2021年4月16日，中国人民银行发布了《金融机构反洗钱和反恐怖融资监督管理办法》（以下简称“《反洗钱反恐融资管理办法》”），由中国人民银行负责解释，并将于2021年8月1日1起实施。相应地，中国人民银行于2014年发布的《金融机构反洗钱监督管理办法（试行）》同时被废止。

《反洗钱反恐融资管理办法》对中国人民银行发布的林林总总关于金融机构反洗钱反恐融资相关的监管规定进行了整合，并根据当前金融市场发展的具体情况做了部分补充与更新。尤其值得指出的是，此次《反洗钱反恐融资管理办法》新增的反洗钱反恐融资主体（如“金融集团”），并不是真正意义上地赋予更多“金融机构”反洗钱反恐融资的义务，而只是将此前散落在不同立法位阶较低的指引/通知中的监管要求，升级为立法位阶较高的中国人民银行令要求。

就其内容而言，《反洗钱反恐融资管理办法》提高了金融机构反洗钱反恐融资监管的体系化程度，但并无监管措施的显著升级，在公司治理、风险控制方法论等方面也并没有新的突破。总体而言，《反洗钱反恐融资管理办法》中规中矩，整合内容多，新监管要求少。

本文从八个方面梳理《反洗钱反恐融资管理办法》的核心监管要求。

在中国金融监管法律法规的框架之中，“金融机构”并没有统一的定义，在不同的监管领域，“金融机构”的内涵和外延都不尽相同，有时甚至存在很大的区别。一般而言，“金融机构”是指中国证监会或中国银保监会通过行政许可程序批准设立的银行业、证券业和保险业机构。

《反洗钱反恐融资管理办法》第二条中对“金融机构”的定义，没有局限在被中国证监会和中国银保监会监管的市场主体，而是将部分非中国证监会或中国银保监会监管、但提供金融服务的主体，也纳入进来。这样一来，就大大地扩展了反洗钱反恐融资监管领域中“金融机构”的范围。

但尽管如此，《反洗钱反恐融资管理办法》依然没有将私募基金管理人、地方金融组织等主体纳入反洗钱反恐融资义务主体的范围之内。可见，《反洗钱反恐融资管理办法》对于义务主体范围的基调依然是谨慎偏保守的。

1.1 “金融机构”有选择性扩张

《反洗钱反恐融资管理办法》将反洗钱反恐融资义务主体的范围，在银行业、证券业、保险业和互联网金融等诸领域都进行了扩张，在各个金融子行业都纳入了更多的业务主体。其中，又以银行业和保险业新纳入的反洗钱反恐融资业务主体数量为多：银行业新增了“开发性金融机构（即国家开发银行）”、“消费金融公司”和“银行理财子公司”，保险业新增了“保险代理公司”和“保险经纪公司”。相比之下，证券业则完全没有新增。

将“金融集团”纳入“金融机构”的范围之中，似乎给人一种中国人民银行特别地要求“金融控股公司（集团）”承担反洗钱反恐融资义务的印象。实际上，早在2018年， 《法人金融机构洗钱和恐怖融资风险管理指引（试行）》[银反洗发〔2018〕19号）] 已经要求“金融控股公司（集团）”承担反洗钱义务。

新旧法规关于 “金融机构”范围的比较

显然，《反洗钱反恐融资管理办法》在选取“金融机构”的具体主体时是仔细斟酌的，这体现了作为反洗钱主管机关，中国人民银行对于不同金融机构的关注度和优先级是不一样的。

比如，根据《互联网金融从业机构反洗钱和反恐怖融资管理办法（试行）》，8类“互联网金融从业机构”（即：非银行支付、网络借贷、P2P、股权众筹融资、互联网基金销售、互联网保险、互联网信托和互联网消费金融机构）都是反洗钱反恐融资义务主体，但此次被《反洗钱反恐融资管理办法》直接列入“金融机构”范围予以点名的，只有“非银行支付机构”，剩余7类都被归入了“其他类”。

又如，保险中介机构包括“保险经纪”、“保险代理”和“保险公估”3类机构，但此次被《反洗钱反恐融资管理办法》列入“金融机构”范围的只有“保险经纪”和“保险代理”，而“保险公估”机构则被排除在外。

再如，贷款公司、网络小额贷款公司并非中国银保监会或中国证监会批准设立的“金融机构”，其法律主体性质只是地方金融办监管的“地方性金融组织”。而此次《反洗钱反恐融资管理办法》在众多种类的“地方性金融组织”之中，将“贷款公司”、“网络小额贷款公司”明确列入了反洗钱反恐融资监管意义上的“金融机构”范围。

