参加行在银团贷款过程中有两大洗钱风险,一是不能像牵头行那样掌握客户完整信息,导致在落实KYC(了解你的客户)工作时不够周全;其次是与牵头行的客户风险等级分类政策不一致,也就是与牵头行需要的客户信息产生落差,因此,银行以参加行身份参加银团贷款时,除了要积极与牵头行沟通外,还应注意以下重点才能完善身为参加行的反洗钱工作。 一、注意参加行也必须承担KYC责任 根据人民银行反洗钱局函[2007]439号文《关于对金融机构客户身份识别和客户身份资料及交易记录保存管理办法相关问题的确认的复函》,银团贷款业务中,在牵头行已按规定采取相关KYC措施情况下,参加行可以不再重复相关工作。 但另一方面,参加行应确保可以从牵头行获得客户身份信息,并承担相对应的客户识别责任,也就是说,银团贷款的参加行虽然可以委托牵头行进行KYC工作,但最后的责任还是要由参加行自己承担。 另外,根据《中华人民共和国反洗钱法》及银发[2018]164号文《中国人民银行关于进一步做好受益所有人身份识别工作有关问题的通知》,反洗钱义务机构虽然可以委托符合规定的第三方开展受益所有人身份识别工作,但应通过书面形式,确定双方的反洗钱责任所在,和上述参加行不可将KYC责任都推给牵头行一样,受益所有人身份识别的最终责任也是要由该反洗钱义务机构承担。 二、参加行在进行KYC工作时应注意事项 1、与牵头行存在客户风险等级分类落差 虽然银团贷款中参加行可以在牵头行完成KYC情况下,不再重复进行相关工作,但根据上述分析,委托第三方进行客户身份识别,最终责任仍必须由委托方承担,无法将KYC责任推卸给第三方,因此参加行须注意,一旦牵头行与参加行对客户风险等级的分类指标及权重标准出现落差,有可能造成牵头行和参加行对客户的洗钱风险等级分类不一致,也就是说,参加行很可能需要客户提供更多身份识别信息,才能满足自身洗钱风险识别的要求。 常见参加行通过牵头行或直接要求客户提供更多基本信息,以进行受益所有人识别,或是搜集借款人、受益所有人、董事等信息,或是厘清授信目的、收集客户财务报表或审计报告、了解还款资金来源;并进行受益所有人、股东、高管等名单扫描及负面新闻检索等,最后再根据银行内部风险管控措施去定义客户风险等级,一旦发现高风险客户还需采取强化尽职调查措施(EDD)。 2、与牵头行在判断受益所有人上存在差异 如果授信对象的股权结构复杂,极可能出现牵头行与参加行对受益所有人认定标准不一致,造成需客户提供数据的广度和深度的不同,因此参加行、牵头行与客户三者间须进行有效沟通,对KYC需要的信息达成共识,才能降低可能的洗钱风险。 3、与牵头行在业务存续期间的KYC持续识别政策存在差异 根据上述164号文规定,在与非自然人客户业务存续期间,反洗钱义务机构应采取持续客户身份识别措施,或重新识别客户身份,而且还要同时开展受益所有人身份识别工作,以确保受益所有人信息的完整性、准确性和时效性。 一旦参加行与牵头行对业务存续期间的KYC政策出现差异,例如重新识别客户身份的标准不同,或是交易回溯期间的规定不一致,都会造成牵头行与参加行对需要收集哪些客户数据,或是收集数据的期间不同产生监管风险。 三、参加行也需承担大额和可疑交易申报责任 根据上述439号文规定,银团贷款的参加行和牵头行都负有大额和可疑交易报告的责任。如果在银团贷款中,约定由参加行自行拨款至客户账户完成贷款,大额和可疑交易报告就必须由参加行自行完成,但如果是牵头行统一拨款,那么参加行还是要对牵头行是否遵守大额和可疑交易报告制度进行评估,同时还要评估牵头行与参贷行两者对可疑交易识别政策的差异有无存在风险。 (本文作者系上海富拉凯会计师事务所主任会计师夏岚)
