一、“风险为本”从原则到规则到实务落地

在以往规则为本的监管模式下，义务机构往往以清单的形式梳理要求，并依赖预设的模型执行合规动作。而随着《反洗钱法》的修订与监管的持续深化，我国已全面确立基于风险的监管框架[4]。法律明确要求“反洗钱措施应当与洗钱风险相适应”，这一底层逻辑的转换在近期密集出台的配套规章中得到了具象化体现。对于义务机构而言，这要求其内部制度文本尽快更新，也要求其在实务中以差异化和精细化的操作规程设计，重新理顺内部的风险控制与资源分配。通过梳理最新的法规，我们将该原则对实务的影响归纳为以下八项：

（一）三档分级的客户尽职调查制度

《反洗钱法》及配套规章明确规定，金融机构应当根据客户特征、交易活动的性质和风险状况，采取差异化的尽职调查（Customer Due Diligence）措施[5]。

表1. 客户尽职调查的三档分级

（二）金融机构洗钱风险自评估（SRA）与资源配置

进行整体洗钱风险自评估以及确定反洗钱资源投入时，需要采取差异化思路。对于固有风险或剩余风险处于较高等级的机构，其自评估周期和频率必须相应地缩短（将原则上不超过36个月的自评估间隔，加密至不超过24个月）[7]。同时，法规要求评估的方式与程度与金融机构自身经营规模和已识别出的风险状况相适应。这要求金融机构在反洗钱资源配置上优先向高风险领域倾斜，根据不同洗钱风险水平确定内部审计、合规检查的频率与深度[8]。

（三）基于客户评级的动态管控机制

在业务存续期间，持续的客户尽职调查需要与客户风险等级挂钩。金融机构应当根据客户的洗钱风险等级，确定重新审核客户身份的频率、交易监测规则以及采取措施的强度[9]。

（四）可疑交易监控与报告（STR）机制

“基于风险的原则”要求金融机构摆脱一刀切式的“防御性报告”的旧习惯。在义务机构确定从“案件特征化、到特征指标化，再到指标模型化”[10]的可疑交易准则的过程中，需要根据自身的资产规模、地域分布、业务特点及客户群体，持续优化契合自身风险特征的监测准则[11]，避免未经研判直接沿用系统厂商的默认设置，或不加区分直接使用厂商提供的模型。而在报告环节，机构应当结合客户身份、资金用途等情况进行综合分析，按照法规的要求，经过人工研判不能排除洗钱嫌疑时，才提交可疑交易报告（Suspicious Transaction Report, STR）。

（五）受益所有人（UBO）识别机制的风险梯度

受益所有人（Ultimate Beneficial Owner）的识别同样遵循风险分级原则。针对党政机关、事业单位、外国驻华使领馆等特定主体，法规豁免了金融机构核实其受益所有人的义务[12]。而对于非自然人客户股权结构复杂、存在多层嵌套导致结构不透明的情形，金融机构则被要求采取更严格的核实，和可包括将控制权或收益权的识别阈值从标准的25%下调至10%等降低排查门槛、扩大认定范围的措施[13]。

（六）平衡风险管理与基本金融服务

当客户及其交易存在较高洗钱风险时，金融机构有权采取限制交易方式、交易金额或频次，甚至拒绝或终止业务关系等洗钱风险管理措施。然而，采取这些措施必须平衡好管理风险与优化服务的关系，法规要求不得采取明显超过必要限度的机械化措施，应当保障客户依法享有的医疗、社会保障、公用事业等基本的、必需的金融服务底线[14]。

（七）新产品、新业务及新技术准入的风险评估

金融机构在开发新的产品业务类型，或在产品业务中应用新技术前，必须关注并评估其带来的洗钱风险，包括新技术对洗钱风险管控的既有措施带来显著影响的情况，并根据风险评级结果[15]采取相应的缓释措施后，方可准入。

