的大规模身份盗窃方面。不符合适当保证标准的数字身份技术会构成网络安全缺陷,可能导致大规模身份盗窃,损害个人身份信息,网络安全风险主要源于网络攻击和安全漏洞导致个人身份信息泄露,并通过窃取真人身份或创建合成身份证的方式提供虚假证据等。
国际经验借鉴
欧盟:e-IDAS框架
欧盟在《电子身份识别和信任服务条例》(以下简称“e-IDAS”)中将电子身份识别定义为“使用唯一代表自然人或法人电子身份数据的过程”。身份识别实质上要通过身份属性(attribution)或标识符/识别码(identifier)来确定身份,标识符/识别码是在特定情境下联系到唯一主体的一串字符,类似于身份证号码。
欧盟成员国在符合e-IDAS框架要求的前提下,接受不同国家提供的官方身份证明文件和程序,各成员国可利用数字身份识别系统对唯一代表自然人或法人进行低、中、高级别的身份识别。数字身份识别系统包括注册身份、识别手段、身份验证以及组织管理等环节。其中,在注册身份环节,申请人需了解具有法律效力的条款、安全预防措施,收集身份验证所需的相关身份资料,并对身份证件的真实性和有效性进行验证后,完成申请登记;识别手段管理环节主要涉及身份认证因素的数量和质量管理、识别手段的应用场景以及识别手段撤销或更新管理等;身份验证环节规定了认证机制和各保证级别的相关要求,自然人或法人可利用该机制并使用电子身份识别手段确认其真实身份;组织管理环节,在数字环境下所有与电子身份识别服务相关的参与者均应具备信息安全管理实践、政策、风险管理方法,以及其他公认的控制措施,以便向各成员国提供电子身份识别服务。
此外,欧盟要求通过额外的线上或线下信息来辅助远程认证,包括但不限于非现场开户申请人线上提供(或邮寄)额外的证件或者材料、利用具备资质的第三方机构的认证信息、允许非现场开户申请人在首次支付交易时通过已有银行账户转账等方式来辅助认证。
美国:NIST标准
美国国家标准与技术研究院(NIST)在数字身份认证指南中将保证等级分为身份保证级别(IAL)、认证保证级别(AAL)和联邦保证级别(FAL)三类。每类保证级别又细分为三个等级,不同等级对应不同的数字身份技术要求,保证级别越高,所需要的数字身份技术要求也越严格。例如,IAL3身份证明的真实性和准确性最高,必须本人亲自现场或远程完成身份证明,并且强制要求进行生物识别,经授权的第三方来验证身份属性及生物特征。此外,NIST指导并资助私营的第三方机构成立电子身份管理生态体系指导小组(IDESG),通过模拟金融机构在系统中用数字身份开立新账户,探索解决数字身份欺诈等问题。
意大利:SPID数字身份公共系统
意大利数字认证局允许经批准的第三方实体向18岁及以上的自然人提供数字身份注册服务,验证公共数字身份系统(SPID)。SPID注册可以亲自到现场进行,也可以使用带有网络摄像头的移动设备在线进行,个人需提供有效的身份证件、健康卡、电子邮件地址和移动电话号码,或者数字签名、电子身份证(CIE)或国家服务卡(CNS)等。SPID同样为身份验证提供了三个保证级别,保证级别的高低取决于在线服务提供商提供的安全级别。此外,意大利立法允许金融机构使用符合e-IDAS的数字ID(如SPID)用于客户身份识别和验证。
印度:唯一ID(UID)号码
印度唯一身份认证机构(UIDAI)发布了一款移动应用程序m-Aadhaar,它生成一个“虚拟身份”号码,与Aadhaar号码相连,但不同于Aadhaar号码,以增加隐私和安全性。Aadhaar号码和虚拟ID都可以通过Aadhaar数据库在线验证,也可以通过QR码离线验证。唯一身份证(UID)号码使用多种生物特征、个人信息以及官方身份证明文件,向印度所有居民提供数字身份证。开展客户尽职调查时,在得到客户知情同意的前提下,金融机构可通过Aadhaar的在线认证或离线验证核实客户身份。
新加坡:MyInfo数字信息平台
新加坡政府推出MyInfo公民个人数字信息平台管理服务,金融管理局出台《非面对面业务关系使用MyInfo开展客户尽职调查指引》,允许金融机构使用MyInfo平台的信息进行客户身份识别与核实,无须获取客户额外的身份证明文件。同时,要求金融机构对从该平台获取到的信息保持正确的记录并妥善保存。金融机构在经客户明确同意的情况下,可以使用由政府推出的个人数据库MyInfo平台信息进行客户识别与核实,无须获得额外的身份证明文件。
数字身份在我国反洗钱领域的应用
随着金融交易数字化的发展,原有的开户、交易逐渐脱离了柜台,数字身份技术在客户尽职调查方面发挥了越来越重要的作用。可以说,数字身份识别是解决金融交易数字化和反洗钱合规要求的关键技术,决定了数字金融可以开展的范围和场景。
应用背景
