2023年反洗钱、支付与消保等金融监管回顾与展望
2023年反洗钱、支付与消保等金融监管回顾与展望
一、篇章总览——2023年反洗钱、支付及消保金融监管整体回顾
2023年,国家金融监管局的挂牌成立,意味着国家对于金融监管的重视,金融监管由此将迎来新的监管局势,其后续监管活动及影响受到行业广泛关注。在制度规范方面,反洗钱、消费者保护、个人信息保护、人工智能等方面的监管规范不断完善,在法律规定的基础上,不断出台新的部门规章、国家标准等,为行业人员提供更加专项化、细节化的监管指引及要求。在第三方支付方面,监管机构继续整改违规行为,大额罚单不断。观往知来,在2024年,我们对2023年的金融监管动态进行总结回顾,以期更好地迎接新一年的监管变化。
1、法律法规
法律法规的出台频率及重点直接向行业明确了本年度的监管重点及监管要求。2023年开年以来,监管机构针对反洗钱、消费者及个人信息保护、反电信诈骗及跨境赌博、人工智能等方面均制定了多样化的监管规范,包括新规的出台以及对既往监管案例的梳理、清理。
(1)反洗钱
自2022年《反洗钱(送审稿)》以及1号令出台后,2023年度反洗钱的重点法律法规层面并无重大变动。就《反洗钱法》而言,全国人大常委会发布的《2023年度立法工作计划》中亦明确将修改《反洗钱法》列入了预备审议项目,人大常委会将抓紧开展调研和起草工作,视情况安排审议。国务院办公厅发布的《国务院2023年度立法工作计划》亦明确,在加快构建新发展格局、着力推动高质量发展方面,将提请全国人大常委会审议反洗钱法修订草案。《反洗钱法》的正式出台仍属于需要持续关注的重点事项。
除《反洗钱法》外,人行2023年出台的4号文对2021年12月31日之前的规范性文件进行了清理,废止的文件共计36件。其中,涉及的反洗钱规范为5件,涉及客户风险分级、可疑交易等重点方面。
(2)消费者保护
金融消费者保护一直是近年来的监管重点工作。2022年底颁布的《银行保险机构消费者权益保护管理办法》于本年度正式施行。2023年,金融监管总局发布的第1号公告《关于金融消费者反映事项办理工作安排的公告》,即是有关金融消费者保护职责以及中国证监会投资者保护职责的划转衔接工作的公告,可见监管对于金融消保工作的重视。就专项业务而言,2023年的金融消费者保护规范主要集中在个人信息保护上,包括《个人信息保护合规审计管理办法(征求意见稿)》《人脸识别技术应用安全管理规定(试行)(征求意见稿)》《个人信息出境标准合同备案指南(第一版)》《个人信息出境标准合同办法》《个人信息保护自律公约》《信息安全技术 个人信息跨境传输认证要求(征求意见稿)》,为个人信息保护进一步划清监管界限、明确监管要求。
(3)反电诈、跨境赌博等相关
2022年可以称得上反电诈元年,《反电信网络诈骗法》的出台为金融业、互联网运营者等明确了监管要求。在小切口法规出台的背景下,2023年各监管机构亦出台了相关意见及提示,提示关注网络犯罪、跨境赌博、诈骗等问题,包括《关于加强新时代检察机关网络法治工作的意见》《国家外汇管理局关于非法买卖外汇用于跨境赌博案例的通报》《关于警惕利用AI新型技术实施诈骗的风险提示》《关于防范冒用金融监管名义实施诈骗的风险提示》《关于防范虚假网络投资理财类诈骗的风险提示》等等。
(4)其他金融监管规范
除专项规定外,值得关注的是,人行发布公告,对多领域的规章及规范性文件进行废止,包括2023年第2号银行令废止11件规章、2023年第4号银行令废止36件规范性文件。
金融监管总局亦发布了《非银行金融机构行政许可事项实施办法》《保险销售行为管理办法》《企业集团财务公司监管评级办法》《汽车金融公司管理办法(2023)》《银行保险机构操作风险管理办法》《银行保险机构涉刑案件风险防控管理办法》等最新规范,对金融相关事项进行监管。
此外,针对最新的技术,亦发布《生成式人工智能服务管理暂行办法》《人工智能安全标准化白皮书(2023版)》《元宇宙产业创新发展三年行动计划(2023-2025年)》等规范。
针对支付机构,2023年12月17日,国务院发布了《非银行支付机构监督管理条例》,进一步加强对支付机构的监督管理;中国支付清算协会发布《关于加强收单外包服务市场规范管理的意见》,对外包服务提出要求,并开展一系列整改活动。
