由新规解读银行业刑事合规的诉求与方向

王文文、冯佳成 靖霖刑事律师 2022-02-22 17:04

近日消息，《金融机构客户尽职调查和客户身份资料及交易记录保存管理办法》（2022年1号令）（下称《办法》）将正式开始实施。从2021年3月对外征求意见起算，一年间《办法》经历了不大不小的修改。无论是从“客户身份识别”到“客户尽职调查”的纲领性变动；从“了解客户”到“识别并核实客户身份”的具体变动；还是细化客户分级、尽职调查方向、交易目的及资金用途等多方面，都彰显了本《办法》对于整改银行业内部规范的决心和力度。

就在2022年2月21日晚，央行发布公告称，原定2022年3月1日起施行的《金融机构客户尽职调查和客户身份资料及交易记录保存管理办法》（中国人民银行银保监会证监会令〔2022〕第1号）因技术原因暂缓施行。相关业务按原规定办理。

一方面，暂缓施行并不意味着1号令的全盘废止，而仅仅是适用时间的后移，1号令的新规和整改方向仍然是银行业和各大金融机构需要重点关注的领域。另一方面，暂缓施行的真空期，正是相关企业进行合规整改的最好时机：既有明确的改正目标，也不需要因为新规下月起开始施行而感觉没有任何施展空间。事实上，在《个人信息保护法》、《数据安全法》草案公布到正式施行之前，都有这样一段适应期，让相应尚未达到标准的企业有调整改进的时间。

从立法目的来看，虽然本次新规的实施和制定重在对于反洗钱制度的进一步完善，但其对银行业以及相关金融机构合规要求的影响还要比想象中更为深远。

一、当下银行业刑事合规的背景

（一）银行业监管和处罚正在不断缩紧

1.监管措施陆续出台

近年来，对于银行业和相关金融行业的监管规范正在不断出台，政策收紧的大趋势已不可避免。

2020年3月6日，银保监会在其官网上发布了《关于预防银行业保险业从业人员金融违法犯罪的指导意见》，这份意见强调了两大行业的从业人员管理应当是内部管控、行业自律与外部监管并管齐下的局面，不但要管住钱，还要管住人。意见对于目前金融刑事案件高发的信贷业务、同业业务、资产处置业务、资产管理业务、信用卡注册及管理业务、现金管理业务、保险业务、合作业务等多个高风险领域进行了预防引导，同时还对银行业自身制度规范和建设提出了更高的标准，尤其是制度流程漏洞的自查和责任追究的完善。此意见不仅是对于行业监管规范体系的一次完善，更是对于诸多从业者的一次警示。

2021年6月，银保监会在新闻发布会上提及，对违规使用经营贷的处罚将不断加重，对确认挪用经营贷的借款人，不仅要压缩授信额度、收回贷款，还将报送征信系统，提高挪用贷款的违规成本。此后又相继出台了《银行保险机构恢复和支出计划实施暂行办法》及《关于服务煤电行业正常生产和商品市场有序流通保障经济平稳运行有关事项的通知》，严厉打击银行业保险业利用闲置资金哄抬物价的行为，进一步强化金融机构审慎经营的理念。此外，去年1月的《关于规范商业银行通过互联网展开个人存款业务有关事项的通知》叫停了商业银行利用非自营网络平台进行定期存款和定活两便存款业务；去年2月的《关于进一步规范商业银行互联网带宽业务的通知》更是严禁商业银行将业务环节外包，增强其作为风险控制主体的监管责任。

一方面，业务领域被不断的调整和缩限，使得商业银行不得不对原本从事或者倚赖的业务进行全面的合规梳理，另一方面，逐渐增多的监管和核查要求，也给了银行业不断增加自我规范的巨大压力。

2.处罚不断增多

根据《银行保险机构公司治理监管评估办法（试行）》，银保监会对银行保险机构开展了2021年公司治理监管评估，考评机构共计1857家，其中商业银行1673家。评估结果显示，近年来银行业在监管推动下仍存在一些问题不容忽视，如：股东入股资金不实、违规股权代持、大股东违规干预的现象；董事会运作不规范，董事的独立性欠缺、履职有效性不足，内部制衡监督失灵失效的情况；信息披露不充分，利益相关者权益保护不到位的问题。

具体而言，2021年银保监会全系统监管部门总计开具罚单4027张，合计罚金达18.69亿元，较之上年环比增长21%，处罚力度和频率空前。而银保监会在2022年度工作会议公布的数据更为触目惊心：全年处罚银行保险机构3870家，处罚责任人员6005人次，罚没26.99亿元。其中，信贷业务、理财业务都是其中的重灾区，与房地产相关的处罚事项更是直接占据了20%以上。在此背景之下，银行业有必要对自身业务规范和合规制度进行新一轮的自查自纠。