若要挑选2020年安全行业热词,相信“零信任安全”一定是首选之一。 这一名词乍听之下不易理解,不过顾名思义,零信任指的是一种“从不信任、永远验证”的安全理念。也就是说,当过去以内外网分隔为主的安全体系随着员工办公习惯、数据流通方式改变等原因渐渐过时,能灵活、实时判定访问请求的安全理念当然更契合如今现状。 对“零信任安全理念”来说,2017年是一个明显的分水岭,当年Google基于零信任安全的BeyondCorp项目取得成功,验证了零信任安全在大型网络场景下的可行性,业界也开始跟进零信任实践。 而特殊如2020年,由于疫情的爆发,远程办公中的安全问题得到重视,零信任安全理念也迎来新的分水岭。在企业端,目前市面上至少有50家公司声称在开展零信任业务;投资圈也闻风而动,今年至少有8家和零信任理念挂钩的企业获得融资。 今年获得融资的零信任相关厂商(据36氪不完全统计,部分数据来自天眼查) 零信任理念被加速认知已是不争事实,或许是时候对这一领域进行深度剖析。在本文中,我们将重点讨论以下话题: 零信任的概念、价值; 从技术角度拆分的市场参与者; 行业当前的机遇与风险; 参与者的竞合关系。 相信通过对零信任的梳理,未来安全世界的一角也会得以揭示。 一. 当我们谈论零信任,我们在谈些什么? 1.前世今生 即使今年才开始大热,但零信任其实并不是新鲜词汇。 零信任理念,雏形最早源于2004年成立的耶哥论坛(Jericho Forum),其成立的目的是寻求网络无边界化趋势下的全新安全架构及解决方案。 到2010年,咨询公司 Forrester 的分析师约翰·金德维格将这一理念进行了更细化的拆分——金德维格认为,零信任本质是以身份为基石的动态访问控制,即以身份为基础,通过动态访问控制技术,以细粒度的应用、接口、数据为核心保护对象,遵循最小权限原则,构筑端到端的身份边界。 在产业端,随着谷歌等公司在零信任上的进展,2019-2020年,NIST在5个月内连续发布两版《零信任架构》标准草案,意味着零信任正向标准化进展。 零信任概念演进历程图 来源:中国信通院 从出现到追捧,零信任已走过十余年时间。那么,为什么是现在? 这和近年来企业的业务、IT基础设施变化相关。过去,传统的安全防护基于边界,企业安全防护模式是构建一个内网,通过物理隔离或VPN等设施保证“内部安全区”。 今时情况不同往日: 首先,IT边界被打破。云计算、边缘计算等技术普及,加之大数据与AI的广泛应用,让数据流动与计算环境都发生了显著变化,IT边界变得越来越模糊。 并且,当前企业上下游伙伴和内部员工增多,用户访问请求更加复杂,成企业对用户过分授权的情况也更普遍。 疫情推波助澜,当多地协同办公、远程办公成为新常态,过去的办公习惯也被打破。 而物理隔离无疑站在远程办公的对立面,构建并部署 VPN 的基本前提就是存在企业边界。显然,内外隔离的安全思路是不灵活的,也无法适应新的需求。 零信任由此起势。其主要思想——默认企业内、外部的任何人、事均不可信,对任何试图接入网络和访问网络资源的人、事、物进行持续验证,打破了边界化的网络防御思路,是一种更适应新需求的理念。 站在市场维度,或许很难把零信任这类以理念为基础的事物划归为某个具体赛道,这是因为零信任的兴起不能简单看做某种技术、产品的扩展,而是对固有安全思路改变。 Gartner在《零信任网络访问市场指南》做出的假设也侧面印证了这一观察——其预测到2022年,80%向生态合作伙伴开放的新数字业务应用将通过零信任网络访问接入;到2023年,将有60%的企业淘汰大部分VPN,而使用零信任访问。 零信任和传统安全架构的区别 来源:绿盟科技、开源证券研究所 2. 实质:实时、动态地判断访问请求 和所有的理念型故事一样,零信任不能仅停留在表面,其落地往往遵循着思想、框架、技术、产品、商业化几个层面。 “对任何试图接入网络和访问网络资源的人、事、物进行持续验证”,这件事需要通过策略判定。 