2、处罚情况
2023年,监管层面将打击洗钱犯罪作为重点,人行亦加大了对反洗钱违规行为的处罚力度。根据不完全统计,截至2023年10月底,因涉及违反反洗钱规定被处罚(包括专项处罚及综合处罚)的机构高达约240家,金额高达50亿,机构及个人双罚比例高达99%;在涉及的行业类型中,银行业的占比高居第一,支付机构的占比为第二,保险业、证券业、期货均有涉及。其中人行对某家支付机构开出的数十亿元巨额罚单引起了行业广泛关注。该处罚所涉及的反洗钱处罚事由属于常规事由,包括未按规定履行客户身份识别义务,未按规定保存客户身份资料和交易记录,未按规定报送大额交易报告或者可疑交易报告,与身份不明的客户进行交易或者为客户开立匿名账户、假名账户等等。由此可见,对于机构而言,夯实反洗钱基础工作仍旧是重中之重。
除反洗钱外,金融消费者保护、个人信息保护等领域依旧是监管重点。“金融消费者权益保护教育宣传月"期间,金融监管总局联合中国人民银行、中国证监会发布28个金融消费者权益保护典型案例。同时,在打击侵害消费者合法权益的违法违规行为方面,监管依然重拳出击。上述巨额罚单亦涉及违反消费者金融信息保护管理规定、违反金融消费者权益保护管理规定等违法事项。除支付机构外,银行等机构亦因金融消保等事由被处以大额罚单,包括:A银行因涉及“违反消费者金融信息保护管理规定"“违反信用信息采集、提供、查询及相关管理规定"等被没收违法所得,罚款3000多万元;厦门银行因“违反个人金融信息保护规定"“违反金融消费者保护内部控制及其他管理规定"“向金融信用信息基础数据库提供个人不良信息未事先告知信息主体本人"等违法行为被处以764.6万元罚款。
二、法规速览——反洗钱、支付、消保等重点金融监管规范
1、反洗钱相关
(1)中国人民银行公告〔2023〕第4号
2023年3月16日,人行颁布了4号令,对2021年12月31日之前的规范性文件进行清理。此次废止的反洗钱相关规范包括《关于边境地区受理和使用人民币银行卡有关问题的通知》(银发〔2004〕219号)、《关于证券期货业和保险业金融机构严格执行反洗钱规定防范洗钱风险的通知》(银发〔2007〕27号)、《关于加强银行卡业务反洗钱监管工作的通知》(银办发〔2009〕151号)、《关于明确可疑交易报告制度有关执行问题的通知》(银发〔2010〕48号)、《关于印发〈法人金融机构反洗钱分类评级管理办法(试行)〉的通知》(银发〔2017〕1号),共计5个文件。
值得关注的是,《法人金融机构反洗钱分类评级管理办法(试行)》(简称“《分类评级办法》")虽然予以废止,但这并不意味着监管力度的放松及弱化,而是由《法人金融机构洗钱和恐怖融资风险自评估指引》《金融机构反洗钱和反恐怖融资监督管理办法》对金融机构提出了更高的自我监督评估要求。对于金融机构而言,《分类评级办法》的评级指标等对金融机构评价自身洗钱风险和反洗钱工作的有效性仍具备参考价值。
2、反电诈
(1)《关于加强新时代检察机关网络法治工作的意见》
2023年4月18日,最高检颁布了《关于加强新时代检察机关网络法治工作的意见》,对网络法治的各方面提出意见,特别提出全链条惩治人民群众反映强烈的网络犯罪,包括网络诈骗、利用虚拟货币、跑分平台等进行洗钱的犯罪;该意见亦明确,要认真落实《反电信网络诈骗法》,加强与公安、法院及有关部门协同联动,推动构建“全链条反诈、全行业阻诈、全社会防诈"打防管控体系。
(2)《国家外汇管理局关于非法买卖外汇用于跨境赌博案例的通报》
2023年4月28日,外汇管理局公示了部分违法典型案例,作为监管指导风向标,进一步彰显了监管严厉打击跨境赌博所涉资金非法买卖行为的成果。本次共计公布了10个典型案例,包括通过地下钱庄、非法转移境外的境内商户POS机刷卡等方式非法买卖外汇用于境外赌博等情形。该等主体均被处以罚款,其处罚信息亦列入了中国人民银行征信系统以示警戒。
(3)《关于防范冒用金融监管名义实施诈骗的风险提示》《关于防范虚假网络投资理财类诈骗的风险提示》《关于警惕利用AI新型技术实施诈骗的风险提示》