（八）依托第三方开展尽职调查的风险评估机制

在依托第三方履行客户尽职调查义务时，金融机构必须实施风险评估，确保第三方机构具备相应的合规履职能力，符合法定的前置条件与风险管控规定[16]。例如，在合作收单业务实务中，银行机构时常通过收单机构履行反洗钱相关义务，但在收单机构因自身合规缺陷导致大额行政处罚频发的背景下，银行无疑更需要把好合作方准入的关口，对合作方的合规管理能力进行谨慎评估。

二、金融机构：响应不断深化的监管要求

（一）客户尽职调查、受益所有人识别与可疑交易报告机制的衔接

客户尽职调查、受益所有人识别与可疑交易报告是金融机构反洗钱体系中互为表里的三大核心支柱。受益所有人识别是客户尽职调查的关键环节，而客户尽职调查的执行深度则决定了受益所有人识别的穿透效果。这两项机制在执行过程中，一旦由于发现异常、遭遇阻碍或核对出重大差异导致金融机构对客户、客户的资金或者交易本身产生合理怀疑的，都应触发可疑交易报告，三个机制共同构成管控闭环。

在实务中，这三个环节的有效落地首先要求业务部门和合规部门具备对法规要求的透彻把握，客观上，还需要在业务办理效率与洗钱风险管控之间取得平衡。若缺乏系统性的控制规则设计，复杂的合规要求将显著增加一线的操作成本，也容易导致执行偏差。为确保合规动作的准确与高效，机构必须清晰地理顺客户尽职调查过程触发可疑交易报告的典型路径，并将其内化为各岗位的操作规程、固化为自动化的系统策略。

我们以部分高风险场景为例，梳理这三个机制的4类触发情形：

1. 受阻触发：因无法完成识别触发可疑交易报告

当金融机构在客户尽职调查中遭遇客户极度不配合、刻意隐瞒受益所有人，导致尽职调查无法推进时（例如客户拒绝提供有效身份证件，或使用伪造材料的），金融机构不仅应当依法限制、拒绝办理业务或终止业务关系，还必须将符合本机构内部操作规程并被确认为可疑交易的情形，在5个工作日内向中国反洗钱监测分析中心提交可疑交易报告[17]。

前端业务人员是反洗钱的第一道防线。为了避免人工判断带来的合规遗漏或引发柜面冲突，机构宜将此逻辑转化为系统中的必要提示。

2. 差异触发：外部备案信息比对与内部尽调的交叉核对

《金融机构客户受益所有人识别管理办法》则确立了一项双重校验机制：金融机构须将其在客户尽职调查过程中识别出的受益所有人信息，与国家市场监督管理总局和央行建立的受益所有人信息查询管理系统中的备案信息进行比对[18]。若发现由于备案信息不准确导致重大差异，机构应当在30个工作日内提交差异报告；而如果通过比对分析发现涉嫌洗钱或恐怖融资的，则应当同时报送可疑交易报告[19]。

这一要求对机构工作的细致程度、人员持续培训力度和获得外部数据支撑的能力都提出了新的挑战。对此，合规部门宜推动基于风险梯度的工作安排，优先将核查资源倾斜至高风险场景和所对应的客群。

3. 保密触发：规避泄密风险（Tipping-off）的快速通道

如果金融机构已有合理理由怀疑客户涉嫌洗钱或恐怖融资，并且判断继续开展客户尽职调查（如向客户进一步追问受益所有人信息或资金来源）可能会惊动潜在的犯罪分子时，客户尽职调查机制就需要为可疑交易报告机制让路。此时，金融机构可以合法地中止尽职调查，同时提交可疑交易报告[20]。

而这需要在内部审批流程和反洗钱系统中设置“高风险直报”的跳过通路，确保及时向监管部门报送。

4. 分析触发：基于特征研判的持续性报告

在常规的客户尽职调查和受益所有人识别过程中，若发现特定的高风险特征，金融机构必须启动强化的尽职调查核查并记录，无法排除嫌疑的情形的，必须正式提交可疑交易报告[21]。以部分法定高风险特征为例：