此外，银行或职员涉及到刑事犯罪的比例也在不断上升。作者统计了裁判文书网上关于违法发放贷款罪相关的案件，其中，仅近三年的案件数量就已经超过了2001年至2017年案件总数的综合，整体上升趋势明显。而案件的高发地点集中在广东省、山东省、河南省等地区，其中广东省5332件、山东省5743件、河南省4781件。相较而言，包邮区的案件总量并不算多，浙江省4711件，江苏省3545件，上海市最少，为884件。案件数量与当地银行内部管理制度的有效性联系较为紧密。整体案件呈现犯罪数额巨大、案件再审比例高的特点。

同样的，违规发放金融票证罪也是近年来高发的银行职员涉案罪名，近三年案件总和持平2001年至2017年的案件总量。相对于违法发放贷款罪，违规发放金融票证罪的案件发生地较为均衡，其中浙江省114件居全国首位，江苏省47件，上海市为19件。违规发放金融票证罪往往连带其他罪名，使得案件处理的难度增加不少。

（二）相关案例频发

1. 王某违法发放贷款罪一案 【（2015)九法刑初字第01337号】

2013年8月，被告人王某在其位于重庆市平安银行某支行办公室，与巫山县某煤业有限公司法定代表人谭某甲及周某、唐某等人经商量后，采取由谭某甲私刻安徽某发展有限责任公司相关印章、伪造煤炭销售合同、租房冒充某公司办公地点等方式，骗取平安银行重庆分行信贷资金人民币3079万元。在此过程中，王某作为平安银行某支行负责人，违反国家规定发放贷款，最终导致某公司3079万元贷款无法偿还，给平安银行重庆分行造成巨大经济损失。同年5月至8月，被告人王某在其位于重庆市平安银行某支行，在明知湖北省武穴市某煤炭有限公司法定代表人桂某虚构煤炭购销合同的情况下，仍违反国家规定，未对该贷款业务进行严格审批、考察，导致平安银行违规发放信贷资金人民币2995万元。后某公司无法偿还上述贷款，给平安银行重庆分行造成巨大经济损失。

2.徐某违规出具金融票证罪一案【(2015)外刑初字第378号】

被告人徐某于2004年3月担任某发展银行上海分行虹口支行信贷员期间，在办理柯某、童某以上海某实业股份有限公司的名义申请贷款的过程中，对柯、童虚构的上海某实业股份有限公司资产、利润、贷款用途、营业执照及税务登记证不予认真核查，违反贷款规定，在明知柯某、童某提供的工业产品购销合同等贷款所需的材料系伪造，而所得贷款有近50％将被二家担保单位分用的情况下，仍授意柯、童按徐要求修改财务报表，徐并填制不实的拟同意发放贷款的银行授信调查报告。同年4月19日，某发展银行上海分行虹口支行根据徐某的授信调查报告，与柯某签订了综合授信额度合同，将人民币2,000万元开具3张银行承兑汇票贷给上海某实业股份有限公司，其中，250万元被担保单位上海浦东协某产业有限公司分用，666.6万元被担保单位上海申某企业发展有限公司分用，其余由柯某用于归还其债务。嗣后，被告人徐某又授意柯某、童某甲购得虚假的购买原材料的增值税专用发票交至某发展银行上海分行虹口支行，以掩盖贷款的真实用途。至案发，上述贷款仍未追回。

3. 蔡某违法发放贷款罪一案【 (2021)豫1726刑初471号】

2011年下半年，吕某编造种植蔬菜大棚的贷款用途，借用吕绍义等十五人名义，使用虚假材料，通过联系赊湾信用社主任邢某申请贷款300万元，逾期不能归还。被告人蔡某时任赊湾信用社信贷员，不认真核查贷户身份、贷款用途、还款能力，不进行贷前调查和贷后跟踪调查，向吕某发放贷款300万元。除当时扣除60万元风险金外，余款240万元至今无法收回。当年下半年，被告人蔡某在办理泌阳县蔬菜大棚项目贷款过程中，不认真核查贷户身份、贷款用途、还款能力，不进行贷前调查和贷后跟踪调查，先后经办发放张某等四十七笔贷款共计940万元。除当时扣除188万元风险金外，余款打入邱某个人账户，经侯某签字后发放，亦逾期不能归还。蔡某违反国家规定发放贷款，且数额特别巨大，最终对该信用社造成特别重大的损失。

