梁世鵬 潘多亮 肖玉朋 孫志成

對于金融機構(gòu)而言，開展客戶盡職調(diào)查是與客戶建立和維持業(yè)務(wù)關(guān)系的前提，是預(yù)防洗錢和恐怖融資風(fēng)險的第一道防線。伴隨著全球數(shù)字化技術(shù)的演進，金融領(lǐng)域數(shù)字化需求快速增長，加之全球新冠疫情的暴發(fā)，互聯(lián)網(wǎng)經(jīng)濟的迅猛發(fā)展，世界各國的金融機構(gòu)迫切需要利用數(shù)字身份開展客戶盡職調(diào)查、交易監(jiān)測等反洗錢工作。

FATF關(guān)于數(shù)字身份的指導(dǎo)意見

數(shù)字身份的界定

反洗錢金融行動特別工作組（Financial Action Task Force on Money Laundering，F(xiàn)ATF）定義數(shù)字身份是一種證明身份的技術(shù)，將生物識別、大數(shù)據(jù)等新興技術(shù)引入身份識別系統(tǒng)，解決“如何證明你是你”的問題。數(shù)字身份技術(shù)主要包括一系列生物識別技術(shù)；互聯(lián)網(wǎng)電話和移動電話（包括采用帶有攝像頭、麥克風(fēng)和其他應(yīng)用智能技術(shù)的“智能電話”）；數(shù)字設(shè)備標(biāo)識符和相關(guān)信息（如MAC和IP地址、手機號碼、SIM卡、GPS等）；高清掃描儀（用于掃描身份證、駕駛證等證件）；高分辨率視頻傳輸（允許遠程識別、驗證和“活度”證明）；人工智能/機器學(xué)習(xí)（如用于確定數(shù)字身份ID的有效性）；分布式賬本技術(shù)（DLT）等。

數(shù)字身份的適用范圍

FATF發(fā)布的《數(shù)字身份監(jiān)管指引》（以下簡稱《指引》）標(biāo)準(zhǔn)適用于金融機構(gòu)、虛擬資產(chǎn)服務(wù)提供商和特定非金融機構(gòu)等被監(jiān)管實體，以及向被監(jiān)管實體提供服務(wù)的數(shù)字身份服務(wù)提供商。《指引》鼓勵金融機構(gòu)將數(shù)字身份認(rèn)證系統(tǒng)用于客戶盡職調(diào)查，并采用靈活的、基于風(fēng)險為本的方法，考慮使用具有不同保證級別的數(shù)字身份認(rèn)證系統(tǒng)進行身份驗證，分層開展客戶盡職調(diào)查。對于洗錢和恐怖融資（ML/TF）風(fēng)險較低的情況，使用較低保證級別的數(shù)字身份識別系統(tǒng)開展簡化盡職調(diào)查；對于非面對面等高風(fēng)險業(yè)務(wù)，應(yīng)考慮運用可靠、獨立的數(shù)字身份識別系統(tǒng)開展客戶身份識別和身份驗證，采取適當(dāng)?shù)娘L(fēng)險緩釋措施降低潛在的洗錢風(fēng)險。同時，金融機構(gòu)可利用內(nèi)置于數(shù)字身份認(rèn)證系統(tǒng)中的保障措施（如反欺詐和網(wǎng)絡(luò)安全保護措施檢測系統(tǒng)性濫用數(shù)字身份的風(fēng)險）來支持初次身份識別、持續(xù)的客戶盡職調(diào)查以及異常交易監(jiān)測等反洗錢工作。

應(yīng)用前景

從FATF標(biāo)準(zhǔn)角度看，可靠、獨立的數(shù)字身份識別技術(shù)極大地提高了金融服務(wù)部門在進行身份識別時的可靠性、安全性、私密性、便利性和效率，彌補人為控制措施的不足。在客戶準(zhǔn)入環(huán)節(jié)，可協(xié)助開展有效的客戶身份識別，在業(yè)務(wù)關(guān)系存續(xù)期間，能夠進行持續(xù)的客戶身份識別。此外，還可以支持在整個業(yè)務(wù)過程中對交易進行盡職調(diào)查和審查，滿足多種客戶盡職調(diào)查措施需求，協(xié)助交易監(jiān)測，發(fā)現(xiàn)和上報可疑交易報告，以及進行一般風(fēng)險管理和反欺詐工作。除此之外，在促進金融包容性、改善客戶體驗和降低經(jīng)營機構(gòu)管理成本、提高效率等方面具有廣闊的前景。