（1）UBO为外国政要或特定关系人，且资金或财富来源没有合理解释的[22]；

（2）非自然人客户的股权控制结构异常复杂（如存在多层循环嵌套、设立在离岸“避税天堂”等），且缺乏合理的商业目的的[23]；

（3）在持续的动态监测中，发现非自然人客户的控制权或核心高管发生重大且异常的变化的[24]。

新规重申了确认为可疑交易后“最迟不超过5个工作日”的报告时限。义务机构对每一笔可疑交易的排除或上报，都必须在系统中留下不可篡改的审批记录和完整的研判依据，确保证据链可回溯操作过程，实现业务、风控与合规的数据化闭环。

（二）特定金额触发的客户尽调（CDD）与大额交易报告（LVTR）

同时，法规为前述的客户尽职调查机制设置了金额门槛，与高度依赖前台部门与合规部门的人工研判的STR不同，大额交易报告（Large Value Transaction Report[25]）是典型的规则触发型义务。金融机构需要严格按照法定阈值执行。

图2. 金融机构CTR及CDD阈值速查表

1. 客户尽职调查（CDD）金额阈值规则

金融机构在建立业务关系（如开立账户、签订服务协议等）时，法律规定不论金额大小，必须开展CDD[26]。

银行业和从事汇兑的机构在提供一次性金融服务（含现金汇款、现钞兑换、票据兑付、实物贵金属买卖、销售金融产品等）时，金额阈值为单笔人民币达到或超过5万元，或外币等值达到或超过1万美元的[27]。

在办理向境外汇出资金的跨境汇款业务时，触发核实汇款人身份信息门槛的设置则更为严格：单笔达到或超过5000元人民币，或达到或超过1000美元的等值外币[28]。

2. 大额交易报告（CTR）阈值规则

现金收支业务（含现金缴存、支取、结售汇、现钞兑换、汇款、票据解付等）：不区分自然人与非自然人客户，单笔或当日累计达到或超过5万元人民币，或1万美元等值外币。

境内款项划转：自然人客户的阈值为单笔或当日累计达到或超过50万元人民币，或10万美元等值外币；非自然人客户（法人、非法人组织、个体工商户）的阈值则为单笔或当日累计达到或超过200万元人民币，或20万美元等值外币。

跨境款项划转：自然人客户阈值为单笔或当日累计达到或超过20万元人民币，或1万美元等值外币；非自然人客户阈值为单笔或当日累计达到或超过200万元人民币，或20万美元等值外币。

合规部门需定期审计系统抓取逻辑和业务数据，确保这些硬性阈值在核心系统升级或新产品上线时未被遗漏。

（三）特别预防措施（TFS）需嵌入业务系统

在第五轮反洗钱国际互评估背景下，定向金融制裁（Targeted Financial Sanctions, TFS）已成为金融机构必须执行的刚性合规义务。由中国人民银行等八部门联合制定的《反洗钱特别预防措施管理办法》重构了我国的TFS框架。执行TFS的首要前提是义务机构获取名单、并在正确时点触发阻断。

1. 锁定三类名单与四个触发时点

金融机构须密切关注相关国家机关认定发布的三类法定名单并执行阻断：第一，涉恐名单；第二，涉防扩散制裁名单；第三，重大洗钱风险名单[29]。在实操中，机构必须关注、及时获取并按规定时限将名单核查机制纳入反洗钱系统，并在所有业务[30]中为全量客户[31]设置四类法定触发机制，这意味着名单筛查系统与核心交易系统实现动态的联动逻辑控制：

