金融科技中的远程开户、海外个人客户在线开户、企业客户远程开户

远程开户（Remote Account Opening）

1. 传统开户流程的问题

传统银行开户，需要面对面访谈（face - to - face interviews ），且必须去银行网点（at banks’ branches ）。这对一些客户来说很不方便（inconvenience to certain customers ），比如没时间去网点、距离网点远的人。

2. 监管科技的两步验证方案（Regtech solutions ）

为了解决传统开户的麻烦，监管科技用“两步法”识别、验证客户身份：

第一步：验证身份文件的真实性（Authenticating the genuineness of the identity document ）

确认你提交的身份证、护照等身份文件是真的，不是伪造的。

第二步：确认持证人为客户本人（Confirming the person holding the document is the customer ）

确保“拿着身份文件的人”就是你（客户本人 ），防止冒用他人证件开户。

3. 流程示意图

从左到右，远程开户的步骤：

1. Capture HKID photo：用手机拍身份证（比如香港身份证 HKID ）。
2. HKID authentication：验证身份证的真实性。
3. Capture selfie and match against HKID：拍自拍照，和身份证照片比对。
4. Fill in application form：填写开户申请表。
5. Customer risk assessment process：银行做客户风险评估。
6. Account opened：开户成功，手机显示已开户。

简单总结：传统开户得去网点面谈，很麻烦；远程开户靠监管科技，分两步（验证件、验本人 ），用手机拍照、比对、填表单，就能完成开户，方便又高效~

身份文件认证（Authenticating the Identity Document）

1. 客户操作：用手机拍身份文件

客户通过手机应用（mobile applications ），拍摄自己的身份文件照片（比如香港身份证 HKID cards ）。简单说，就是用手机拍身份证 / 护照等证件。

2. 监管科技验证：确认文件真实性

监管科技（Regtech ）解决方案，会用技术手段（technology ）来确认身份文件的真实性（ascertain the genuineness ）。

举例：检测证件的安全特征

比如识别证件上的**全息图（holograms ）**等安全特征——很多身份证、护照上有全息防伪标记，Regtech 技术能自动检测这些标记是否存在、是否真实，以此判断证件是不是伪造的。

简单总结：身份文件认证分两步——客户手机拍证件→Regtech 技术检测（比如查全息图 ）验真假。这样能远程确认你提交的身份文件是真的，不是假证~

确认客户身份（Confirming the Customer）

1. 自拍比对：AI + 面部识别验本人

客户拍几张自拍照（selfies ），借助人工智能（artificial intelligence ）和面部识别技术（facial recognition technology ），把自拍照和身份证（比如香港身份证 HKID card ）上的照片做对比。这样能初步确认“现在拍 selfie 的人”和“身份证照片上的人”是同一个。

2. 活体检测：确保是真人，不是照片 / 视频

用活体检测技术（Liveness detection techniques ），确认摄像头前是真人，而不是照片、视频、3D 模型等伪造手段。比如检测眨眼、面部微动作、血液流动（通过红外光 ），防止拿假人脸蒙混过关。

3. 填写数字申请表：补充信息，风控评估

最后，客户需要填写数字格式的申请表（application form in digital format ），提供其他个人信息。这些信息用来做“各类风险的评估和管理”（assessment and management of various risks ），比如判断你开户的用途是否合规、有没有信用风险等。

简单总结：确认客户身份分三步——自拍 + AI 面部识别比对本人→活体检测防假人脸→填数字申请表补信息做风控 。这样能远程确保“开户的人就是你本人”，还能评估风险，让远程开户更安全~

人工协助视频身份验证（Human assisted video identity verification）

1. 人工协助视频身份验证的流程

• 验证方式类似线下：由人工操作员（human operator ）执行身份验证，流程和线下（physical process ）类似——检查身份证（national identity document ）是否真实有效（authentic and valid ）、读取 / 复制证件上的数据（reads/copies data ）、肉眼比对证件照片和申请人的面部（compares visually the facial image ）。
• 操作员主导决策：操作员是核心（plays the central role ），决定“验证是否匹配”以及“是否给申请人发放新身份”（makes decision about the verification match and issuing new identity ）。

2. 这种方式的缺点（Weakness ）

• 人工难防高级伪造：如果没有专业软件（specialised software ）辅助，操作员很难检测“证件伪造、图像 / 视频伪造”（may not detect document forgeries, image/video forgeries ）。因为“高级呈现攻击（advanced presentation attacks ）”，比如用高仿真假证、深度伪造视频，靠“肉眼（bare human eye ）”根本识别不出来。

