一、《反洗钱法》关于客户身份识别的真实、有效原则

真实原则要求客户身份识别所依据的资料和信息是真实的、客观的、符合实际情况的。要求金融机构对客户的身份资料、信息进行核实，在尽责、谨慎的基础上确保身份资料和信息为真实。真实原则要求金融机构杜绝以虚假身份、冒用他人身份、隐匿身份的方式建立业务关系或者以前述方式从事交易的现象。《反洗钱法》第十六条中，“真实”一词出现三次，均与客户身份资料的真实性有关，《反洗钱法》关于客户身份资料真实性的规定是真实原则在立法上的体现。

有效原则要求客户身份识别应能确保对客户的有效追溯，即能够准确查明行为人的真实身份、能够有效地利用身份信息追踪到行为人。具体要求可以归纳如下：，客户身份识别所依据的身份证件或者证明文件必须有证明力，有权机关颁发的证件、证明文件可以认为是有证明力的证件或者证明文件；第二，客户身份证件或者证明文件必须在有效期内；第三，所记录的客户身份信息原则上应当能够保证对客户行使有效的追踪，比如客户的地址等信息应能足够详尽且保持更新。有效原则在立法的体现见于《反洗钱法》第十六条关于客户身份资料有效性的规定，本条将“有效”与“真实”并用，表明立法者强调真实原则与有效原则的同等重要性。

客户身份识别不真实，是指名义上的客户与实际客户不一致的情况。具体而言，对于自然人客户，名义上的客户与实际客户不是同一自然人，对于非自然人客户，实际控制客户的自然人与在名义上可见的自然人均不相同，也即法定代表人、业务经办人、股东甚至高级管理人员均不是实际控制客户的自然人。

客户身份识别不真实的后果，是难以对行为人进行有效地、彻底地追溯。根据客户身份识别不真实的具体情况，反洗钱义务机构可能承担行政责任、民事责任和刑事责任。关于刑事责任问题，将在后续责任竞合的专题中进行讨论。本文主要探讨行政责任和民事责任。

二、实践中不法行为人常用的虚构身份的方式

行为人在实施洗钱等非法活动时，一个惯用的伎俩是掩盖自己真正的身份，导致司法机关难以对行为人进行追溯。通常来讲，金融机构发生客户身份识别不真实的情况，与工作人员不遵守客户身份识别的要求和标准有直接的关系。

（一）冒用他人身份注册企业

1.使用他人丢失的居民身份证注册企业

使用他人丢失的居民身份证注册企业利用了某些地区注册企业的便民措施，这些便民措施不要求对股东和法定代表人的身份进行核对，在“银发〔19〕85号”之前，银行为客户开立账户也存在同样的问题。这种情况下，行为人所使用的全套身份资料，即营业执照、法定代表人身份证件、开户许可证均为真实。

2.借用他人身份证件注册企业

借用他人的身份证件注册公司，在注册之后，企业的全套身份资料可能卖给不法行为人使用。使用他人身份证件注册企业的行为，在多次借用、买卖营业执照之后，追溯真正的行为人难度增大，特别是通过网络渠道借用、买卖身份证件、营业执照的行为。

3.骗取他人身份证件注册企业

骗取他人身份证件注册企业的行为，被欺骗的人对身份证件被冒用的事实及冒用者身份可能不知晓，即便知晓，在营业执照多次借用、买卖之后，追溯难度与借用的情形相当。

4.盗用他人身份证件注册企业

盗用他人身份证件注册企业的行为，被盗用身份证件的人对盗用者的身份无从知晓，因此一般难以追溯。

（二）冒用他人的营业执照

冒用他人营业执照的行为，行为人可能取得全套真实的身份资料，也可能只取得部分真实的身份资料。后一种情况下，行为所使用的营业执照真实，法定代表人姓名真实，但法定代表人的身份信息与企业工商登记档案中记载的法定代表人仅姓名相同，其他身份信息不一致。

（三）在形式上执行业务的人与实际控制企业的人不一致

1.以工作人员的名义注册公司

这种情况下形同股份代持，登记的股东与法定代表人身份均真实，但代持人不是实际控制企业的人。真正的控制人在幕后操控，名义上的股东和法定代表人只是“马仔”。这种情况，对行为人的追溯不彻底。

