数字身份在反洗钱领域应用研究

覃盈盈

以数字金融、智慧金融为典型代表的金融科技给全球金融业带来前所未有的变革，金融生态得以重塑，电子渠道成为与客户交互的主阵地并提供多场景触达能力。然而，金融服务在快速转型的同时也凸显出传统身份认证方式在网络环境中无法准确验证客户身份真实有效性的弊端。根据金融工作特别行动组（FATF）新40 项建议，客户身份识别是各国金融机构应遵循的反洗钱三大基本义务之一，如何创新客户身份识别方式、利用数字技术弥补传统身份认证方式的不足也成为反洗钱领域的重要议题。FATF 于2020 年3 月发布《数字身份监管指引》（《Digital identity》），为各国政府、反洗钱义务机构和其他利益相关方数字身份规范应用提供有益参考。在此背景下，我国应积极响应FATF 数字身份监管指引，鼓励数字身份在反洗钱领域的应用，从战略全局不断加强行业统筹设计，从长远角度加快数字身份发展规划，引导金融业稳妥发展和应用数字身份，构建起更安全的洗钱风险防控网络。

一、文献综述

国内外学者对数字身份已有一定研究。一是关于数字身份的定义，Phillip（2005）认为数字身份包含一个主体（subject）的各类信息，例如年龄、购买行为、银行存款余额等信息。Julian etl.（2012）认为数字身份是网络空间中的概念，是指独一无二地描述一个人或一事物的一组数据。邱仁宗等（2014）认为数字身份是个人在互联网上以数字存储和转换的身份信息形式，是一种用以区分各个网络用户的在线身份标识。刘千仞等（2019）指出数字身份可以从两个方面定义，狭义定义即以数字符号标识的数字身份；广义定义的数字身份既包含成员的身份证明，也包含了该成员在网络空间中的所有活动集。包明友和吴云（2020）指出数字身份与电子身份有所区别，通过引入生物识别、大数据等新兴技术而能够进行数据整合、分析及运算，发挥大数据的可视性、高效性和生物识别的安全性、唯一性。二是关于数字身份在反洗钱领域的应用。包明友和吴云（2020）提出数字身份识别是解决金融交易数字化和反洗钱合规要求的关键性技术，决定了数字金融可以开展的范围和场景。陈思等（2018）依据FATF 2018 年发布的数字身份界定相关建议，提出将数字身份纳入我国反洗钱监管。宁敏等（2020）认为应将数字身份应用于我国商业银行客户尽职调查的各个环节。

目前关于数字身份应用于我国反洗钱领域的研究较少，本文在已有研究基础上，探讨数字身份在反洗钱领域应用的优势，通过归纳梳理全球数字身份应用实践，深入分析我国数字身份在反洗钱领域应用中存在的问题并提出相关政策建议，以期在反洗钱监管日趋严格的背景下进一步提高我国洗钱风险防控水平。

二、数字身份在反洗钱领域应用的优势

随着人脸识别、声纹认证等技术日趋成熟，数字身份在金融行业应用场景不段丰富，为在反洗钱领域应用奠定了良好基础。使用数字身份与传统的身份证件认证方式相比具有显著优势，在全球反洗钱监管态势日益严格趋势下，有必要进一步推广数字身份应用。

（一）全面精准刻画客户身份画像

当前金融机构核验自然人客户身份主要依据“人证一致性”的审核。通过身份证等有效证件及辅助证件，配合使用身份证鉴别仪鉴别身份证件真伪，再通过人工肉眼将客户的面貌特征、所提供信息与联网核查系统反馈出来的相片、签发机关等信息进行比对。这种方式高度依赖于人为控制措施，当一线人员缺乏识别工具、技能和经验时，人工控制措施将效果减弱，并且能够补充的客户信息十分有限，对客户身份识别的有效性和全面性都大打折扣。与之相比，数字身份将散布于各类金融产品、业务的不同属性客户信息进行持续整合、填充，进一步丰富多维度的属性信息，更动态、全面地刻画客户画象，降低人为错误的可能性。因此，数字身份更高效地连接前中后台应用系统，支持以客户为中心的业务创新和数字化转型，有助于金融机构统一识别客户身份，增强客户视图的完整性，更综合全面地开展各类业务洗钱风险控制。

