博客

客户尽职调查和数据保护:取得平衡

博客系列

身份验证是大多数金融交易的起点,但在数字时代,确保一个人是他们声称的那样——并且他们没有从事犯罪活动——已经成为一个复杂而昂贵的过程。金融服务提供商(fsp)正在形成一种共识,即集中资源,协同解决客户尽职调查(CDD)要求现在通过了解你的客户(KYC)公用事业-可以降低合规成本,改善CDD风险管理,从而促进普惠金融。

马赛手机银行
马赛手机银行。摄影:Jay Bendixen

然而,要使这些协同CDD安排发挥作用,金融服务提供商、监管机构和其他各方必须能够以通常被复杂的信息法律、规则和义务网络所禁止的方式交换客户数据。鉴于fsp在满足CDD要求方面面临的压力,现在需要的是一个新的信息共享框架,在为CDD目的共享数据的需求和对个人权利的重要关注之间取得平衡。

大多数国家目前管理信息共享的法律、规则和义务范围广泛,涉及客户-银行保密、公共部门保密、数据保护、反洗钱和打击恐怖主义融资(AML/CFT)。以下是金融服务提供商必须考虑的主要信息共享规则,以及这些规则如何使履行CDD义务变得更加困难。

银行保密

银行家和客户之间的合同关系通常禁止银行家向第三方披露客户的事务和账户信息。然而,这种保密义务也有例外。例如,如果法律要求银行披露客户的信息,它并不阻止银行这样做。这正是“反洗钱/反恐怖融资”法律的作用:迫使银行在客户不知情和不同意的情况下,向国家金融情报机构(fiu)报告可疑交易和客户。然而,这些法律限制了进一步的信息共享。他们禁止金融服务提供商(fsp)将提交给FIU的报告告知任何人,包括客户和其他金融服务提供商(fsp),这使得提供商更难向其他人提醒CDD问题。

保密法

保密法是公共部门组织的共同治理特征。它们旨在通过禁止政府机构、雇员和承包商泄露这类信息来保护某些类别的信息。在客户保密的情况下,例外情况是适用的。其中一种例外可能是在履行另一项法律职责时必然发生的披露,例如,在法定检查期间向监督机构披露。然而,反洗钱/反恐怖融资法中的保密条款通常通过限制一国FIU与金融监管机构共享具体犯罪行为案件信息的能力,来抑制CDD合作。

数据保护法律

数据保护法——有时被称为“信息隐私法”——旨在让个人控制他们的个人信息如何被收集和处理。它们通常涉及其他权利和义务,例如查阅个人资料的权利、纠正个人资料错误的权利以及准确和安全地保存个人资料的要求。尽管数据保护法提供了重要的保护,但它们通常要求金融服务提供商在与其他金融服务提供商分享个人信息之前,必须获得客户(包括犯罪嫌疑人)的同意。

然而,数据保护权并不是绝对的。它们可以被其他权利所压倒,例如,在国家安全和执法利益的支持下,如果采取其他补偿保护措施,社区享有一个安全可靠的社会的权利。例如,对数据保护的限制可能涉及保护社会免受洗钱和恐怖主义融资的风险。

旧障碍的新方法

某些类型的协作性CDD,如商业KYC公用事业,已经找到了共享一些信息的方法,但它们的有效性受到了不适合这一目的的法律法规拼凑的阻碍——即,它们没有被设计为支持反洗钱/反恐融资目标。

重新考虑信息共享以促进“反洗钱/反恐融资”措施,意味着制定定制的法律框架,授权必要的信息流动,同时符合隐私保护等基本权利。这种框架可由技术标准和规则加以补充,通过鼓励共享信息的共同数字方法来帮助实施这一框架。

新的法律框架可以:

  • 允许fiu与一个或多个金融服务提供商共享信息,允许金融服务提供商之间共享信息——如果有理由相信此类信息将被安全、保密地处理,并有助于反洗钱/反恐融资工作。
  • 允许在拥有共同客户的金融服务提供商之间出于“反洗钱/反恐融资”目的共享对客户信息的更改,只要他们有正式协议,并且客户已被告知并有机会更正数据或阻止共享。
  • 允许公用事业公司代表多个fsp监视事务模式,甚至可能允许公用事业公司代表fsp向fiu提交报告,并采取适当的控制措施。
  • 规范数据标准化,使一个FSP更容易与另一个FSP共享数据。
  • 概述允许受监管实体依赖KYC公用事业公司进行CDD的条件,在他们的依赖是合理的情况下,减轻他们对KYC公用事业公司数据错误的责任(例如,没有理由怀疑数据的准确性)。

协同CDD,包括KYC实用程序,可以显著提高AML/CFT的有效性和效率。然而,为了实现这些好处,我们需要改进当前的信息共享框架。一个由所有利益相关者共同设计的新框架,可以敏感地协调个人权利、金融服务提供商的商业运作和国家安全利益。

主题: 政策

评论

2018年8月14日提交Peter Sweetnam(未经证实)

难道我们就不能采取实质性的步骤,重新思考这种完全以银行为中心的方法,让客户,无论他们身在何处,都能更好地控制他们的数据以及谁可以访问这些数据吗?

银行之间已经存在信任问题,例如,如果共享的信息是错误的,并被采取了行动,谁将承担责任。还有关于个人(甚至是公司)信息的使用(误用)和为获取利益而分享信息的问题。

这样的重新思考可以通过经过验证的Self-Sovereign身份系统来实现,例如ObjectTech Group的系统。这就脱离了个人的控制,允许他们决定谁在什么时候得到什么信息。反过来,在与监管机构达成协议的情况下,允许任何类型的机构持有的数据量大大减少。

这样的系统确实需要能够跨司法管辖区和监管框架进行转移,但随着它们得到验证,它们将以指数方式降低CDD和KYC/AML的成本。
除了改善现有的服务,这样的系统也是为那些目前被排除在金融流程和产品之外的人提供服务的门户。因此,当与扶贫产品(此类产品的交付成本也大幅降低)和金融知识相结合时,自主身份识别系统将发挥关键推动者的关键作用,有可能促进全球经济活动和弹性。

2018年8月20日提交路易斯·德·科克尔(未经证实)

在这个项目的过程中,我们研究了自我主权身份系统的例子,并同意它们可能有助于更好地实现信息共享。要将这种解决方案用于反洗钱/反恐怖融资CDD要求,需要得到监管机构的批准。我们对可能实施的监管要求很感兴趣。鉴于CGAP的重点,我们也感兴趣的是,如何适当的解决方案将使发展中国家的贫困和弱势群体能够决定何时与谁分享什么。这些解决方案似乎与CDD的客户识别和验证要素特别相关,但可能不足以为“反洗钱/反恐融资”目的实现可靠的风险信息共享。受“反洗钱/反恐怖主义交易法”监管的机构仍将需要收集并可能共享足够的客户个人信息,以评估每个客户构成的ML/FT风险,并监控其交易,以识别可疑和不寻常的交易。

2018年10月17日提交(未经证实)

在我培训各国朝着普惠金融方向发展的“反洗钱”工作人员的过程中,我主张对KYC/CDD采取多管齐下的方法。对于没有任何形式的身份证明(如出生证明、结婚证、国民身份证等)的大量人口,在银行拍摄的数码照片以及现有客户的一些身份证明(例如,每天早上挨家挨户提供报纸的人会认识某些客户)确实有帮助。银行官员需要亲自访问指定地址来核实地址(通常是未经授权的或临时搭建的结构)。在最初的几年里,对账户中存款的最高金额设定较低的门槛确实有帮助。必须谨慎地行使自由裁量权。账户必须被密切监控。

添加新注释