在欧洲，合规与 KYC 密不可分。欧盟指令虽推动了法律规范的统一，但各成员国间仍存在差异。本文将阐释 KYC 概念，以及德国相关程序为何不同于其他欧盟国家。我们同时会说明 KYC 对德国企业的重要性，及其必须满足的法定要求。

目录

• 什么是 KYC 及其目的？
  
• 德国 KYC 要求存在差异的原因及表现？
  
• 德国企业需满足哪些 KYC 要求？
  

什么是 KYC 及其目的？

KYC是“客户身份验证” (Know Your Customer) 的缩写。该原则设定了打击洗钱、恐怖融资、欺诈、腐败等金融犯罪的国际标准。其包含一系列主要针对账户持有者身份验证、所有权结构及经济背景的法规与程序。

KYC 流程能揭示新老商业关系中的潜在风险——例如空壳公司或来源可疑的资金。对企业而言，其价值在于通过客户识别预防欺诈，本质是验证客户身份真实性。

全球多个行业均采用 KYC，特别是在涉及金融操作与监管合规的领域，关键行业包括：

• 金融领域： 银行、保险公司、信贷机构和支付服务商依法必须执行 KYC 措施。
  
• 电商和交易市场： 涉及金融交易的平台使用 KYC 来防范欺诈。
  
• 金融科技和加密货币： 加密货币交易所和钱包提供商必须验证客户身份以防止洗钱等行为。
  
• 房地产行业： 在购买或经纪房地产时需审查客户的经济状况。
  
• 法律和商业咨询： 律师事务所和审计机构使用 KYC 来核实客户和合作伙伴。
  

在许多国家/地区，KYC 是监管义务的关键组成部分。然而，具体标准因地区差异很大，这对跨国经营的企业构成挑战。有些国家/地区要求严格；其他国家/地区则较为灵活。

在美国，KYC 合规规定相对严格。《美国爱国者法案》和《银行保密法》要求进行全面身份核查，以早期发现和预防非法资金流动。金融机构必须认证客户身份并持续监控其交易，以报告可疑活动。

KYC 在亚洲日益重要。在新加坡和香港等金融中心，银行和其他服务提供商都有明确的身份验证指南。《欧盟第六项反洗钱指令》 (6AMLD) 为 KYC 制定了适用于所有欧盟成员国的统一最低标准。尽管目标一致，但在具体实施上仍存在国家/地区差异。

德国 KYC 要求存在差异的原因及表现？

德国企业在 KYC 合规方面面临特殊挑战。这其中有多种原因。

法律法规

在德国，《严重犯罪所得追查法》即《反洗钱法》 (GwG) 实施了欧盟反洗钱指令 (AMLD)。与国际政策相比，GwG 相对严格且详细。对客户身份验证、文件和报告义务的要求很高。例如，德国银行不仅在开户或大额交易时进行 KYC 检查，还会定期监控业务关系，以便早期发现可疑活动。这种持续审查需要在合规流程和系统上进行大量投入。

透明登记册

与其他欧洲国家相比，另一个关键区别是德国的《透明登记册》。透明登记册是一个包含公司实际受益人信息的数据库（参见《GwG 第 3 条》），用于打击洗钱和逃税行为。当局和其他实体可以使用该登记册来发现可疑活动、追踪资金流并识别隐藏资产。

德国透明登记册自 2021 年 8 月 1 日起已全面实施。几乎所有德国本土企业都必须完整登记其实际受益人信息。而在其他欧盟国家，透明登记册仍属于所谓的“兜底登记”——仅当企业无法通过其他官方渠道获取受益人信息时，才需向登记册提交数据。这意味着德国企业的行政负担更重：它们必须始终进行单独申报。

此外，德国企业还被强制要求定期核查并更新信息。违反透明度义务可能构成行政违法，面临最高 15 万欧元的罚款。对于严重、重复或系统性违规行为，个案罚款可达 500 万欧元或年营业额的 10%。其他欧盟国家的处罚力度往往较低，且执行频率更宽松。

联邦金融监管局 (BaFin)

BaFin 在 KYC 监管中的角色与其他国家/地区不同。作为德国金融监管机构，其不仅监控银行的资产负债表，还深度介入商业行为审查。KYC 与合规监管紧密结合，因为 BaFin 能同时掌握银行的财务数据和业务操作。BaFin 对违规行为的处罚措施包括从警告、罚款直至吊销公司银行牌照等多级制裁。在德国，金融机构和其他受监管组织面临高强度监控，违规行为会招致快速处罚。而其他国家/地区可能由多个监管机构分头负责类似职能，导致管控相对宽松。

德国企业需满足哪些 KYC 要求？

根据 GwG，德国企业必须满足以下 KYC 程序要求。以下是最重要的条款概述：

一般尽职调查义务

GwG 第 10 条规定了企业 KYC 合规的基本尽职调查义务，包括：包括：

• 识别合同缔约方身份
  
• 确认缔约方是否代表实际受益人行事，必要时追溯这些人员
  
• 判定缔约方是否属于政要人士 (PEP) 或其关联人员
  
• 厘清商业关系的目的与性质
  
• 对商业关系及交易实施持续监控
  

根据 GwG 第 11 条第 4 款，对自然人身份验证需采集以下数据：

• 名字和姓氏
  
• 出生地和日期
  
• 国籍
  
• 地址
  

企业针对法人实体或合伙企业需收集以下数据：

• 公司、名称或称谓
  
• 法律组织形式
  
• 注册编号（如有）
  
• 注册地址或总部地址
  
• 代表机构成员姓名或法定代表人姓名
  

由于客户身份验证是 KYC 原则的核心，企业需要采用适当的技术解决方案。通过 Stripe Identity，您可以验证来自 100 多个国家/地区的官方身份证件。这项全面验证在技术上具有挑战性，因为全球身份证件存在不同标准。此外，Identity 支持身份证照片与自拍的生物特征比对，以及姓名、出生日期和社会安全号码的验证。

内部安全措施

KYC 合规要求建立与业务性质和规模相适应的内部风控机制。根据《反洗钱法》第 4、6 和 7 条规定，企业必须采取以下措施：

• 核查员工可靠性
  
• 定期向员工通报最新非法融资手段和法规
  
• 任命合格的反洗钱专员及其副手
  
• 应金融情报中心 (FIU) 要求提供信息
  
• 建立举报系统，供责任员工保密举报违反《反洗钱法》的行为
  

风险分析

《反洗钱法》第 5 条要求企业对每项业务关系或交易进行审查。目的是识别和评估洗钱及恐怖融资风险。主要风险因素清单见《反洗钱法》附件 1 和 2，涉及客户、产品、服务、业务及企业地理位置等因素。若风险较低，企业仅需履行简化尽职调查义务（参见 GwG 第 14 条）。

保存义务

根据 GwG 第 8 条规定，企业必须妥善记录并保存 KYC 程序所有数据至少五年。包括合同方信息、身份证件副本、商业关系详情和风险分析报告。

报告义务

如怀疑某项活动或业务涉及洗钱或恐怖融资，必须向 FIU 报告。根据 GwG 第 43 条规定，该报告义务不受资产价值或交易金额限制。