數字身份在反洗錢領域的應用研究

梁世鵬 潘多亮 肖玉朋 孫志成

對于金融機構而言，開展客戶盡職調查是與客戶建立和維持業務關系的前提，是預防洗錢和恐怖融資風險的第一道防線。伴隨著全球數字化技術的演進，金融領域數字化需求快速增長，加之全球新冠疫情的暴發，互聯網經濟的迅猛發展，世界各國的金融機構迫切需要利用數字身份開展客戶盡職調查、交易監測等反洗錢工作。

FATF關于數字身份的指導意見

數字身份的界定

反洗錢金融行動特別工作組（Financial Action Task Force on Money Laundering，FATF）定義數字身份是一種證明身份的技術，將生物識別、大數據等新興技術引入身份識別系統，解決“如何證明你是你”的問題。數字身份技術主要包括一系列生物識別技術；互聯網電話和移動電話（包括采用帶有攝像頭、麥克風和其他應用智能技術的“智能電話”）；數字設備標識符和相關信息（如MAC和IP地址、手機號碼、SIM卡、GPS等）；高清掃描儀（用于掃描身份證、駕駛證等證件）；高分辨率視頻傳輸（允許遠程識別、驗證和“活度”證明）；人工智能/機器學習（如用于確定數字身份ID的有效性）；分布式賬本技術（DLT）等。

數字身份的適用范圍

FATF發布的《數字身份監管指引》（以下簡稱《指引》）標準適用于金融機構、虛擬資產服務提供商和特定非金融機構等被監管實體，以及向被監管實體提供服務的數字身份服務提供商。《指引》鼓勵金融機構將數字身份認證系統用于客戶盡職調查，并采用靈活的、基于風險為本的方法，考慮使用具有不同保證級別的數字身份認證系統進行身份驗證，分層開展客戶盡職調查。對于洗錢和恐怖融資（ML/TF）風險較低的情況，使用較低保證級別的數字身份識別系統開展簡化盡職調查；對于非面對面等高風險業務，應考慮運用可靠、獨立的數字身份識別系統開展客戶身份識別和身份驗證，采取適當的風險緩釋措施降低潛在的洗錢風險。同時，金融機構可利用內置于數字身份認證系統中的保障措施（如反欺詐和網絡安全保護措施檢測系統性濫用數字身份的風險）來支持初次身份識別、持續的客戶盡職調查以及異常交易監測等反洗錢工作。

應用前景

從FATF標準角度看，可靠、獨立的數字身份識別技術極大地提高了金融服務部門在進行身份識別時的可靠性、安全性、私密性、便利性和效率，彌補人為控制措施的不足。在客戶準入環節，可協助開展有效的客戶身份識別，在業務關系存續期間，能夠進行持續的客戶身份識別。此外，還可以支持在整個業務過程中對交易進行盡職調查和審查，滿足多種客戶盡職調查措施需求，協助交易監測，發現和上報可疑交易報告，以及進行一般風險管理和反欺詐工作。除此之外，在促進金融包容性、改善客戶體驗和降低經營機構管理成本、提高效率等方面具有廣闊的前景。

潛在的風險

數字身份識別的可靠性取決于用于身份驗證、認證和身份管理的文檔、流程、技術和安全措施的強度。然而，通過開放通信網絡（互聯網）對個人進行身份驗證或認證會產生數字身份系統特有的風險，特別是在網絡攻擊和潛在的大規模身份盜竊方面。不符合適當保證標準的數字身份技術會構成網絡安全缺陷，可能導致大規模身份盜竊，損害個人身份信息，網絡安全風險主要源于網絡攻擊和安全漏洞導致個人身份信息泄露，并通過竊取真人身份或創建合成身份證的方式提供虛假證據等。

國際經驗借鑒

歐盟：e-IDAS框架

歐盟在《電子身份識別和信任服務條例》（以下簡稱“e-IDAS”）中將電子身份識別定義為“使用唯一代表自然人或法人電子身份數據的過程”。身份識別實質上要通過身份屬性（attribution）或標識符/識別碼（identifier）來確定身份，標識符/識別碼是在特定情境下聯系到唯一主體的一串字符，類似于身份證號碼。

歐盟成員國在符合e-IDAS框架要求的前提下，接受不同國家提供的官方身份證明文件和程序，各成員國可利用數字身份識別系統對唯一代表自然人或法人進行低、中、高級別的身份識別。數字身份識別系統包括注冊身份、識別手段、身份驗證以及組織管理等環節。其中，在注冊身份環節，申請人需了解具有法律效力的條款、安全預防措施，收集身份驗證所需的相關身份資料，并對身份證件的真實性和有效性進行驗證后，完成申請登記；識別手段管理環節主要涉及身份認證因素的數量和質量管理、識別手段的應用場景以及識別手段撤銷或更新管理等；身份驗證環節規定了認證機制和各保證級別的相關要求，自然人或法人可利用該機制并使用電子身份識別手段確認其真實身份；組織管理環節，在數字環境下所有與電子身份識別服務相關的參與者均應具備信息安全管理實踐、政策、風險管理方法，以及其他公認的控制措施，以便向各成員國提供電子身份識別服務。