针对市场上的典型的冒充监管诈骗、虚假网络投资、AI新技术诈骗等各类诈骗行为,国家金融监管总局分别于2023年7月、9月、10月连续发布风险提示,对典型的诈骗手段及行为予以公示,并提示消费者采取反诈行为,包括转账汇款核验身份、保护好个人信息、选择正规机构金融服务、及时报案等。
对于电信业务经营者、银行业金融机构、非银行支付机构、互联网服务提供者等反电诈义务机构而言,上述风险提示文件亦要求,此类机构应关注上述典型诈骗行为,在日常宣传中向消费者进行提示,做好风险防控,将典型诈骗所涉业务、要素等列入内部可疑监测系统,实现对涉诈风险的有效评估及管控。
3、消保及个保相关
(1)《金融消费者权益保护典型案例》
2023年10月,金融监管局联合人行、证监会发布《金融消费者保护典型案例》,本次典型案例共计10个,包括5个正面案例及5个负面案例,均值得金融机构提起关注:
* 某商业银行建立零售业务反欺诈智能风控系统,主动监测拦截电信诈骗,帮助消费者避免资金损失;
* 某保险公司将数据医疗与保险理赔场景融合,推出理赔直付新模式,为消费者提供高品质便利化金融服务;
* 某商业银行优化柜面服务流程,推行个人免填单办理,为老年消费者提供便捷高效、温暖贴心的金融服务;
* 某商业银行开展师范教育基地,创新性开展教育宣传工作;
* 某商业银行推出多项减免优惠措施等,服务实体经济;
* 某商业银行违规收取个人客户唯一账户小额账户管理费和年费;
* 某消费金融公司利用格式合同,无差别获取个人信息,以及某商业银行员工、保险公司代理人违规查询、出售个人信息;
* 某保险公司夸大宣传,引发了大量的消费纠纷;
* 某保险公司承保借款人意外伤害保险时超出备案费率收取保费、违规预收保费;
* 某商业银行转嫁贷款抵押评估费用,增加企业融资负担。
(2)《个人信息保护合规审计管理办法(征求意见稿)》
2023年8月3日,国家互联网信息办公室发布《个人信息保护合规审计管理办法(征求意见稿)》(简称“《个保审计办法》"),细化了个保法要求的定期审计义务,对个人信息保护合规审计活动予以指导、规范。
《个保审计办法》正文共计16条,规范内容包括适用范围、审计条件及频次、聘请专业机构的审计要求、审计完成时限等。其中明确,处理超过100万人个人信息的处理者,应当每年至少开展一次审计,其他处理者应当每二年至少开展一次审计。
除此之外,附件《个人信息保护合规审计参考要点》列明三十一条审计参考要点。对于行业人员而言,个人信息保护的合规审计要点亦为内部个人信息保护制度的制定及操作提供了充分的合规重点指引。
(3)《个人信息出境标准合同备案指南(第一版)》《个人信息出境标准合同办法》《信息安全技术 个人信息跨境传输认证要求(征求意见稿)》
2023年,有关部门针对个人信息出境制定了各项标准及合同规范。其中,《个人信息出境标准合同办法》明确了个人信息出境的合同规范及合同范本,明确标准合同的定位,即个人信息处理者可以与境外接收方约定其他条款,但不得与标准合同相冲突。同时,《个人信息出境标准合同备案指南(第一版)》对于备案方式、材料要求及流程给出了标准指引。
此外,全国信息安全标准化技术委员会发布了《个人信息跨境传输认证要求(征求意见稿)》,对个人信息处理者跨境提供个人信息的基本原则、基本要求和个人信息主体权益保障要求提出了国家标准。
4、第三方支付
回顾2023年,第三方支付仍面临强监管态势,收单业务的自查整改、两大支付巨头的天价罚单,均给行业带来了巨大冲击。
2023年12月17日,国务院发布了《非银行支付机构监督管理条例》,该条例将于2024年5月1日正式施行。就体例上而言,该条例共计六章60条,包括总则,设立、变更与终止,支付业务规则,监督管理,法律责任及附则。条例对持牌经营、用户权益保障、风险管理等予以重申,明确境外非银行支付机构拟为境内用户提供跨境支付服务的,亦须按照条例要求在境内设立持牌机构,并将支付业务重新划分为储值账户运营与支付交易处理两类予以规范。该条例作为非银行支付机构领域的第一部行政法规,其出台丰富了非银行支付监管的顶层法律制度,并根据司法部、中国人民银行负责人的答记者问,后续亦将出台配套实施细则,以实现对新的监管规范的贯彻落实。对于机构而言,条例的发布意味着不仅意味着新的监管要求,亦预示着未来旧的监管规范的废止、新旧规范的衔接等等监管动向,均值得机构及从业人员提起关注。