简单总结：人工协助视频验证，流程像线下开户（人工查证件、对人脸 ），但缺点是人工难防高科技伪造，必须靠专业软件辅助才靠谱~

自动化远程身份验证解决方案（Automated remote identity verification solutions）

1. 自动化方案的核心特点

由**专用软件应用（dedicated software application ）**主导，全程自动执行“数据采集和比对”（automated steps of data collection and comparison ），无需人工操作员干预（without operator’s intervention ）。简单说，就是“软件自动搞，不用人插手”。

2. 流程示例（以开户为例 ）

第一步：读取 / 采集身份文件

入职（开户 ）流程从“读取 / 采集申请人的身份文件”开始，比如拍身份证的照片或视频（picture or video of the identity document ）。

第二步：面部验证（活体检测 + 人脸比对 ）

接着，进行面部验证（facial verification ）：

• 拍申请人的短视频（short video of the applicant ）。
• 把视频里的面部图像，和身份文件上的证件照做比对（comparing the facial image in video against the portrait photo ）。
• 后台还会做“防呈现攻击”的安全检查（security checks against presentation attack ），比如通过活体检测（checking the liveness of person ），确认是真人而不是照片 / 视频伪造。

第三步：自动决策（发身份 / 拒绝 ）

当“验证和安全检查都通过”（validation and security checks are satisfied ），系统会自动决定（automatic system decides ）是“发放新身份”还是“取消发放”（whether to issue a new identity or cancel the issuance ）。

简单总结：自动化远程身份验证，靠软件自动完成“读证件→面部验证（含活体检测 ）→自动决策”，全程没人插手，高效又能防伪造，适合远程开户等场景~

组合视频身份验证（Combined video identity verification）

1. 验证流程：机器学习为主，人工辅助

• 核心验证靠机器学习：主要的生物识别验证功能（main biometrical verification functions ）由**机器学习系统（machine learning systems ）**执行。
• 人工辅助必要环节：人工操作员（human operator ）在“必要时介入”（assisted by a human operator who interacts where necessary ），比如做最终决策（make a final decision ）——是否发放身份（to issue an identity ）。

2. 人工操作员的额外作用

人工操作员还能理解并检查“申请人的动机和对流程的知晓度”（check the person’s motivation and awareness for this procedure ）。简单说，就是判断申请人是不是“故意搞事”，或者是否清楚自己在干嘛（防止被胁迫、欺诈开户 ）。

3. 技术目标：绑定生物数据，多重安全校验

这种方法的目标是：

• 把申请人的生物数据（applicant’s biometric data ），和“政府发放的身份文件里的生物数据”（biometric data in government - issued identity document ）绑定（bind ）。
• 通过不同的安全措施（different security measures ），确保“声称的身份”（claimed identity ）和“采集的实时生物数据”（captured live biometric data ）匹配（match ）。

简单总结：组合视频验证，是“机器学习自动验 + 人工必要时插手（做决策、查动机 ）”的混合模式，目标是把申请人生物数据和官方证件数据绑定，用多重安全措施确保身份真实~

远程客户入职的良好实践（Good Practices for Remote Customer Onboarding）

充分的实施反洗钱/反恐融资风险评估

• 采用特别工作组式方法，由不同的一线部门和二线控制职能部门共同进行评估 。
• 通过香港金融管理局（HKMA）金融科技监管聊天室获取早期监管反馈，并利用金融科技监管沙盒获得的测试结果来微调评估，以有效识别反洗钱/反恐融资风险 。
• 考虑内部能力是否足以制定合适的测试用例 。
• 采用现成解决方案时，对第三方供应商开展尽职调查并密切合作：
  • 确保对解决方案的工作原理有适当程度的理解，包括解决方案的优势和局限性、所用算法以及人工智能过程中匹配的特征/属性 。
  • 识别并降低技术解决方案产生意外和不适当结果的风险 。
  • 考虑其他关键风险，包括反洗钱/反恐融资风险、冒名顶替风险以及因反洗钱/打击资助恐怖主义（AML/CFT）控制流程变化而产生的任何额外风险 。

