2025年12月20日,中国人民银行正式发布《金融机构客户受益所有人识别管理办法》(中国人民银行令〔2025〕第12号,以下简称“新《办法》”),自2026年1月20日起施行。
新《办法》的出台,标志着监管逻辑从过往侧重“信息收集”的形式合规,转向强调“控制权实质穿透”与“风险为本”的有效性合规。此次制度升级,与2024年11月1日施行的《受益所有人信息管理办法》(以下简称“备案《办法》”)形成“前端备案 + 后端识别”的双轮驱动格局:市场主体通过市场监管部门主动备案受益所有人信息,金融机构则在此基础上履行独立识别与核实义务,并通过差异反馈机制促进信息质量提升。
面对这一重大制度协同,金融机构亟需准确把握新规要义,部署应对策略。本文将从核心要求、主要变化与挑战、实务应对建议三个维度展开解读,助力机构平稳过渡、有效落地。
一、新规核心要求:构建以风险为导向的识别与核实闭环
新《办法》的核心目标,是建立贯穿客户全生命周期、以风险为基础的受益所有人识别与核实机制。其关键要求可归纳为以下四点:
(一)确立三大基本原则:风险导向、合理性与可靠性
新《办法》第四条首次在规章层面明确“基于风险”、“合理性”和“可靠性”三大原则。这意味着:
■识别措施应与客户洗钱风险等级相匹配,避免“一刀切”;
■机构须勤勉尽责,通过合理手段穿透识别实际控制关系;
■所依据的信息来源应具备独立性与可信度,支持交叉验证。
特别需要强调的是,系统查询仅是识别起点。根据新《办法》第四条第三款,金融机构不得仅通过查询中国人民银行受益所有人信息查询管理系统或依赖批量化、自动化手段,替代必要的人工风险判断和受益所有人识别核实。
(二)系统化识别标准与分类管理机制
新《办法》第八条沿用并细化了《受益所有人信息管理办法》第六条确立的三层识别标准:
1.股权/权益标准:直接或间接拥有25%以上股权、股份或合伙权益;
2.收益/表决权标准:虽未达25%股权,但享有25%以上收益权或表决权;
3.实际控制标准:虽未满足前两项,但单独或联合对客户实施实际控制(如决定人事任免、重大决策、财务收支等)。
若三层均无法识别,则将“负责日常经营管理的人员”作为兜底受益所有人(如公司法定代表人、执行事务合伙人等)。
同时,新《办法》第十条、第十一条对特定主体设定了豁免或简化识别安排:
■豁免识别:机关法人、事业单位、村委会等;
■简化识别:国有独资/控股公司(可将法定代表人视为受益所有人)、个人独资企业(可将投资人视为受益所有人)、农民专业合作社(可将法定代表人视为受益所有人)等。
补充小Tips:对于国有参股公司,可不再识别国有资本部分的受益所有人(参照《备案<办法>》第七条及《受益所有人信息备案指南(第一版 )》4.1)。
(三)“差异反馈”,强化信息校验机制
“差异反馈”机制旨在打通“市场主体自主申报”与“金融机构独立识别”之间的信息闭环,推动全国受益所有权数据质量持续提升。核心要求包括新《办法》第二十七至三十条:
■金融机构必须将自行识别的受益所有人信息与央行查询系统中的备案信息进行比对;
■若发现重大差异(如受益所有人不匹配、关键身份信息不一致、权益比例或控制方式存在实质性偏差等),且有合理理由认为该差异系因备案信息不准确所致,则须在发现差异之日起30个工作日内提交差异报告;
■若差异源于自身识别错误,应主动更正内部记录,无需上报;
■若属于非重大差异(如姓名拼写差异、不影响认定的权益比例微调等),无需报告,但应记录分析过程并向客户提示;
■若发现客户依法应当备案但未备案,经提示后仍未备案的,也应提交差异报告。
(四)强化全流程风险管理与动态更新
新《办法》要求将受益所有人信息深度融入洗钱风险管理体系:
■不仅在业务关系建立时识别,更需在存续期间持续监控;
■当客户发生股权变更、控制权转移、结构重组等触发事件时,应及时重新识别;
■对高风险客户(如来自FATF高风险国家、采用多层嵌套架构、存在代持安排等),应采取加强型措施,包括但不限于:
•获取代持协议、一致行动协议等证明文件;
•将识别阈值由25%下调至10%;
•提高审核频率或开展实地走访。
二、主要变化与实务挑战
相较既有规范,新《办法》在理念、标准与责任边界上均带来深刻变革,亦对机构能力提出更高要求。
(一)识别逻辑:从“单一股权标准”到“三层穿透+兜底认定”
新《办法》第八条确立递进式三层标准,并强调“层层穿透”至自然人。此逻辑要求机构超越工商登记表象,深入分析实际控制链条。
提示:“实际控制”的判断可参考是否存在关键人事任命权、资金调拨权限、重大合同签署权等实质要素,而非仅依赖法律形式。
(二)管理要求:从“静态采集”到“动态核实+强制反馈”
新《办法》第二十四条明确要求持续识别与更新,并在第四章规定差异反馈义务。这要求机构:
■建立触发机制(如股权变更、年报更新、舆情预警);
■设计内部流程,涵盖系统比对、差异评估、客户沟通、报告审批与留痕;
■确保与央行查询系统的稳定对接。
(三)责任边界:从“信息接收者”到“独立风险判断者”
新规反复强调“合理性”与“勤勉尽责”。这意味着:
■客户自行提供的章程、股东名册等材料仅为初步证据;
■对于结构复杂客户(如VIE架构、家族信托、离岸SPV),机构须主动通过公开渠道(如国家企业信用信息公示系统、境外注册数据库)、第三方工具或实地验证等方式进行交叉核实;
■最终识别结论应基于可验证证据链,而非客户单方陈述。
这对一线人员的专业判断力与调查能力构成实质性考验。
(四)存量整改:时间紧、任务重、优先级高
对于未满足新《办法》有关受益所有人识别标准或者识别核实要求的存量非自然人客户,新《办法》第三十九条设定了分阶段过渡期:
■较高风险及以上存量客户:应于2026年7月20日前完成重新识别与核实;
■全部存量客户:应于2028年1月20日前完成。
鉴于覆盖范围广、数据质量参差,金融机构需尽快启动客户风险分级、信息缺口分析与资源调配,优先攻坚高风险群体。
三、实务应对建议
为有效应对新规,建议金融机构从以下四方面着手:
(一)制度与流程再造
■全面修订内控制度:将三层识别标准、豁免/简化条件、加强措施触发情形、差异反馈流程等嵌入操作规程;
■建立差异反馈机制:明确合规、科技、业务部门职责,设计“查询—比对—评估—审批—报送—归档”全链条流程;
•区分差异性质(自身错误 vs 备案错误);
•对需上报情形,严格在30个工作日内完成系统报送;
•完整保存差异分析记录、客户沟通证据及佐证材料。
■制定分阶段整改计划:按客户风险等级排序,优先处理高风险、复杂结构客户,确保过渡期合规。
补充小Tips:同步更新客户告知书,依据《个人信息保护法》第十七条,明示受益所有人信息收集的法律依据、用途、保存期限及客户权利。
(二)系统与工具升级
■改造客户信息系统:新增“权利类型”“权益比例”“控制方式”“形成/终止时间”等字段,支持完整记录;
■优化简化识别场景:对上市公司等适用简化程序的客户,仅采集必要信息(如姓名、国籍、身份证件类型及号码);
■引入智能穿透工具:部署企业图谱、股权穿透分析平台,辅助识别多层嵌套结构。
(三)培训与能力建设
■分层开展培训:
•前台:掌握客户沟通话术与资料收集规范;
•中台:理解“实际控制”判断标准与加强措施触发条件;
•后台:熟悉差异报告流程与监管报送要求。
■强化案例教学:通过典型场景(如代持、一致行动、境外控股)训练风险识别与调查能力;
■区分“收集”与“核实”:强调后者需依赖独立、可靠来源进行交叉验证,而非被动接收。
结 语
《金融机构客户受益所有人识别管理办法》的发布,是中国反洗钱体系从“合规数量”迈向“合规质量”的关键一步。对金融机构而言,这既是严峻的合规考验,更是提升客户尽职调查深度、夯实反洗钱防线的战略契机。唯有将“风险为本”与“实质穿透”内化为组织基因,方能在新一轮监管升级中行稳致远,真正筑牢金融安全的第一道屏障。
中汇反洗钱咨询核心团队来自国际知名咨询机构反洗钱咨询团队以及一线金融机构,长期致力于为金融机构包括银行、保险、证券、支付等提供多元化的反洗钱服务,可为金融机构提供全方位、定制化的合规支持,助力高效应对《金融机构客户受益所有人识别管理办法》新规要求。依托对“三层穿透+兜底认定”识别逻辑、“风险为本”原则及“差异反馈”机制的深度理解,协助客户开展制度流程再造、存量客户分层整改、系统字段优化与智能工具部署。同时,提供差异比对分析、加强型尽调方案设计、高风险客户识别策略及一线人员实操培训等服务,可协助机构在2026年1月20日新规施行前完成关键准备,亦可协助机构在2028年前平稳完成全部存量客户整改,切实提升受益所有人识别的准确性与合规有效性。
作者:中汇咨询合伙人 丘振球 / 总监 邓建辉 / 高级经理 高婧雯
本文版权属于作者所有,更多与本文有关的信息,请联系我们:
电话:0571-88879193