二、在新规下银行业刑事合规的意义和价值

（一）刑事合规制度是对于银行的风险隔离意义

一旦发生上述事件，无论是对于银行抑或是其他金融机构，首要保证的应是避免构成单位犯罪，并在最大程度上保护员工免受刑事风险。

对于员工而言，据以确定行为标准和边界的规章制度、规范性文件以及银行内部的规范指引、工作流程既是其在日常工作中必须遵守的劳动纪律，也是事件发生后对抗非法性认定的重要标准。若银行员工在类似案件中完全遵照银行内部确定的审批流程来完成，而审批流程本身也足以筛查相关风险和漏洞，自然最终的责任方不会是该从业人员。然而现实往往是审批流程存在一定瑕疵，使得其无法保证操作者和存款方之间的一一对应性，进而从业者即便完全遵照现行银行内部规范进行质押者身份确认，自然也难以豁免责任，依然可能因为勤勉尽则义务或者审慎义务而承担部分甚至全部责任。

另一方面，良好的刑事合规制度也会成为银行和失职员工之间的防火墙。在目前已经发生的诸多违法发放贷款案件中，多数银行职员的辩护人都会提出一个共同的辩点，即员工的违法行为是并不违反银行内部审查制度的，其行为在一定范围内被视为默示发生，所以应当视作为单位行为进而认定为单位犯罪。此类案件，司法审判的过程中对于是否属于单位犯罪的判断标准就在于该行为是否经集体决策而做出。而对此的合规制度文件，就是单位在规范层面反对涉案行为最好的铁证。案例中，“许长青违法发放贷款罪一审刑事”一案，“谭刚、褚黎光违法发放贷款罪一审刑事”一案，“赵天林违法发放贷款罪一审刑事”一案，“张某某、田某某、裴某违法发放贷款罪刑事一审刑事”一案等都是以上述理由，对于辩护人提出的构成单位犯罪的意见表示不予采纳。

（二）应对日渐频繁的检查和考核

除了处罚力度的不断增强，银保监会也在不断彰显提高银行业及其他金融机构抗刑事风险能力的决心。在制度构建方面，银保监会坚称要做到扎实推进制度建设补短板，完善监管法律法规框架，仅2021年一年就修订出台规章14部、规范性文件44份，大大补强了公司治理准则、董事监事履职评价、大股东行为监管、绩效薪酬追索扣回等监管规定。在银行业整体布局上，则要持之以恒防范化解金融风险。2021年全年共处置银行业不良资产3.1万亿元，类信贷影子银行规模较年初减少4.2万亿元。而在银行理财业务存量整改任务基本完成的大背景下，互联网平台企业相关金融业务整改，防范刑事风险发生则成为新的命题。这是外部环境对银行业的自身规范的敦促。

《办法》中的诸多条文也为银行及各金融机构增设了不少审查义务。其中，《办法》第三条增设了识别并核实客户身份的管理要求，增加了核查的范围；第八条增设了对身份不明的客户提供服务的禁止性规定；第九条对一次性服务的审查做出了更严格的规定；第十条增设了了解并登记资金的来源或者用途的审查要求；第十一条增设了登记实际使用人具体信息要素的要求，对于开展保管箱业务的机构需要开展识别工作，为客户建立信息档案成为了必须。诸如此类的条款决定了银行自身也必须承担起更多的合规审查和身份核验的义务。

无论是外部的压力还是内部的需要，都使得当下银行业内部，刑事合规制度是不可或缺的重要一环。

（三）明确权责

1.明确对于特殊问题的定性

在《办法》颁布之前，对于银行业务可能涉及的刑事罪名中，尚有不少规范未加以明确的地方，而这些也成为了司法实践中颇具争议的问题，其中尤以银行从业者审慎义务或是勤勉尽职义务的范畴的问题为最。

原有条文中，与审慎义务直接相关的条文是《商业银行法》第三十五条第一款和第三十六条第一款。《商业银行法》第三十五条第一款规定：“商业银行贷款，应当对借款人的借款用途、偿还能力、还款方式等情况进行严格审查”；第三十六条第一款规定：“商业银行贷款，借款人应当提供担保。商业银行应当对保证人的偿还能力，抵押物、质物的权属和价值以及实现抵押权、质权的可行性进行严格审查”。虽然严格审查义务可以在文意上解读为审慎义务，但并没有对严格审查更具体的解释细则，最终使得国家规定成为了解释的范本，并将审慎义务理解为遵从银行从业者的公司内部制度规范和员工守则。然而审慎义务作为一种兜底性质的原则存在，其价值就是在制度不能或尚未明确规范的模糊地带，以一种提纲挈领的指导思想填补制度的漏洞，如果将其解读为尊重内部制度即可，不但是一种典型的循环论证，更是对制度优化和现实问题解决毫无裨益。

