文|刘伟

作者单位：兴业银行股份有限公司南京分行法律与合规部

摘要：新的洗钱犯罪手法不断出现，洗钱行为隐蔽性更强。犯罪分子大多通过跨机构、跨行业交易实现非法所得的合法化，给商业银行洗钱风险管理提出了新的挑战。同时，随着大数据的不断发展，重视数据隐私和安全已经成为世界性趋势，法律法规关于数据安全的要求日趋严格，加上行业竞争等原因,导致数据信息以“孤岛”的形式存在，不同行业、机构间的数据不能充分共享和挖掘。商业银行基于自身所掌握的“片段”信息很难有效挖掘洗钱风险。

本文通过介绍商业银行如何借助联邦学习技术实现跨行业、跨机构的数据安全共享，对洗钱行为数据进行全链路的资金流动分析和关联分析，充分挖掘数据的潜在价值，在解决数据隐私安全的同时，精准识别洗钱行为，构建更加完善的反洗钱管理机制，实现对洗钱风险的高质量管理，降低监管成本，维护国家金融稳定。

关键词：反洗钱、联邦学习、数据安全、隐私计算、商业银行

近年来，新的洗钱犯罪手法不断出现，洗钱行为隐蔽性更强，商业银行也在不断提升自身洗钱风险监测水平。从以专家规则、数据排查等传统的反洗钱监测手段向依托大数据、人工智能等新兴技术的反洗钱监测手段转变。银行通过对自身拥有的海量、多维度的客户数据进行分析挖掘，有效提高了客户洗钱风险识别的准确性。但是，在洗钱活动的放置阶段、分层阶段和整合阶段[1]中，非法资金合法化的过程通常涉及多家金融机构及非金融机构，完整链路的数据很少只存在于单一机构。

另外，由于《个人信息保护法》《数据安全法》《网络安全法》等国家法律法规关于数据安全的要求及行业竞争的存在，各机构普遍拒绝或不敢开放共享自身数据，客观上加剧了“数据孤岛”现象。因此，利用现有的技术手段很难实现在充分保护数据安全、隐私安全的情况下，实现数据跨机构共享分析，给商业银行洗钱风险管理带来了巨大挑战。根据联合国相关部门的数据统计，每年通过全球金融系统洗钱的金额高达8000亿至2万亿美元，我国银行业反洗钱误报率则高达95%[2]。

在此背景下，联邦学习由于其各参与方无需共享原始数据资源即可建立机器学习模型，各参与方可以在保护数据隐私、满足合法合规要求的前提下，解决“数据孤岛”问题，使得商业银行及监管部门可以应用联邦学习技术，实现不同行业、不同机构的数据安全共享，更加全面地了解可疑账户间的关联关系、交易时序及资金流向情况，实现对洗钱行为的精准识别，降低样本误报比例。

本文拟通过介绍联邦学习技术，探索商业银行如何应用联邦学习技术提高洗钱风险管理水平。另外，通过对联邦学习技术本身的安全性和通用性的分析，指出大规模应用可能存在的问题。最后，为推动联邦学习的大规模应用，持续提升商业银行洗钱风险管理质效，提出相应的建议。

一、联邦学习技术介绍

（一）联邦学习定义

联邦学习（Federated Learning，简称FL）也称为隐私保护机器学习，是隐私计算的核心技术，其起源于Google在2016年提出的在不集中用户数据、保障用于隐私的情况下，实现谷歌输入法的智能预测功能。应用联邦学习，各参与方无需共享原始数据资源，而是只传输机器学习模型的梯度信息或参数等中间计算结果，进行信息交换、模型聚合，从而实现拥有不同数据源的各方联合建模，充分挖掘数据价值，实现了数据“可用不可见”的安全流通。联邦学习的建模效果和将整个数据集放在一处建模的效果一致或相差不大[3]。

（二）联邦学习分类

按照架构分类，联邦学习可以分为有中心服务器的联邦学习（服务器-客户端架构）和无中心服务器的联邦学习（对等网络架构）。有中心服务器的联邦学习即各客户端是独立的数据拥有方和模型训练方，中心服务器是模型分发方和进行安全聚合计算的一方，大致流程为：中心服务器向各个客户端发送具体任务的模型参数；各客户端收到模型参数后，在本地利用自己的数据进行训练，并把模型梯度信息发送给中心服务器；中心服务器收到各方的信息，并对其进行安全聚合运算，完成一轮模型参数迭代；如此进行多轮迭代，最终获得一个优质的全局模型（图1-a）。无中心服务器的联邦学习安全聚合是由各客户端之间通过通信交换信息，自行进行聚合运算，各客户端必须提前商定发送和接收模型参数信息的顺序（图1-b）。