2023年5月19日,中国支付清算协会发布了《关于加强收单外包服务市场规范管理的意见》,针对外包市场上的风险,包括部分收单机构对合作外包机构准入审核不严、部分外包机构涉嫌推荐虚假商户或违法违规商户、部分外包机构涉嫌为商户提供结算账户设置和修改服务甚至提现服务、部分外包机构存在信息安全防护和个人信息保护不到位等情况,全方位严格加强监管。其中,针对收单机构,除常规的完善制度建设、明确岗位职责、及时登记信息、加强宣传引导、强化信息安全等要求外,还明确了存量登记时限以及存量备案时限。针对外包机构,亦明确一系列监管要求,包括备案自查、杜绝为套码套现提供支持服务、维护客户信息及资金安全等。为敦促机构完成整改,该意见亦明确,各机构应当于2023年6月底前完成自查整改,协会将于7月开展自律检查,并据此采取警告、约谈高管、通报批评、公开谴责等自律措施,甚至移交监管部门依法处置。
2023年,金融监管总局、人行及证监会合计向某集团旗下支付机构等共计开具天价罚单,其中,金融监管总局公示的违法行为包括侵害消费者合法权益以及违规参与银行保险机构业务活动;人行公示的违法行为中除涉及反洗钱、反电诈及消保方面外,还包括违反支付账户管理规定、违反清算管理规定;证监会公示的违法行为包括违反代销基金产品准入、宣传、档案管理有关规定以及违反基金销售机构人员管理、内部控制有关规定。人行亦对某支付机构开出约30亿元的罚单,违法行为除涉及反洗钱、消保方面外,还包括违反机构管理规定、违反商户管理规定、违反清算管理规定、违反支付账户管理规定、其他危及支付机构稳健运行、损害客户合法权益或危害支付服务市场的违法违规行为。
5、其他需关注的监管规范
(1)《非银行金融机构行政许可事项实施办法》
2023年10月9日,金融监管总局发布了最新修订的《非银行金融机构行政许可事项实施办法》,共七章204条,修订内容包括结合近年的《企业集团财务公司管理办法》《汽车金融公司管理办法》等文件,调整了机构设立、业务资质审批方面的准入标准,以及依据《关于加强非金融企业投资金融机构监管的指导意见》适度提高对非金融企业作为非银机构控股股东的净资产率指标要求。根据答记者问,本次修订将进一步强化监管政策引领,提升准入监管质效,实施简政放权,落实对外开放部署。
(2)《保险销售行为管理办法》
2023年9月20日,金融监管总局发布了《保险销售行为管理办法》,共计六章50条,包括总则、保险销售前行为管理、保险销售中行为管理、保险销售后行为管理、监督管理、附则。适用范围包括保险公司为订立保险合同所开展的销售行为以及保险中介机构、保险销售人员受保险公司委托或者与保险公司合作为订立保险合同所开展的销售行为。值得注意的是,本次办法中建立了保险产品说明制度,要求保险公司要在其官方网站上公布保险产品说明,且保险公司及受其委托的保险中介机构、保险销售人员应当向投保人提供保险产品说明。这一制度加大了销售主体的说明义务,进一步保障了消费者的权益。
(3)《企业集团财务公司监管评级办法》
2023年6月13日,国家金融监管总局颁布了新的《企业集团财务公司监管评级办法》,共计六章29条,分为总则、评级要素、组织实施、评级结果与运用、监督管理、附则,并对2019年的版本予以废止。本次修订将财务公司分为6级别9档次,规定了不同层度的监管措施,体现了监管的进一步细化趋势,并将评级结果与业务准入资质进行挂钩。
(4)《银行保险机构操作风险管理办法》
2023年12月27日,国家金融监管总局发布了《银行保险机构操作风险管理办法》,共计六章52条,包括总则、风险治理和管理责任、风险管理基本要求、风险管理流程和方法、监督管理、附则。该规定适用范围系由于内部程序、员工、信息科技系统存在问题以及外部事件造成损失的风险,包括法律风险,但不包括战略风险和声誉风险。规定中亦明确了董监高职责和三道防线、操作风险管理的制度系统文化、操作风险管理的流程等要求,以及监管机构的监管方式。
(5)《银行保险机构涉刑案件风险防控管理办法》