（二）提升可疑交易监测分析水平

数字身份通过操作模型和用户许可、数据隐私保护、数字身份认证和账户访问授权等，捕获客户访问账户和进行交易时的地理位置、IP 地址、用于进行交易的数字设备标识等信息，使金融机构更详细地了解客户的资金交易行为。金融机构还可以通过数字身份数据统筹管理客户交易记录，分析交易参与方关联的属性信息，并与其他业务和交易信息交叉比对，深入挖掘交易关联关系，进一步确认对手方的背景信息，提升可疑交易监测分析有效性。

（三）有效节约成本和充实反洗钱工作资源

数字身份系统不仅可以为潜在客户和现有客户提供更高效、便利的服务体验，还能够从流程上有效替代传统繁复的纸质证明，降低金融服务提供方与客户之间反复沟通的成本，极大地提高工作效率。麦肯锡全球研究所相关研究报告表明，数字身份将有助于最大化释放经济潜力和用户价值，到2030 年对一个典型的成熟经济体或新兴经济体来说，数字身份的良好使用将带来3%～6%的经济价值；机构使用高技术标准的数字身份可以降低开户成本高达90%。节约下的成本可重新分配给其他反洗钱和反恐怖融资合规职能部门，从而大幅提升跨业务线和跨地域的洗钱风险管控能力。

（四）通过促进普惠金融发展提高反洗钱覆盖面和有效性

普惠金融要求实现金融机会平等、消除金融歧视、化解金融排斥，使每个人尤其是弱势群体获得平等的金融服务机会。弱势群体如农村人口、贫困人口和文化教育程度低的人群，往往反洗钱意识薄弱，易于成为洗钱分子的利用目标，而普惠金融广范的客户群体和承载着大数据、云计算、知识图谱等技术的金融科技，能很好地实现对弱势群体在内的各阶层、群体的全覆盖以及风险管理的全面提升，其融资交易低成本化、服务便捷性等特点为洗钱风险防范提供新思路。数字身份技术是推动普惠金融的重要助推力，通过数字身份技术极大地促进了普惠金融服务的可得性和便捷性，拓宽金融服务群体，并较大幅度降低业务运营和洗钱风险管理成本，从而间接地提高反洗钱工作覆盖面和有效性。

四、全球数字身份应用实践

（一）国外实践

1.爱沙尼亚。一是建设有较好的数字化国家基础设施。爱沙尼亚是第一个在国家层面实施数字身份系统的国家，推动以“X-Road”“数字公民”为载体的数字服务产品对外输出，公民使用电子身份证即可接入4000 多项公共和私人数字化服务。各个数据库分散于不同机构，但全部数据库须通过同一系统接入，政府机构可在其权限范围内查看公众的个人信息。二是注重个人信息保护。爱沙尼亚有较高的技术确保用户知晓谁查看过自己的信息，还有权要求查看者在30 日内加以说明。三是运用区块链技术推进数字身份国际使用。2015 年爱沙尼亚启动“电子居住证”（e-Residency）计划，成为全球第一个提供电子居留权和跨国数字身份认证的国家，该证也是世界上第一个区块链身份证件。电子居住证主要用于帮助非本国居民顺畅地获得该国数字化服务和开展商业活动。欧盟国家认可与支持爱沙尼亚的信息技术，芬兰于2018 年加入了X-Road，实现了主权国家与主权国家之间的联盟链。

2.新加坡。新加坡基于官方数字身份认证平台开展客户身份识别。2018 年新加坡金融管理局发布关于“非面对面业务关系使用MyInfo 和客户尽职调查措施”的指导意见（AMLD 01/2018）。Mylnfo 指的是由新加坡财政部和科技局共同开发的用于储存经政府认证的个人信息平台。该指导意见允许本地金融机构在充分评估和管控所识别出的洗钱或恐怖融资风险的前提下，通过Mylnfo 对客户身份进行非面对面验证，在与新客户建立业务关系阶段运用新科技执行尽职调查程序以改善客户体验。在此规定下，用户在线上线下开立账户时，只需填写少量信息，大部分信息由银行在MyInfo 中调用，核实信息的真实性后，即可实时开户。