习近平总书记强调,加快数字中国建设,就是要适应我国发展新的历史方位,全面贯彻新发展理念,以信息化培育新动能,用新动能推动新发展,以新发展创造新辉煌。2020年3月6日,FATF发布《数字身份监管指引》,对监管者、数字身份系统的使用者、开发商等提出了具体指导意见,规范了全球数字身份的应用。加之,2020年初全球暴发新冠疫情,足不出户的困境令世界各国金融机构纷纷开始思考利用数字身份开展客户身份识别的可行性。
认证方式及技术特点
目前,在金融领域应用较为广泛的数字技术主要包括知识密码类、物理介质类及生物识别类技术,金融机构主要利用密码、数字证书、人脸识别、指纹识别等技术辅助进行非面对面业务身份认证核实(见表1、表2、表3)。
应用实践
当前,我国金融机构在反洗钱工作领域应用数字身份技术主要集中于客户身份初次识别、持续识别、重新识别等客户尽职调查业务场景以及异常交易监测分析环节,大多使用自主研发和外购的数字身份技术。例如,FATF《数字身份监管指引》提及蚂蚁金融与金融机构合作,为客户提供保险、基金、小额信贷等金融服务,还充分利用数字身份为金融机构提供客户身份识别、客户风险评估等服务。
在线上开户、客户尽职调查、异常交易分析等反洗钱工作领域,金融机构普遍运用短信验证、人脸识别、指纹识别等数字身份认证技术,在手机App、微信小程序等不同场景实现客户身份核验。如银行远程开户、互联网保险开户、证券远程自助开户等,大多银行证券平台已经开通“7×24网上开户”服务,推出“OCR+人脸识别”的远程开户策略,快速解决金融开户流程中身份实名认证问题,实现人证合一、实名开户。目前,金融机构采取数字化身份识别的措施大体包括五种:一是身份证件核验。利用移动端摄像头对准身份证进行视频识别或者拍照,使用OCR识别技术自动采集身份证正反两面信息,通过公安联网核查数据接口,有效核查信息的有效性。同时,根据身份证件照片与存档照片的比对结果,判定证件的真伪。二是人脸识别。通过现场自拍照与证件照进行1∶1比对,实现“人证合一”验证。三是银行卡信息采集。利用移动端摄像头对准银行卡进行视频识别或者拍照,使用OCR识别技术自动采集银行卡正反两面的信息。四是活体检测。平台系统随机发出一组动作指令(如转头、抬头、低头、眨眼等),根据检测者在规定时间内完成动作的成功率,判断被检测对象是否为实体真人。五是远程视频核查。客户在线与人工客服进行开户问题问答录制,或由自助机器人提供开户问题给予客户答录并存储至服务器端,再由人工客服进行审核。
通过互联网移动端开展密码验证、人脸识别、指纹识别等生物识别认证,金融机构既可以准确识别和采集客户身份信息,解决“如何证明你是你”的问题,又能让客户足不出户即可享受金融服务。
相关工作建议
借鉴国际经验,从国家层面推动制定数字身份相关法律法规,统一数字身份认证标准,推动数字身份在反洗钱领域依法合规运用。实践中,国内金融机构已广泛应用人脸识别、活体检测等数字身份技术开展线上业务客户尽职调查,但在法律规章层面缺乏相应的政策指导和技术规范,建议相关部门关注新技术的发展与应用,立足金融行业整体发展,制定相应的对策。
兼顾普惠金融与洗钱风险防控,制定操作指引推广应用数字身份技术,引导金融机构评估客户风险状况运用适度的数字身份识别措施。2022年1月26日,中国人民银行、银保监会、证监会联合发布《金融机构客户尽职调查和客户身份资料及交易记录保存管理办法》,明确金融机构可运用互联网和移动通信等信息通信技术,建立有效的客户身份认证机制,通过多重有效措施识别并核实客户身份,但未能就如何使用数字身份作出具体操作要求。建议出台相关操作指引,规范数字身份运用,遵循风险为本理念,鼓励金融机构根据客户及业务风险等级高低,合理选择数字身份识别适用的场景。
在保障个人隐私和数据信息安全的前提下,结合必要的人工审核机制,提升技术保障水平,将数字身份引入反洗钱、反欺诈等全面风险管理体系。大数据时代下,金融数字化势在必行,金融机构通过数字技术手段开展全面风险管理是未来的发展趋势。因此,建议金融机构将数字身份识别纳入风险控制措施,构建数字化全面风险管理体系,利用人脸识别、声纹认证等辅助识别手段,了解客户身份和交易的真实性,结合必要的人工分析甄别,全方位、多角度了解客户的交易目的和交易用途,达到全面防控风险的目的。
加强身份数据安全保护,将区块链技术应用于数字身份识别,利用去中心化机制、分布式数据存储、点对点传输、共识机制、加密算法等,创建基于区块链的数字身份系统,实现金融机构间共享数字身份识别成果。互联网金融背景下,数字身份认证管理与用户隐私保护已成为不可回避的问题,数字身份的应用推广离不开区块链技术的安全保障,同时,可信的数字身份也是区块链技术应用的前提。因此,建议由政府主导,基于区块链技术建立包括公安、金融、税务、海关等多部门可互联互认的身份识别系统,整合各方信息数据资源,构建跨部门、跨行业、跨机构的数据共享平台,促进数字身份的互联互通和有效共享。
作者单位:中国银河证券股份有限公司,其中梁世鹏系该公司合规总监、首席风险官,潘多亮系该公司法律合规总部总经理