2.名义上有业务执行人，但业务执行人对幕后控制的人不知情

企业在表面上的业务执行人的身份是真实的，职务可能是业务经办人或者部门负责人等，也可能是一个第三方的代理人冒充企业经办人，其实际工作仅仅是寻找支付通道，表面上的业务执行人对实际控制业务的人不知情。其开立账户所使用的营业执照全套资料均为真实。这种情形下的追溯情况与前一种情形相同，一般会导致线索中断。

（四）直接买卖营业执照

实践中，买卖营业执照非法从事资金结算业务已经成为了一条产业链。有行为人专门负责买卖、借用、盗用、骗取他人身份证件注册公司，有行为人专门负责沟通买卖双方，贩卖的“产品”是在银行开户和在支付机构开户所使用的各类身份证件。

（五）以买卖、盗窃、诈骗等非法形式获取自然人的身份信息后注册支付账户

支付机构允许用户通过网络注册为客户，验证方式简单，通常是非面对面进行身份识别，不法行为人惯常利用支付机构进行虚假注册，其冒用他人身份注册支付账户是为了转移不法资金。

（六）直接伪造身份证件申请业务

由于金融机构和支付机构对身份证件有核验手段，这种情况已经比较少见，通常情况是伪造企业营业执照并与伪造企业法定代表人的身份证件相配合。

（七）买卖银行账户、支付账户

买卖银行账户和买卖支付账户均呈高发态势。支付账户是指在第三方支付机构（即取得支付许可证的支付机构）开立的账户，目前通过买卖支付宝账户、微信支付账户转移不法资金的情况较为普遍。买卖行为中，卖方的身份一般是真实的，但买方的身份未知，双方通常利用网络买卖账户，卖方一般不知晓买方的身份，因此追溯行为人的难度较大。

三、未按规定履行客户身份识别义务的行政责任认定问题

（一）未采取有效措施确保“人证一致”的行政责任

标准的客户身份识别的步骤可以概括为：询问、核对、查验、记录、留存五个步骤。询问是步。在利用网络建立业务关系的场合，也是通常所称的“非面对面”的身份识别，通常依靠客户所提供的私密信息推定被识别对象是客户本人，这五个步骤的操作将有不同的具体形式。

核对，是要求出示客户本人的身份证件的操作及对身份证件与本人外貌是否相符进行核对的过程。对身份证件与本人外貌是否相符进行核对的过程是通常所说的“人证比对”，即人证符合性判断。“人证比对”的前提是客户身份证件的类型必须是法定的，以确保证件的权威性和准确性。“人证比对”只能适用于自然人的身份证件，在对非自然人的代理人的身份进行核对时，也应当适用“人证比对”。“人证比对”的结果是确保“人证一致”。在自然人由代理人代理办理业务和非自然人办理业务的场合，“人证比对”的对象是代理人、法定代表人（负责人）、业务经办人。

在法律法规、规章和规范性文件中，凡是要求“核对”客户身份证件的，均应理解为应当确保“人证一致”。《金融机构客户身份识别和客户身份资料及交易记录保存办法》（中国人民银行、中国银行业监督管理委员、中国证券监督管理委员会、中国保险业监督管理委员会令〔07〕第2号公布）中，“核对”一词出现11次，均与客户身份识别有关。确保“人证一致”的基本方式是采取面对面的方式进行身份识别。在网络支付业务中，无法实施面对面的身份识别，但应采取适当的技术措施确保与面对面身份识别措施的效果大致相同的控制措施。

根据《中国人民银行关于进一步加强支付结算管理防范电信网络新型违法犯罪有关事项的通知》（银发〔19〕85号公布）和《企业银行结算账户管理办法》（银发〔19〕41号公布）的规定，客户申请开立账户的，应当对法定代表人（负责人）进行开户意愿核实，但这种核实与“人证比对”不同，且未要求必须采取面对面的方式进行核实，因此，开户意愿核实中，发生法定代表人身份被冒用的情况，金融机构不能作为免责的理由。

在面对面的身份识别中未实施“人证比对”以及在非面对面的身份识别中未通过合理手段核对客户身份的，导致客户身份不真实的，均应视为未按规定履行客户身份识别义务。

（二）对使用伪造的身份证件识别错误的行政责任

对身份证件真伪性判断属于身份识别中查验阶段的工作。现实中既存在可验证的证件，也存在不可验证的证件。既存在可以通过系统对接方式进行验证的证件，也存在不可通过系统对接进行验证的证件。居民身份证属于可验证的证件，同时也可以通过系统对接的方式进行验证，新版的企业营业执照属于可以验证真伪的证件，但目前不能通过系统对接的方式进行验证。

