2026年是支付合规的分水岭之年。自1月1日起,中国人民银行、国家金融监管总局、中国证监会联合发布的《金融机构客户尽职调查和客户身份资料及交易记录保存管理办法》正式施行。这是首次将非银行支付机构(支付宝、微信支付等)明确纳入反洗钱义务主体范畴,标志着支付行业合规进入新常态。
新规核心变化:基于风险,拒绝一刀切
新规最显著的特点是确立了"基于风险"的核心原则。监管不再采取一刀切的统一标准,而是根据客户风险状况差异化开展尽职调查。对于低风险情形,机构可采取简化措施,如延长审核周期、降低监测频率;对于高风险情形,则必须采取强化措施,包括获取并核实资金来源和用途、实地查访了解客户经济状况、加强对客户及交易的监测分析等。
值得关注的是,新规取消了此前征求意见稿中"个人存取现金超5万元需登记资金来源"的规定,改为基于风险判断是否深入了解。这一调整体现了监管部门在安全与便利之间寻求平衡的努力——拒绝简单粗糙的合规方式,鼓励机构建立精细化的风险管理能力。
支付机构的具体合规义务
根据新规第16条,非银行支付机构在以下情形必须开展客户尽职调查:开立支付账户时需识别核实客户身份并登记基本信息;出售记名预付卡或一次性出售不记名预付卡达1万元以上时;为特约商户提供收单服务时,需对商户及其法定代表人或负责人进行全面调查。客户身份资料和交易记录均需至少保存10年,且须确保足以重现和追溯每笔交易。
对于洗钱和恐怖融资风险较高的情形,机构应采取实地查访、加强受益所有人信息审查、获取高级管理层批准等强化措施。风险超出机构能力的,应拒绝办理或终止业务关系。
执法力度升级:双罚制穿透至个人
2026年6月8日,央行浙江省分行对网易支付开出220万元罚单,原因是违反账户管理规定、清算管理规定、数据安全管理规定,以及未按规定开展客户尽职调查。此次处罚最引人注目的是"双罚制"落地——不仅处罚公司,还穿透至具体责任人:技术中心负责人被罚4.5万元,反洗钱中心负责人被罚2.4万元。这意味着合规问责已直接下沉至一线操作岗,每一个操作动作都绑定合规责任。
在国际层面,欧盟反洗钱管理局(AMLA)于2025年7月开始运作,2026年完成24项技术标准;FATF第24项建议收紧受益所有权核查要求。全球合规趋势正从静态入职检查转向持续监控,合规本身正在从成本项转变为核心竞争力。对于中国支付机构而言,"重业务、轻合规"的模式已经走到尽头,合规已成为业务开展的前置条件。