潛在的風(fēng)險

數(shù)字身份識別的可靠性取決于用于身份驗證、認(rèn)證和身份管理的文檔、流程、技術(shù)和安全措施的強度。然而，通過開放通信網(wǎng)絡(luò)（互聯(lián)網(wǎng)）對個人進行身份驗證或認(rèn)證會產(chǎn)生數(shù)字身份系統(tǒng)特有的風(fēng)險，特別是在網(wǎng)絡(luò)攻擊和潛在的大規(guī)模身份盜竊方面。不符合適當(dāng)保證標(biāo)準(zhǔn)的數(shù)字身份技術(shù)會構(gòu)成網(wǎng)絡(luò)安全缺陷，可能導(dǎo)致大規(guī)模身份盜竊，損害個人身份信息，網(wǎng)絡(luò)安全風(fēng)險主要源于網(wǎng)絡(luò)攻擊和安全漏洞導(dǎo)致個人身份信息泄露，并通過竊取真人身份或創(chuàng)建合成身份證的方式提供虛假證據(jù)等。

國際經(jīng)驗借鑒

歐盟：e-IDAS框架

歐盟在《電子身份識別和信任服務(wù)條例》（以下簡稱“e-IDAS”）中將電子身份識別定義為“使用唯一代表自然人或法人電子身份數(shù)據(jù)的過程”。身份識別實質(zhì)上要通過身份屬性（attribution）或標(biāo)識符/識別碼（identifier）來確定身份，標(biāo)識符/識別碼是在特定情境下聯(lián)系到唯一主體的一串字符，類似于身份證號碼。

歐盟成員國在符合e-IDAS框架要求的前提下，接受不同國家提供的官方身份證明文件和程序，各成員國可利用數(shù)字身份識別系統(tǒng)對唯一代表自然人或法人進行低、中、高級別的身份識別。數(shù)字身份識別系統(tǒng)包括注冊身份、識別手段、身份驗證以及組織管理等環(huán)節(jié)。其中，在注冊身份環(huán)節(jié)，申請人需了解具有法律效力的條款、安全預(yù)防措施，收集身份驗證所需的相關(guān)身份資料，并對身份證件的真實性和有效性進行驗證后，完成申請登記；識別手段管理環(huán)節(jié)主要涉及身份認(rèn)證因素的數(shù)量和質(zhì)量管理、識別手段的應(yīng)用場景以及識別手段撤銷或更新管理等；身份驗證環(huán)節(jié)規(guī)定了認(rèn)證機制和各保證級別的相關(guān)要求，自然人或法人可利用該機制并使用電子身份識別手段確認(rèn)其真實身份；組織管理環(huán)節(jié)，在數(shù)字環(huán)境下所有與電子身份識別服務(wù)相關(guān)的參與者均應(yīng)具備信息安全管理實踐、政策、風(fēng)險管理方法，以及其他公認(rèn)的控制措施，以便向各成員國提供電子身份識別服務(wù)。

此外，歐盟要求通過額外的線上或線下信息來輔助遠程認(rèn)證，包括但不限于非現(xiàn)場開戶申請人線上提供（或郵寄）額外的證件或者材料、利用具備資質(zhì)的第三方機構(gòu)的認(rèn)證信息、允許非現(xiàn)場開戶申請人在首次支付交易時通過已有銀行賬戶轉(zhuǎn)賬等方式來輔助認(rèn)證。

美國：NIST標(biāo)準(zhǔn)