从NIST给出的最新零信任架构(参照下图)可以看出,零信任架构的核心组件包括策略引擎、策略管理器和策略执行点。 简单来说,策略引擎作为一个大脑,对访问请求做出“是否赋予权限”的决策,管理器依赖于引擎的决定,通过和执行点的互动,向后者下达指令。 NIST零信任架构核心组件示意图 来源:CSA大中华区 当前业界对零信任的实践还在过程中,所以也出现了一些细节不同的零信任框架。比如在中国信通院和奇安信发布的《网络安全先进技术与应用发展系列报告——零信任技术(2020版)》中,零信任架构的基本框架归纳如下图: 零信任架构总体框架图 来源:《网络安全先进技术与应用发展系列报告——零信任技术(Zero Trust)》 虽然各类框架有细节差异,但其实不论是哪种框架,都在论证实时、动态地对访问请求进行判断,以契合“从不信任、永远验证”的理念。 二. 参与者:从技术视角划分 有意思的是,如果今年询问一家安全公司是否正开展“零信任”业务,可能会收获模棱两可的回答:我们是否在做零信任,取决于如何定义它。 这有些无厘头的反应似乎又不无道理。 零信任是一种理念。理论上讲,只要在一些场景实现“从不信任、永远验证”的目的,谁都能说自己在做零信任,这正是现在零信任厂商繁多、技术路线不同的原因之一。 在具体数据上,专业人士指出当前号称开展零信任业务的公司在50家以上。我们决定选取一些明确提供零信任安全产品/解决方案的公司略作展示(排名不分先后)。 部分参与者概览(经36氪整理) 零信任的参与者背景不一,无论是刚成立不到一年的早期安全公司,还是成立数年的大型上市企业,亦或不断延伸触角的公有云厂商,均已置身零信任浪潮。为避免“雾里看花”,从技术分类入手或是进一步理解零信任的思路。 如今相对普遍的共识是,零信任的主流技术分为三种:即SIM,S为SDP(Software Defined Perimeter,软件定义边界)、I为IAM(Identity and Access Management,身份识别与访问管理系统),M为MSG(Micro-Segmentation,微隔离),上图中也可看到三种技术不断交叠出现。不过需要提前强调的是,目前也有企业希望通过其他思路达成“零信任”目的,以下技术路线并不代表全部。 1. 身份识别与访问管理(IAM) 身份识别与访问管理(IAM)是网络安全领域中的一个细分方向。从效果上来看,IAM产品可以定义和管理用户的角色和访问权限,即决定了谁可以访问,如何进行访问,访问后可以执行哪些操作等。 根据Gartner的定义,IAM的核心主题围绕以下几个方向展开: 认证,指的是通过确认实体(包含人与设备等)的身份,建立信任,这其中的概念包括多因素认证等。 访问控制,确定实体通过认证之后,匹配怎样的权限,访问怎样的系统。 身份治理,对实体在整个生命周期内(如员工入职、转正、调岗、离职等身份变更过程)进行身份管理,匹配正确的权限。 特权身份管理,指的是对管理员等权限较高的账户等进行进一步管理。 在零信任广泛普及之前,IAM已经是一个独立赛道。不过如今零信任理念中的IAM指的是增强型IAM。过去的IAM认证体系较为僵化,只要有统一的权限管理即可,但增强型IAM强调持续的自适应认证,即在整个访问请求的周期内进行持续智能验证。 总而言之,以身份为基础,实时、动态地对访问请求进行判断,是实现零信任的手段。目前IAM相关公司有「派拉软件」、「竹云科技」、「芯盾时代」等。 2. 软件定义边界(SDP) 软件定义边界(SDP)是被云安全联盟采纳并推崇的一种方案。这种方案还有一个更为形象的别名——“黑云”。 之所以被称为黑云,和其预期达到的效果有关。SDP可以为企业建立虚拟边界,利用基于身份的访问控制和权限认证机制,让企业应用和服务“隐身”。当黑客试图进行攻击时,会发现看不到目标而无法攻击,只有获得权限的业务人员可以正常访问。 