文 / 龙冠敏 彭倩琳
甘肃作为共建“一带一路”黄金段的国内核心省份,凭借陆港空港联动的区位优势,已成为我国向西开放的重要门户,省内企业与中亚、西亚国家的跨境贸易投资规模逐年递增。
2025年施行的《中华人民共和国反洗钱法》(下称“新《反洗钱法》”)首次将贸易、投资类特定非金融机构纳入反洗钱义务主体范围,金融行动特别工作组(FATF)反洗钱国际标准的升级[1],进一步要求企业实现反洗钱与数据合规的融合治理。在此背景下,作为合规义务主体,企业如何构建反洗钱与数据合规的协同体系,成为防范出海风险的核心命题。本文立足企业视角,结合甘肃企业向西开放实践,聚焦反洗钱与数据合规的协同逻辑,剖析问题痛点并提出实操策略,助力企业强化跨境经营的法律风险防控体系。
一、反洗钱与数据合规的协同法定义务
新《反洗钱法》的施行颠覆了反洗钱义务仅限于金融机构的固有观念,将贸易、投资类企业纳入义务主体范畴,同时数据合规作为反洗钱义务履行的基础支撑,二者协同构建跨境经营的法定合规框架。
国内法律层面,新《反洗钱法》第六条规定,特定非金融机构须建立健全反洗钱内部控制制度,并履行客户尽职调查、受益所有人识别、交易记录保存以及可疑交易报告等核心义务。该义务的履行依赖于数据合规的支撑:企业在收集、存储、传输客户身份资料与交易数据过程中,须严格遵守《数据安全法》及《个人信息保护法》的要求,取得合法授权,开展出境安全评估,并防范数据泄露、篡改或非法利用。中国人民银行《金融机构客户受益所有人识别管理办法》进一步细化了受益所有人识别标准,企业需借助数据穿透机制核实交易对手的实际控制人,从而实现反洗钱义务与数据处理的协同融合。
国际层面,FATF反洗钱国际标准重点强调客户尽职调查、跨境信息共享以及风险分级管理,已被“一带一路”沿线国家广泛纳入本土监管体系。企业必须警惕跨境电商、离岸交易等新兴洗钱风险,同时兼顾沿线国家的数据本地化要求,从而构建反洗钱数据治理的国际协同机制。
从甘肃企业的实践层面来看,其跨境业务主要聚焦于能源、农产品及装备制造等领域,与中亚国家企业的合作频繁且深入。根据FATF和EAG相互评估报告,中亚国家在洗钱活动风险方面被评为中等偏高,主要源于腐败、跨境犯罪和地缘政治因素,这要求甘肃企业通过数据本地化存储和受益所有人识别等措施强化协同合规,以降低风险敞口。
反洗钱与数据合规的协同逻辑在于:数据合规为反洗钱义务的履行提供合法、安全的数据基础,而反洗钱则依托数据分析实现洗钱风险的识别、评估与防控,二者相辅相成、互为支撑,从而避免因孤立治理所引发的合规漏洞。
二、反洗钱与数据合规协同的核心痛点
甘肃企业跨境贸易投资实践中,反洗钱与数据合规的协同治理不足是主要短板,其根源在于合规意识、治理体系以及执行机制等方面的缺失,导致因交易对象或客户从事洗钱活动的风险与数据合规风险的叠加放大。为此,企业可通过全流程嵌入原则、金融机构信息共享等外部资源构建协同机制,防范恶性循环。
合规意识缺位,对义务关联性认知不足
诸多企业,尤其是中小企业,将反洗钱义务视为额外经营负担,未能认识到数据合规作为其基础支撑的本质属性。在收集客户数据过程中忽略合法授权,或在跨境传输环节未开展安全评估,致使数据违规行为直接影响反洗钱监测的效能。同时,企业对中亚国家数据本地化规则的了解不足,简单复制国内经营模式,进而引发反洗钱与数据合规的协同断裂。
面临中亚本土数据监管挑战
乌兹别克斯坦《个人数据法》要求公民数据服务器在境内,这迫使甘肃企业投资本地存储设施,增加运营成本并复杂化跨境数据传输,若未遵守,可能面临罚款和业务中断,放大企业反洗钱合规失败的风险,从而通过构建专责部门和AI驱动风险管理体系来实现风险防控与经营平衡。
量化痛点分析
据调研,亚洲金融机构AML合规成本预计每年上升20%或更多【2】,82%受访者认为成本将增加。PwC 2023调查显示,62%机构使用AI应对AML挑战,但企业资源不足,导致合规率低。 我国中小企业面临复杂监管框架,地方规则不一,加剧合规难度。
协同治理体系缺失,未建立一体化机制
企业普遍缺乏专责合规部门及配套制度,反洗钱与数据合规工作往往由兼职人员承担,且未嵌入业务全流程。在客户准入阶段,受益所有人识别仅流于形式;在交易监测环节,数据完整性不足,无法实现异常交易的实时识别,导致反洗钱数据支撑的整体薄弱。
协同执行机制不足,双重风险叠加
反洗钱义务的履行依赖大量数据支撑,但企业数据处理不规范:数据收集不全面导致风险评估失准;传输行为违规(如忽略中亚国家数据本地化要求)易引发行政罚款。同时,为规避数据合规风险而刻意减少数据收集,进一步削弱反洗钱效能,形成恶性循环。
