金融行动特别工作组《数字身份系统使用指南 (草案) 》概述

摘要

数字支付以每年约12.7％的速度增长，预计到2020年将达到每年7,260亿笔交易。2022年，全球GDP的60％将被数字化。所以随着数字支付的井喷式增长，对于金融行动特别工作组 (Financial Action Task Force，FATF)而言，如何在数字金融服务领域更好地识别和验证个人显得尤为重要。《数字身份系统使用指南(草案）》（Draft Guidance on Digital Identity，以下简称《指南》）旨在协助政府、受监管实体以及其他利益相关者，如何根据FATF建议将数字ID系统用于执行客户尽职调查（customer due diligence, CDD）。同时探讨了数字ID系统的一些优势及潜在风险，重点介绍了数字ID系统如何支持金融普惠。对于监管当局而言，他们可以综合考量现有法规政策是否适用于数字ID系统并对其进行修改，也可以制定明确的指导原则，让受监管实体基于风险考量使用可靠的数字ID系统等。对于被监管者来讲，他们可以了解数字ID系统的基本构成以及采用明智的方法依赖数字ID系统等。

金融行动特别工作组（全称The Financial Action Task Force，简称FATF）是其成员国部长于1989年共同设立的一个政府间机构。FATF目标是制定标准，促进相关法律、监管和业务措施的有效实施，以打击洗钱、资助恐怖主义和对国际金融系统完整性的其他相关威胁。

一、《指南》内容总览

1. 要应用《指南》中提出的基于风险的方法，必须了解数字ID系统的工作方式。《指南》的第二部分简要总结了数字ID系统的关键功能，并在附录A中对此进行了详细说明。

2. 第三部分总结了《指南》中针对客户识别和验证及进行尽职调查的主要FATF要求，还阐明了依赖可靠、独立的数字ID系统的非面对面客户识别和交易可能会呈现标准风险水平，甚至可能具有较低的风险。

《指南》建议的基于风险的方法依赖于一套开源的、共识驱动的确信框架和数字ID系统的技术标准（称为“数字ID确信框架和标准”），这些标准已在多个司法管辖区开发。国际标准化组织（International Organization for Standardization, ISO）与国际电子技术委员会（International Electrotechnical Commission, IEC）正将这些数字ID确信框架标准化，并更新与身份、信息技术安全性和隐私有关的一系列ISO / IEC技术标准，从而制定全面的全球数字身份系统标准。身份确信框架为不同的（‘assurance levels’ or ‘levels of assurance’）“确信级别”设置要求。确信级别衡量了对数字ID系统及其组件可靠性的置信度。尽管各个司法管辖区制定的确信级别在某些方面可能有所不同，但为了便于参考，《指南》主要借鉴美国国家标准技术研究院（NIST）的数字ID确信框架和标准（NIST数字ID指南）以及欧盟的e-IDAS法规。司法管辖区应根据其国内数字ID确信框架及其他相关技术标准，考虑《指南》所规定的方法。

数字ID确信框架和标准以及反洗钱反恐融资法规（AML / CFT）具有不同的来历和目标受众。本指南在数字ID确信框架和标准与FATF的CDD要求之间联系起来，以证明数字ID系统的关键组件符合建议10中的特定CDD要求。因此，数字ID确信框架和技术标准提供了非常有效的工具，以评估AML / CFT数字ID系统的可靠性和独立性。该《指南》说明了在数字金融和数字ID背景下，如何对客户身份进行有效验证以授权账户访问，从而支持AML / CFT工作。

3. 第四部分探讨了数字ID系统的好处及其潜在风险。文档ID中也存在与数字ID系统相关的许多风险。但是，通过开放通信网络（互联网）进行身份证明和身份验证会产生特定于数字ID系统的风险，尤其是与网络攻击和潜在的大规模身份盗用有关的风险。另一方面，根据数字ID确信框架和标准减轻前述风险的数字ID系统，在加强CDD和AML / CFT控制，提高金融包容性，改善客户体验并降低被监管者成本方面，大有作为。

此外，该指南强调了CDD使用数字ID系统可以支持金融普惠的多种方式。首先，数字ID系统可以使政府采取更灵活，细化和前瞻性的方法来建立所需的属性，身份证明和证明官方身份的流程-包括在登陆时以有利于实现普惠金融目标的方式进行客户识别和验证。其次，数字ID确信框架和标准本身在过程中提供了一定的灵活性，可以用于契合金融普惠目标的身份证明和个人身份验证。

4. 第五部分是《指南》的重点所在，首先介绍了如何利用数字ID确信框架和标准来评估可靠性/独立性，并为政府和被监管者及其他相关方提供了指引--指导他们如何应用基于风险的方法，根据建议10(a)使用数字ID系统进行客户识别和验证，并支持建议10(d)进行尽职调查。《指南》所推荐的方法为“技术中立”型（即不偏好任何特定类型的数字ID系统），其具备两个要素：（1）了解数字ID系统技术主要组成（包括其体系结构和治理）的确信水平，以确定其可靠性/独立性；（2）根据其确信级别，对特定的数字ID系统是否提供适当的可靠性和独立性进行更广泛的、基于风险的判断，以防范潜在的ML、TF、欺诈和其他非法融资风险。

第五部分还为受监管实体制定了决策流程，以指导确定使用建议10中的数字ID进行CDD是否适当。政府和受监管实体将需要使该决策流程适应司法管辖区和个别实体的特定情况。根据特定辖区的数字ID系统和监管框架，政府和受监管实体在评估身份系统的确信水平及其对CDD的适用性方面可能具有不同的角色和责任，受管制实体的决策流程图如下：