根据云安全联盟的定义,SDP的主要组件包括发起主机(客户端),接受主机(服务端)和SDP控制器,客户端和服务端都会连接到这些控制器。二者间的连接通过SDP控制器与安全控制信道的交互来管理。 资料来源:CSA大中华区 当前,国内有多家公司主打SDP,以曾入选Gartner零信任安全产品全球代表厂商的「云深互联」为例,其SDP包含三个组件——深云SDP客户端、安全大脑、隐盾网关。 深云SDP客户端:在深云SDP中,深云SDP客户端用来做各种的身份验证,包括硬件身份,软件身份,生物身份等。 深云SDP安全大脑:深云SDP安全大脑是一个管理控制台,对所有的深云SDP客户端进行管理,制定安全策略。深云SDP安全大脑还可以与企业已有的身份管理系统对接。 深云隐盾网关:所有对业务系统的访问都要经过 SDP网关的验证和过滤,实现业务系统的“网络隐身”效果。 深云SDP示意图 在「云深互联」之外,国内的相关公司还有「易安联」、「安几网安」等。其中,「易安联」在今年宣布完成B轮融资。 3. 微隔离(MSG) 微隔离,又称软件定义隔离、微分段,最早由 Gartner提出。 微隔离主要解决数据中心的东西向(内部服务器彼此互相访问)流量之间的安全问题,当前主要应用于数据中心,该技术的面向群体并非用户。 用形象语言表述,微隔离类似疫情时期的口罩,每个人带上口罩后,互相隔离以防止病毒传播。 微隔离技术把服务器之间做了隔离,一个服务器访问另一个服务器的资源之前,首先要认证身份。认证通过后,网关才会放行业务系统去获取数据资源,否则会被网关拦截。从效果看,在实现微隔离之前,攻击者会攻击到所有的服务器,而实现微隔离后攻击范围将大大减少。 这种技术的难点在于计算量和自动化——数据中心往往包括海量节点,频繁变化带来的工作量不可预估,传统的人工配置模式已无法满足管理需求,自动适应业务变化的策略计算引擎是微隔离成功的关键。 当前国外已出现较成熟的微隔离厂商,即美国公司Illumio。这家公司成立于2013年,在2019年已完成E轮融资,是全球13家安全行业独角兽公司之一。客户包括Salesforce、摩根士丹利、法国巴黎银行和Oracle NetSuite等。 国内微隔离的典型厂商是「蔷薇灵动」。公司创始人严雷曾透露,「蔷薇灵动」于2017年开始商业化探索,2019年营收达到千万级别。在融资进展上,天眼查数据显示其在今年先后完成两轮融资。 4.SIM相辅相成 NIST认为,一个完整的零信任架构需要三者结合,这或许是由于三种技术各自的擅长之处不一,可以“组团”发挥所长。 其中,对身份的判断是零信任的基石。这也是今年在创投市场中,以身份为主要业务的公司,即IAM厂商颇受追捧的原因之一——「派拉软件」于今年9月宣布完成C轮近3亿元融资,同月宣布的还有「芯盾时代」完成数亿元C+轮融资的消息,10月初,「竹云科技」也宣布完成3亿元C轮战略增资。 SDP解决南北向流量(通过网关进入数据中心的流量)的安全问题,那么微隔离则主要解决数据中心的东西向(内部服务器彼此互相访问)流量之间的安全问题。由于三种技术的差别,当前市场中主打IAM、SDP和微隔离业务的厂商并不完全重合,各家或会以既有的技术、产品优势为基础,向前延展形成较完备的零信任方案。 比如,天融信在介绍其SDP架构时曾指出,为了强化用户认证与权限管理部分,可提供增强组件IAM实现更细致的身份管控功能(如下图),这也说明了各种技术路线的互相延展的可能。 天融信SDP技术架构包括客户端、控制器、网关架构图 来源:CSA大中华区 这不是孤例,在日前CSA大中华区发布的《2020中国零信任全景图》中,同样可以看到多家厂商分别出现在不同技术分类中。 为何厂商能在短时间内渗透多个技术路线?