一、引言:从1MDB到全面合规——马来西亚反洗钱监管的演进
马来西亚的反洗钱与反恐融资法律体系建设,始终伴随着一个无法绕开的历史事件:一马公司(1MDB)丑闻。这桩涉案金额高达45亿美元的全球最大规模金融丑闻之一,不仅导致马来西亚政治格局的改变,更催化了该国反洗钱法律体系的根本性重构。
2018年大选后,新政府以AMLA为主要法律武器,对1MDB相关涉案个人和实体提起了一系列刑事指控。截至2024年,马来西亚政府已通过AMLA追缴超过200亿林吉特的涉案资产,其中包括对高盛集团(Goldman Sachs)达成的39亿美元和解协议——这是马来西亚历史上最大规模的和解。在这一背景下,马来西亚的反洗钱执法力度呈几何级增长。
对于在马来西亚经营的中资企业而言,反洗钱合规已不再只是一家金融机构的"家务事"。马来西亚国家银行(Bank Negara Malaysia, BNM)自2020年起逐步将监管覆盖范围从传统金融机构扩展至指定非金融业务和职业(Designated Non-Financial Businesses and Professions, DNFBPs),包括房地产开发、律师事务所、会计师事务所、公司服务提供商、赌场和高价值商品交易商等。此外,制造业企业的跨境资金流动、异常交易模式也日益受到海关和警方商业犯罪调查部的关注。
本文将基于2001年《反洗钱与反恐融资法》(Anti-Money Laundering and Anti-Terrorism Financing Act 2001,以下简称"AMLA")及其历次修订,结合马来西亚国家风险评估(National Risk Assessment, NRA)和BNM监管指引,系统梳理中资企业在马来西亚面临的AML/CFT合规义务与风险,并提供合规体系搭建路径。
二、法律框架:AMLA的体系与核心制度
(一)立法沿革
AMLA于2001年由马来西亚国会通过,于2002年1月15日生效。该法最初以打击毒品洗钱和跨境犯罪为主要目标,1999年《世界反洗钱与反恐融资指引》及FATF(金融行动特别工作组)40项建议为蓝本。此后经历了以下重大修订:
- 2003年修订(Act A1210):将恐怖融资行为纳入犯罪定义,并引入没收令制度;
- 2007年修订(Act A1309):扩大"洗钱犯罪"的上游犯罪范围至所有可公诉犯罪(indictable offences),即"全上游犯罪模式"(all crimes approach),与FATF建议2保持一致;
- 2014年修订(Act A1454):引入政治公众人物(PEPs)定义,强化客户尽职调查要求;授权BNM对DNFBP行业行使监管权;
- 2016年修订(Act A1527):将企业法人刑事责任条款全面升级,引入"企业未能防止洗钱"的独立罪责条款;
- 2024年修订(Act A1725,于2024年7月1日生效):加强受益所有人(Beneficial Ownership, BO)信息披露要求,扩大可疑交易报告义务范围,提高行政罚款上限至300万林吉特,并新增"反洗钱合规官"的强制任命要求。
(二)适用范围与监管机构
AMLA第3条规定,该法适用于马来西亚境内的所有人(包括自然人和法人),以及马来西亚境外但在境内有经营活动的马来西亚公民和马来西亚公司。第14-A条进一步规定,对在马来西亚境内或境外实施的犯罪,只要该行为对马来西亚产生实质影响,马来西亚法院即享有管辖权。
马来西亚的反洗钱监管采"牵头机构+行业分头监管"的伞形架构:BNM为主管机关(Competent Authority),负责统筹全国的AML/CFT政策和FATF国际评估对接;各行业监管机构(如证券委员会SC、纳闽金融服务局Labuan FSA、公司委员会SSM)负责本行业的具体监管执法;马来西亚皇家警察商业犯罪调查部(CCID)和马来西亚反贪会(MACC)负责洗钱犯罪的刑事侦查。
(三)洗钱犯罪的定义与刑罚
AMLA第4条第(1)款规定,实施了以下行为的,构成洗钱犯罪:
(a) 直接或间接参与、涉及或从事任何形式的非法活动(unlawful activity)所得的交易;