从严格的意义上讲，所有的证件都是能够验证的，通常所指的不可验证的证件，是指金融机构没有权利进行查询或者查询成本过高而没有必要核验的证件。金融机构毕竟不是有权机关，没有强制执行的权力，不需要对公共管理中的诚信缺失问题付出成本。防范、杜绝虚假证件本属于公共服务领域的职责，公共服务机构应当为此采取措施并付出成本。金融机构的职能是服务于社会公众，如果法律要求金融机构对凭借合理的谨慎也无法发现的虚假身份证件承担责任，金融机构势必付出比较高的成本来应对小概率的事件，这样不能够集中精力服务于公众，并且将导致公共服务成本大量重复性地转移至普通消费者。基于效率与成本的考虑，金融机构也不应当对已经谨慎履行职责的工作后果承担责任。

对于居民身份证，大都可以通过系统对接的方式进行验证，但验证证件的真伪与人证符合性判断不能完全等同，不能用验证证件为真的结果代替人证符合性判断。由于技术发展，伪造的证件的部分信息可能存在于基础数据库中，仅仅是部分信息比对一致尚不足以判断真伪。因此，实践中比较可靠的方式是，在验证居民身份证的真伪时，同时运用技术辅助措施，比如面部识别技术。在对“三证合一”的企业营业执照进行验证时，除了与国家主管部门开办的公示系统进行比对外，还应当通过扫描证件上的条码判断真伪。

金融机构在身份识别工作中因未尽谨慎义务导致虚假的证件被采信的，属于未按规定履行客户身份识别义务。金融机构在查验证件真伪中所负的谨慎义务的一般标准如下：其一对证件表面可见的瑕疵必须能辨别，忽略表面可见的瑕疵应认为未尽谨慎义务；其二所有用以查验和比对的证件都应当是原件或者是与原件有同等使用效果的复印件或者影印件，通常情况下，居民身份证复印件无法查验并输出比对结果，如果允许使用复印件，可以认为是未尽职责；其三不能违反身份识别中对证件的查验准则。金融机构的工作人员必须接受反洗钱培训，培训内容应包括反洗钱岗位技能培训，此为一项法定的义务，对常见的身份证件的真伪辨别属于基本技能。因此，金融机构需要对客户提交的身份证件的明显瑕疵承担未按规定履行客户身份识别义务的法律责任。

以下情况，应当视为金融机构未尽谨慎义务，应承担未按规定履行客户身份识别义务的行政责任：1.未对证件的原件进行核验；2.并非法定证件而允许使用，比如用驾驶证代替居民身份证；3.需要加盖公章的证件上没有加盖发证机关的公章。通常居民身份证不需要加盖公章，但非自然人客户的身份证件，一般需要加盖发证机关的公章，比如营业执照等证件；4.证件上加工公章的机关没有相应的职能，比如工商行政管理机关在食品流通许可证上盖章；5.证件上加盖公章的机关明显不存在，比如开户许可证上加盖的公章是“中国人民银行扬州分行”，实际上这个“扬州分行”不存在；6.证件上存在明显的错误。比如证件号码位数不正确、公民身份号码不符合编码规则等；7.有条件、有义务通过技术手段进行查验而未查验的，比如未扫描证件上的条码核验真伪的、未联网核查居民身份证的。

作者简介

刘乃晗，毕业于北京大学法学院，法学硕士，现为北京德恒律师事务所律师，主要研究方向和执业领域如下：

1、企业内控体系设计，内控组织架构及内控工作策略、目标。

2、企业合规、风控、反洗钱制度设计。

3、企业合规、风控体系有效期评估。

4、新产品合规性设计、系统流程设计。

5、新产品风控、洗钱风险评估。

6、反洗钱内控体系有效性评估。

7、业务系统、风控系统、反洗钱系统合规性设计及评估。

8、企业合规、风控、反洗钱培训，讲授及测试。

9、企业反洗钱审计。

10、企业洗钱风险评估，研判内外部洗钱风险，查找薄弱环节和漏洞，制定针对性的解决方案。风险评估报告可以提交给监管机构。

11、企业风控模型设计，风控规则及大数据分析模型。

12、企业可疑交易模型设计。

13、在不违反法律法规的前提下，提供共享风险信息，揭示行业和业务中的风险。

14、金融、支付业务许可证申请、续展文件编制。

15、报送监管机构的其他有关合规、风控、反洗钱文件的编制。

16、政策研究及规则解读，并提供前瞻性研究成果。