主要原因是相关厂商早前已有所积累,尤其是IAM和SDP,它们在中国并非横空出世的新技术。总体而言,零信任最难跨过的门槛也许并不在技术,而在于工程化落地。 三. 机会与陷阱 目前由于零信任在国内风头刚起,打造完整、易用的解决方案还在进程中。这一理念要经受商业化考验,对客户的话语权非常重要,这和零信任的目标以及实施中的改造成本均有关联。 1.谁在规定最小权限 各方在讨论零信任时不断强调的一点是,零信任是一种理念,而非具体的技术、产品。理念虽听起来有些“虚无”,但也明确了目标——就如金德维格所说,零信任是以身份为基石的动态访问控制,即以身份为基础,通过动态访问控制技术,以细粒度的应用、接口、数据为核心保护对象,遵循最小权限原则,构筑端到端的身份边界。 再精简一些,或许可以理解为对访问请求以最小权限原则进行动态管理。身份的判定是用权限进行动态管理的基础,上文不管是IAM、SDP亦或微隔离都提到了判断策略或者引擎。但另一个核心——最小权限,却甚少被讨论。 最小权限存在的意义是,对通过基础安全审核的访问请求进行严格管理。然而如何规定最小权限,或许目前还没有统一的标准。往下深究,最小权限是一个动态概念,需要针对不同客户、不同场景进行判断,所以其标准也很难界定。 也正由于标准不清晰,一位安全行业观察者调侃零信任的现状是,“谁都能说自己在做(零信任),但又或许谁都没做”。 举个极端些的例子,如果客户的安全基础设施仅停留在内外网范畴,对内网内的系统、数据并未进行分类分级,那么仅基于初步身份权限的分类,已是现有条件下的最小权限。但如果客户本身需要更细粒度的权限管控,单纯基于初步的身份管理,并不符合最小权限原则。所以,判断最小权限的话语权归结于客户。 而厂商需要找出某类目标客户对零信任的通用性要求,降低工程化成本。从这个角度,有深度服务目标客户经验,并能切入较通用场景的厂商或更易开展零信任业务。 根据《2020中国零信任全景图》的统计,目前国内零信任的目标客户主要集中在政企、金融、能源、互联网、运营商、教育、医疗、电力、交通、公安、制造业、军工、民航、军队、零售等行业。基中50%以上的零信任厂商都认为政企、金融、能源、互联网、运营商、教育、医疗、电力、交通、公安、制造业是他们的主要目标行业。 零信任目标行业分布图 来源:《2020中国零信任全景图》 可以看到,政企、金融和能源占据了目标客户前三甲的席位,此类客户也是过往安全厂商的重点客户,或许意味着客户在选择供应商时会有所倾向。 2. 改造成本有多高 关于这三种技术倾向,NIST认为,零信任厂商在落地过程中可能会发现客户已有所选择,但这并不是说其他方案一定会失效,而是认为其他方案对该企业而言意味着已有流程的改变,所以更难实施。 更难实施体现在零信任的改造成本。对客户而言,零信任的改造成本也和其自身的基础设施情况相关。如果客户内部的系统非常繁多,那么一个个接入其中会使得实施周期漫长;如果客户此前的安全能力薄弱,则需要弥补的模块更多;如果要做全面的零信任改造,对企业现有流程也会造成些许影响。在此基础上,有观点认为如果一家厂商此前已经将自己的安全产品渗透入足够多的客户中,或会降低改造成本。 如果举例对比,传统的网络安全模型就像用一个城墙把所有人保护在一起。那零信任可能就像城门大开,但每个人都会配备一个士兵保护,这种点到点的防护策略会更加安全,成本也更高。不过,正和许多安全措施一样,改造是提高安全性的前提条件,如果改造成本较低,也意味着安全性或不理想。在很多场景下,安全是一个具备灰度的名词,需要根据客户的业务性质、要求综合考量。 36氪了解到,当前也有一些综合实力较强的厂商希望从合规角度出发,把零信任的要求落实到规定中。 众所周知,安全行业以合规要求和业务需求为双重驱动力。随着内外网络边界的消失,客户对零信任的业务需求已逐渐凸显,若加上严格而有效的合规要求,即使改造成本大,零信任都会加速落地。