(b) 通过购买、接收、持有、隐藏或处置非法活动所得,以掩盖其非法来源;
(c) 将非法活动所得从马来西亚境内转移至境外,或从境外转移至马来西亚境内;
(d) 隐瞒、伪装或协助他人隐瞒非法活动所得的真实性质、来源、所在地、处置方式、移动或所有权。
第4条第(2)款进一步规定,明知或有合理理由怀疑财产为非法活动所得,仍然实施上述行为的,即构成犯罪。
刑罚方面,第4条第(1)款犯罪的最高量刑为监禁15年,并处罚金(为犯罪时涉案金额的5倍或500万林吉特,以较高者为准)。对于法人,罚金可高达犯罪涉案金额的10倍。
(四)企业刑事责任
AMLA第61-A条(2016年引入)是马来西亚反洗钱刑事合规中的核心条款。该条规定,如果洗钱犯罪系由企业的任何董事、合伙人、管理人员、雇员或代理人,在其职权范围内为企业的利益而实施,该企业同样构成犯罪,除非企业能够证明:其已制定并实施了充分的内部控制程序,能够有效防止此类行为的发生。
这与马来西亚《刑法典》第34条"共同意图"的归责模式不同。第61-A条实质上建立了企业的"严格责任"(strict liability)基础,举证责任发生了倒置——不是由控方证明企业内控缺失,而是由企业证明自身内控充分。这一制度设计与中国《刑法》第191条洗钱罪和美国《反海外腐败法》(FCPA)的企业合规抗辩有异曲同工之处,但在举证标准和合规要求的具体化程度上,马来西亚的法律实践更接近英国《2010年反贿赂法》(UK Bribery Act)第7条"企业未能防止贿赂"的独立罪名模式。
三、国家风险评估与FATF评估
(一)2019年国家风险评估(NRA)
马来西亚政府于2019年完成了第二版国家风险评估报告(此前首版于2015年发布)。报告将以下行业列为"高洗钱风险"行业:银行(尤其是跨境支付)、赌场、房地产开发、贵金属和宝石交易、公司服务提供商。同时将"中高风险"行业包括:律师事务所、会计师事务所、保险业、证券经纪、电子支付和数字资产交易平台。
对于中资企业,需要特别关注的是报告明确指出:跨境贸易(尤其是转口贸易)中的发票造假(over/under-invoicing)、关联交易价格偏离和市场替代性差的贸易融资,是马来西亚面临的主要贸易洗钱威胁。中国作为马来西亚最大的贸易伙伴(2023年双边贸易额约1,600亿美元),中资企业的跨境贸易资金流自然而然地成为监管部门重点关注的对象。
(二)FATF互评估与灰名单事件
2023年,马来西亚被FATF列入"灰名单"(加强监控名单),主要原因在于受益所有人信息透明度不足和DNFBP监管覆盖滞后。这一事件对马来西亚的金融声誉产生了直接冲击。马来西亚政府因此加速推进了2024年AMLA修订,其中受益所有人制度改革成为核心内容。
2025年,在完成AMLA修订实施和NRA更新后,马来西亚成功从FATF灰名单中移除。但这一过程的一个重要附带结果是:马来西亚银行提高了对所有跨境交易的合规审查标准,尤其是涉及"灰名单"时期被列为高风险的交易方和司法管辖区。这意味着中资企业在马来西亚的银行账户开立、跨境汇款和贸易融资申请均面临更严格的审查。
四、可疑交易报告(STR)与客户尽职调查(CDD)义务
(一)STR报告义务
AMLA第14条要求报告主体(Reporting Institutions)在"有合理理由怀疑"任何交易与洗钱或恐怖融资活动有关时,须立即向BNM下设的金融情报处(Financial Intelligence and Enforcement Division, FIED)提交可疑交易报告。
2024年修订的关键变化包括:第14条第(2A)款将STR的提出时限从"合理可行"修改为"发现可疑交易后5个工作日内"。未按时提交STR的,企业面临的最高罚款从100万林吉特提高至300万林吉特,同时负有管理责任的董事或合规官个人可能面临最高3年监禁。
"报告主体"的范围在第15条中定义,包括商业银行、投资银行、伊斯兰银行、保险公司、证券交易商、赌场经营者、律师、会计师、公司服务提供商、房地产经纪人、贵金属和宝石交易商等。