3.意大利。一是建设了开放式的官方数字身份公共系统，以促进公共服务。在意大利居住的年满十八周岁的个人，或有特定要求的境外意大利人，都可申请相应的数字身份证。二是数字身份用于客户尽职调查有法律依据。根据意大利反洗钱法令第19条，义务实体可通过意大利数字标识机构进行数字身份识别和验证客户，也可通过欧盟委员会的电子身份来识别客户。在经济和财政部的授权下，银行、金融服务提供商、保险、信贷报告机构可进入该系统。

4.加拿大。一是制度层面重视数字身份在银行业的运用。2018 年加拿大发布《银行法案修正案》，允许金融机构在联邦监管下提供数字身份识别、认证和核验服务。同年，加拿大银行家协会发布《加拿大数字身份认证的未来———联合身份认证白皮书》，倡议建设一个“加拿大数字身份体系”，减少重复提交信息而产生的额外成本，通过共享信息减少虚假、错误信息。二是商业银行可作为数字身份的创建者并提供认证服务。加拿大国家级数字身份认证项目是由身份服务提供商SecureKey 推出的“Verified.me”应用，目前已与多伦多道明银行、加拿大商业帝国银行等多家银行展开合作。三是确保客户权限。客户可选择共享“Verified.Me”区块链存储的可信凭证中的指定信息给特定公司，政府和企业要在授权范围内获取用户身份信息。四是推动跨境数字身份合作。加拿大与爱沙尼亚签署《关于数字政府与数字经济的备忘录》，促进两国数字身份认证和数字经济的合作。

5.美国。一是制度推动。2020 年美国国会提出新一代数字身份认证促进法案，从组织机构、财务预算和业务模式等方面规划数字身份认证创新。二是得益于美国高度发达的互联网金融和科技，企业级数字身份技术迅速发展。例如，2018 年区块链数字身份创业公司Evernym 与美国信用社联盟联合发布一款区块链数字识别系统“MyCUID”，将使全球的信用合作社能够向无法与金融机构互通的约20 亿人提供银行服务。三是关注跨境数字身份技术。VISA公司与IBM 合作为金融机构提供一款基于区块链技术的跨境支付数字身份识别系统Visa B2B Connect，以改善欺诈和洗钱等行为，使跨境支付更加安全。系统将整合IBM等科技巨头主导的开源区块链架构超级账本Hyperledger Fabric 平台和VISA 的核心资产，并同时建立一个可扩展的网络，使共同的金融机构客户皆能使用这套系统。

6.欧盟。2021 年欧盟委员会提出欧盟数字身份（European Digital Identity）框架计划。一是覆盖面广泛。根据计划，将由欧盟成员国认可的公私机构向其公民、常住居民、企业提供“数字身份钱包”，用户可使用“数字身份钱包”关联驾照、文凭、银行账户、医疗等信息，进入网络银行、申请贷款等服务。所有成员国认可的提供在线服务的私营或公共机构必须接受“数字身份钱包”。二是注重技术标准搭建。2022年9 月前将建立一个共同的工具箱，包括设立最佳实践的技术架构、标准和指南。三是明确数据使用。欧盟用户均可自主选择愿意与第三方进行分享的身份数据信息，保证个人数据安全性，轻松便捷验证个人身份并访问在线服务。

（二）国内实践

目前我国的数字身份服务已经广泛存在于各个金融业务场景，主要服务模式有三类。

1.基于法定证件的数字身份服务。公安部第三研究所研发的eID 网络电子身份标识和公安部第一研究所研发的CTID 可信身份认证平台是我国官方数字身份系统，已在一些试点城市与社保部门、金融机构、网络身份运营商等深入合作，试点金融机构基于上述数字身份及认证平台开展客户身份识别工作。如，晋商银行直销银行落地公民eID 数字身份全场景安全应用，使用eID 数字身份线上免填身份信息即可实现直销银行快速认证登录、eID 身份电子证照快速开户、eID 数字身份交易授权、业务进件等各类业务场景。

