FATF 客戶盡職調查與數位身分指引

Laundering, FATF)成立於 1989 年，為七大工業國組織成員組成的政府間國際組 織，為世界上最重要打擊洗錢的國際組織之一，旨在樹立標準並促進國際防制洗 指引（Guidance on Digital Identity），旨在協助政府、受監理實體（regulated entities）

47和其他利害關係人於利用數位身分驗證機制下，滿足 FATF 之客戶盡職調查

44 CAMS 第六版，頁 88-89。

45 Capgemini & BNP Paribas (2018), World Payments Report 2018,

https://worldpaymentsreport.com/wp-content/uploads/sites/5/2018/10/WorldPayments-Report-2018.pdf (last visited July. 23, 2020).

46 International Data Corporation (IDC), IDC FutureScape: Worldwide IT Industry 2019 Predictions

47 在此指引中「受監理實體」是指金融機構、虛擬資產服務提供者（virtual asset service providers, VASPs）以及 FATF 標準中所定義的指定之非金融事業或人員（designated non-financial businesses and professions, DNFBPs）。

‧ 國

立 政 治 大 學

‧

N a tio na

l C h engchi U ni ve rs it y

27

（customer due diligence, CDD）要求⁴⁸。

所謂受監理實體，最主要的規範對象就是金融機構，因此本節將以金融機構 為主體，介紹 FATF 為了防制洗錢及打擊資恐所要求的客戶盡職調查內容為何，

再進一步講述 FATF 因應數位化發展，此次所推出的數位身分指引之主要內容。

壹、FATF 第 10 項建議－客戶盡職調查⁴⁹

一、通則

根據 FATF 的建議，所有具防制洗錢及打擊資恐義務的金融機構都必須執 行 CDD 措施，包括辨識和驗證客戶的身分，當：

（一）建立業務關係時⁵⁰；

（二）超過美元／歐元 15,000 之臨時性交易，或是第 16 項建議註釋所涵蓋之電 匯交易；

（三）發現疑似洗錢或資恐；或

（四）金融機構對於其過去取得客戶身分資料之真實性或妥適性有所懷疑。

此外，金融機構必須使用風險基礎方法以：

（一）確定客戶身分，並利用可靠、獨立來源之文件、資料或資訊以識別客 戶及驗證客戶身分。禁止匿名或使用明顯的假名開立帳戶。

48 FATF, Guidance on Digital Identity, p. 5,

ttp://www.fatf-gafi.org/media/fatf/documents/recommendations/pdfs/Guidance-on-Digital-Identity.pdf (last visited July. 23, 2020).

49 FATF, The FATF Recommendations,

http://www.fatf-gafi.org/media/fatf/documents/recommendations/pdfs/FATF%20Recommendations%2 02012.pdf (last visited July. 23, 2020).

50 FATF 的建議並不定義這個概念，而是留給各國決定業務關係是否成立。

‧ 國

立 政 治 大 學

‧

N a tio na

l C h engchi U ni ve rs it y

28

（二）辨識實質受益人及採取合理措施確認實質受益人身分，藉此知悉誰是 實質受益人。對於法人及法律協議，應涵蓋金融機構採取合理措施瞭解該客戶之 所有權及控制權結構；

（三）瞭解並在適當情形下取得有關業務往來關係之目的及性質之資訊；

（四）對客戶業務往來關係進行持續性審查及對其所從事交易之全部過程進 行詳細的審視，以確保所進行之交易符合該機構對客戶、業務往來及風險之認知，

必要時包括其資金來源。

金融機構在進行 CDD 時，區分「客戶識別」和「驗證客戶身分」是必須的。

客戶識別，在於蒐集（未來的）客戶資訊以辨識他／她，在這個階段，無需徵提 身分證明文件。相反的，驗證客戶身分需要使用可靠、獨立來源的文件、資料或 資訊以印證在辨識過程中所獲得的資料的真實性⁵¹。