美國國家標(biāo)準(zhǔn)與技術(shù)研究院（NIST）在數(shù)字身份認(rèn)證指南中將保證等級分為身份保證級別（IAL）、認(rèn)證保證級別（AAL）和聯(lián)邦保證級別（FAL）三類。每類保證級別又細分為三個等級，不同等級對應(yīng)不同的數(shù)字身份技術(shù)要求，保證級別越高，所需要的數(shù)字身份技術(shù)要求也越嚴(yán)格。例如，IAL3身份證明的真實性和準(zhǔn)確性最高，必須本人親自現(xiàn)場或遠程完成身份證明，并且強制要求進行生物識別，經(jīng)授權(quán)的第三方來驗證身份屬性及生物特征。此外，NIST指導(dǎo)并資助私營的第三方機構(gòu)成立電子身份管理生態(tài)體系指導(dǎo)小組（IDESG），通過模擬金融機構(gòu)在系統(tǒng)中用數(shù)字身份開立新賬戶，探索解決數(shù)字身份欺詐等問題。

意大利：SPID數(shù)字身份公共系統(tǒng)

意大利數(shù)字認(rèn)證局允許經(jīng)批準(zhǔn)的第三方實體向18歲及以上的自然人提供數(shù)字身份注冊服務(wù)，驗證公共數(shù)字身份系統(tǒng)（SPID）。SPID注冊可以親自到現(xiàn)場進行，也可以使用帶有網(wǎng)絡(luò)攝像頭的移動設(shè)備在線進行，個人需提供有效的身份證件、健康卡、電子郵件地址和移動電話號碼，或者數(shù)字簽名、電子身份證（CIE）或國家服務(wù)卡（CNS）等。SPID同樣為身份驗證提供了三個保證級別，保證級別的高低取決于在線服務(wù)提供商提供的安全級別。此外，意大利立法允許金融機構(gòu)使用符合e-IDAS的數(shù)字ID（如SPID）用于客戶身份識別和驗證。

印度：唯一ID（UID）號碼

印度唯一身份認(rèn)證機構(gòu)（UIDAI）發(fā)布了一款移動應(yīng)用程序m-Aadhaar，它生成一個“虛擬身份”號碼，與Aadhaar號碼相連，但不同于Aadhaar號碼，以增加隱私和安全性。Aadhaar號碼和虛擬ID都可以通過Aadhaar數(shù)據(jù)庫在線驗證，也可以通過QR碼離線驗證。唯一身份證（UID）號碼使用多種生物特征、個人信息以及官方身份證明文件，向印度所有居民提供數(shù)字身份證。開展客戶盡職調(diào)查時，在得到客戶知情同意的前提下，金融機構(gòu)可通過Aadhaar的在線認(rèn)證或離線驗證核實客戶身份。

新加坡：MyInfo數(shù)字信息平臺

新加坡政府推出MyInfo公民個人數(shù)字信息平臺管理服務(wù)，金融管理局出臺《非面對面業(yè)務(wù)關(guān)系使用MyInfo開展客戶盡職調(diào)查指引》，允許金融機構(gòu)使用MyInfo平臺的信息進行客戶身份識別與核實，無須獲取客戶額外的身份證明文件。同時，要求金融機構(gòu)對從該平臺獲取到的信息保持正確的記錄并妥善保存。金融機構(gòu)在經(jīng)客戶明確同意的情況下，可以使用由政府推出的個人數(shù)據(jù)庫MyInfo平臺信息進行客戶識別與核實，無須獲得額外的身份證明文件。

數(shù)字身份在我國反洗錢領(lǐng)域的應(yīng)用

隨著金融交易數(shù)字化的發(fā)展，原有的開戶、交易逐漸脫離了柜臺，數(shù)字身份技術(shù)在客戶盡職調(diào)查方面發(fā)揮了越來越重要的作用?？梢哉f，數(shù)字身份識別是解決金融交易數(shù)字化和反洗錢合規(guī)要求的關(guān)鍵技術(shù)，決定了數(shù)字金融可以開展的范圍和場景。

應(yīng)用背景

習(xí)近平總書記強調(diào)，加快數(shù)字中國建設(shè)，就是要適應(yīng)我國發(fā)展新的歷史方位，全面貫徹新發(fā)展理念，以信息化培育新動能，用新動能推動新發(fā)展，以新發(fā)展創(chuàng)造新輝煌。2020年3月6日，F(xiàn)ATF發(fā)布《數(shù)字身份監(jiān)管指引》，對監(jiān)管者、數(shù)字身份系統(tǒng)的使用者、開發(fā)商等提出了具體指導(dǎo)意見，規(guī)范了全球數(shù)字身份的應(yīng)用。加之，2020年初全球暴發(fā)新冠疫情，足不出戶的困境令世界各國金融機構(gòu)紛紛開始思考利用數(shù)字身份開展客戶身份識別的可行性。