此外，歐盟要求通過額外的線上或線下信息來輔助遠程認證，包括但不限于非現場開戶申請人線上提供（或郵寄）額外的證件或者材料、利用具備資質的第三方機構的認證信息、允許非現場開戶申請人在首次支付交易時通過已有銀行賬戶轉賬等方式來輔助認證。

美國：NIST標準

美國國家標準與技術研究院（NIST）在數字身份認證指南中將保證等級分為身份保證級別（IAL）、認證保證級別（AAL）和聯邦保證級別（FAL）三類。每類保證級別又細分為三個等級，不同等級對應不同的數字身份技術要求，保證級別越高，所需要的數字身份技術要求也越嚴格。例如，IAL3身份證明的真實性和準確性最高，必須本人親自現場或遠程完成身份證明，并且強制要求進行生物識別，經授權的第三方來驗證身份屬性及生物特征。此外，NIST指導并資助私營的第三方機構成立電子身份管理生態體系指導小組（IDESG），通過模擬金融機構在系統中用數字身份開立新賬戶，探索解決數字身份欺詐等問題。

意大利：SPID數字身份公共系統

意大利數字認證局允許經批準的第三方實體向18歲及以上的自然人提供數字身份注冊服務，驗證公共數字身份系統（SPID）。SPID注冊可以親自到現場進行，也可以使用帶有網絡攝像頭的移動設備在線進行，個人需提供有效的身份證件、健康卡、電子郵件地址和移動電話號碼，或者數字簽名、電子身份證（CIE）或國家服務卡（CNS）等。SPID同樣為身份驗證提供了三個保證級別，保證級別的高低取決于在線服務提供商提供的安全級別。此外，意大利立法允許金融機構使用符合e-IDAS的數字ID（如SPID）用于客戶身份識別和驗證。

印度：唯一ID（UID）號碼

印度唯一身份認證機構（UIDAI）發布了一款移動應用程序m-Aadhaar，它生成一個“虛擬身份”號碼，與Aadhaar號碼相連，但不同于Aadhaar號碼，以增加隱私和安全性。Aadhaar號碼和虛擬ID都可以通過Aadhaar數據庫在線驗證，也可以通過QR碼離線驗證。唯一身份證（UID）號碼使用多種生物特征、個人信息以及官方身份證明文件，向印度所有居民提供數字身份證。開展客戶盡職調查時，在得到客戶知情同意的前提下，金融機構可通過Aadhaar的在線認證或離線驗證核實客戶身份。

新加坡：MyInfo數字信息平臺

新加坡政府推出MyInfo公民個人數字信息平臺管理服務，金融管理局出臺《非面對面業務關系使用MyInfo開展客戶盡職調查指引》，允許金融機構使用MyInfo平臺的信息進行客戶身份識別與核實，無須獲取客戶額外的身份證明文件。同時，要求金融機構對從該平臺獲取到的信息保持正確的記錄并妥善保存。金融機構在經客戶明確同意的情況下，可以使用由政府推出的個人數據庫MyInfo平臺信息進行客戶識別與核實，無須獲得額外的身份證明文件。

數字身份在我國反洗錢領域的應用

隨著金融交易數字化的發展，原有的開戶、交易逐漸脫離了柜臺，數字身份技術在客戶盡職調查方面發揮了越來越重要的作用。可以說，數字身份識別是解決金融交易數字化和反洗錢合規要求的關鍵技術，決定了數字金融可以開展的范圍和場景。

應用背景

習近平總書記強調，加快數字中國建設，就是要適應我國發展新的歷史方位，全面貫徹新發展理念，以信息化培育新動能，用新動能推動新發展，以新發展創造新輝煌。2020年3月6日，FATF發布《數字身份監管指引》，對監管者、數字身份系統的使用者、開發商等提出了具體指導意見，規范了全球數字身份的應用。加之，2020年初全球暴發新冠疫情，足不出戶的困境令世界各國金融機構紛紛開始思考利用數字身份開展客戶身份識別的可行性。

認證方式及技術特點

目前，在金融領域應用較為廣泛的數字技術主要包括知識密碼類、物理介質類及生物識別類技術，金融機構主要利用密碼、數字證書、人臉識別、指紋識別等技術輔助進行非面對面業務身份認證核實（見表1、表2、表3）。