2.基于金融机构应用项目的数字身份服务。一些金融机构在与客户签订的身份服务协议框架下，基于自行采集和存储的个人身份信息向客户提供数字身份服务。这些项目往往运用了先进的金融科技手段。人脸识别是运用较为广泛的技术，如微众银行通过“人像识别+光线活体检测”综合处理，得出人脸审核结果。一些第三方支付机构借助自身应用平台对用户个人基本信息、行为兴趣、金融信息、生活信息等大量社交、经济信息的收集，实现对用户的大数据画像。2020 年由中钞区块链技术研究院、百度、微众银行、亿联银行等17 家单位共同发起基于区块链的“分布式身份产业联盟”——DIDA，DIDA 旨在最大化地挖掘分布式数字身份技术的潜能，促进与现有生态的融合。

3.基于权威机构背书的数字身份服务。比如由依法设立的电子认证机构通过在线或离线的身份核验手段，对个人的身份进行先验确认，随后签发数字证书作为数字身份凭证。U key 就是传统的应用较广泛的数字身份认证技术。目前较多银行与中国金融认证中心（CFCA）合作，引入其自主研发的快速安全身份认证系统“FID+”，利用人体生物特征识别，结合密钥体系机制，完成登录、转账等环节可靠的安全身份认证（包明友和吴云，2020）。

在数字经济浪潮中，数字身份作为重要的新兴基础设施，受到全球主要经济体和国际组织的高度重视。各国已逐步将数字身份应用于反洗钱领域，并致力于提高数字身份服务的制度安排、技术标准、安全性等，为我国反洗钱工作的数字化发展提供有益借鉴。分布式数字身份在国际上的研究和发展日趋成熟，中心化和去中心化并存是数字身份系统的基本框架形态，新加坡、意大利等以政府强有力的中心化机构来主导进行，Evernym 等为代表的去中心化身份系统则弥补了中心化系统身份易于泄露、数据壁垒高企的弱点，增强数据自由流动性与信用价值的传递，同时更实现了数据的确权。在互联网金融双边、多边国际经济合作深入发展的大背景下，跨境数字身份共治成为未来数字身份发展的重要趋势。我国数字身份服务模式主要基于官方认证平台以及运用传统技术，部分金融机构运用生物识别、大数据等金融科技开发数字身份项目，并对联盟身份开展探索，但与发达国家相比，数字身份运用于反洗钱领域总体仍处于初级阶段，技术赋能不足，使用范围仍不广，机构主动意识仍有待加强。

四、数字身份在我国反洗钱领域应用的难点

我国已进入数字经济时代，数字身份认证与管理成为数字经济发展和金融业不可回避的核心问题，但目前在反洗钱领域应用仍然存在一系列难点。

（一）数字身份反洗钱应用的制度保障不完善

我国与数字身份相关规定主要是公安部制定的“网络电子身份标识（eID）”技术并形成的相关标准体系，还缺少统一、权威的数字身份应用的专门性法规，反洗钱相关法规制度未作出对数字身份信息如何应用的明确规定，在反洗钱客户身份识别方面如何应用更是缺乏相应的制度安排和法律背书。如供应商的资质和算法、基础设施的安全保障标准、数字身份系统搭建者和使用者的法律地位和责任界定、数字身份信息采集范围和信息保管等无统一规定，容易在实践中出现纠纷，难以界定相关法律责任，导致数字身份及应用的安全性得不到充分保障。因此，运用数字身份开展客户身份识别工作目前尚未在金融行业产生共识，不少金融机构在数字身份的推广使用上仍保持观望态度，试点机构也在反洗钱合规和金融创新中徘徊前进，限制了数字身份普及化的推进进程。

