KYC 政策

为什么 KYC

代理服务被滥用是行业的核心痛点。多数代理供应商不验客户身份——结果是同一个 IP 池里既有跑合规电商监控的上市公司、也有某个国家政府背景的监控公司、也有诈骗团伙。当其中任何一方滥用导致 IP 段被封，所有人一起遭殃；当监管来查源头，没人说得清。

我们的解法是把"无差别供给"换成"分层准入"——通过 KYC 把每个使用 Helodata 的实体都识别清楚、可追溯、可问责。这不是道德姿态——是商业逻辑：合规客户愿意为干净的 IP 段付溢价。我们的复购率与企业客户比例长期高于行业平均，根源在这里。

法规层面，我们的服务属于若干司法管辖区下的"金融基础设施"或"通讯中介"范畴。香港 AMLO、欧盟 5/6 AMLD、新加坡 PSA、美国 BSA 都对客户尽职调查 (CDD) 提出要求。我们超额执行——不仅识别公司主体，还识别最终受益所有人 (UBO) 与决策权益者。

这是合规客户的护城河：你能拿到我们的 SOC 2 报告、能签 DPA、能通过你客户的供应商风险审查，根本原因之一就是我们与你的'邻居'也都经过了同样的 KYC。

客户分类

所需资料：个人客户

• 身份证明 — 政府签发的有效证件（护照、国民身份证、驾照），有效期内、清晰可读、四角完整
• 活体核验 — 通过 Sumsub / Onfido 完成自拍 + 活体检测（眨眼、微笑、转头），与证件人脸比对
• 居住地址 — 90 天内的水电单、银行账单、租房合同任一
• 联系信息 — 手机短信验证 + 工作邮箱（个人邮箱可，但强烈建议工作邮箱以加快企业升级路径）
• 资金来源（高消费时） — 月消费 ≥ USD 5K 触发，需提供工资单 / 公司流水 / 投资协议任一

所需资料：企业客户

• 公司证明 — 营业执照 / 注册证书；境外公司还需 Certificate of Good Standing
• 公司架构 — 组织架构图 + 股权架构图（识别 ≥ 25% 股权的所有 UBO）
• UBO 验证 — 每位 UBO 的身份证 + 自拍 + 住址证明，与个人客户标准一致
• 决策授权 — 董事会决议 / 公司章程，授权签约人代表公司签署 Helodata 合同
• 公司地址 — 工商登记地址 + 实际办公地址（如不一致需说明）
• 业务说明 — 一份 1-2 页的简介：你打算怎么使用 Helodata、目标行业、预估流量、负责团队
• 财务核验 — 近期审计报告 / 银行对账单（年消费 ≥ USD 50K 触发）
• 银行信息 — 公司账户证明（不接受个人账户为公司付款）

所需资料：代理商 / 转售商

• 企业客户全套 — 上一节所有
• 代理商协议 — 签署 Helodata 代理商协议（VAR/MSP），明确权利义务
• 终端客户 KYC 流程 — 提供你的 KYC SOP 文档；Helodata 复核后才生效
• 终端客户名单 — 每季度提交终端客户清单，含公司名 / 国别 / 业务类型
• 滥用拦截能力 — 证明你有独立的滥用监控与处置能力（不能完全依赖 Helodata）
• 年度审计 — 配合 Helodata 每年一次的代理商运营审计

审核流程（标准 24 业务小时）

步骤 1 — 提交：通过 Dashboard "Compliance" tab 上传文档。所有文档采用端到端加密；Helodata 工作人员看到的是审核需要的最小信息。

步骤 2 — 自动化校验：(a) OCR + 文档真伪检测（防 PS、防截屏、防伪造）；(b) 全球制裁名单筛查（OFAC、EU、UN、UK HMT、HK CFR）；(c) PEP（政治公众人物）筛查；(d) 不利媒体筛查（针对欺诈 / 洗钱 / 贪腐历史）。整套流程 5–15 分钟。

步骤 3 — 风险评分：基于行业、地理、文档完整性、UBO 复杂度等 30+ 维度生成 0–100 风险评分。

步骤 4 — 路径：评分 < 30 自动通过；30–70 转人工分诊（合规分析师 1 名 + 高级分析师 1 名 4-eye 审核）；70–90 转 Head of Compliance；> 90 进入 Enhanced Due Diligence (EDD) 流程。