1.2义务主体范围谨慎仍偏保守

尽管此次《反洗钱反恐融资管理办法》扩大了负有反洗钱反恐融资义务的“金融机构”的范围，但是对于积极从事金融服务、且实际上在中国金融市场交易中占据重要位置的私募基金管理人和地方金融办监管的“7+4”地方性金融组织（即小额贷款公司、融资担保公司、区域性股权市场、典当行、融资租赁公司、商业保理公司、地方资产管理公司、投资公司、农民专业合作社、社会众筹机构和地方各类交易所，共11类机构），并没涉及（贷款公司除外）。这些机构既不属于中国银保监会和中国证监会金融监管意义上的“金融机构”，也不属于中国人民银行反洗钱反恐融资规则上的义务主体。

以私募基金管理人为例，尽管中国证券投资基金业协会（“中基协，AMAC”）在《私募投资基金募集行为管理办法》¹第6条和第27条中，要求私募基金管理人在私募基金募集的过程中应“履行反洗钱义务”。但由于中基协（AMAC）并不是反洗钱监管机关，对于私募基金管理人应如何履行反洗钱义务，并没有进行更加细致的规定，而中国人民银行法规则自始至终都未将私募基金管理人纳入反洗钱反恐融资义务主体的范围。

截止2021年3月底，在AMAC登记备案的“私募基金管理人”数量已达2.45万家，共发行产品近10.3万只，总资产管理规模17.22万亿人民币²，投资人数千万。对这样一个机构数量如此庞大、投资运营与公募基金³行业相近、从投资人处募集天量资金、积极活跃于资本市场的行业，没有法定的反洗钱义务，显然这是一个中国金融市场亟待完善补强的合规风险管理瑕疵。

2.1设立或者指定反洗钱和反恐怖融资专门牵头部门

董事会可以下设专门的“洗钱风险管理委员会（AML Risk Management Committee）⁴” ，将部分洗钱风险管理职责（如审定洗钱风险管理策略、审批洗钱风险管理的政策和程序）授权给“洗钱风险管理委员会”行使。“洗钱风险管理委员会”负责向董事会提供洗钱风险管理专业意见。

有效的洗钱风险管理，应当是一个金融机构各职能部门充分参与、反复推演的整体，而不是仅由反洗钱部门制定政策，然后交付给其它业务和产品部门遵守的被动过程。“洗钱风险管理委员会”成员来自于各前台业务部门和中后台业务支持部门，各部门在委员会中都有自己的代表，有利于全面充分识别洗钱风险，判断风险控制措施的适当性、可行性并评估其有效性。

2.2明确董事会、监事会、高级管理层和相关部门职责，建立绩效考核和奖惩机制

中国人民银行《法人金融机构洗钱和恐怖融资风险管理指引（试行）》规定：“法人金融机构董事会承担洗钱风险管理的最终责任”⁵。此外，《银行业金融机构反洗钱和反恐怖融资管理办法》也规定：“银行业金融机构董事会应当对反洗钱和反恐怖融资工作承担最终责任。”⁶中国银保监会及中国证监会都不约而同地要求银行业⁷、保险业⁸及证券业⁹金融机构的董事会对合规风险承担最终责任，而洗钱风险也是合规风险的组成部分之一。一行两会在“董事会承担反洗钱最终责任”上的监管要求是逻辑一致、彼此自洽的。

2.3任命或授权一名独立的高级管理人员牵头负责，确保其履职所需权限和资源

在中国反洗钱监管法规框架中，“反洗钱主管部门负责人（Money-laundering Department Head）”和“负责洗钱风险管理工作的高级管理人员（Money-laundering Responsible Officer，MLRO）”是两个并行不悖的概念，各有其法律地位。早在2017年中国人民银行颁布的《法人金融机构反洗钱分类评级管理办法（试行）》（银发[2017]1号） 中，就已经清晰地区别了“反洗钱主管部门负责人”和“主管反洗钱工作高级管理人员”。

中国人民银行¹⁰及中国银保监会¹¹监管法规都要求，董事会应任命或授权一名高级管理人员牵头负责洗钱风险管理，直接向董事会报告洗钱风险管理情况。“反洗钱工作高级管理人员”应具备反洗钱专业知识和较强的职业操守，同时具有5年以上合规或风险管理工作经历，或所在行业10年以上工作经历，并向中国人民银行或法人金融机构注册所在地人民银行备案¹²。为避免利益冲突，“反洗钱工作高级管理人员”不应再兼任其它可能影响有效履职的职务。