認(rèn)證方式及技術(shù)特點

目前，在金融領(lǐng)域應(yīng)用較為廣泛的數(shù)字技術(shù)主要包括知識密碼類、物理介質(zhì)類及生物識別類技術(shù)，金融機構(gòu)主要利用密碼、數(shù)字證書、人臉識別、指紋識別等技術(shù)輔助進行非面對面業(yè)務(wù)身份認(rèn)證核實（見表1、表2、表3）。

應(yīng)用實踐

當(dāng)前，我國金融機構(gòu)在反洗錢工作領(lǐng)域應(yīng)用數(shù)字身份技術(shù)主要集中于客戶身份初次識別、持續(xù)識別、重新識別等客戶盡職調(diào)查業(yè)務(wù)場景以及異常交易監(jiān)測分析環(huán)節(jié)，大多使用自主研發(fā)和外購的數(shù)字身份技術(shù)。例如，F(xiàn)ATF《數(shù)字身份監(jiān)管指引》提及螞蟻金融與金融機構(gòu)合作，為客戶提供保險、基金、小額信貸等金融服務(wù)，還充分利用數(shù)字身份為金融機構(gòu)提供客戶身份識別、客戶風(fēng)險評估等服務(wù)。

在線上開戶、客戶盡職調(diào)查、異常交易分析等反洗錢工作領(lǐng)域，金融機構(gòu)普遍運用短信驗證、人臉識別、指紋識別等數(shù)字身份認(rèn)證技術(shù)，在手機App、微信小程序等不同場景實現(xiàn)客戶身份核驗。如銀行遠程開戶、互聯(lián)網(wǎng)保險開戶、證券遠程自助開戶等，大多銀行證券平臺已經(jīng)開通“7×24網(wǎng)上開戶”服務(wù)，推出“OCR+人臉識別”的遠程開戶策略，快速解決金融開戶流程中身份實名認(rèn)證問題，實現(xiàn)人證合一、實名開戶。目前，金融機構(gòu)采取數(shù)字化身份識別的措施大體包括五種：一是身份證件核驗。利用移動端攝像頭對準(zhǔn)身份證進行視頻識別或者拍照，使用OCR識別技術(shù)自動采集身份證正反兩面信息，通過公安聯(lián)網(wǎng)核查數(shù)據(jù)接口，有效核查信息的有效性。同時，根據(jù)身份證件照片與存檔照片的比對結(jié)果，判定證件的真?zhèn)?。二是人臉識別。通過現(xiàn)場自拍照與證件照進行1∶1比對，實現(xiàn)“人證合一”驗證。三是銀行卡信息采集。利用移動端攝像頭對準(zhǔn)銀行卡進行視頻識別或者拍照，使用OCR識別技術(shù)自動采集銀行卡正反兩面的信息。四是活體檢測。平臺系統(tǒng)隨機發(fā)出一組動作指令（如轉(zhuǎn)頭、抬頭、低頭、眨眼等），根據(jù)檢測者在規(guī)定時間內(nèi)完成動作的成功率，判斷被檢測對象是否為實體真人。五是遠程視頻核查?？蛻粼诰€與人工客服進行開戶問題問答錄制，或由自助機器人提供開戶問題給予客戶答錄并存儲至服務(wù)器端，再由人工客服進行審核。

通過互聯(lián)網(wǎng)移動端開展密碼驗證、人臉識別、指紋識別等生物識別認(rèn)證，金融機構(gòu)既可以準(zhǔn)確識別和采集客戶身份信息，解決“如何證明你是你”的問題，又能讓客戶足不出戶即可享受金融服務(wù)。