（1）名单触发：三类名单发布或调整时，对存量业务进行回溯核查。

（2）准入触发：与客户建立业务关系或进行一次性交易前核查。

（3）交易触发：发生跨境资金转移、境内资金划转及汇款时，必须对交易的收付款人及其代理人进行核查。

（4）变化触发：关系存续期间，客户身份基本信息发生变更时根据名单进行核查。

2. 严守“立即阻断”与“不事先通知”的绝对红线

名单核查一旦命中，合规动作即需要马上开展，且必须严守红线：

（1）立即且穿透：必须立即停止提供服务、限制资金转移。核查与阻断不仅针对客户或者其交易对象及其代理人、还应依法穿透至受该客户指使的组织或者人员、其直接或者间接控制的组织[32]。

（2）绝对保密与一并冻结：采取限制转移措施时，必须立即执行，且绝对不得事先通知被采取措施的对象，以防范资金瞬时被转移耗散。机构仅允许在采取措施后以适当方式告知对象。如果相关组织或人员与他人共同拥有控制资金且无法分割，则必须一并采取限制措施。

（四）合规动作时间表

面对密集生效的新规，合规部门往往面临人手不足与系统模型亟待更新的双重困境。以终为始，反洗钱牵头部门需要全面梳理法定操作频率与时限，规划工作优先级，同时争取资源。根据现行核心法规，我们为金融机构整理了必须严格把控的法定时间表：

表2. 金融机构反洗钱合规法定操作时限与期限速查表

三、特定非金融机构：应对全新的义务

人民银行联合多部委密集出台了针对房地产、会计师、律师、公证、贵金属等五大特定非金融行业的单行管理办法，要理解这一系列规范性文件，需要了解其背后的深层逻辑——中国针对特定非金融行业（Designated Non-Financial Business and Professions, DNFBPs）的管控，在FATF的上一轮互评估中，被评定为不合规，而在此轮互评估中，特定非金融行业的履职有效性（Immediate Outcome）将被作为独立的版块予以考核评价。但与金融机构需要严格执行、且环环相扣的各项机制不同，监管机关对特定非金融机构做出了切合国情的务实安排：

（一）中国立法对国际标准的精准限缩

根据FATF建议22和23[53]，专业人士在介入资金/资产流转及协助设立公司/信托时，扮演着防止金融体系被滥用的“看门人”（Gatekeeper）职责。FATF要求在买卖不动产、管理资金账户、设立运营法人机构等5类情形下触发反洗钱义务，但明确豁免纯粹的诉讼代理、常规法律咨询以及仍然受保密特权保护的信息。

中国在《反洗钱法》的立法过程中，就此适用范围对FATF国际标准进行了具有针对性的本土化改造。由于我国公司设立的核心把关环节在市场监督管理部门，企业在登记注册时必须直接申报备案受益所有人信息，这本身已从源头上控制了空壳公司的风险[54]。因此，《反洗钱法》对DNFBPs采取了实质重于形式的要求，剔除了FATF标准中关于“法人或法律安排的设立、运营或管理”这一程序性表述所对应的监管范围，而为反洗钱要求适用的范围划定了“管钱、管资产”的边界。

只有当律所、会计师事务所和公证机构在接受委托并实际参与符合《反洗钱法》第六十四条第二款[55]有关的五类业务时，与之相关的反洗钱合规义务才会被触发，而这些机构的日常业务，例如纯粹的诉讼代理或未实际涉及资金筹措的企业设立程序性工作则不受反洗钱法及配套的部门规范性文件的调整。系列规范性文件背后的立法取向体现出我国在履行国际义务与控制全社会合规成本之间的制度平衡。

（二）基础合规机制的务实举措

相较于金融机构，特定非金融机构的涉及反洗钱的内控基础普遍较为薄弱。在实务操作上，DNFBPs也不宜盲目照搬金融机构的自动化监测系统和制度体系，而应当聚焦于建立成本可控、且具有将合规证据“留痕”作用的基础性合规机制。例如，建立标准化的客户接纳查验表单、完善的身份资料归档制度，并建立针对上述五类高风险业务的尽调流程，确保在承接特定业务时能够收集、保存完整的客户信息，并提供连贯的履职证据链，以满足国家有效性考核的基本底线。

