GDPR和欧盟“反洗钱”指令——监管拉锯战?

伯娜丁里斯,董事总经理风险与合规,英国Protiviti

2018年5月25日生效的《一般数据保护条例》的影响将在未来一段时间内显现。GDPR将对金融服务行业构成持续重大挑战的一个领域是根据反洗钱(AML)法规制定的个人数据收集和处理义务。“反洗钱”与隐私要求之间的紧张关系并不新鲜,但GDPR对数据隐私要求的不断升级,使其成为新的焦点。

一方面,“反洗钱”规定要求收集、处理和分析大量的个人数据,以防止金融服务业被利用为洗钱和金融犯罪的手段。另一方面,GDPR不仅对如何、何时以及为何收集、处理和使用个人数据进行了限制,还扩大了个人数据的定义,将根据“反洗钱”法规收集的所有信息完全纳入GDPR的管辖范围。

因此,这两套要求——一套旨在限制个人数据的使用,另一套旨在最大化个人数据的使用——在公司的总体合规框架中制造了一些紧张点。在这篇博客文章中,我们探讨了这种比喻性的拔河,强调了一些企业需要注意的潜在冲突,并就企业如何调整其合规政策和流程提供了建议。

两个世界的故事——AML和GDPR

“反洗钱”规则要求为以下首要任务收集、处理和使用个人数据,以遵守监管义务:

  • 客户尽职调查(包括强化和简化尽职调查);
  • 事务监控;
  • 行为监控;
  • 内部数据共享(包括组内);
  • 对外数据共享(包括与监管机构和其他金融机构);
  • 数据共享的外包安排;和
  • 数据的跨境处理(特别是国际支付的处理)。

欧盟(EU)第5条“反洗钱”指令及其进一步提出的修改(称为“第6条”洗钱指令)也将扩大这些要求的范围,将其覆盖到虚拟和数字货币等新领域。

《GDPR》对“个人资料”(指任何与已识别或可识别的自然人(“资料当事人”)有关的资料,作出了广义的定义。可识别的自然的人是可以确定的,直接或间接,特别是通过引用一个标识符,比如名字,身份证号码,位置数据或一个在线标识符,或到一个或多个因素具体的物理、生理、遗传、心理、经济、文化和社会身份的自然人。

GDPR规定了适用于个人数据的处理六项保障资料原则。简言之,这些原则规定个人资料必须是:

  • 以合法、公平和透明的方式处理与个人的关系
  • 为指定的、明确的和合法的目的而收集,而不以与这些目的不相容的方式进行进一步处理
  • 充分的、相关的和限于与处理数据的目的有关的必要的东西
  • 准确,并在必要时保持最新
  • 保持在允许数据检体的确定不长于必要针对该个人数据被处理的目的,形式
  • 耗时,确保个人数据的适当的安全性的方式

在GDPR,在没有明确的“法律依据”的数据的处理是违反,可以吸引高达2000万欧元,全球营收中,以较高者为准的4%的罚款。企业必须处理个人数据证明其合法的基础上,这可能是一个或多个由GDPR建立以下六个合法基地:

  • 同意
  • 合同义务
  • 法律义务
  • 为资料当事人的切身利益所必需
  • 为公共利益所必需的
  • 为了合法的目的/利益

然而,基于风险的“反洗钱”合规方法有许多变体。这导致了不同程度的个人数据收集和使用,这与GDPR的六个合法基础方法并不总是一致。

探索的挑战

以下是由于两套法规之间的紧张关系,金融公司可能面临的一些关键挑战:

  • 法律依据的文件 -为了遵守“反洗钱”法规,企业需要为处理(包括收集)个人数据提供法律依据。事实证明,这是具有挑战性的,因为这些规则往往是基于原则的,需要开发一种基于风险的方法。举例来说,业内在处理个人资料方面的一些主要假设,例如风险评级、风险指标、危险信号等,并非严格源自法律责任,也不代表利益(合法、公众、重要等)。因此,在某些情况下,公司可能需要获得同意以保持数据的目的。该同意必须明确,并符合GDPR的严格要求,即该同意是自由给予的、知情的和具体的。(如上文所述,未经同意处理资料属合法。)考虑一下了解客户的客户(KYCC)与高风险服务(如代理银行或共享帐户产品)之间的关系的影响,挑战就会变得清晰起来。同样,由于收集的数据必须与客户的风险水平成比例,公司可能需要重新检查他们为低风险客户收集相同数据的做法,因为他们为高风险客户收集相同的数据。
  • 校正不准确数据- - - - - -在GDPR下,保持最新的数据也更为重要。从历史上看,公司并不总是善于更新客户文件。现在,这不仅应被视为“反洗钱”的监管义务,也应被视为GDPR的要求,特别是在依赖数据做出影响客户获取银行或金融服务能力的决策时。此外,在为客户创建“反洗钱”风险档案而进行在线或其他数据库检索时,企业将不得不使用可靠和有信誉的数据源,这将给金融服务行业和数据源提供商增加额外的负担,以确定所使用信息的可靠性。
  • 数据安全- - - - - -数据安全对于遵从GDPR来说是不可或缺的,企业需要审查谁有权访问AML合规所需的客户数据,包括作为KYC活动和交易监控警报的一部分而收集和处理的所有数据。公司将必须仔细审查这些数据的使用,并记录员工可能需要接触这些数据的访问要求。个人资料应在“需要知道”的基础上分享。企业还必须找到保护“休眠”个人数据的方法,这些数据不再与现有业务关系有关,但根据“反洗钱”规定,这些数据必须保存至少5年。
  • 隐私声明- - - - - -考虑到数据对象的知情权的处理和使用他们的个人数据,公司将不得不考虑他们需要采取的步骤通知个人客户和有益的所有者(BOs)的各种类型的企业客户公司的隐私通知和法律基础处理个人数据。事实上,这些BOs有时与企业客户的关系有两到三步之遥,这也是一个需要考虑的复杂因素。
  • 保留- - - - - -“反洗钱”规则和/或内部政策可能要求在导致处理的业务关系结束后很长时间内保留个人数据。这与GDPR有直接关系,后者规定数据保留的时间不得“超过处理个人数据所需的时间”。
  • 外包和安全传输给第三方- - - - - -今天的公司正在外包更广泛的活动。企业需要实施控制措施,监控其供应商和第三方遵守“反洗钱”和“GDPR”法规的能力。企业应考虑将这些合规要求——以及对这些要求进行审计的权利——直接纳入其第三方合同。

受监管的公司应该做什么?

总之,企业应详阅GDPR和反洗钱法规重叠的区域,并作为优先事项这样做。企业必须开始记录的法律依据收集和处理个人数据,并建立适当的隐私声明,他们必须进一步评估它们是否以及如何应对这些挑战上方适当突出。从中期来看,这些法规之间的紧张关系被设定为随着公司整合新的数据类型和技术纳入其反洗钱合规控制。例如,在前面的企业也许已经举行了护照复印件,今天他们可能会举行一个语音模式或生物识别数据。随着企业推出的项目中使用这些新的数据类型和技术,符合GDPR应纳入他们的计划从一开始 - 牢记相当的处罚GDPR将为个人数据限制非法使用和违规带来的。

该意见包含在本文的目的是帮助企业与他们的合规工作。然而,所提供的信息并不打算成为法律分析或建议。企业应该寻求法律咨询或其他适当的顾问的建议就具体问题,因为它们涉及到他们的特殊情况。

添加评论

关注我们