2.4配备充足且合格的反洗钱人员，制定持续的反洗钱和反恐怖融资培训计划

中国人民银行法规规定法人金融机构的业务部门是洗钱风险的直接责任人，那么业务部门并不是专门的反洗钱风险管理部门，何以有足够的知识和经验来识别和承担如此艰巨的责任呢？

法规给出的监管要求和解决方案是：业务部门“应当根据业务实际和洗钱风险状况配备专职或兼职洗钱风险管理岗位（反洗钱岗位）人员”¹³，且：

（1）洗钱风险管理岗位（反洗钱岗位）职级不得低于其他风险管理岗职级；

（2）不得将洗钱风险管理岗位（反洗钱岗位）设置为操作类岗位或外包；

（3）专职人员应具有三年以上金融从业经历；

（4）专职人员和兼职人员均应具备必要履职能力和职业操守；

（5）兼职人员占全部洗钱风险管理人员的比例不得高于80％。

2.5通过内部审计或者独立审计审查内部控制制度制定和执行情况

审计应当遵循独立性原则，全面覆盖境内外分支机构、控股附属机构，审计的范围、方法和频率应当与本机构经营规模及洗钱和恐怖融资风险状况相适应，审计报告应当向董事会或者其授权的专门委员会提交。

3.1 “风险为本”方法论的缘起

“风险为本”（risk-based approach，“RBA”）方法不是由中国人民银行监管创造出来的概念，而是由金融行动特别工作组（Financial Action Task Force ，FATF）倡导于《FATF Recommendations》。FATF 40条建议的第一条，便是《Assessing risks & applying a risk-based approach》（“《评估风险及适用风险为本方法》”）。围绕着“风险为本”方法， FATF陆续发布了18项 针对不同类对象和交易（如证券业securities sector、法律专业人士legal professionals、人寿保险业life insurance sector、支付服务money or value transfer services等）的出版物（“publications”），这18项出版物和《FATF Recommendations 2012》一起，组成了一个“风险为本”的规则群体。

概而言之，FATF“风险为本”的反洗钱方法论的含义大致是：

“应合理分配反洗钱和反恐融资风险管理资源。当识别出的风险较高时，应保证有足够的资源来管理和缓释这些较高风险；当识别出的风险较低时，应允许采取简化的风险管理方法（allow simplified measures）。

FATF对“风险为本”的定义并没有采取列举方式，也没有进行传统教科书式内涵和外延的定义，而只是描述了一个判断的原则。FATF的这种定义方式，与普通法的立法方式一脉相承，允许不同的金融机构根据其产品、业务、客户群体和运营能力的实际情况，来评估自己具体的反洗钱、反恐融资风险，并针对性地适用普通的或简化的客户身份识别程序。FATF “风险为本”原则将是否适用“简化的客户尽职调查”的权力交给了金融机构自己。

3.2 《反洗钱反恐融资管理办法》承继“风险为本”方法论

“风险为本”是中国反洗钱反恐融资监管的基本原则和金融机构洗钱风险管理的方法论。众多中国反洗钱法规开宗明义，在序言或总则部分便强调是根据“风险为本”方法而制定 。作为规范金融机构反洗钱反恐融资义务的、以中国人民银行令形式签发的监管要求，《反洗钱反恐融资管理办法》也不例外，将此前中国人民银行在众多监管文件中反复强调的“风险为本”方法论再次进行了列举性的规定，金融机构应：

（1） 将洗钱和恐怖融资风险管理纳入本机构全面风险管理体系；

（2） 针对识别的较高风险情形，应当采取强化措施，管理和降低风险；

（3） 针对识别的较低风险情形，可以采取简化措施；

（4） 超出金融机构风险控制能力的，不得与客户建立业务关系或进行交易，已经建立业务关系的，应当中止交易并考虑提交可疑交易报告，必要时终止业务关系。

在金融机构实际的反洗钱反恐融资风险管理中，不同机构对于“风险为本”方法论的应用存在着很大的差异，普遍采取的是“从严认定”，对于“简化措施”的使用不足。在中国人民银行没有发出关于“风险为本”方法论适用指导性问答或指导案例的情况下，如果金融机构反洗钱工作部门对于“简化措施”的判断出现监管不予认可的情形，则可能会直接产生不确定的监管风险，“简化措施”在一定程度上成为了一项沉睡的制度。