从竞争角度,这种以合规切入的视角至少在To G市场中称得上降维打击。 四. “阵营外”的竞合 当前,也有许多本该成为客户的公司在自行进行零信任改造。这类公司一般是大型互联网公司(Google正是一个典型),它们对业务安全性的需求较高,同时IT资产、权限配置复杂。在具备技术实力的基础上自发进行零信任落地,对这类企业来说既省去和供应商的磨合成本,在有余力的基础上还可形成解决方案对外输出,这也是更大的想象力。 在向外界输出的类型中,典例是阿里、腾讯以及华为。这是由于,零信任也属于云安全中的一环,云厂商必然不能放过这一市场,目前三家也都有相关解决方案提供。 其中,阿里云在今年9月发布远程办公零信任解决方案,阿里巴巴企业智能也已推出“联呗”终端访问控制系统。根据介绍,在今年疫情期间,阿里巴巴企业智能支撑了数十万员工的远程安全入网及云办公。目前“联呗”已通过远程办公零信任解决方案服务政务、教育、医疗、新零售、制造等多个行业客户,帮助客户管理数十万终端的安全准入。 云栖大会中发布的阿里云发布远程办公零信任解决方案 腾讯在零信任上更是动作频频。 从在2019年7月发起《零信任安全技术参考框架》行业标准立项,到今年5月底腾讯安全发布《零信任解决方案白皮书》,腾讯一直在输出其对零信任的理解。白皮书中提及,腾讯基于ZTA架构模型,参考谷歌BeyondCorp实践,结合自身经验形成了“腾讯零信任”的解决方案,于2016年在公司内部实践,目前已经过6万多员工的实践验证。 腾讯零信任方案架构图 另外,华为也在其官网上展示了HUAWEI HiSec零信任安全解决方案。 华为零信任安全解决方案架构图 保障租户的资产安全是公有云厂商的职责,过去这类厂商在云安全领域已取得一定进展。以腾讯为例,其发布的2020年度第三季财报显示,腾讯企业级安全业务前三季度收入同比增长133%,零信任安全产品同比增长64%。当成绩单摆在眼前,很多人的第一反应是传统安全领域中的零信任公司会遭受巨大冲击,但若仔细拆分公有云厂商的业务逻辑,也会有些新发现。 在华为的零信任案例中,可以看到IAM厂商「竹云科技」是其可信代理控制服务、认证服务、权限服务组件的供应商,并且在部署方案中被划入必选选项。这从侧面反映了公有云厂商和安全厂商在零信任领域中的竞合关系——公有云厂商无疑需要生态的力量补足能力,各种各样的供应商是生态中不可或缺的一环。 谁能和公有云厂商合作,考验的是独立厂商的价值。在技术上,许多安全公司在自己领域中深耕已久,比如IAM厂商「派拉软件」和「竹云科技」分别成立于2008年和2009年,在身份领域中积累了深厚的产品、解决方案经验,它们自然是有价值的合作对象。另外从市场端,公有云厂商更擅长做标准化业务,而中国的大B、大G客户对个性化需求较高,安全公司若可以抓住这类客户,既有利于提升竞争的“底气”,也可以获得较丰厚的收益,和公有云厂商合作或能成为一个可选项。 不过另外需要提及的是,当前不同客户的业务性质不同,对权限的要求也不同,过多的场景会让厂商难以交付。不论是哪种类型的厂商,都需要找到尽量通用化的场景,避免切入过于狭窄的领域,同时也降低定制化带来的风险。 结语 长远来看,零信任“从不信任、持续验证”的理念契合了去边界化的安全状况。 Cybersecurity在2019年底的调查显示,现在网络安全最大的挑战是私有应用程序的访问端口十分分散,以及内部用户权限过多,这两方面正是零信任理念可以解决的问题。另一个有趣的现象是,调查对象中有78%的安全团队希望在未来实现零信任网络访问,但几乎一半的安全团队对他们使用当前安全技术提供零信任的能力缺乏信心。 这个例子再次印证了零信任的火热,但不可否认,即使客户已经意识到以往安全思路的狭隘,零信任作为一种新事物是否能获得广泛落地,还取决于市场和供应商的成熟。 一切才刚刚开始。 ———————————————— 注:36氪对零信任领域保持持续关注,通过和数位行业人士沟通,以及多方收集资料完成了本文。但由于资源、视角有限,本文难免出现错误、片面等问题,欢迎各位读者指正交流。