二、客戶身分識別⁵²

FATF 的建議並未詳細說明企業在防制洗錢及打擊資恐的義務下，於建立標 準的業務關係或 15,000 美元／歐元以上的臨時性交易時，所應蒐集用以妥適執 行身分識別的具體客戶資訊。各國立法各不相同，但共同的客戶資料往往包括姓 名、出生日期、地址和辨識號碼（例：身分證字號）。其他類型的資料（如客戶 的職業、收入、電話和電子郵件地址等）一般都是為了商業或防制詐欺需求，並 非是客戶審查時所要求的核心客戶資訊，雖然這些資訊可以適當地增強高風險情 況的客戶審查。

FATF 的建議允許國家的法律或規範將風險基礎方法運用於建立業務關係

51 FATF, Guidance on Anti-Money Laundering and Terrorist Financing Measures and Financial Inclusion, ¶ 66,

http://www.fatf-gafi.org/media/fatf/documents/reports/AML_CFT_Measures_and_Financial_Inclusion _2013.pdf (last visited July. 23, 2020).

52 Id, ¶¶ 75-76.

‧ 國

立 政 治 大 學

‧

N a tio na

l C h engchi U ni ve rs it y

29

時必須蒐集到的客戶資料，但必須權衡其標準，因為如果識別過程過於精簡，監 控僅能有限的減輕風險，且人工或電子過濾交易可能無法有效地辨識個別可疑活 動。

三、客戶身分驗證⁵³

FATF 的建議要求金融機構使用可靠、獨立來源的文件、資料或資訊來驗證 客戶的身分。在決定可靠性和文件的獨立程度時，各國應考慮到在特定國家詐欺 和偽造的潛在風險，確認哪些可以構成其防制洗錢及打擊資恐制度下的「可靠、

獨立來源的文件、資料或資訊」是每個國家的責任。在身分驗證方式和時點上，

運用風險基礎方法可以引入一定程度的靈活性。

業界指出，在所有情況下客戶身分驗證階段是最困難和繁重的一部分。嚴格 的驗證要求可能戕害普惠金融。世界銀行指出，最近的調查顯示缺少身分文件是 受訪者對未開立銀行帳戶最常提到的主要原因之一，尤其是在需要大量或正式的 政府發行文件的國家。

為了解決這樣的挑戰，多數國家已經擴大了可接受用以身分驗證程序的證件 範圍，這些文件包括過期的外國證件、領事文件或其他無證人員通常可於居住國 取得的紀錄（帳單、稅務證明、醫療文件等）。使用風險基礎方法，當地主管機 關通常對於事先定義的業務類型，以及具有低餘額的特定（普惠金融）產品及帳 戶，允許更廣泛的文件。各國應採取風險基礎方法的優勢，施以相稱的可接受證 件的要求，以支持提供相關服務給這些次級銀行用戶（underbanked）的族群。

四、非面對面進行之身分識別⁵⁴

運用創新科技對提供金融服務給次級銀行用戶和偏遠人口是一種具發展潛

53 Id, ¶¶ 77-79.

54 Id, ¶¶ 86, 89.

‧ 國

立 政 治 大 學

‧

N a tio na

l C h engchi U ni ve rs it y

30

力的管道。在這方面，行動銀行和行動支付在過去幾年已顯著發展，尤其在開發 中國家，具有重大的潛力以方便沒有銀行帳戶人士獲取基本服務。根據世界銀行，

四分之三的全球居民有使用手機，而行動電話用戶（50 億）絕大多數是在開發 中國家。在非洲撒哈拉以南的地區，蓋洛普全球民調的調查表示，16%成年人在 過去 12 個月中曾使用手機支付帳單或匯款。雖然行動銀行提供普惠金融的可能 性，目前，它主要是支付和轉帳服務。這雖已提供正規金融服務有效的第一步，

但還不能提供全面的銀行或其他金融服務。

對金融機構而言，非面對面的業務關係或交易潛藏較高風險，應權衡身分詐 欺風險與洗錢資恐風險，以個案評估新開戶客戶是否應採用強化的 CDD 措施。

就開戶階段辨識低風險客戶而言，金融機構必須對其客戶同樣採用有效的程序。

在許多情況下，雖然沒有直接與金融機構面對面，第三方或代理人仍參與了開戶 手續。在這種情況下，與代理人及第三方有關的原則仍適用之。部分國家的情況 下，金融機構仍要求客戶寄回身分證明文件的數位影本，一旦驗證完成，該帳戶 才會啟用。