按照合作的数据特点分类，联邦学习可以分为三类[4]。一是横向联邦学习（horizontal FL）,通过增加样本数量的方式获得高质量模型的方法，数据合作方的数据具有特征重叠较多、样本重叠较少的特点，适用于同行业间的合作（图2-a）;二是纵向联邦学习（vertical FL）,通过增加样本特征维度的方式获得高质量模型的方法，数据合作方具有样本重叠较多、特征重叠较少或不重叠的特点，适用于跨行业间的合作（图2-b）;三是联邦迁移学习（federated transfer learning）[5],应用于样本和特征均重叠较少的情况下，利用迁移学习技术来学习不同数据集的“知识”的方法（图2-c）。

（三）联邦学习主要框架

目前业界已经有几个较为成熟的联邦学习开源框架，主要是微众银行的FATE框架、谷歌的TensorFlow Federated框架、百度的PaddleFL框架、OpenMinded的Pysyft框架，各框架的主要特性对比如下[6]：

二、联邦学习在商业银行洗钱风险管理中的应用场景

商业银行在洗钱风险管理中应用联邦学习技术，可以打破数据壁垒、实现数据的“可用不可见，可控可计量”的安全共享，同时全流程可验证、可追溯、可解释、可审计、可监管，为构建基于人工智能和大数据的洗钱风险管理体系夯实基础，对洗钱风险防控有重要的积极意义。本章将从洗钱风险管理的应用场景角度，具体阐述联邦学习在商业银行洗钱风险管理中的应用价值。

（一）联邦学习在可疑交易甄别中的应用

目前，商业银行通过专家规则、数据排查等传统方式及人工智能、大数据等新兴技术对自身积累的海量、多维度的高质量、高价值的客户数据进行分析，识别客户风险和可疑洗钱活动，具体监测流程如下所示（图3）：

图3 商业银行当前可疑交易甄别流程

由于在洗钱活动的各个阶段中，非法资金在合法化的过程通常涉及多家金融机构及非金融机构。从整个资金的流通过程来看，仍然存在“数据孤岛”现象，商业银行单纯地对本机构积累的数据信息进行分析，不能全面地掌握非法资金流通的整个链路，不能全方位地掌握人物关联关系、账户关联关系、交易时序及资金流向等，难以有效识别洗钱行为，进而导致可疑案例的误排除或误上报。

根据中国人民银行发布的《银行业金融机构反洗钱现场检查数据接口规范（试行）》（银发〔2017〕300号）、《金融机构大额交易和可疑交易报告管理办法》以及中国银保监会发布的《银行业金融机构监管数据标准化规范（2021）》（EAST5.0）要求，各商业银行所保存的数据要素标准基本一致，即数据特征维度重叠较多，可以应用横向联邦学习技术，各自在本地训练模型，并通过同态加密技术和协议进行参数交换，从而构建一个共有的联合模型，实现在保护本机构客户隐私、原始数据不出本地的前提下，合法合规地从多源数据中训练出更加准确的反洗钱可疑交易监测模型，进一步提升商业银行洗钱风险管理质效，以有中心服务器的联邦学习技术构建可疑案例监测模型为例（图4）：

图4 联邦学习在可疑交易甄别中的应用

（二）联邦学习在客户身份识别中的应用

客户身份识别、客户身份资料和交易记录保存以及大额和可疑交易报告是反洗钱的三大核心义务。客户身份识别要求商业银行在各业务环节，秉持“了解你的客户”（KYC）的原则，对客户信息、身份资料等进行审核，以确定客户真实身份，并登记有关身份信息。在客户身份识别过程中，商业银行经常需要查询运营商、工商信息等。商业银行大多采用将客户身份信息通过网络传输给第三方，第三方进行数据匹配，并反馈结果，这样客户具体去哪些商业银行办业务就可能被第三方记录。第三方可能会利用这个数据对客户做进一步分析，导致客户隐私的泄露。商业银行也可能应用哈希算法，通过客户信息的哈希值进行密文碰撞的技术手段，可在较低程度上保护客户隐私，但哈希值对确定格式的数据是可以反向推测原文的，无法充分确保数据安全。

本文以客户实名认证为例，客户来商业银行办理业务，商业银行在对客户身份识别过程中，可利用联邦学习技术进行客户实名认证，可以实现隐私保护的效果，商业银行将要验证的客户身份信息通过本地模型处理后，与运营商通过本地模型处理后的数据，利用联邦学习中的联合模型进行处理，商业银行得到联合模型处理后的结果，最终实现客户的实名认证。这样，商业银行不知道运营商除被查询客户的以外数据，运营商也不知道商业银行所查询的数据，实现了客户信息不被第三方了解和储存的功能（图5）。

图5 商业银行客户身份识别（实名认证）

（三）联邦学习在反洗钱模型共享中的应用及激励机制建立

我国商业银行可以细分为政策性银行、国有商业银行、股份制商业银行、城市商业银行、农村商业银行、村镇银行等。不同类型的商业银行反洗钱模型建设能力差别很大，一般大型国有商业银行和股份制商业银行的反洗钱模型建设能力要高于城市商业银行和农村商业银行，洗钱犯罪分子往往也了解这种情况，更倾向于通过洗钱风险管理能力较弱的商业银行清洗非法资金。

如果某国有银行的反洗钱模型建设能力更强，对可疑交易识别的有效性更高，而某农村商业银行反洗钱模型建设能力较弱。农村商业银行想复用国有银行的反洗钱模型，但出于数据保护的考虑，不能让国有银行知道自身数据，而国有银行担心模型规则泄露，亦不同意将自建的反洗钱模型部署到农村商业银行。此时，可以应用联邦学习技术，农村商业银行将自身数据通过同态加密技术或安全多方计算技术加密后，传输给农村商业银行，国有银行应用自建反洗钱模型进行处理，并将结果加密后传输给农商行，农村商业银行解密后进行应用，这样就可以保证农村商业银行有效应用国有行的反洗钱模型，但是自身数据不被国有行知道，共享反洗钱模型示意图如下（图6）：

图6 反洗钱模型共享

通过以上例子，可以建议建立共享反洗钱模型激励机制，针对开发能力强、反洗钱模型效果好的机构，可以通过联邦学习技术向其他机构共享自己所研发的模型的使用权，并设计合理的收费机制。这样反洗钱模型研发能力较弱的商业银行可以花费较少的成本提升自身的洗钱风险管理能力，研发能力强大的商业银行则可以获得中间收入作为激励。

（四）联邦学习在洗钱风险管理中其他方面的应用

近年来，反洗钱管理日趋严格，国家及监管层面政策频出，2022年中国人民银行、公安部等11部门联合印发《打击治理洗钱违法犯罪三年行动计划（2022-2024）》，在全国范围内开展打击治理洗钱违法犯罪三年行动，足以体现出国家层面对洗钱风险管理的重视程度。未来洗钱风险管理的手段和措施也会不断丰富和完善。本文认为在以下几个方面也可以应用联邦学习技术提高商业银行洗钱风险管理的有效性。

一是联邦学习应用于客户洗钱风险等级评定。商业银行一般通过定性分析和定量分析两种方式对客户进行洗钱风险等级认定。在定性分析过程中，可通过应用联邦学习实现法院、公安机关、监察机关、国安机关、海关、税务机关等数据与商业银行数据的跨机构应用，使得商业银行在对客户进行洗钱风险评级过程中及时发现客户已经存在的相关风险，提高客户洗钱风险评级的准确性。

二是联邦学习应用于客户尽职调查。商业银行一般对产生预警案例的客户采取尽职调查措施、对系统评级为洗钱高风险等级的客户采取强化尽职调查措施。在对客户尽调的过程中，商业银行可通过应用联邦学习，实现工商信息、户籍信息、运营商信息的跨机构共享应用，确保客户身份识别信息的全面性和准确性，提高客户尽职调查质量。

三是联邦学习应用于外贸行业洗钱行为识别。外贸行业是洗钱高风险渠道，可以通过高报进口价格及预付货款名义将资金从境内转移到境外。这是一种典型的向境外洗钱的手法。所以，对外贸相关交易，商业银行应该有效辨明虚假贸易或虚假价格、识别客户信息及关联企业、审核贸易外汇收支情况、核实海关报关单、分析账户交易情况等。应用联邦学习可实现商业银行数据、工商数据、外汇管理局数据、海关数据的有效共享挖掘，及时发现通过外贸交易的洗钱行为。

三、联邦学习大规模应用面临的问题

根据目前研究现状，联邦学习能够实现跨行业、跨机构的数据安全融合，提高商业银行反洗钱管理质效，但考虑到若大规模应用联邦学习技术，仍然存在一些问题，主要表现在以下几个方面：

（一）技术复杂，安全上存在一定的风险。联邦学习的原理和框架都比较复杂，由于要实现跨域数据传输和大量使用密码学算法，使用性能存在一定的压力。同时，应用联邦学习技术，在模型输出及部署过程中，可能遭受模型更新攻击、数据攻击、逃逸攻击等[7]，存在一定的安全风险。

（二）尚未形成完整的解决方案。数据安全需要端到端的全流程防护，从客户的授权、数据采集、存储、流通、融合、应用的全流程，都是需要防护的，目前联邦学习主要集中在数据融合环节，对于数据流通的整个流程尚未形成一套完整有效的方案，没有确定的标准可以参考。

（三）应用推广困难。目前国家层面、监管层面尚未对隐私计算相关技术的推广应用出台相应的法规政策，不同行业、不同机构大多还是处在尝试阶段，很多机构对新技术的应用处于观望状态，不敢真正的将自身拥有的数据通过联邦学习技术对外开放应用。

四、建议与展望

国家已经明确数据作为一种新型的生产要素，国务院印发《“十四五”数字经济发展规划》、国家发改委等9部门发布《关于推动平台经济规范健康持续发展的若干意见》，鼓励基于平台的数据要素融合创新，促进数据高效合规流通使用；人民银行印发《金融科技发展规划（2022-2025年）》，将“推动数据有序共享”、“深化数据综合应用”作为新时期的重点任务，要求探索实现跨机构、跨地域、跨行业数据资源的有序共享。可见，国家层面、监管层面已经在逐步推动跨机构的数据共享。

本文认为，联邦学习技术可以作为一种有效手段实现跨机构的数据应用，提高数据在洗钱风险管理以及其他方面的共享应用。但是，在联邦学习真正大规模应用于洗钱风险管理之前，还需要对以下几个方面进行完善。

（一）持续开展技术研究

针对联邦学习技术的复杂性及安全性问题，商业银行应持续开展相关技术研究，对基于联邦学习的洗钱风险管理平台的底层安全技术进行规范和认证，对不同场景的功能明确相应的安全参数，用以规避技术安全性不明确导致的数据安全隐患，探索如何基于联邦学习技术最大化的提高洗钱风险管理质效。

（二）建设行业技术标准和平台

由监管部门或监管部门指定的商业银行建设统一标准的基于联邦学习的洗钱风险管理平台，奠定大规模应用基础。在底层数据方面，明确可使用的数据范围、数据标准及数据要素含义等；在技术层面，明确不同场景或条件下的可用算法和协议、性能、安全标准；在管理层面，明确平台的使用说明、接入流程及应用费用、建立完善的认证、授权、审计机制。

（三）加强政策指导和推动力度

国家层面出台相应的政策，明确各政府机构的数据可以基于联邦学习技术，在确保数据安全的前提下应用于商业银行洗钱风险管理，并制定可共享数据范围、数据标准等；中国人民银行作为反洗钱行政主管部门，发布相应的规章制度，鼓励商业银行探索基于联邦学习技术的洗钱风险管理的场景应用，建立相应的监管体系，推动商业银行积极主动应用联邦学习技术。

参考文献：

[1]约翰 马丁格著,冯道康等译.洗钱—刑事侦查员指南（第三版）[M].中国人民公安大学出版社.2019.

[2] 21世纪经济报道,反洗钱任重道远：行业平均误报率仍有95%，AI算法还在探索期，2020-3-25.

[3]北京金融科技产业联盟，隐私计算技术金融应用研究报告，2022-02.

[4]Liu Y,ChenT,YangQ.Secure Federated Transfer Learning[J].arXivpreprint,arXiv:1812.03337,2018.

[5]中国工商银行大数据与人工智能实验室，基于迁移学习技术的反洗钱建模研究和实现[J]，中国金融电脑，2020（10）.

[6]微众银行，联邦学习白皮书V2.0，2020-04.

[7]陈琨、李艺等，联邦学习在金融行业的应用分析，征信，2021年第10期.

文章系作者投稿，文中内容不代表就职单位和中国电子银行网观点和立场！