步骤 5 — 决策：通过 → 账户激活；条件通过 → 限制使用范围或要求补充材料；拒绝 → 提供拒绝原因（法律允许范围内）+ 申诉路径。

步骤 6 — 通知：邮件 + Dashboard 通知。通过后立即可用全部产品；条件通过的限制在 Dashboard 显示。

我们的 KYC 合作伙伴

Sumsub（伦敦）：主用，覆盖全球 220+ 国家文档识别，FATCA / CRS / GDPR 合规。

Onfido（伦敦）：备份用，作为故障切换；针对英美强势市场。

内部红队季度对 KYC 流程做对抗性测试（拍照面具、换脸、深度伪造）；2025 年最新一次测试我们的真伪检测拒绝率 99.7%。

所有第三方 KYC 数据共享均通过 ISO 27001 合规通道，附 GDPR 第 28 条 DPA。

增强尽职调查 (EDD)

触发条件：制裁名单灰区匹配、高风险国家（FATF 灰名单 + 黑名单）、PEP 关联、复杂离岸架构、行业为现金密集 / 加密 / 赌博 / 武器、UBO 不愿披露。

EDD 内容：(a) 资金来源详细说明 + 文件支撑；(b) 业务尽调电话 (30–60 分钟)；(c) 适当时聘请第三方背景调查；(d) Head of Compliance 亲自审批；(e) 通过后进入"高接触"客户池，季度复审。

EDD 平均周期 5–10 个工作日。

我们不会接收的客户

• 制裁名单 — 本人或公司或 ≥ 25% 股权 UBO 出现在 OFAC SDN、EU、UN、UK HMT 任一名单
• 制裁地区 — 全面受美国制裁的司法管辖区：古巴、伊朗、朝鲜、叙利亚、克里米亚、顿涅茨克 / 卢甘斯克 / 扎波罗热 / 赫尔松
• 滥用历史 — 已被 Helodata Tier 3 / Tier 4 处罚的实体（5 年禁入），或被同业代理商列入黑名单
• 人权风险 — 已知的监控记者 / 维权人士 / 抗议者的国家级机构、其承包商、其代理人
• 儿童安全风险 — 与儿童剥削、虐童内容传播、未成年人定向骚扰相关的实体
• 执法配合不足 — 拒绝提供 UBO 信息或拒绝完成 EDD 的高风险客户
• 行业禁令 — 武器军火（民用低度武器除外）、毒品（合法医药除外）、人口贩卖、野生动物非法贸易

再验证 (Re-KYC) 触发

常规：每年至少一次更新（核对住址、UBO、文档有效期）。

事件触发：监管处罚、媒体不利报道、制裁名单变化、UBO 变更 ≥ 25%、年消费跨越档次（USD 50K → 500K → 5M）、可疑活动报告 (SAR) 触发。

客户主动：合并、收购、股权重组、迁址、改名时应主动告知 Helodata。

不配合后果：再 KYC 申请发出 14 天内未提交的，账户先降级；30 天内未提交则暂停；60 天内未提交则终止。

文档安全与隐私

存储：客户敏感文档（ID、护照、UBO 文件）使用 AWS KMS Envelope Encryption + 应用层 deterministic encryption 双重加密；密钥独立于业务数据库 KMS。

访问：仅 8 名持证合规分析师（CAMS / ACAMS）+ 4 名安全工程师有访问权限；任何访问触发不可篡改审计日志；季度访问审查；年度独立第三方审计。

传输：与 Sumsub / Onfido 之间使用 mTLS + 文件级 PGP；与监管机构以法律允许的最严方式传输。

保留：合规要求 ≥ 5 年（适用法律可能扩展至 10 年）。期满后不可逆删除（覆写 + 加密销毁）。

客户权利：除监管或司法程序外，删除合规要求超出后我们将主动删除；客户可申请 KYC 数据机器可读导出（JSON 格式）。

拒绝、申诉与争议

拒绝告知：法律允许的范围内，我们会告知拒绝原因。涉及'制裁名单匹配'、'反洗钱可疑活动'等情形可能因法律要求不能告知具体原因，但我们会引导你寻求独立法律意见。

申诉一审：拒绝 14 天内可邮件至 kyc@helodata.com 提交申诉，附补充证据。我们承诺 5 个工作日由原决策人之外的高级合规分析师独立复核。

申诉二审：一审维持原判，可在 14 天内继续上诉至 Head of Compliance；该轮 30 个工作日内做出决定。

独立监督：每季度独立合规顾问审查 5–10% 的拒绝案例；如发现系统性偏差，我们更新 SOP。

透明度报告

我们每年发布 KYC 透明度报告，包括：(a) 提交申请总数；(b) 通过率；(c) 拒绝原因分布；(d) 平均审核时长；(e) 申诉数与改判率；(f) 制裁名单匹配数（不含具体身份）；(g) SAR 报告数。

最新一份报告见 /transparency/kyc。

联系

KYC 流程问题

kyc@helodata.com

申诉与升级

compliance@helodata.com

隐私 / 数据请求

privacy@helodata.com

透明度报告

/transparency/kyc