（二）数字身份认证精准性受信息来源单一的制约

数字身份在身份认证的一项重要优势就是能整合分散在各个领域的个人身份信息，包括交易、社交、娱乐等，信息属性越全面，身份刻画就越完整。但我国官方数字身份认证体系的信息高度依赖于传统的国家公民身份认证体系，包含的要素主要为公民身份证制证数据和少数生物信息，而在不同金融机构主导的中心化系统中又分别储存着同一客户的不同数字身份信息。由于社会基础设施搭建不完备，系统间的相互认证需要经历复杂的流程，目前仍未实现多部门全方位的网络互连和一致性协同管理，在技术层面削减了数字身份信息范围的全面性。“孤岛”型的认证体系信息要素少，更新周期长，导致识别出的身份背景较为有限，难以充分满足反洗钱工作需要。

（三）数字身份认证技术发展难以避免技术风险

一是基于互联网技术环境的数字身份认证难于避免技术风险。不法分子可能利用网络攻击和安全漏洞，冒用他人身份或伪造虚假合成身份向系统提供虚假证明文件；不同身份验证手段也较易引发未识别和非预期的风险，如多因素身份验证易受强行登陆攻击和网络钓鱼攻击等；生物特征因素可能从中央数据库、手机照片、个人触摸的物体等途径被盗，且具有不可逆性、难以重置。二是技术设计的更新会带来操作上的改进，从而产生新的漏洞和未知风险。三是相对简单的数字身份认证技术隐藏着较大的个人隐私信息泄露风险。现实中，一些金融机构尤其是互联网金融平台的数据保护缺少技术等级保证，无法保护个人信息免遭未经授权的访问、失窃、损坏或滥用。

（四）数字身份在特定交易场景中应用存在局限性

尽管数字身份能极大地辅助反洗钱工作，但在非面对面交易应用场景中仍有其固有局限性。一是难以从源头追溯数字身份信息的真实性和有效性。例如，不法分子伪造、变造数字身份进行交易，通过数字身份认证方式难以准确辨别。二是仅凭借数字身份认证难以穿透式了解客户。反洗钱内涵下的客户身份识别不仅是对客户身份的验证，还包括了对交易背景、意愿、经营状况的穿透式了解，真正“了解你的客户”，而数字身份认证主要发挥第一层面作用即身份验证。一旦不法分子利诱、唆使客户在网上进行身份认证并办理相应业务，临柜人员无法与客户面对面交流，就难以深入了解、审查客户办理业务的真实意愿、资金来源、交易目的等信息。

（五）数字身份认证体系建设未适应跨境金融服务发展需求

数字产品和服务需求的不断增长正在推动更多的身份认证和创造，比如消费者不再局限于在本国范围内购物，但各国之间存在明显界限，数字身份系统彼此分离缺乏跨境和跨平台的能力，这让用户无法以一个通用身份获得不同系统的认证。跨境金融服务背景下的数字身份认证对法律、技术的互操作性提出更高要求，目前我国缺少数字身份跨境应用监管方面的相关规划，基础设施和法规制度对于有效实现境内外系统互连和信息互通互认的支撑不足，相对于先行国家仍有较大差距。

四、政策建议

（一）强化顶层设计，完善数字身份的反洗钱制度安排

数字身份认证是传统客户身份识别方式的有益补充，要在保持政策连续性的基础上，加强数字身份与反洗钱监管体系的有效衔接，形成有关数字身份技术的统一、权威的指导政策与技术规范。一是建议由反洗钱主管部门明确数字身份应用于反洗钱领域的合规性，将数字身份信息纳入基本信息或补充信息采集范围。鼓励反洗钱义务机构根据客户业务风险等级高低，合理选择数字身份适用场景，纳为洗钱风控手段。对于一些非面对面异常业务，明确增加虹膜、声纹、人脸识别等辅助认证手段，降低客户身份识别难度，确保交易真实可靠。二是研究制定专门性指导意见明确参与方责任义务。明确反洗钱义务机构的数字身份凭证性质和法律地位、数据采集范围和保管义务、数据泄露风险等法律问题责任界定。将反洗钱要求列入数字身份服务提供商的准入条件，确保其充分了解反洗钱相关法规映射到客户尽职调查方面的要求，明确其向反洗钱义务机构提供系统在身份认证、验证和互操作性等方面信息的义务，并能根据监管需要及时完整提供个人基本身份信息等。

