反洗钱 |《个人信息保护法》与履行反洗钱法定义务所需个人信息的获取及保密工作比较

来源 | 张博反洗钱(IDZHBO-AML

 

《中华人民共和国个人信息保护法》于820日通过全国人大常委会审议并公布,2021111日正式施行。

从反洗钱工作角度看,个人信息保护上升至法律层面,部分反洗钱从业者则担忧,是否会增加金融机构履行反洗钱法定义务过程中获取个人信息的难度,但仔细研究《个人信息保护法》会发现,两者完全没有冲突。

 

一、保护与保密

《个人信息保护法》使用保护一词,而未使用保密一词,是因为保密的范围较窄,保密仅能表示保护信息不被泄露。

《个人信息保护法》第一条规定:为了保护个人信息权益,规范个人信息处理活动,促进个人信息合理利用,根据宪法,制定本法。

第二条规定:自然人的个人信息受法律保护,任何组织、个人不得侵害自然人的个人信息权益。

所以可以看出《个人信息保护法》不仅规定需要对个人信息进行保密,还应合法获取、规范处理、合理利用等,例如不能进行大数据杀熟等。

 

二、保护/保密范围

(一)《个人信息保护法》第四条规定:个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。

反洗钱从业者看到个人信息,第一直觉会是自然人客户身份基本信息,如自然人客户9要素信息。但《个人信息保护法》规定范围的则比自然人客户身份基本信息要广,从字面理解,《个人信息保护法》规定的个人信息是指与自然人有关的各种信息,凡是能够通过该信息识别与客户存在关联的,均属于保护范围,如生物识别信息、行踪轨迹等。

与自然人有关的各种信息放在反洗钱层面,除自然人客户基本信息外,还可以扩展至自然人账户交易信息、自然人客户风险等级信息等。虽然账户交易信息和风险等级信息可以理解为与自然人有关的信息,但具体保护与保密的管理措施上,会存在不同,如反洗钱涉及的自然人客户风险等级信息也需要对客户本人保密。

(二)反洗钱层面关于保密的规定较多,如《反洗钱法》第五条、第七条及第三十二条的处罚规定;20072号令第三条;20163号令二十二、二十三条;20132号文等等。保密范围包括客户身份信息及资料、账户交易流水、大额和可疑交易报告及工作记录、客户风险等级、可疑案例监测模型、黑名单信息、洗钱风险评估相关内容、反洗钱分类评级结果、反洗钱协查信息等等。反洗钱保密规定可谓是贯穿了客户业务关系建立、存续及结束的整个生命周期。

 

三、依法获取权

(一)《个人信息保护法》第十三条规定:个人信息处理者方可处理个人信息的情形包括为履行法定职责或者法定义务所必需,法律、行政法规规定的其他情形。

 

所以《个人信息保护法》明确规定了,履行法定义务所必需的信息是可以正常依法获取的,不因《个人信息保护法》的保护规定而不能获取或拒绝提供。

(二)《反洗钱法》第五条规定:对依法履行反洗钱职责或者义务获得的客户身份资料和交易信息,应当予以保密;第十六条规定:金融机构应当按照规定建立客户身份识别制度。金融机构在与客户建立业务关系或者……应当要求客户出示真实有效的身份证件或者其他身份证明文件,进行核对并登记。

《金融机构客户身份识别和客户身份资料及交易记录保存管理办法》(〔2007〕第2号令)第三条、第七条、第十条、第十一条、第三十三条 等;《中国人民银行关于加强反洗钱客户身份识别有关工作的通知》(银发[2017]235号)等。

(三)《中国人民银行金融消费者权益保护实施办法》(中国人民银行令〔2020〕第5号)第二十九条规定:金融消费者不能或者拒绝提供必要信息,致使银行、支付机构无法履行反洗钱义务的,银行、支付机构可以根据《中华人民共和国反洗钱法》的相关规定对其金融活动采取限制性措施;确有必要时,银行、支付机构可以依法拒绝提供金融产品或者服务。

(四)《中华人民共和国反洗钱法(修订草案公开征求意见稿)》

第四条 单位和个人应当依法配合金融机构和特定非金融机构为履行反洗钱义务开展的客户尽职调查,配合反洗钱调查。

第三十五条 任何单位和个人在与金融机构、特定非金融机构建立和维持业务关系过程中都有配合金融机构和特定非金融机构开展尽职调查的义务,都应当提供真实有效的身份证件或者身份证明文件,准确、完整填报有关身份信息,如实提供受益所有人相关信息和资料;根据金融机构和特定非金融机构的要求,如实提供与建立业务关系或者交易目的和性质、资金来源和用途有关的资料。

任何单位和个人不配合客户尽职调查的,金融机构和特定非金融机构有权限制或者拒绝办理业务,并根据情况提交可疑交易报告。

综上几点规定,涉及反洗钱的法规中,强调客户的义务条款越来越多,对金融机构开展反洗钱工作,特别的获取客户信息、获得客户配合方面提供了有力的法律法规支撑。只有金融机构积极履行反洗钱法定义务,社会公众依法配合,才能使得反洗钱成为全社会的义务,而不仅仅是金融机构的义务。

 

四、处罚案例

20201019日,人民银行德阳中支公布一则处罚决定,中国某银行股份有限公司德阳分行,因侵害消费者个人信息依法得到保护的权利,被罚款1406万元。

20201020日,中国人民银行某市中心支行发布一则处罚公示,公示信息显示,某行支行营业室员工侵害消费者个人信息依法得到保护的权利,违反反洗钱管理规定,泄露客户信息,导致该支行被人民银行警告并处罚款1223万元,同时负有直接责任的营业室员工被处以3万元罚款,时任支行行长、副行长、营业室业务主管分别被处罚1.75万元罚款。