貳、數位身分指引

此指引旨在幫助政府機構更加了解數位身分制度是如何運作的，並闡明如何 在全球反洗錢及打擊資恐的標準下使用它們。主要聚焦於 FATF 第十項建議（客 戶盡職調查），亦即開戶時使用數位身分進行身分識別與驗證，是否有依照 FATF 第十項建議(a)點「金融機構必須使用風險基礎方法以確定客戶身分，並利用可 靠、獨立來源之文件、資料或資訊以識別客戶及驗證客戶身分」之要求⁵⁵。另外 必須合先敘明的一點在於，此指引只談到自然人之身分識別與驗證⁵⁶。

55 FATF, Guidance on Digital Identity, ¶ 42,

https://www.fatf-gafi.org/media/fatf/documents/recommendations/Guidance-on-Digital-Identity.pdf (last visited July. 23, 2020).

56 Id, ¶ 44.

‧ 國

立 政 治 大 學

‧

N a tio na

l C h engchi U ni ve rs it y

31

一、FATF 第十項建議(a)點及(d)點

（一）身分證明文件不拘形式，包含物理以及數位形式⁵⁷

（二）「可靠、獨立來源的」身分證明⁵⁸

對於反洗錢及打擊資恐的目的而言，決定現有的數位身分證明文件是否可靠 且來源獨立，保證水準就派上用場了。在數位身分的脈絡下，數位形式的「文件、

資料或資訊」必須「可靠、獨立」的要求意味著，用來執行客戶盡職調查的數位 身分依靠技術、適當的治理、流程和程序，對於結果的準確程度有適當程度的信 心。

（三）使用風險基礎方法進行客戶盡職調查⁵⁹

根據 FATF 第十項建議及其註釋，受監理實體被要求辨識及評估洗錢及資恐 風險，並採取適當措施以控管或降低風險，亦即在高風險的情況下，必須加強客 戶盡職調查，反之在低風險的情況下，應簡化客戶盡職調查。

在評估風險時，受監理實體應在確定總風險和應採取的適當緩解措施之前，

考慮所有相關風險因素，並根據各種風險因素的風險類型和級別來區分執行客戶 盡職調查的程度（例如，在特定情況下，與客戶建立業務關係時使用一般的客戶 盡職調查措施，而在持續監控交易的情形下採行加強的客戶盡職調查，反之亦 然）。

此外，雖然註釋中提及非面對面的業務關係或交易潛藏較高風險，但不代表 非面對面的業務關係或交易就一定被視為高風險⁶⁰。有鑑於數位身分技術之進步，

必須釐清一點，非面對面的客戶識別以及交易若是依據可靠且獨立來源的數位身

57 Id, ¶ 79.

58 Id, ¶ 84.

59 Id, ¶¶ 85-86.

60 Id, ¶ 88.

‧ 國

立 政 治 大 學

‧

N a tio na

l C h engchi U ni ve rs it y

32

分，並同時採取適當的措施以控管或降低風險，此種情形可能會是一般風險等級，

又或是若實施更高的保證水準和/或適當的洗錢及資恐風險控制措施，甚至可能 會降低風險⁶¹。

（四）就業務關係進行持續的盡職調查

對於受監理實體，對既有客戶進行持續的身分驗證可提供合理的確信，即今 天主張該身分的人與之前開設帳戶或其他金融服務的人相同，也就是與開戶時進 行可靠且獨立來源之身分識別和驗證的人實際上是同一位。

二、使用風險基礎方法進行客戶盡職調查時，評估數位身分是否足夠可靠且 獨立

在決定數位身分的使用是否符合 FATF 第十項建議(a)點及(d)點時，政府、金

在決定數位身分的使用是否符合 FATF 第十項建議(a)點及(d)點時，政府、金

在文檔中 論數位身分制度於銀行業之應用與管理法制 - 政大學術集成 (頁 31-40)