6、欧盟反洗钱框架的数据保护影响分析

欧盟反洗钱框架的数据保护影响分析

1. 反洗钱相关犯罪界定与数据处理规范

为避免欧盟各国在反洗钱执法上的碎片化，有必要明确哪些犯罪应被视为洗钱的上游犯罪。同时，在区分定罪和指控时，尽管我们假设义务实体的员工或经理有能力识别和评估刑事程序各阶段的差异，但鉴于金融行业的风险规避特性，义务实体的决策很可能会受到对客户指控的影响。

依据数据最小化和比例原则，欧洲数据保护监督机构（EDPS）建议明确义务实体可处理的《通用数据保护条例》（GDPR）第9(1)条规定的特殊类别数据，并禁止处理与客户性取向或种族出身相关的个人数据。即便反洗钱法规的最终文本未包含此类明确表述，也建议在反洗钱管理局（AMLA）的指南中明确义务实体应根据风险情况收集的数据类型。

2. 比例性与风险评估

反洗钱指令（AMLD）第43条明确规定，反洗钱/反恐融资（AML/CFT）目的应被视为GDPR下的公共利益事项。然而，第5版反洗钱指令的序言第34条强调，需在预防洗钱和恐怖主义融资的公共利益与个人基本权利（包括隐私权）之间取得平衡。这一原则应适用于所有为AML/CFT目的进行的处理活动，这也符合AMLD尊重“欧盟基本权利宪章所承认的基本权利和原则……特别是……个人数据保护权（宪章第8条）”的总体原则。

根据AMLD中嵌入的基于风险的方法，义务实体应评估其为履行义务而采取的措施是否成比例，并尊重个人的数据保护权。这种评估可在数据保护影响评估（DPIA）的框架内进行。即便客户尽职调查（CDD）活动外包，义务实体作为数据控制者仍需对DPIA负责，不过可在使用人工智能等新兴技术时向服务提供商寻求协助。

考虑到CDD活动中处理的数据量、信息的敏感性，以及个人权利和自由