（三）依托行业自律组织进行的日常监管

五部规范性文件明确规定行业自律组织：贵金属自律机制、中国房地产估价师与房地产经纪人学会、中国公证协会、中华全国律师协会以及中国注册会计师协会依法承担行业反洗钱自律管理、制定风险评估指引[56]、违规惩戒，以及协助提交可疑交易报告的职责。这是FATF标准（建议28）所允许的，也将极大缓解行政监管资源的压力。

图3. 针对不同类型义务机构的差异化反洗钱要求示意

四、双罚制下的尽职免责与机构的合规策略建议

面对反洗钱监管格局的深化，义务机构的合规工作必须将复杂的监管要求妥善嵌入前端业务流程。而伴随“双罚制”的全面升级，金融机构原有的、以规则为本合规体系，尤其是依赖行业通用的制度模板或沿用同业默认参数的信息系统构建的体系，将无法达到监管的要求。

缺乏定制化的做法往往导致纸面的规则要求与一线的实际执行能力出现脱节，而一旦发生违法行为的，行政处罚的认定界线将穿透至对负有责任的人员。人民银行和派出机构开出的罚单已经频繁涉及高额的个人追责，而对于情节严重的法定处罚还可上升至取消个人任职资格、禁止从事相关行业工作[57]。

义务机构合规工作的核心目标，必须包含打破业务与合规的脱节，通过扎实的制度设计与完善的系统支撑，在履行合规责任的同时，为尽职履责的各级管理层与一线从业人员构筑实质性的个人责任界定与免责机制。想要实现这一目标，机构不能依赖单一维度的整改，必须把总部的统筹领导与分支机构的落地执行有效结合，形成双向合力。

（一）总部层面：对标新规，落实统筹与减负

2026年起，金融机构总部（总行）须全面对标新规，在架构、机制、流程和系统等层面上发挥统筹与支撑作用：

1. 压实第一道防线的责任[58]。反洗钱从来不应是合规部门的单打独斗，义务机构需进一步明确业务部门承担洗钱风险管理的直接责任，将反洗钱要求实质性嵌入业务部门的合规制度与操作规则中。
    
2. 依据基于风险的原则，在低风险领域做减法。针对低风险客户群体或场景，依法制定简化的尽职调查流程，优化系统监测模型的信噪比，切实降低前台的营运成本，减少一线人员因面对超过实际承接能力的海量核查工作而导致合规动作变形。
    
3. 推进数智化转型与数据安全协同。反洗钱系统需要覆盖各类业务活动，全面获取客户信息和交易数据。同时，在跨区域、跨层级的信息共享中，总部需前瞻性地统筹反洗钱监测与客户隐私保护的内在张力，健全规范的个人信息保护机制[59]。

（二）分支机构层面：精细化管控与构建履职证据链

分支机构面临最直接的执行压力。分支机构能否落实精细化管控，直接决定了“尽职免责”机制能否在监管检查时发挥效用：

1. 确保执行完整与证据留痕。分支机构必须严格依照总行制度行事，每一次尽职调查、名单筛查及限制措施的审批，都需要经过内部规定的审批流程、在系统内留下可重现和追溯每笔交易的记录[60]，构建经得起监管审查的完整证据链条。
    
2. 落实阶梯式管控，防范涉诉风险。在业务前端实施风险管控时应避免过度限制。确需拒绝办理业务或终止业务关系时，必须经过充分的内部研判，确保限制措施的强度与风险等级相匹配，规避潜在的民事违约诉讼风险。
    
3. 平衡风险审查与基础金融服务。对于经自评估确认为低风险且无嫌疑的场景，应依法适用简化的客户尽职调查。避免因过度查问侵犯客户隐私，切实保障正常金融活动体验，从源头降低因管控措施引发的客户投诉与纠纷风险。