《反洗钱反恐融资管理办法》要求金融机构建立自上而下、涵括境内外全部总分和附属机构、覆盖所有业务领域和交易流程的全面反洗钱反恐融资风险管理体系。就前述监管要求而言，中国人民银行已经在不同时期发布的监管要求中反复强调，此次《反洗钱反恐融资管理办法》再一次进行了集中式的规范，具体包括：

（1） 将洗钱和恐怖融资风险管理纳入全面风险管理体系，覆盖各项业务活动和管理流程；

（2） 在总部层面制定统一的反洗钱和反恐怖融资机制安排，包括为开展客户尽职调查、洗钱和恐怖融资风险管理，共享反洗钱和反恐怖融资信息的制度和程序；

（3） 要求其境外分支机构和控股附属机构在驻在国家（地区）法律规定允许的范围内执行，若驻在国家（地区）有更严格要求的，则遵守当地规定；

（4） 金融机构应当在总部层面建立洗钱和恐怖融资风险自评估制度；

（5） 在采用新技术、开办新业务或者提供新产品、新服务前，或者其面临的洗钱或者恐怖融资风险发生显著变化时，应当进行洗钱和恐怖融资风险评估；

（6） 反洗钱反恐融资审计全面覆盖境内外分支机构、控股附属机构。

“全面一体”的反洗钱反恐融资风险管理，对于任何一家金融机构都是“知易行难”的课题。囿于学术背景、机构管理体系、部门专业分工的不同，在任何一家金融机构，能够全面了解每一个产品和业务及其运营流程的人是不存在，不同业务部门之间、业务部门与反洗钱部门之间，天然地存在巨大的知识和经验鸿沟。比如，中国的证券业、基金业、期货业和保险业而言，因为境外投资者极少，其制裁风险就显著小于洗钱风险，那么对于制裁风险管理的资源就不必如银行业那样配置？再如，中国银行间市场或外汇交易中心的债券回购或外汇衍生品交易对手方，因为其市场准入已经由NAFMII 和CFETS进行过审核，其洗钱风险是否可以直接认定必然低于一般场外衍生品企业交易对手？如果要将反洗钱反恐融资纳入金融机构全面风险管理，那么首席风控官（CRO）是否应介入洗钱和恐怖融资风险的日常决策？这些无论是在监管法规中，还是在金融业的风险管理实践中，都没有明确的答案。

金融机构要将反洗钱反恐融资风险监管要求嵌入到每一个业务环节，就只能依靠各部门之间的密切协作，层层推进、逐步细化、反复测试、及时调整，摸索出适合本机构的“全面一体”的反洗钱反恐融资风险管理体系。而要达成这个目标，显然离不开健康、合理的反洗钱反恐融资公司治理。

此次《反洗钱反恐融资管理办法》再一次肯定了“金融机构应当在总部层面建立洗钱和恐怖融资风险自评估制度”，定期或不定期评估洗钱和恐怖融资风险，并应在经董事会或者高级管理层审定自评估报告之日起10个工作日内，将自评估情况报送中国人民银行或者所在地中国人民银行分支机构。

《洗钱和恐怖融资风险自评估指引》引入了境外成熟金融市场对洗钱和恐怖主义融资进行风险评估和风险缓释“二维矩阵”模型方法和工具，从“固有风险评估”、“控制措施有效性评估”和“剩余风险评估”三个角度，要求金融机构建立与本机构经营规模与复杂程度相匹配的洗钱风险自评估指标和模型，确保有效识别风险管理漏洞，提高自评估结论的准确性和针对性。

固有风险评估反映在不考虑控制措施的情况下，法人金融机构被利用于洗钱和恐怖融资的可能性。控制措施有效性评估反映法人金融机构所采取的控制措施对管理和缓释固有风险的有效程度，进而对尚未得到有效管理和缓释的剩余风险进行评估。

《洗钱和恐怖融资风险自评估指引》在坚持“大额和可疑交易”核心报告的基础上，对金融机构相关的定期和临时性报告义务也进一步予以明确：

（1） 年度报告

洗钱和恐怖融资风险自评估报告、境外分支机构或控股附属机构接受驻在国家（地区）反洗钱和反恐怖融资监管情况报告、

（2） 临时性报告

制定或者修订主要反洗钱和反恐怖融资内部控制制度的；

牵头负责的高级管理人员、牵头管理部门或者部门主要负责人调整的；

发生涉及反洗钱和反恐怖融资工作的重大风险事项的；

境外分支机构和控股附属机构受到当地监管当局或者司法部门开展的与反洗钱和反恐怖融资相关的执法检查、行政处罚、刑事调查或者发生其他重大风险事件的；

如《反洗钱反恐融资管理办法》的要求比驻在国家（地区）的相关规定更为严格，但驻在国家（地区）法律禁止或者限制境外分支机构和控股附属机构实施反洗钱反恐融资管理办法的，金融机构应向中国人民银行报告；