24日,北京市住建委、市公安局、市网信办、市文旅局正式印发《关于规范管理短租住房的通知》,明确了政策调整范围,即“利用本市国有土地上的规划用途为住宅的居住小区内房屋,按日或者小时收费,提供住宿休息服务的经营场所”,并按区域实行差异化管理,首都功能核心区内禁止经营短租住房。《通知》自2021年2月1日起施行。全文如下:为加强短租住房管理,根据《中华人民共和国民法典》《中华人民共和国电子商务法》《中华人民共和国网络安全法》《中华人民共和国治安管理处罚法》《中华人民共和国反恐怖主义法》等相关规定,现就有关事项通知如下:一、本通知所称短租住房是指利用本市国有土地上的规划用途为住宅的居住小区内房屋,按日或者小时收费,提供住宿休息服务的经营场所。二、本市短租住房按区域实行差异化管理,首都功能核心区内禁止经营短租住房。在本市其他区域经营短租住房的,应当符合下列条件:(一)符合本小区管理规约。无管理规约的应当取得业主委员会、物业管理委员会书面同意或取得本栋楼内其他业主的书面同意;(二)取得出租住房业主的书面同意;(三)房屋符合建筑、消防、治安、卫生等方面的安全条件;(四)经营者与房屋所在地公安派出所签订治安责任保证书;(五)书面告知所在小区物业服务企业,无物业服务企业的,书面告知社区居委会。三、短租住房经营者通过互联网平台发布短租住房信息的,应当向互联网平台提交下列材料:(一)所在小区管理规约或业主委员会、物业管理委员会、本栋楼内其他业主书面同意的材料;(二)业主身份证明;(三)房屋权属证明;(四)出租住房业主同意房屋用于短租经营的书面材料;(五)经营者身份证明;(六)经营者与房屋所在地公安派出所签订的治安责任保证书。四、互联网平台提供短租住房信息发布服务的,应当履行下列责任:(一)核验短租住房经营者提交的材料;(二)登记房屋详细地址,核实房屋状况,确认符合相关规定;(三)对短租住房经营者身份信息进行登记、审查并完成实名身份认证,对交易订单签订人和实际住宿人员逐人登记身份信息和有效联系方式;(四)按照公安、住房城乡建设(房管)行政主管部门要求及时报送住宿人员、房屋等信息。五、互联网平台不得为下列短租住房提供信息发布服务:(一)经营者提交的材料不齐全或核验未通过的;(二)位置、面积与实际或权属证书记载不符的;(三)图片、配套设施与实际不符的;(四)使用旅馆业法规所规定名称的。六、短租住房经营者应在住宿人员入住前,当面核对住宿人员身份证件信息,即时通过规定的信息系统申报登记信息。登记信息内容包括:住宿人员姓名、身份证件类别、身份证件号码、居住时间、有效联系方式等。短租住房经营者不得向无合法有效身份证明的人出租房屋。七、住宿人员应当携带合法有效身份证件,配合经营者和互联网平台登记申报身份信息和有效联系方式,不得利用短租住房从事违法犯罪活动、损害公共利益或者妨碍他人正常工作、生活。八、物业服务企业或房屋管理单位发现居住小区内存在违规经营短租住房的,应对违法违规行为进行劝阻、制止,劝阻、制止无效的,及时报告有关行政主管部门及属地街道办事处、乡镇人民政府。九、街道办事处、乡镇人民政府应加强对本辖区内短租住房的监督、巡查,发现违规经营短租住房的,应当及时组织属地公安、住房城乡建设(房管)、文旅等有关行政主管部门联合执法。住房城乡建设(房管)、公安、网信、文旅等有关行政主管部门应当按照各自职责,做好短租住房的监督管理工作。