《办法》在制度层面上进一步细化了客户尽职调查的方向、范围和程度，更是原则性地补充了根据风险情形及状况来判断了解客户建立业务、交易目的、持续尽职调查的程度，强化了“风险为本”的原则。如此一来，原本实践中的盲点和难点被自然化解，合规制度的建设便会顺利许多。

2.对于客户配合身份识别义务的明确

《办法》的出台，明确了银行及其他金融机构对客户信息收集分析的义务，并要求对客户身份加以一定程度的核实，而只有客户身份识别和明确到一定程度，才能提供相对应程度的银行服务，换言之，如果银行无法证明客户身份，或者客户不愿意配合银行进行身份识别，那该名客户将被认定为《办法》第八条明确的“身份不明的客户”，银行业有权拒绝对其提供服务。这一规定，在规范适用层面确定了客户配合银行进行审查的义务要求。

在此前的规范中，集中在反洗钱领域的制度规范只是简单地表述了对客户交易目标和交易用途的确认，但没有明确客户应当配合银行，并根据银行所需要的材料提供相关的证明文件。银行业只能在各自内部提出相关的要求，在对抗第三人的效力上存在瑕疵。而《办法》的条文规定解决了银行这一窘迫的境地，使得原本难于操作的客户身份识别系统成为可能，同样也解决了银行业开展刑事合规的一大现实难题。

三、银行业刑事合规方向

（一）客户身份识别制度的构建和完善

《办法》对于客户身份合适规定了以下三项基本规范要求：（一）识别客户身份，并通过来源可靠、独立的证明材料、数据或者信息核实客户身份；（二）在业务关系存续期间，对客户采取持续的尽职调查措施，审查客户状况及其交易情况，以确认为客户提供的各类服务和交易符合金融机构对客户身份背景、业务需求、风险状况以及对其资金来源和用途等方面的认识；（三）对于客户为法人或者非法人组织的，识别并采取合理措施核实客户的受益所有人。而银行业KYC制度的构建可以轻松满足上述需求。

KYC制度又称（Know your customer）,也被称为“投资者适当性管理体系”，或者客户身份识别制度。是指金融机构对客户身份识别的规范性程序和原则，在各国有较为普遍的实践。其制度包括客户识别、客户禁止调查、增强型尽职调查、简化尽职调查、产品匹配客户属性等多道程序。经过合理的客户身份识别程序设计，银行可以准确地识别客户身份，做到《办法》的规范要求。值得注意的是，各国往往在立法上会对KYC制度作出较为严格的要求。澳大利亚2006年颁布的《反洗钱和范恐融资法》要求银行必须搭建KYC制度，美国KYC制度由2001年《美国爱国者法案》所确定，亦是对全美所有银行强制实行。

而客户身份识别制度的难点就在于区分对其唯一性的确认：对于自然人客户，防止其利用他人的身份证明冒领银行卡、信用卡；对于企业客户，防止其利用网上收购的“公司四件套”或者是壳公司进行客户身份提交。如何利用最少的文件材料，最大程度地验明真身、甄别身份将是该制度成功与否的关键。

（二）客户信用分级制度

除了对于客户身份识别的一般要求，《办法》创新地提出了根据客户风险状况获取不同程度的身份及交易信息，大抵要求如下：（一）了解客户建立业务关系和交易的目的和性质，并根据风险状况获取相关信息；（二）对于洗钱或者恐怖融资风险较高的情形，了解客户的资金来源和用途，并根据风险状况采取强化的尽职调查措施。这也决定了银行除了对客户身份的动态识别，也需要建立全面的客户档案，以及客户信用的分级制度。

对于客户的信用分级，首先应当区分自然人和法人客户，两者在信息披露程度和定位难易程度上具有显著差别，具有分类价值；其次应当区分客户的资产和一惯信用等级，与征信系统联网，根据客户资产状态的优劣增减所需核实的信息详细程度；最后应当区分客户的从事领域和交易目的，对于从事涉及刑事风险较高领域的客户，以及难以具体证明用款目的的客户应当进行更为严格的核查程序。

相对于客户身份识别制度，客户信用分级制度并不需要平底起高楼，目前多数银行都或多或少存在客户资产和征信分级制度，对此的完善和改进，使之更契合刑事合规的要求，将是该制度的改进方向。