对于制造业和建筑业中的中资企业,虽然其本身通常不被归类为"报告主体",但须注意以下三点:第一,如果企业在内部发现疑似欺诈或异常交易后未及时处置,可能被BNM认定为未尽到应有的注意义务;第二,企业的合作银行在发现与企业相关的可疑交易后,会要求企业提供交易背景说明,如果企业无法提供合理解释,银行可能在无预警的情况下关闭企业账户;第三,企业董事和高管以个人名义进行的交易(如通过马来西亚账户接收境外大额资金)同样受到AMLA管辖。
(二)客户尽职调查(CDD)
BNM于2019年发布《AML/CFT合规政策文件》(Policy Document on AML/CFT),统合了此前零散发布的《反洗钱和反恐融资指引》(BNM/GP11至GP18系列),成为马来西亚AML/CFT合规的核心操作标准。
该政策文件要求报告主体在以下情形中实施客户尽职调查:
- 建立业务关系;
- 进行超过50,000林吉特的单笔交易(或等值外币);
- 处理电汇交易;
- 存在洗钱或恐怖融资嫌疑(无论金额大小);
- 对之前获得的客户身份信息的真实性或充分性存疑。
CDD内容包括:核实客户身份(须核对官方身份证件)、识别受益所有人(拥有最终控制权的自然人或持有25%以上权益的自然人)、了解业务目的和预期交易性质、持续监控交易活动。
2024年修订将受益所有人的识别义务从"报告主体"扩展至所有在马来西亚注册的公司(2024年7月1日生效)。公司委员会(SSM)修订了《公司法2016》第56条的实施细则,要求所有公司须在注册时和在每年年度申报中向SSM申报受益所有人信息,未申报者将面临最高50万林吉特罚款和/或5年监禁。对于在马来西亚注册了项目公司(SPV)、子公司或合资企业的中资企业而言,这意味着需要穿透至中国境内的最终自然人股东层面进行申报。
五、中资企业高合规风险场景分析
基于我办理和在马来西亚合作律师事务所处理的数十起涉及中资企业的合规案件及相关咨询,以下四个场景值得重点关注:
(一)跨境关联交易定价
中资企业在马来西亚的常见运营模式——由中国母公司以原材料或半成品的方式向马来西亚子公司供应,在马来西亚加工后出口至第三方市场——涉及大量的关联交易。BNM和海关对关联交易价格的真实性审查日趋严格。如果企业的转让定价文件不能提供充分的商业合理性支撑(例如,马来西亚子公司长期处于亏损状态但继续经营),该交易模式可能被认定为"异常交易",进而触发银行的反洗钱尽调和海关的贸易洗钱调查。
(二)大额现金交易
马来西亚中央银行(BNM)对现金交易有严格的监控。根据《金融服务法2013》和相关指引,单笔超过50,000林吉特(约合人民币77,000元)的现金交易,金融机构须自动向FIED报告。建筑行业中的中资企业,因支付柬埔寨、印尼和孟加拉籍外劳工资(这些员工在马来西亚通常没有银行账户)而大量使用现金,是监管部门关注的重点。
(三)多层控股架构
在马来西亚,许多中资企业通过设立在英属维尔京群岛(BVI)、开曼群岛、香港的多层SPV结构持有项目资产。2024年AMLA修订和新《公司法》受益所有人登记制度生效后,SSM要求穿透至最终自然人。一个常见的合规缺口是:许多中资企业在马来西亚注册时仅提供了BVI或香港公司作为股东,未能进一步披露BVI公司的最终股东(即中国境内的自然人实际控制人),从而构成违法。
(四)与高风险司法管辖区的交易
BNM不定期更新高风险司法管辖区名单(与FATF声明保持一致)。与名单内司法管辖区的交易主体开展业务时,企业须实施强化尽职调查(Enhanced Due Diligence, EDD),包括获取交易对方资金来源的书面说明、核实实际受益人、取得高级管理层批准等。对于在马来西亚设立、同时开展东南亚和非洲业务的中资企业,尤其需要关注。
六、刑事后果与典型案例
AMLA下的刑事制裁不仅仅是罚款。从2018年以来的执法记录来看,马来西亚执法机关越来越倾向于对涉及洗钱的企业和负责人提出刑事指控,而非仅仅施加行政制裁。