二、对监管者的建议

1. 制定明确的指导原则或规定，从而为受AML / CFT监管约束的实体提供适当的、以防范风险为导向的可靠且独立的数字ID系统。那么，首先需要了解辖区中可用的数字ID系统，以及它们如何遵守现有要求或有关客户识别和验证及进行尽职调查（以及相关记录保存和第三方信赖要求）的指南。

2. 评估关于CDD的现有法规和指南是否适用于数字ID系统，并根据管辖范围和身份生态系统进行适当修订。例如，当使用具有可靠确信级别的数字ID系统用于远程客户识别/验证和认证时，监管者应考虑澄清，对于CDD而言，非面对面登陆可能是标准风险，甚至是低风险。

3. 在为CDD建立所需的属性，身份证明和证明官方身份的过程时，采用原则，绩效和/或基于结果的标准。鉴于数字ID技术的快速发展，这将有助于促进负责任的创新和适应未来需求的法规要求。

4. 采用政策，法规以及监督和检查程序，以鼓励受监管实体在所有相关工作中开发一种有效的集成方法，将数字ID流适用于数字过程。

5. 开发一种综合多方利益相关者的方法，以了解与数字ID相关的机会和风险，并制定相关法规和指南以减轻风险。评估并酌情利用负责身份，网络安全/数据保护和隐私（包括技术，安全性，治理和资源方面的考虑因素）的当局所采用的现有数字ID确信框架和技术标准，以评估数字ID系统的保证水平用于CDD。根据FATF建议2，与相关机构合作并进行协调，以促进采用一种全面、协调的方式来理解和应对数字ID生态系统中的风险，并确保数字ID系统的AML/CFT要求与数据保护和隐私规则的兼容性。

6. AML/CFT当局可以考虑采用各种机制，以加强与有关私营部门利益相关者（包括受监管实体和数字服务提供商）的对话与合作，以帮助确定与身份相关的关键机遇、风险和缓解措施。机制可以包括监管“沙盒”方法，以提供一个受监督的环境来测试数字ID系统如何与国家AML / CFT法律和法规进行交互。当局还可以考虑开发机制，以促进跨行业合作，以识别和解决现有数字ID系统中的漏洞。

7. 考虑通过针对透明的数字ID确信框架和技术标准进行审核和认证，或者通过批准执行这些功能的专家机构，来支持可靠、独立的数字ID系统的开发和实施。

8. 在开发和实施政府提供的数字身份时，应用适当的数字ID确信框架和技术标准，有关部门应该对其数字ID系统的工作方式和保证水平保持透明。

9. 鼓励采用灵活的，基于风险的方法来将数字ID系统用于支持金融普惠的CDD。考虑就如何使用不同保障程度的数字ID系统，进行分层式的身份证核实/注册及认证提供指引。

10. 监控数字ID领域的发展，以分享知识、最佳做法，并在国内和国际层面建立法律框架，促进负责任的创新，提高跨境及境内数字ID系统的灵活性、效率及功能。

三、对被监管者的建议

1. 采取基于风险的明智方法来依赖CDD的数字ID系统，其中包括：（1）了解数字ID系统的确信级别，尤其是身份证明和认证的确信级别；（2）确保保证水平适合与客户、产品、管辖权、地理范围等相关的ML / TF风险。

2. 了解数字ID系统的基本构成，尤其是身份证明和身份验证，以及它们如何映射到所需的CDD元素（请参阅第二部分和附录A）。

3. 考虑低ML / TF风险情况下，具有较低确信水平的数字ID系统是否适用简化的尽职调查。例如，在允许的情况下，采用分层CDD方法，利用具有不同确信级别的数字ID系统来支持普惠金融。

4. 如果根据内部政策或实践，非面对面的客户标识始终被归类为高风险，请查看并修订这些政策，因为考虑到客户确认/验证依赖可靠，采取了强有力的风险缓释措施的独立数字ID系统，可能仅为标准风险，甚至低风险。

5. 在相关情况下，利用反欺诈和网络安全流程来支持数字身份证明和/或身份验证，以进行AML / CFT工作（客户识别/验证、登陆及进行尽职调查和交易监控）。例如，受监管实体可以利用内置在数字ID系统中的防护措施来防止欺诈（即监视身份验证事件以检测系统性滥用数字ID来访问帐户的行为，包括通过丢失，泄露，盗窃或出售的数字ID凭据/身份验证者）进入系统，以对业务关系进行持续的尽职调查，监视、检测并向当局报告可疑交易。

6. 受管制的实体应确保它们能够获得或拥有，使监管者能够获得基本身份信息和证据或个人身份识别和核实所需数字信息的程序。鼓励受监管实体与监管机构和政策制定者以及数字身份服务提供商进行沟通，以探索如何在数字身份环境中有效地实现这一目标。

四、对提供数字身份服务商的建议

1. 了解CDD的AML / CFT要求（尤其是客户识别/验证和进行尽职调查），以及其他相关法规，包括受监管实体保留CDD记录的要求。

2. 寻求政府或授权专家机构的确信水平测试和认证，或者在没有此类认证的情况下，寻求另一国际知名专家机构认证。

3. 向受AML/CFT监管约束的实体提供有关数字ID系统确信水平的透明信息，包括身份验证、认证和联合/互联(如适用)方面。

整理：李金凤

图片来源于网络

声明：本文来自新金融法，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。