中国人民银行要求报告的其他事项。

《反洗钱反恐融资管理办法》对金融机构获得和使用与反洗钱和反恐融资相关的客户信息提出了两个彼此关联的原则性要求，都与客户信息的安全性相关，但其着眼的角度有所不同：

（1） 第5条规定：“金融机构对依法履行反洗钱和反恐怖融资职责或者义务获得的客户身份资料和交易信息，应当予以保密，非依法律规定不得对外提供”。

本条之重点是“客户身份资料和交易信息”，非依据法律允许，不得对外提供。这里的“对外”，包括任何其他机构和个人；对于外资金融机构而言，我们理解也包括不得向其境外母行或境外关联机构传递“客户身份资料和交易信息”。在这一定程度上，可能给将反洗钱相关监测、分析工作集中在印度或新加坡亚太区域中心的计划带来一定的合规上的不确定性。

（2） 第12条规定：“金融机构在共享和使用反洗钱和反恐怖融资信息方面应当依法提供信息并防止信息泄露”。

本条之重点是“内部分享和使用”，即中国人民银行法规肯定了金融机构可以在不同的职能部门之间“分享和使用”包括“客户身份资料和交易信息”在内的“反洗钱和反恐怖融资信息”，但是不应“泄露”给本机构之外的任何第三方。这里的“金融机构”，应限于单个“金融机构”本身，而非“金融集团”的不同成员“金融机构”之间。

根据《反洗钱法》第23条的规定，只有中国人民银行及其省一级派出机构，才具有金融机构反洗钱反恐融资进行执法检查的行政职权。

在监管过程中，发现金融机构存在较高洗钱和恐怖融资风险或者涉嫌违反反洗钱和反恐怖融资规定的，中国人民银行及其分支机构应当及时开展执法检查。《反洗钱反恐融资管理办法》对反洗钱和反恐怖融资现场执法检查的程序性问题进行了逐个环节的细化，充分体现了中国人民银行依法行政、保障了金融机构合法权益的执法理念。

（1） 填制《反洗钱监管审批表》及《反洗钱监管通知书》

经中国人民银行或其省一级派出机构行长（主任）或者分管副行长（副主任）批准后，至少提前5个工作日将《反洗钱监管通知书》送达被评估的金融机构。中国人民银行现场检查人员不得少于2人，并应出示合法证件。

（2） 现场风险评估结束后，制发《反洗钱监管意见书》，将风险评估结论和发现的问题反馈被评估的金融机构；

（3） 发出《反洗钱监管提示函》，要求其采取必要的管控措施，督促其整改；

（4） 持续跟踪金融机构对监管发现问题的整改情况，对于未合理制定整改计划或者未有效实施整改的，可以启动执法检查或者进一步采取其他监管措施；

（5） 对金融机构分支机构依法实施行政处罚，或者在监管过程中发现涉及金融机构总部的重大问题、系统性缺陷的，应当及时将处罚决定或者监管意见抄送中国人民银行或者金融机构总部所在地中国人民银行分支机构。

根据《反洗钱法》的规定，金融机构违法情节严重的，中国人民银行可对其处以罚款；违法情节特别严重的，可以建议有关中国证监会、中国银保监会、地方金融监管局等金融监督管理机关责令金停业整顿或者吊销其经营许可证；对负有直接负责的董事、高级管理人员和其他直接责任人员，可建议有关金融监督管理机关依法责令金融机构给予纪律处分，或者建议依法取消其任职资格、禁止其从事有关金融行业工作。

自第四轮FATF互评估以来，以中国人民银行为核心的反洗钱反恐融资监管机构持续性地、明显地加快了对金融机构反洗钱反恐融资的监管力度，加快了立法修规的节奏。在这样的背景之下，《反洗钱反恐融资管理办法》及时出台，对金融机构履行反洗钱反恐融资业务进行整合性的规范，必将有益于进一步提高中国金融业反洗钱反恐融资风险管理水平。