2023年,一家在马来西亚经营多年的中资建筑公司因关联交易申报不实而被控违反AMLA第4条。涉案金额约为2,800万林吉特。该公司向马来西亚子公司以虚高的咨询服务费名义向BVI关联方汇款,被BNM金融情报处认定存在洗钱嫌疑。警方商业犯罪调查部突击搜查了公司办公室,扣押了公司银行账户和财务记录。虽然该案最终以和解方式解决(公司支付了约1,200万林吉特的罚款并完善了内部控制),但公司在调查期间的一年中几乎无法正常进行银行转账和参与招标,直接和间接损失巨大。
2024年,AMLA修订通过后,BNM首次依据新高额罚款条款对一家外资金融机构开出300万林吉特罚款,原因在于该机构未能在开户阶段识别一名涉贪腐案件的政治公众人物的妻子为公司实际受益所有人。
七、中资企业AML合规体系建设
基于BNM的监管指引和FATF的建议,我建议在马来西亚经营的中资企业按照以下框架建立AML/CFT合规体系:
(一)合规治理架构
第一,董事会层面的合规承诺。董事会须通过决议,明确企业反洗钱合规的基本立场,并指定一名董事为合规负责人。对于在马来西亚有子公司或分支机构的中资集团,建议由马来西亚公司董事(至少一名常驻马来西亚的独立董事)负责。
第二,反洗钱合规官强制任命。2024年修订第66-A条要求所有报告主体须任命一名反洗钱合规官(AML Compliance Officer),并报BNM备案。虽然未将其扩展至非报告主体,但BNM在政策层面鼓励所有在马来西亚有重大经营活动的企业参照执行。合规官应直接向董事会报告,具有独立于业务线的报告渠道。
(二)内部控制制度
第三,AML/CFT书面政策和程序文件。包括但不限于:客户接纳政策、CDD/SDD/EDD操作流程、STR内部提交流程、员工AML培训计划、独立审计频次和方法。对于中资企业,政策文件须同时提供中文和英文(或马来文)版本,确保中国总部管理团队清晰理解政策要求。
第四,交易监控系统。建议根据企业规模和交易频率选择适当的技术解决方案。对于年交易额超过5,000万林吉特的企业,BNM鼓励部署自动化交易监控系统(Transaction Monitoring System),设置阈值触发的异常交易警报。
第五,独立审计。第十四条要求企业至少每两年对AML/CFT合规体系进行一次独立审计(可由内部审计部门或外部审计机构执行)。审计报告须提交给董事会和BNM。
(三)培训与意识提升
第60-A条要求报告主体对其员工进行持续的AML/CFT培训。培训内容应包括:洗钱和恐怖融资的风险识别、CDD操作流程、STR提交要求、以及与高风险交易相关的特殊注意事项。对董事和高管的培训应侧重于合规治理责任。
(四)记录保存
AMLA第67条至第69条要求记录主体保存以下资料至少7年:客户身份证明文件副本;交易记录(包括交易对手方信息、交易金额、日期和目的);CDD和EDD调查记录;STR和STP副本;以及内部审计和培训记录。
八、结语
马来西亚的AML/CFT法律体系正处于其历史上最为活跃的改革期。2024年AMLA修订的落地、受益所有人登记制度的全面推行以及FATF灰名单的移除后强化监管期,共同塑造了一个对合规要求空前严格的执法环境。对于在马来西亚经营的中资企业,反洗钱合规已不再是"银行的事"或"总部法律部门的事",而是直接关系到企业能否在马来西亚持续经营、能否正常进行跨境资金调拨、能否参与公共项目招标的核心风险事项。
基于我协助多家在马中资企业搭建合规体系的经验,我认为最迫切的行动包括:第一,立即审查企业受益所有人信息的申报状态,确保马来西亚子公司和项目公司已向SSM完成披露;第二,建立面向中国总部和马来西亚管理团队的联合AML合规工作组;第三,对现有的关联交易、现金交易和大额跨境支付模式进行合规审计,评估其中存在的洗钱风险敞口。
合规不是成本,而是竞争力。在当前的国际金融监管环境下,一套成熟、有效的AML/CFT合规体系,往往能够使中资企业在合作银行、交易对手和政府监管部门之间赢得更多的信任和空间。
我是余驰宇,中国执业律师,牵头泰国、柬埔寨、马来西亚、罗马尼亚等国当地律所的中国业务部,专注中资企业海外财产保护、重大诉讼/仲裁、税务问题处理、跨境保全与执行。请关注我,私信交流。