相關(guān)工作建議

借鑒國際經(jīng)驗，從國家層面推動制定數(shù)字身份相關(guān)法律法規(guī)，統(tǒng)一數(shù)字身份認(rèn)證標(biāo)準(zhǔn)，推動數(shù)字身份在反洗錢領(lǐng)域依法合規(guī)運用。實踐中，國內(nèi)金融機構(gòu)已廣泛應(yīng)用人臉識別、活體檢測等數(shù)字身份技術(shù)開展線上業(yè)務(wù)客戶盡職調(diào)查，但在法律規(guī)章層面缺乏相應(yīng)的政策指導(dǎo)和技術(shù)規(guī)范，建議相關(guān)部門關(guān)注新技術(shù)的發(fā)展與應(yīng)用，立足金融行業(yè)整體發(fā)展，制定相應(yīng)的對策。

兼顧普惠金融與洗錢風(fēng)險防控，制定操作指引推廣應(yīng)用數(shù)字身份技術(shù)，引導(dǎo)金融機構(gòu)評估客戶風(fēng)險狀況運用適度的數(shù)字身份識別措施。2022年1月26日，中國人民銀行、銀保監(jiān)會、證監(jiān)會聯(lián)合發(fā)布《金融機構(gòu)客戶盡職調(diào)查和客戶身份資料及交易記錄保存管理辦法》，明確金融機構(gòu)可運用互聯(lián)網(wǎng)和移動通信等信息通信技術(shù)，建立有效的客戶身份認(rèn)證機制，通過多重有效措施識別并核實客戶身份，但未能就如何使用數(shù)字身份作出具體操作要求。建議出臺相關(guān)操作指引，規(guī)范數(shù)字身份運用，遵循風(fēng)險為本理念，鼓勵金融機構(gòu)根據(jù)客戶及業(yè)務(wù)風(fēng)險等級高低，合理選擇數(shù)字身份識別適用的場景。

在保障個人隱私和數(shù)據(jù)信息安全的前提下，結(jié)合必要的人工審核機制，提升技術(shù)保障水平，將數(shù)字身份引入反洗錢、反欺詐等全面風(fēng)險管理體系。大數(shù)據(jù)時代下，金融數(shù)字化勢在必行，金融機構(gòu)通過數(shù)字技術(shù)手段開展全面風(fēng)險管理是未來的發(fā)展趨勢。因此，建議金融機構(gòu)將數(shù)字身份識別納入風(fēng)險控制措施，構(gòu)建數(shù)字化全面風(fēng)險管理體系，利用人臉識別、聲紋認(rèn)證等輔助識別手段，了解客戶身份和交易的真實性，結(jié)合必要的人工分析甄別，全方位、多角度了解客戶的交易目的和交易用途，達到全面防控風(fēng)險的目的。

加強身份數(shù)據(jù)安全保護，將區(qū)塊鏈技術(shù)應(yīng)用于數(shù)字身份識別，利用去中心化機制、分布式數(shù)據(jù)存儲、點對點傳輸、共識機制、加密算法等，創(chuàng)建基于區(qū)塊鏈的數(shù)字身份系統(tǒng)，實現(xiàn)金融機構(gòu)間共享數(shù)字身份識別成果?；ヂ?lián)網(wǎng)金融背景下，數(shù)字身份認(rèn)證管理與用戶隱私保護已成為不可回避的問題，數(shù)字身份的應(yīng)用推廣離不開區(qū)塊鏈技術(shù)的安全保障，同時，可信的數(shù)字身份也是區(qū)塊鏈技術(shù)應(yīng)用的前提。因此，建議由政府主導(dǎo)，基于區(qū)塊鏈技術(shù)建立包括公安、金融、稅務(wù)、海關(guān)等多部門可互聯(lián)互認(rèn)的身份識別系統(tǒng)，整合各方信息數(shù)據(jù)資源，構(gòu)建跨部門、跨行業(yè)、跨機構(gòu)的數(shù)據(jù)共享平臺，促進數(shù)字身份的互聯(lián)互通和有效共享。

（作者單位：中國銀河證券股份有限公司，其中梁世鵬系該公司合規(guī)總監(jiān)、首席風(fēng)險官，潘多亮系該公司法律合規(guī)總部總經(jīng)理）

責(zé)任編輯：孫 爽