三、政策建议

支付行业在客户身份识别方面与传统金融业相比，有共性，也有特殊性。从洗钱风险看，网络支付业务风险最高、银行卡收单业务风险次之、预付卡业务风险相对较小。对支付机构客户身份识别制度的修订，应充分总结监管和业务实际，确保政策的合理性。

（一）完善客户身份识别政策总体架构

从国际国内监管和业界实践看，客户身份识别重要性显著提升，范畴明显拓展，体现在两方面：一是不仅指识别客户身份，还包括识别客户关联人（受益所有人）身份；二是不仅指收集、核对、登记客户身份信息，留存客户资料的活动，还包括名单筛查、风险评级、异常监测、可疑报告等一整套洗钱风险管理和控制过程。因此，完善客户身份识别政策应融入近年来的国际、国内反洗钱监管导向，总体上应涵盖：一是身份识别，包括初次识别、持续识别、标准识别、简化识别、强化识别、特殊识别；二是客户洗钱风险等级划分；三是名单筛查；四是风险监测（如识别过程中关注异常行为）；五是风险缓释措施，包括高风险客户管理、风险极高客户（超出管控能力）或风险难以识别客户的拒绝准入、退出等。

(二）细化非面对面业务客户身份识别规定

传统金融机构主要通过柜面或客户经理开展客户身份识别，是人人交互，而互联网支付机构普遍采用App或网页非面对面方式进行客户身份识别，主要是人机交互。一般认为，非面对面方式风险较高，人人交互更加可靠，但人机交互在风险管控上也有优点，如能有效降低道德风险和操作风险。建议考虑支付行业普遍做法，在无法核对证件原件的现实情况下，完善关于客户身份识别措施的规定，对通过互联网开展客户尽调的做法的效力予以确认，包括但不限于：客户自拍证照上传、从官方或第三方平台拉取数据、OCR识别、大数据分析、数据交叉验证、远程授权确认等。此外，在持续身份识别的要求中，允许支付机构可以使用人脸识别的方式代替过期后采集客户的身份证影印件，来验证账户为客户本人操作使用。

（三）将风险为本监管理念融入政策内容

根据FATF建议1、建议10，应针对不同风险的客户采取不同的客户身份识别措施。因此，客户身份识别政策应结合《非银行支付机构网络支付业务管理办法》界定的账户类型进行区别要求，对于功能齐全的账户的识别要求应高于限制功能账户的。此外，对于低风险客户可以采取简化的身份识别措施。例如，客户使用人民币1000元以下的支付服务、购买的保险属于单次金额较低的（通常低于人民币5元）的“运费险”、信贷额度低于人民币500元以下的小额消费信贷的时候，可以采取相对简化的身份识别措施，如仅通过公安网进行客户姓名和证件号码比对，或通过银行卡验证，而无须填写职业和地址等信息。对于高风险客户应采取强化的身份识别措施，如触发可疑预警、怀疑账户非本人使用、账户交易规模和频率异常等情形的，可规定暂停账户权限，要求完善信息后恢复[11]。此外，规定对于无法详尽的应当强化或简化的情形，是否可以授权由支付机构按照风险为本原则自定义识别要求，当监管部门检查发现存在实质风险时，可以追究支付机构责任。