（二）搭建统一平台，提高数字身份信息资源开发利用能力

数字身份的源头需要国家这种强有力的中心化机构来背书，但流通的数字身份属性信息在验证、完善中，又依托于各机构的合作，区块链技术的去中心化、不可篡改、多方共识等特点，在某种程度上提供了一种可信方案。一是做好技术应用研究与联合攻关。组织产、学、研开展合作，深入研究包括去中心化公钥基础设施、密码学、凭证在内的各项核心技术，探索数字身份的多种技术演进路线。二是在依托相关技术基础上搭建跨部门的数字身份信息统一平台。建议将在线身份核验服务统一到政府服务框架下，有效整合人民银行、税务、海关、交通、金融机构等多部门分散异构的信息资源，及时充实更新数字身份数据，最大程度保障在线身份核验的可信程度，同时缩小客户身份信息知悉、留存范围。金融机构可在客户授权情况下从平台导出相关资料，提高身份识别效率，降低人为控制措施的差错风险。三是需要注意的用户确权问题。在法律范围内要确保用户在不同应用场景中，对个人身份数据享有选择、授权、删除等自主权。

（三）深化多方协同，建立数字身份反洗钱技术标准

数字身份系统的应用涉及网络覆盖面及安全性、第三方机构的技术保证水平和信用度等问题，应建立跨部门的合作机制。由人民银行联合工信、科技等相关部门实现信息汇聚共享和关联分析，充分结合我国洗钱风险形势加强系统技术标准化设计的研究，共同探索数字身份系统的创新应用，积极推进数字化关键共性标准的制定和实施，明确贯穿身份数据采集、自动化处理、交互等各环节的标准规范，在系统设计、场景应用、接口统一等方面平衡好安全性和便利性。统一数据脱敏条件和标准，严格规范数字身份信息收集、使用的技术手段和管理措施，预防数据信息泄露隐患。

（四）坚持风险为本，制定数字身份的洗钱风险防控配套措施

一是金融机构应主动开展数字身份认证技术的洗钱风险评估。充分评估相关技术、系统结构和管理措施的安全性和可靠性，判断安全等级是否与机构潜在洗钱风险相匹配，确保数字身份系统与反洗钱工作要求的兼容性，识别和解决数字身份系统及其操作环境中存在的漏洞和隐患，鼓励依托专业评估机构，了解反洗钱履职要求映射到系统进程中的可行性。二是金融机构应坚持风险为本，采取数字身份和传统识别方式的有效配合。在一些高风险业务场景下应使用数字身份与人工审核结合更为稳健，与客户加强沟通，摒除单纯依赖数字技术的身份认证方式，全方位多角度了解客户情况。完善业务流程，弥补业务环节漏洞，重点加强身份证件造假、用照片替代人脸，虚拟摄像头或麦克风等的防范。

（五）接轨国际标准，推动数字身份服务跨境互联互通

一是完善数字身份跨国认证监管指引。监管部门帮助金融机构改善客户的数字化引导流程及遵守相关国家的客户尽职调查和反洗钱法规，同时通过明确数字身份验证方的法律责任等手段，有效应对长臂管辖，确保在跨国交易中正确合规的身份认证，使数字身份认证体系在国内和国际层面都具有更大的灵活性、有效性。二是操作保持技术中立。充分借鉴国际先进经验，如使用国际上较权威的数字身份保证框架和技术标准对我国数字身份体系进行评估，促进跨境数字身份相关国际标准的引入和本土化，建立健全跨境数字身份认证的风险评估机制、防控措施和监管体系，为我国开展双边、多边国际合作创造良好的身份认证环境。三是加强国际交流合作。关注数字身份系统的跨国互操作性以及数字身份凭证的跨境互认，通过国际间项目合作促进全球互联互通的确认和发展，推动与国际数字身份接轨，构建起更大的跨境洗钱风险管控网络。◆