协同合规能力薄弱,缺乏专业人才支撑
反洗钱与数据合规的融合治理须具备跨法律、金融及数据领域的复合知识,但企业人才储备短缺,兼职人员缺乏系统培训,在受益所有人识别、洗钱风险评估等环节能力不足。一旦面临海外监管调查,企业无法提供协同合规的数据证明材料,极易遭受严厉处罚。
协同执行流于形式,制度与实践脱节
企业虽已制定基本合规制度,但执行落地不足:客户尽职调查未对资金来源进行实质性核查;数据保存不规范,导致无法有效追溯;可疑交易报告环节缺失,导致反洗钱与数据治理的整体脱节。
三、构建反洗钱与数据合规协同体系的核心原则
结合新《反洗钱法》、FATF标准及甘肃实践,企业需遵循五大原则,确保反洗钱与数据合规的深度协同,实现风险防控与经营平衡。
风险为本原则
基于业务、对手、国家风险分级,对高风险(如中亚大额交易)强化数据驱动的尽职调查和本地化存储;低风险简化流程,优化资源。
数据驱动原则
数据合规确保反洗钱数据的真实、可追溯,反洗钱则指导数据收集目标,实现闭环融合。
全流程嵌入原则
将协同要求嵌入客户准入、交易执行、资金结算、事后管理,形成数据支持的反洗钱闭环。
属地适配原则
遵守合作国规则,如中亚数据本地化,制定差异化方案,确保跨境数据传输支持反洗钱而不违规。
权责统一原则
负责人为第一责任人,分解到各部门,考核挂钩,形成全员协同效应。
四、反洗钱与数据合规协同的实操策略
上述痛点,聚焦协同逻辑,本文提出建设性实操策略,助力甘肃企业等跨境经营主体强化融合治理机制。
确立协同合规理念,加强培训
将协同纳入企业发展战略,实施分层培训:管理层讲授法定责任与价值导向;业务层培训实操技能如受益所有人识别与数据授权;专业层培训报告机制与调查应对。依托甘肃平台获取中亚合规资源,提升培训针对性。
构建一体化体系,完善制度
设立专责部门或指定专人,聘请专家涉外法律顾问。制度明确协同流程:数据收集标准支撑受益所有人识别;传输规范兼顾属地化;更新机制跟踪监管动态。
构建全流程管控机制,实现协同落地
客户准入阶段:在数据授权前提下核实身份、穿透识别受益所有人。交易执行阶段:实时监测异常交易,记录完整数据。资金结算阶段:加密传输数据,配合金融机构核查。事后管理阶段:保存可追溯资料,评估报告可疑交易。
AI驱动的风险管理
FATF 2025指导强调AI在AML中的合规应用,包括人类监督和可解释模型,以提升风险检测效率。企业应整合AI Agent与数据合规,使用解释性AI确保审计透明,防范偏见风险。
强化数据合规管理,夯实反洗钱数据合规基础
对敏感数据实施分类分级管理;标准化数据处理流程,确保合规性和安全性;适配本地化要求,建立专用存储节点;定期进行备份自查,有效防范数据泄漏风险。
提升合规专业能力,强化人才队伍
通过内部培养与外部引进复合型人才,鼓励资格认证考试;建立激励机制留住人才;预案演练应对海外监管调查,提供协同合规证明。
借助外部资源,优化支撑体系
协同金融机构共享信息;加入行业协会交流经验;对接政府平台获取风险预警;依托甘肃陆港,构建中亚合规互认机制,降低成本。
制订成本效益框架
创建ROI模型:培训成本比较避免罚款收益(如10万元投资防50万元罚款,ROI=400%)【3】。中小企业优先免费FATF资源或开源AI软件,分阶段实施。AML机器程式AI Agent处理可减人工成本30-50%。
“一带一路”契机下,反洗钱与数据合规的协同治理已成为企业跨境经营的核心竞争力。新《反洗钱法》明确企业义务,数据合规为其基础支撑,二者融合构建风险防控体系。甘肃企业作为向西开放的先锋力量,必须摒弃孤立治理思维,构建协同合规体系,嵌入业务全流程,提升专业能力,借助外部资源,实现合规经营与高质量发展的双赢,为“一带一路”建设贡献力量。
(本文为2025年度法治甘肃省级课题《“一带一路”倡议下中国企业出海法律风险与应对策略研究》的研究成果之一。作者龙冠敏系香港反洗钱合规官及洗钱报告主任、中国涉外法治研究院研究员;彭倩琳系赛尼尔法务智库高级顾问CAMS【4】、中国涉外法治研究院研究员)
注释:
【1】 FATF(金融行动特别工作组)是1989年成立的政府间国际组织,旨在制定和推动全球反洗钱、反恐怖融资及反扩散融资标准,获180多个国家和地区认可。
【2】AML指反洗钱措施。
【3】ROI指投资回报率,评估成本与收益比。
【4】CAMS国际认证反洗钱师。
热门跟贴