远程客户入职的良好实践（Good Practices for Remote Customer Onboarding）

基于风险设计和实施反洗钱及反恐融资控制措施

银行必须证明其客户尽职调查（CDD）措施与相关的洗钱/恐怖融资（ML/TF）风险相匹配。例如，在为高风险申请人办理入职时，银行可以：

• 使用电话会议或视频会议 。
• 要求从其他银行的同名账户进行首次付款，以激活新账户 。

推出远程入职服务采用分阶段方法

• 最初针对低风险客户群体，限制服务范围（如限制账户功能、设置较低交易限额、限制直通式账户开立 ）。
• 根据运营经验和持续评估，逐步扩大客户群体和服务范围 。

持续监控确保技术符合反洗钱/打击资助恐怖主义（AML/CFT）要求

持续监控确保技术合规

• 全流程质量保证：对远程入职的端到端 AML/CFT 控制，采用持续的质量保证流程 。
• 人工检查评估技术表现：人工检查自拍照、身份证件和活体检测流程（如错误接受率和错误拒绝率 ），以评估新技术方案的性能。随着技术表现提升，样本量可适时减少 。
• 设置直通式开户限制：在直通式账户开立流程中，完成人工检查前，设置限制（如限制可转出资金额度 ） 。
• 跟进异常情况：发现任何异常情况后，跟进处理（如与供应商讨论调整 ） 。
• 实施后回顾：远程入职举措启动并运行后，开展实施后回顾，涵盖：
  • 技术方案中人工智能面临的新风险或“欺骗”新手段 。
  • 现有控制流程变化带来的额外风险 。

这些实践旨在通过持续监控、人工校验、限制措施和定期回顾，保障远程客户入职过程中 AML/CFT 合规，应对技术风险和流程变化风险 。

监控时考虑产品和交付渠道的漏洞

监控需考量产品与渠道漏洞

• 纳入漏洞考量：将与产品和交付渠道相关的漏洞纳入监控环节 。
• 定制监控系统：实施契合整个客户关系风险状况的监控系统 。
• 额外持续监控（针对远程入职客户 ）：若客户是远程入职的，可能需要额外持续监控（如为远程入职客户应用特定基于规则的交易监控检测场景 ） 。
• 整合交易监控与反欺诈团队资源，例如：
  • 成立由两个团队成员组成的内部工作组，定期共享信息、开展趋势分析及联合调查（如有必要 ） 。
  • 采用相同的升级流程和案件管理系统，管理交易监控与反欺诈系统产生的警报 。

这些做法旨在通过全面考量漏洞、定制监控、强化针对远程客户的监控以及整合团队资源，提升远程客户入职后的风险监控与管理水平，防范交易风险和欺诈行为 。

海外个人客户在线开户（Online Onboarding of Overseas Individual Clients）

第一步：身份文件认证（Step 1: Identity document authentication）

流程目标

访问客户官方身份证件（ID document ）中嵌入的数据，并用“适当且有效的流程和技术”验证证件的真实性。

具体操作

• 检查证件安全特征 / 验证数据：比如，中介机构（intermediaries ）应检查身份证件的安全特征（security features ，如 holograms 全息图、水印 ），或通过“独立可靠的信息源”（independent and reliable source ）验证数据（比如联网查政府数据库 ）。

• 获取客户同意：如果任何第三方开户流程涉及客户个人信息（personal information ），必须事先获得客户的同意和授权（Prior consent and authorisation from the client ）。

第二步：身份验证（Step 2: Identity verification）

流程目标

用“适当且有效的流程和技术”获取客户的生物特征数据（biometric data ），并与身份文件中的信息匹配，确认“人证一致”。

具体操作

• 生物特征采集与比对：比如，中介机构（intermediaries ）可实时采集客户的面部图像（capture the facial image in real time ），并与“生物特征护照芯片中存储的照片”（photograph stored in the chip of biometric passport ）比对。

• 安全防护措施：中介机构应采取适当的保护措施（implement appropriate safeguards ），比如：

  • 数据加密（data encryption ）：防止生物数据被窃取。
  • 防呈现攻击检测（presentation attack detection ）：识别照片、视频、3D 模型等伪造手段，确保采集的是真人生物特征。

第三步：电子签署客户协议（Step 3: Execution of client agreements electronically）

• 操作目标：通过电子签名（electronic signature ）的方式，获取客户签署的协议（client agreement signed by the client ）。
• 核心逻辑：把传统纸质签约流程数字化，让客户在线完成协议签署，高效又合规。

第四步：指定海外银行账户（Step 4: Designated overseas bank accounts）

• 初始存款要求：
  需从客户名下的“另一银行账户”（another bank account in the client’s name ）转账至少 10,000 港元（HK$10,000 ） 到持牌公司（licensed corporation ）的银行账户。
  且该“另一银行账户”需满足：由“合格司法管辖区内受银行监管机构监管的银行”（bank supervised by a bank regulator in an eligible jurisdiction ）维护（即账户所在银行合规 ）。