十、短租住房出租人、短租住房经营者将房屋出租给无身份证件的人或未按规定登记相关信息的,由公安等有关部门依照《中华人民共和国治安管理处罚法》《中华人民共和国反恐怖主义法》的相关规定处罚;互联网平台未要求房源发布者提供真实身份信息或者向不提供真实身份信息的用户提供相关服务的,由公安、网信等有关部门依照《中华人民共和国网络安全法》《中华人民共和国反恐怖主义法》《中华人民共和国电子商务法》的相关规定处罚;互联网平台未履行核验短租住房经营者提交的相关材料的,由有关部门依照《中华人民共和国电子商务法》相关规定处罚;短租住房存在其他违法情形或安全隐患的,依照相关法律法规查处。十一、本通知自2021年2月1日起施行。(封面图来自:摄图网)每日经济新闻
中国经济网北京12月18日讯中国人民银行郑州中心支行近日公布的行政处罚信息公示表(郑银罚字〔2020〕18号)显示,焦作中旅银行股份有限公司(以下简称:焦作中旅银行)存在以下违法行为:未按规定履行客户身份识别义务;未按规定保存客户身份资料和交易记录;未按规定报送大额交易报告或者可疑交易报告。中国人民银行郑州中心支行对其罚款128万元。 王燕萍对上述违法行为负有责任,中国人民银行郑州中心支行对其罚款4万元。 资料显示,焦作中旅银行前身为焦作市商业银行股份有限公司,是在焦作市区11家城市信用社基础上组建而成,1998年元月经中国人民银行批准成立,1998年2月挂牌开业。2015年焦作市商业银行股份有限公司更名为“焦作中旅银行股份有限公司”。公司大股东为焦作市十一家城市信用社,持股比例29.78%。 以下为处罚原文:
中国经济网北京12月22日讯中国人民银行莱芜市中心支行18日公布的行政处罚信息公示表莱银处罚公示〔2020〕第3号显示,莱商银行股份有限公司超过期限或未向中国人民银行报送单位银行结算账户开立、撤销资料;超过期限或未向中国人民银行报送个人银行结算账户开立资料;与客户建立业务关系或办理一次性金融业务,未按规定识别客户身份。 人民银行莱芜市中心支行对莱商银行股份有限公司给予警告,并处以36万元罚款,对莱商银行股份有限公司财务总监刘海新处1万元罚款。 公开资料显示,莱商银行股份有限公司于2005年7月14日成立,齐鲁交通发展集团有限公司为其大股东,持股比例20%。 以下为处罚原文:
中国经济网北京12月8日讯中国人民银行重庆营管部昨日公布的行政处罚信息公示表(渝银罚〔2020〕25号、28号)显示,国华人寿保险股份有限公司(以下简称“国华人寿”)重庆分公司存在未按照规定履行客户身份识别义务、客户洗钱风险等级划分不及时两宗违法违规行为。中国人民银行重庆营业管理部对其处以罚款100万元人民币。 曾崇伟时任国华人寿重庆分公司运营管理部副经理(主持工作),对国华人寿重庆分公司未按照规定履行个人客户身份识别义务的违法违规行为负有责任。中国人民银行重庆营业管理部对其处以罚款2.5万元人民币。 中国经济网查询发现,国华人寿成立于2007年11月,总部位于上海市,注册地湖北武汉,是由原中国保险监督管理委员会批准设立的全国性、股份制专业寿险公司。国华人寿的第一大股东为天茂实业集团股份有限公司(简称“天茂集团”,000627.SZ),持股比例为51%。 以下为原文:
中国经济网北京12月8日讯中国人民银行重庆营管部昨日公布的行政处罚信息公示表(渝银罚〔2020〕26号、27号)显示,中国建设银行股份有限公司(以下简称“建设银行”,601939.SH)重庆市分行存在未按照规定履行客户身份识别义务;未按规定保存客户身份资料;未按规定报送大额交易报告和可疑交易报告三宗违法违规行为。中国人民银行重庆营业管理部对其处以罚款170万元人民币。 刘颖时任建设银行重庆市分行个人金融部总经理,对建设银行重庆市分行未按照规定履行个人客户身份识别义务的违法违规行为负有责任。中国人民银行重庆营业管理部对其处以罚款2.5万元人民币。 以下为原文: