第三十五条  法人金融机构应当从国家/地域、客户及业务（含产品、服务）等维度进行综合考虑，确立风险因素，设置风险评估指标。

国家/地域风险因素应当考虑:1.在高风险国家（地区）设立境外分支机构情况；2.交易对手或对方金融机构涉及高风险国家（地区）情况；3.境外分支机构数量及地域分布情况；4.高风险国家（地区）经营收入占比等。

客户风险因素应当考虑:1.非居民客户数量占比；2.离岸客户数量占比；3.政治公众人物客户数量占比；4.使用不可核查证件开户客户数量占比；5.职业不明确客户数量占比；6.高风险职业（行业）客户数量占比；7.由第三方代理建立业务关系客户数量占比；8.来自高风险国家（地区）的客户情况；9.被国家机关调查的客户情况等。

业务（含产品、服务）风险因素应当考虑:1.现金交易情况；2.非面对面交易情况；3.跨境交易情况；4.代理交易情况；5.公转私交易情况；6.私人银行业务情况；7.特约商户业务情况；8.一次性交易情况；9.通道类资产管理业务情况；10.场外交易情况:11.大宗交易情况；12.新三板协议转让业务；13.场外衍生品业务；14.保单贷款业务等。

法人金融机构应从制度体系、组织架构和洗钱风险管理文化的建设情况、洗钱风险管理策略、风险评估制度和风险控制措施的制定和执行情况等维度进行综合考虑，设置风险控制措施有效性的评估指标。

评估指标的具体比重及分值设置由法人金融机构根据有效的洗钱风险管理需要自主确定。

第三十六条  洗钱风险评估包括定期评估和不定期评估。法人金融机构应当根据本机构实际和国家/区域洗钱风险评估需要，合理确定定期开展全系统洗钱风险评估的时间、周期或频率。

不定期评估包括对单项业务（含产品、服务）或特定客户的评估，以及在内部控制制度有重大调整、反洗钱监管政策发生重大变化、拓展新的销售或展业渠道、开发新产品或对现有产品使用新技术、拓展新的业务领域、设立新的境外机构、开展重大收购和投资等情况下对全系统或特定领域开展评估。

为有效开展洗钱风险评估工作，法人金融机构应当建立并维护业务（含产品、服务）类型清单和客户种类清单。

第三十七条  法人金融机构应当根据洗钱风险评估结果，结合客户身份识别、客户身份资料和交易记录保存、交易监测、大额交易和可疑交易报告、名单监控、资产冻结等反洗钱义务制定风险控制措施，并融入相关业务操作流程，有效控制洗钱风险。

第三十八条  法人金融机构应当建立内部不同层次的洗钱风险报告制度。境内外分支机构、相关附属机构应当及时向总部反洗钱管理部门报告洗钱风险情况；各业务条线、业务部门应当及时向反洗钱管理部门报告洗钱风险情况，包括风险调整变动情况、风险评估结果等；反洗钱管理部门应当及时向董事会和高级管理层报告洗钱风险情况，包括洗钱风险管理策略、政策、程序、风险评估制度、风险控制措施的制定和执行情况以及洗钱风险事件等。

第三十九条  法人金融机构应当制定应急计划，确保能够及时应对和处理重大洗钱风险享件、境内外有关反洗钱监管措施、重大洗钱负面新闻报道等紧急、危机情况，做好舆情监测，避免引发声誉风险。应急计划应当说明可能出现的重大风险情况及应当采取的措施。法人金融机构的应急计划应当涵盖对境内外分支机构和相关附属机构的应急安排。

第四十条  法人金融机构应当通过妥善方式记录开展洗钱风险管理的工作过程，采取必要的管理措施和技术手段保存工作资料，保存方式应当保证洗钱风险管理人员获取相关信息的便捷性。

第四十一条  法人金融机构应当健全内部控制机制，按照《中华人民共和国反洗钱法》、《中华人民共和国国家安全法》《中华人民共和国网络安全法》和有关保密规定，严格保护反洗钱工作中获得的信息，非依法律规定，不得向任何单位和个人提供。

法人金融机构应当建立跨境信息保密保障措施，对于在开展跨境业务、应对跨境监管等过程中所涉的客户、账户和交易信息、可疑交易报告等信息，应当严格控制跨境信息知悉范围和程度，建立完善的内部跨境信息传递体系、风险控制流程和授权审批机制。

境外有关部门因反洗钱和反恐怖融资需要要求其提供客户、账户、交易信息及其他相关信息的，法人金融机构应当告知对方通过外交途径、司法协助途径或金融监管合作途径等提出请求不得擅自提供。有关国内司法冻结、司法查询、可疑交易报告、行政机构反洗钱调查等信息不得对外提供。

境外清算代理行因反洗钱和反恐怖融资需要要求提供除汇款信息、单位客户注册信息等以外的客户身份信息、交易背景信息的，法人金融机构应当在获得客户授权同意后提供；客户不同意或未获得客户授权同意的，法人金融机构不得提供。

第四十二条  出于洗钱风险管理需要，法人金融机构应当建立内部信息共享制度和程序，根据信息敏感度及其与洗钱风险管理的相关性确定信息共享的范围和程度，制定适当的信息共享机制，明确信息安全和保密要求，建立健全信息共享保障措施，确保信息的及时、准确、完整传递。

法人金融机构反洗钱管理部门、审计部门等部门为履行反洗钱工作职责，有权要求境内外分支机构和相关附属机构提供客户、账户、交易信息及其他与洗钱风险管理相关的信息。

第五章  风险管理政策和程序——措施

第四十三条  法人金融机构按照反洗钱法律法规和监管要求所采取的客户身份识别、客户身份资料和交易记录保存、大额交易和可疑交易报告等措施是满足反洗钱合规性要求的最低标准，情节严重的违法行为将受到处罚。为有效管理洗钱风险，法人金融机构应当在此基础上，采取更有针对性、更严格、更有效的措施。

第四十四条  法人金融机构应当按照规定建立健全和执行客户身份识别制度，遵循“了解你的客户”的原则，针对具有不同洗钱风险的客户、业务关系或交易，采取相应的控制措施，通，过可靠和来源独立的证明文件、数据信息和资料核实客户身份了解客户建立、维持业务关系的目的及性质，了解实际控制客户的自然人和交易的实际受益人。

客户身份识别措施包括但不限于以下方面:在建立业务关系时的客户身份识别措施、在业务关系存续期间的持续识别和重新识别措施、非自然人客户受益所有人的识别措施、对特定自然人和特定类别业务的客户身份识别措施以及客户洗钱风险分类管理措施等。

在建立业务关系时，法人金融机构为不影响正常交易，可以在建立业务关系后完成对客户的身份核实，但应当建立相应的风险管理机制和程序，确保客户洗钱和恐怖融资风险可控。在业务关系存续期间，法人金融机构应详细审查保存的客户资料和交易，及时更新客户身份信息，确保当前进行的交易与客户身份背景相匹配。

第四十五条  法人金融机构应当按照规定建立客户身份资料和交易记录保存制度，强化内部管理措施，更新技术手段，逐步完善相关信息系统，统筹考虑保存范围、方式和期限，确保客户身份信息和交易记录完整准确。法人金融机构应当建立适当的授权机制，明确工作程序，按照规定将客户身份信息和交易记录迅速、便捷、准确地提供给监管机构、执法机构等部门。

第四十六条  法人金融机构应当构建以客户为基本单位的交易监测体系，交易监测范围应当覆盖全部客户和业务领域，包括客户的交易、企图进行的交易及客户身份识别的整个过程。法人金融机构应当根据本行业、本机构反洗钱工作实践和真实数据，重点参考本行业发生的洗钱案件及风险信息，结合客户的身份特征、交易特征或行为特征，建立与其面临的洗钱风险相匹配的监测标准，并根据客户、业务（含产品、服务）和洗钱风险变化情况及时调整。

第四十七条  法人金融机构应当建立健全大额交易和可疑交易报告制度，按照规定及时、准确、完整向中国反洗钱监测分析中心或中国人民银行及其分支机构提交大额交易和可疑交易报告。

法人金融机构应当结合实际探索符合本机构特点的可疑交易报告分析处理模式，运用信息系统与人工分析相结合的方式，完整记录可疑交易分析排除或上报的全过程，完善可疑交易报告流程，提高可疑交易报告质量。

法人金融机构在报送可疑交易报告后，应当根据中国人民银行的相关规定采取相应的后续风险控制措施，包括对可疑交易所涉客户及交易开展持续监控、提升客户风险等级、限制客户交易、拒绝提供服务、终止业务关系、向相关金融监管部门报告、向相关侦查机关报案等。

第四十八条  法人金融机构应当建立反洗钱和反恐怖融资监控名单库，并及时进行更新和维护。监控名单包括但不限于以下内容:

（一）公安部等我国有权部门发布的恐怖活动组织及恐怖活动人员名单；

（二）联合国发布的且得到我国承认的制裁决议名单；（三）其他国际组织、其他国家（地区）发布的且得到我国承认的反洗钱和反恐怖融资监控名单；

（四）中国人民银行要求关注的其他反洗钱和反恐怖融资监控名单；

（五）洗钱风险管理工作中发现的其他需要监测关注的组织或人员名单。

第四十九条  法人金融机构应当对监控名单开展实时监测涉及资金交易的应当在资金交易完成前开展监测，不涉及资金交易的应当在办理相关业务后尽快开展监测。在名单调整时，法人金融机构应当立即对存量客户以及上溯三年内的交易开展回溯性调查，并按规定提交可疑交易报告。

法人金融机构在洗钱风险管理工作中发现的其他需要监测关注的组织或人员名单，可以根据洗钱风险管理需要自主决定是否开展实时监测和回溯性调查。

实时监测和回溯性调查应当运用信息系统与人工分析相结合的方式，通过信息系统实现监控名单精准匹配的自动识别工作，或先通过信息系统实现监控名单模糊匹配的初步筛查，再通过人工分析完成监控名单模糊匹配的最终识别工作。交易的回溯性调查可以采取信息系统实时筛查与后台数据库检索查询相结合的方式开展。

第五十条  有合理理由怀疑客户或其交易对手、资金或其他资产与监控名单相关的，应当按照规定立即提交可疑交易报告。客户与监控名单匹配的，应当立即采取相应措施并于当日将有关情况报告中国人民银行和其他相关部门。具体措施包括但不限于停止金融账户的开立、变更、撤销和使用，暂停金融交易，拒绝转移、转换金融资产，停止提供出口信贷、担保、保险等金融服务，依法冻结账户资产。暂时无法准确判断客户与监控名单是否相匹配的，法人金融机构应当按照风险管理原则，采取相应的风险控制措施并进行持续交易监控。

第五十一条  法人金融机构应当有效识别高风险业务（含产品、服务），并对其进行定期评估、动态调整。

对于高风险业务（含产品、服务），如建立账户代理行关系、提供资金或价值转移服务、办理电汇业务等，法人金融机构应按照相关法律法规的要求，开展进一步的强化尽职调查措施，并结合高风险业务（含产品、服务）典型风险特征及时发布风险提示。

第五十二条  法人金融机构应当制定并执行清晰的客户接纳政策和程序，明确禁止建立业务关系的客户范围，有效识别高风险客户或高风险账户，并对其进行定期评估、动态调整。对于高风险客户或高风险账户持有人，包括客户属于政治公众人物、国际组织高级管理人员及其特定关系人或来自高风险国家（地区）的，法人金融机构应当在客户身份识别要求的基础上采取强化措施，包括但不限于进一步获取客户及其受益所有人身份信息，适当提高信息的收集或更新频率，深入了解客户经营活动状况、财产或资金来源，询问与核实交易的目的和动机，适度提高交易监测的频率及强度，提高审批层级等，并加强对其金融交易活动的跟踪监测和分析排查。

第六章  信息系统和反洗钱数据、信息

第五十三条  法人金融机构应当建立完善以客户为单位，覆盖所有业务（含产品、服务）和客户的反洗钱信息系统，及时、准确、完整采集和记录洗钱风险管理所需信息，对洗钱风险进行识别、评估、监测和报告，并根据洗钱风险管理需要持续优化升级系统。

第五十四条  反洗钱信息系统及相关系统应当包括但不限于以下主要功能，以支持洗钱风险管理的需要。

（一）支持洗钱风险评估，包括业务洗钱风险评估和客户洗钱风险分类管理；

（二）支持客户身份识别、客户身份资料及交易记录等反洗钱信息的登记、保存、查询和使用；

（三）支持反洗钱交易监测和分析；

（四）支持大额交易和可疑交易报告；

（五）支持名单实时监控和回溯性调查；

（六）支持反洗钱监管和反洗钱调查。

第五十五条  在保密原则基础上，法人金融机构应当根据工作职责合理配置本机构各业务条线、各境内外分支机构和相关附属机构、各岗位的信息系统使用权限，确保各级人员有效获取洗钱风险管理所需信息，满足实际工作需要。

第五十六条  法人金融机构应当加强数据治理，建立健全数据质量控制机制，积累真实、准确、连续、完整的内外部数据，用于洗钱风险识别、评估、监测和报告。反洗钱数据的存储和使用应当符合数据安全标准、满足保密管理要求。

法人金融机构不得违反规定设置信息壁垒，阻止或影响其他法人金融机构正常获取开展反洗钱工作所必需的信息和数据。

第七章  内部检查、审计、绩效考核和奖惩机制

第五十七条  法人金融机构应当对业务部门、境内外分支机构、相关附属机构开展定期或不定期的反洗钱工作检查，对检查结果进行分析，对发现的问题进行积极整改。检查结果与业务部门、境内外分支机构、相关附属机构绩效考核和管理授权挂钩。

第五十八条  法人金融机构应当通过内部审计开展洗钱风险管理的审计评价，检查和评价洗钱风险管理的合规性和有效性，确保各项业务自身管理与其洗钱风险管理工作相匹配，反洗钱内部控制有效。审计范围、方法和频率应当与洗钱风险状况相适应。反洗钱内部审计可以是专项审计或与其他审计项目结合进行。

法人金融机构应当确保反洗钱内部审计活动独立于业务经营、风险管理和合规管理，遵循独立性、客观性原则，不断提升内部审计人员的专业能力和职业操守。

反洗钱内部审计报告应当提交董事会或其授权的专门委员会。董事会或其授权的专门委员会应当针对内部审计发现的问题，督促高级管理层及时采取整改措施。内部审计部门应当跟踪检查整改措施的实施情况，涉及重大问题的整改情况，应及时向董事会或其授权的专门委员会提交有关报告。

第五十九条  法人金融机构委托外部审计机构对洗钱风险管理工作开展评价的，外部审计必须确保审计范围和方法科学合理，审计人员具有必要的专业知识和经验，审计工作应当满足反洗钱保密要求。

第六十条  法人金融机构应当将反洗钱工作评价纳入绩效考核体系，将董事、监事、高级管理人员、洗钱风险管理人员的洗钱风险管理履职情况和业务部门、境内外分支机构和相关附属机构的洗钱风险管理履职情况纳入绩效考核范围。

法人金融机构应当建立反洗钱奖惩机制，对于发现重大可疑交易线索或防范、遏止相关犯罪行为的员工给予适当的奖励或表扬；对于未有效履行反洗钱职责、受到反洗钱监管处罚、涉及洗钱犯罪的员工追究相关责任。

第八章  附则

第六十一条  未设立董事会和监事会的法人金融机构，由其高级管理层承担洗钱风险管理的最终责任，履行相应职责，并指定一个独立于反洗钱管理部门的内设部门承担洗钱风险管理的监督职责。

法人金融机构根据本机构业务实际对反洗钱信息系统及其他相关系统的开发、日常维护及升级等工作作出其他安排的，应当确保相关安排满足洗钱风险管理需要。

第六十二条  非银行支付机构、从事汇兑业务和基金销售业务的机构，以及银行卡清算机构、资金清算中心等从事清算业务的机构参照本指引开展洗钱风险管理。

第六十三条  本指引由中国人民银行负责解释。

第六十四条  本指引自2019年1月1日起施行。