• 后续操作要求：
  客户未来对“投资账户”（investment account ）的所有存款和取款操作（deposits and withdrawals ），必须通过该指定银行账户进行（conduct through that bank account ）。

• 核心逻辑：用“同名合规账户初始转账”验证客户资金来源，并通过“指定账户操作”管控后续资金流，防范洗钱等风险。

步骤5：记录留存（Record keeping）

• 要求：以便于合规检查和审计的方式，妥善保存每个客户开户流程的记录。
• 目的：确保开户过程可追溯，满足监管机构对合规性和透明度的要求，在需要时能快速调取资料接受检查。

步骤6：培训（Training）

• 要求：确保负责在线开户的员工接受充分培训，具备执行和监督上述相关流程的知识与技能。
• 目的：让员工清楚知晓开户流程、风险点及操作规范，保证开户工作准确、合规开展，减少人为失误。

步骤7：评估（Assessment）

• 流程：在实施前，由合格评估人员对采用的流程和技术进行全面评估，实施后至少每年评估一次，判断其是否适当、有效。
• 重点：评估需确认流程能否核实客户真实身份、是否符合前述要求。还需编制评估报告，详细说明采用的流程、开展的工作、潜在局限（如有）及改进建议 。
• 目的：持续优化开户流程和技术，及时发现漏洞与不足，保障开户工作的安全性、合规性和有效性 。

企业客户远程开户（Remote On - Boarding of Corporate Customers）

企业客户入职的特点

与企业建立业务关系，通常是通过“企业授权代表（representative(s) with appropriate authority ）”进行的——和个人客户直接开户不同，企业得靠有授权的人代办。

更广泛的客户尽职调查（CDD）

企业客户的尽职调查（Customer due diligence ）比个人更复杂，通常包括以下步骤：

1. 验证企业身份（Verification of the corporate’s identity ）
   确认企业本身的合法性、真实性（比如查营业执照、注册信息 ）。

2. 验证企业代表的身份及相关授权（Verification of the corporate’s representative(s) and related authority ）
   确认代办人的身份（比如身份证、护照 ），以及他们“代表企业行事的授权”（是否有权签合同、开户 ）。

3. 验证受益所有人的身份（Verification of beneficial owners’ identities ）
   找出并确认“实际控制企业、享有收益的人”（防止企业被用于洗钱等，隐藏真实受益人 ）。

4. 了解企业的所有权和控制结构，以及业务性质（Understanding the ownership and control structure as well as the nature of business ）
   摸清企业的股权结构、谁在实际控制，以及企业是做什么业务的（判断风险，比如高风险行业需更严格管控 ）。

总结

企业远程开户，因为是“授权代表代办”，所以尽职调查更复杂：既要验企业本身，也要验代办人、受益人，还要搞清楚企业的结构和业务。目的是防范企业被用于洗钱、恐怖融资等风险，确保业务关系合规~

授权机构（Authorized institutions, AIs ）开展客户尽职调查（CDD）

授权机构可采用的CDD手段

授权机构可以用以下多种方式进行客户尽职调查（CDD）：

1. 借助第三方中介（Use third - party intermediaries to conduct CDD on behalf of an AI ）
   让第三方中介代替授权机构做尽职调查（比如找专业尽调公司，核查企业背景 ）。

2. 用独立且合适的人认证身份证件（Use an independent and appropriate person to certify identification documents ）
   找独立、靠谱的人（比如公证员 ），验证企业 / 个人的身份证件（确保证件真实 ）。

3. 用合适的渠道互动（Use appropriate channels, e.g., teleconference or video conference ）
   根据“评估的洗钱和恐怖融资风险（money laundering and terrorist financing risks, ML/TF risks ）”，选匹配的渠道（比如电话会议、视频会议 ）和客户互动，完成尽职调查。

无需强制要求“企业代表现场到场”

不需要在所有情况下，都要求企业代表（corporate’s representative ）：

• 到访授权机构的营业场所（visit the AI’s business premises ），
• 或“物理上出现在授权机构员工面前”（be physically present in front of AI staff ）。

也就是说，企业远程入职时，只要用上述合规手段做CDD，不一定非要“本人到现场”。

总结

企业远程入职的尽职调查，授权机构有灵活手段：找第三方、公证认证、视频会议等。而且不强制“企业代表必须现场”，只要风险匹配、流程合规，远程手段也能完成CDD，方便企业开户，同时控风险~