應用實踐

當前，我國金融機構在反洗錢工作領域應用數字身份技術主要集中于客戶身份初次識別、持續識別、重新識別等客戶盡職調查業務場景以及異常交易監測分析環節，大多使用自主研發和外購的數字身份技術。例如，FATF《數字身份監管指引》提及螞蟻金融與金融機構合作，為客戶提供保險、基金、小額信貸等金融服務，還充分利用數字身份為金融機構提供客戶身份識別、客戶風險評估等服務。

在線上開戶、客戶盡職調查、異常交易分析等反洗錢工作領域，金融機構普遍運用短信驗證、人臉識別、指紋識別等數字身份認證技術，在手機App、微信小程序等不同場景實現客戶身份核驗。如銀行遠程開戶、互聯網保險開戶、證券遠程自助開戶等，大多銀行證券平臺已經開通“7×24網上開戶”服務，推出“OCR+人臉識別”的遠程開戶策略，快速解決金融開戶流程中身份實名認證問題，實現人證合一、實名開戶。目前，金融機構采取數字化身份識別的措施大體包括五種：一是身份證件核驗。利用移動端攝像頭對準身份證進行視頻識別或者拍照，使用OCR識別技術自動采集身份證正反兩面信息，通過公安聯網核查數據接口，有效核查信息的有效性。同時，根據身份證件照片與存檔照片的比對結果，判定證件的真偽。二是人臉識別。通過現場自拍照與證件照進行1∶1比對，實現“人證合一”驗證。三是銀行卡信息采集。利用移動端攝像頭對準銀行卡進行視頻識別或者拍照，使用OCR識別技術自動采集銀行卡正反兩面的信息。四是活體檢測。平臺系統隨機發出一組動作指令（如轉頭、抬頭、低頭、眨眼等），根據檢測者在規定時間內完成動作的成功率，判斷被檢測對象是否為實體真人。五是遠程視頻核查。客戶在線與人工客服進行開戶問題問答錄制，或由自助機器人提供開戶問題給予客戶答錄并存儲至服務器端，再由人工客服進行審核。

通過互聯網移動端開展密碼驗證、人臉識別、指紋識別等生物識別認證，金融機構既可以準確識別和采集客戶身份信息，解決“如何證明你是你”的問題，又能讓客戶足不出戶即可享受金融服務。

相關工作建議

借鑒國際經驗，從國家層面推動制定數字身份相關法律法規，統一數字身份認證標準，推動數字身份在反洗錢領域依法合規運用。實踐中，國內金融機構已廣泛應用人臉識別、活體檢測等數字身份技術開展線上業務客戶盡職調查，但在法律規章層面缺乏相應的政策指導和技術規范，建議相關部門關注新技術的發展與應用，立足金融行業整體發展，制定相應的對策。

兼顧普惠金融與洗錢風險防控，制定操作指引推廣應用數字身份技術，引導金融機構評估客戶風險狀況運用適度的數字身份識別措施。2022年1月26日，中國人民銀行、銀保監會、證監會聯合發布《金融機構客戶盡職調查和客戶身份資料及交易記錄保存管理辦法》，明確金融機構可運用互聯網和移動通信等信息通信技術，建立有效的客戶身份認證機制，通過多重有效措施識別并核實客戶身份，但未能就如何使用數字身份作出具體操作要求。建議出臺相關操作指引，規范數字身份運用，遵循風險為本理念，鼓勵金融機構根據客戶及業務風險等級高低，合理選擇數字身份識別適用的場景。

在保障個人隱私和數據信息安全的前提下，結合必要的人工審核機制，提升技術保障水平，將數字身份引入反洗錢、反欺詐等全面風險管理體系。大數據時代下，金融數字化勢在必行，金融機構通過數字技術手段開展全面風險管理是未來的發展趨勢。因此，建議金融機構將數字身份識別納入風險控制措施，構建數字化全面風險管理體系，利用人臉識別、聲紋認證等輔助識別手段，了解客戶身份和交易的真實性，結合必要的人工分析甄別，全方位、多角度了解客戶的交易目的和交易用途，達到全面防控風險的目的。

加強身份數據安全保護，將區塊鏈技術應用于數字身份識別，利用去中心化機制、分布式數據存儲、點對點傳輸、共識機制、加密算法等，創建基于區塊鏈的數字身份系統，實現金融機構間共享數字身份識別成果。互聯網金融背景下，數字身份認證管理與用戶隱私保護已成為不可回避的問題，數字身份的應用推廣離不開區塊鏈技術的安全保障，同時，可信的數字身份也是區塊鏈技術應用的前提。因此，建議由政府主導，基于區塊鏈技術建立包括公安、金融、稅務、海關等多部門可互聯互認的身份識別系統，整合各方信息數據資源，構建跨部門、跨行業、跨機構的數據共享平臺，促進數字身份的互聯互通和有效共享。

（作者單位：中國銀河證券股份有限公司，其中梁世鵬系該公司合規總監、首席風險官，潘多亮系該公司法律合規總部總經理）

責任編輯：孫 爽