2023年11月2日,国家金融监管总局发布了《银行保险机构涉刑案件风险防控管理办法》,共计五章40条,包括总则、职责分工、任务要求、监督管理、附则。该办法明确,机构应当充分识别重点领域的风险点并采取重点防控措施,同时建立健全案件风险防控评估机制。
6、新兴领域
(1)元宇宙相关
2023年8月29日,工业和信息化部办公厅等5部门联合发布《元宇宙产业创新发展三年行动计划(2023-2025年)》,明确支持元宇宙产业的创新发展。具体包括,到2025年,培育3-5家有全球影响力的生态型企业和一批专精特新中小企业,打造3-5个产业发展集聚区。其中,在监管保障层面,该计划明确将持续完善元宇宙政策法规,加强元宇宙风险跟踪研判。同时,该计划还明晰了元宇宙监管主体职能,完善了内容审查、风险处置、违规处理等规则流程。可以预见,在元宇宙产业大力发展的同时,监管态势必定进一步加强,以规范新兴产业的健康发展。
(2)人工智能
2023年可以被称为人工智能元年,以ChatGPT为代表的人工智能应用开始投入市场,引起大众的广泛关注。面对人工智能应用的井喷式发展,监管紧跟行业前沿,制定了相应监管规范:
《生成式人工智能服务管理暂行办法》
2023年7月10日,国家互联网信息办公室联合发改委、教育部、科技部、工信部等6部门发布了《生成式人工智能服务管理暂行办法》(简称“《AI管理办法》"),对提供生成式人工智能服务作出各项规范。这是在人工智能领域对《网络安全法》《数据安全法》《个人信息保护法》《科学技术进步法》有关规定的落实。该办法共计五章24条,内容包括总则、技术发展与治理、服务规范、监督检查和法律责任及附则。
《AI管理办法》的监管对象是利用生成式人工智能技术,向境内公众提供生成内容服务的主体及相关活动,其内容包括提供者应当依法开展训练数据处理活动、承担网络信息内容生产者的责任、个人信息保护义务、违法内容的规范整改义务、针对使用者的监督义务等等。
《人工智能安全标准化白皮书(2023版)》
2023年5月,全国信息安全标准化技术委员会发布了《人工智能安全标准化白皮书(2023版)》,对人工智能的发展现状、人工智能的安全风险、人工智能安全政策与标准现状、人工智能安全标准需求进行梳理及分析,并提出了人工智能安全标准化工作建议,为行业人员提供一定的标准化指引。
三、未来展望
1、除旧迎新、监管细化仍是大势所趋
针对近年来颁布的各项上层金融监管规范,监管机构对既往的配套性规定进行梳理,对过时的监管规范予以废止,对部分监管规范予以修订,以适应最新的监管趋势。并且针对顶层监管设计,监管机构亦出台了专项规定,强化特殊事项的监管要求。在此背景下,金融机构除了需要对内部规章制度等作出与时俱进的修订外,亦应着眼业务细节,将法规及内部制度要求在日常具体业务环节予以落实,开展合规经营。
2、金融消保问题仍旧是监管重点
回顾2023年的监管规范,仍旧延续了近年来的消保强监管态势,在规定层面颁布了个人信息保护的多项规范及标准,对个人信息保护的出境作出专项规定。国家金融监管总局组建后,亦强调对金融消费者的保护,发布了典型案例、保险销售规范等,向金融机构提出全方位的消保要求,同时亦加强了金融消保领域的处罚力度。可以预见,金融消保依旧是未来持续的监管重点。
3、反洗钱强监管态势仍旧维持,顶层法律制度仍待关注
回顾2023年至今,《反洗钱法》仍旧未能出台,1号令尚未规定最终的实施时间。但是,该等法律法规的出台及生效仍受到行业人员的持续关注。我们预计2024年,在法律、行政法规层面应该会出台新规,为反洗钱顶层制度添砖加瓦,亦为从业人员的反洗钱工作开展提供最新指引。虽然2023年顶层规范并无重大变化,但基于近年来最新的监管规范,反洗钱领域仍处于强监管的态势,大额处罚屡见不鲜,但处罚事由通常是老生常谈的违规事项。因此,义务机构仍需夯实基础的反洗钱合规工作,落实监管要求,以期更好地适应监管,更合规地开展各项业务。
4、第三方支付仍面临境内、境外合规压力
虽然第三方支付机构在2023年经受了大额的处罚及严格的整改活动,但境内合规要求不断加深、境外业务拓展的需要与地缘政治的影响仍然带给第三方支付巨大的合规压力。逐步提升合规水平并良好地处理合规成本问题是重要的发展方向。