近年来，浅析伴随着中美贸易摩擦不断升级，制裁制裁以美国为首的黑名合规化建少部分西方国家频繁发布各类“黑名单”，以维护其所谓的单自动化国家安全或者外交利益。与此同时，筛查设为视角事务在中国反制裁法律体系下，美国我国外交部基于对等原则也相继公布了数批反制清单。出口面对当前较为复杂的管制国际经济外交环境，无论是经济金杜国有企业，还是信息外资企业，均已将针对外部合作伙伴的律师“黑名单”风险筛查视为开展任何商务活动的重要合规前提。然而，浅析面对一边是制裁制裁频繁更新和种类繁杂的黑名单，一边是黑名合规化建海量的合作伙伴数据，企业合规人员深感依靠传统人工手动筛查的单自动化方法已经远远不能满足当前合规工作的需要。为此，本文以美国出口管制及经济制裁领域的黑名单为例，从实操角度解析黑名单自动化实施方案的必要性和优越性，期待能够对广大企业的合规信息化建设工作有所启发。

（一）什么是黑名单筛查

黑名单筛查是指识别企业的客户、供应商、分销商、承运商、服务商等外部合作方是否存在被列入任何国家制裁清单的情况。以美国出口管制领域的实体清单和经济制裁领域的特别指定国民清单（SDN清单）为例，企业需要事先以合作方信息对该等黑名单进行扫描，并根据筛查结果来评估和判断是否可与其开展交易（包括但不限于受到美国出口管制的产品、技术等物项的进出口或其他商业活动）以及需要遵守哪些限制条件，以避免自身受到相关制裁或者处罚。

（二）黑名单筛查是合规体系建设的重要内容和必然要求

以美国出口管制合规体系建设要求为例，对最终用户进行筛查是识别出口管制合规风险的重要一环。例如，经筛查后发现最终用户被列入实体清单，那么涉及美国出口管制管辖的物项（即使是EAR99物项）也需要事先向美国商务部工业和安全局（简称“BIS”）申请相应的许可证，否则，企业将可能因违规转移涉美受控物项而受到相应处罚。

对此，无论是BIS的出口合规计划（简称“ECP”）中的八要素，还是美国海外资产管理办公室（简称“OFAC”）制裁合规计划（简称“SCP”）中的五要素，风险评估都是其中的重要内容，也是实现合规管控的必然前提和要求。而针对客户、供应商等合作方而言，识别其是否被美国制裁是针对合作方风险评估的重要环节，如果相关合作方被美国制裁，那么与之交易，违反美国相关法规的合规风险将极大提升，需要引起企业的重点关注。

（三）黑名单筛查是外部监管机构作出处罚时的重要考量因素

近年来，美国监管机构越来越重视企业履行黑名单筛查义务的实施情况。具体而言，一方面要求企业扩大黑名单筛查的范围，不仅要筛查最终用户，还要筛查上游供应商、下游客户，甚至报关行、货代、承运商等辅助性服务商也被列入筛查对象范围；另一方面，还要求企业确保筛查动作和结果的有效性，即企业对合作方的筛查如果有遗漏或者未识别出相应的黑名单，也同样会受到惩罚。比如，某科技公司因为在对黑名单筛查时没有区分公司的尾缀大小写“doo”和“DOO”，导致没有识别出被列入SDN清单的实体，被OFAC认定违反了美国的制裁政策，被处以47万美元（约330万元人民币）的罚款，并被要求优化筛查工具并对员工进行强制性培训，以作为达成和解协议的必要条件[1]。因此，企业是否有对自己的合作方进行黑名单筛查是美国监管机构审查的重点，同时黑名单筛查的有效性和准确性也是美国监管机构审查和处罚的重要因素。

当前，大部分企业主要通过使用美国Consolidated Screening List（简称“CSL”）等官方筛查工具[2]对涉美黑名单进行筛查，但是在实际操作过程中却存在众多问题和困难，导致黑名单筛查要求难以真正执行落地。具体而言，可以总结归纳为以下五个方面的痛点和难点：

（一）筛查工作量巨大，导致难以实际落地

CSL等官方筛查工具只支持单个实体的筛查，不支持批量的检索，所以企业合规人员只能将合作方信息逐一输入到CSL网站进行筛查（如下图所示）。而一个具有一定规模企业的存量合作方（包括客户、供应商、承运商、服务商等）可能成千上万，甚至达到几十万，只依靠合规人员逐一去CSL网站筛查，即使不算人工复核的经济成本，仅从所需的时间角度而言，也会严重影响对外经贸活动的进度，最终必然会导致黑名单筛查工作伴随着合规人员与业务人员的反复争执而彻底停滞。

（二）缺少中文黑名单，中方实体难以全面覆盖

针对中国企业来说，其大部分的合作方都是中方实体，企业信息都以中文居多，甚至有的合作方完全没有公开的英文信息。但是美国的黑名单以及CSL等筛查网站都以英文作为筛查语言，无法直接使用中文名称进行检索。但另一方面，如前所述，无效的黑名单筛查并不会受到外部监管机构的认可，当然也不会成为不开展筛查工作的有效免责事由。

（三）模糊查询导致误命中率过高，需再次投入大量人力进行复核

CSL官网的黑名单筛查有两种匹配方式，一种是精确匹配，另一种是模糊匹配。但是CSL作为官方网站，只有一套普适性的筛查逻辑，为了尽量覆盖所有的合规风险，其模糊筛查的匹配率较低，误命中率过高，比如“ABCD”作为黑名单，即使输入“BADC”与其完全无关的单词也同样会被命中。因此，如果使用CSL的模糊匹配，那么会有极多无关的实体被误命中，需要再次由人工进行逐一的分析和复核。但是，鉴于人工复核速度慢、效率低，必然会影响业务进度。另一方面，如果使用精确匹配，因为匹配要求过严，即使相似但有一点不同，就不会被识别出来，导致发生漏扫、丢失风险实体的情况。

（四）筛查结果更新不及时，难以匹配业务发展需要

美国官方公布的黑名单也好、合作方的信息也罢，都不是一成不变的。尤其是近年来，美国频繁发布黑名单，加之企业的交易活动也处于动态当中，导致两个方面的数据信息不断交替变化。例如，黑名单或者合作方二者中任意一方的信息发生变更，都需要重新进行筛查，否则可能发生违规风险。但是，在实际操作当中，不但瞬息万变的黑名单或者合作方信息，难以做到即时同步传输给合规及业务人员。退一步讲，即使相关人员知悉了黑名单或合作方的信息变化，也很难在短时间内完成黑名单重新筛查动作，甚至有可能发生刚复核到一半，前半部分的信息再次发生了变化的情况，导致筛查进入了一个无法保持时时合规的“无效筛查的死循环状态”。

（五）筛查结果不易保存，被用于后续审计或者免责举证难度大

使用CSL等官方网站筛查，无法在系统中保存扫描结果，需要筛查人员自行对筛查结果进行截图、分析后作为合规动作的相关证据加以保存，以备在接受后续审计或者在必要时作为证据出示给外部监管机构以获得轻罚甚至免罚。此外，即使通过人工方式保存截图，但在实际使用时也很难做到高效检索和调取。

（一）黑名单筛查自动化定义

黑名单筛查自动化是指根据企业需求，设计精准可靠、功能齐全的定制化黑名单筛查工具，制定符合每个企业自身业务及合规需求的全面筛查规则，并在企业本地化实施闭环部署，实现与客户、供应商等合作伙伴业务系统的对接，借助信息化手段，帮助企业完成黑名单筛查工作，提高筛查的效率和准确性，实现筛查的及时性和自动化。

（二）黑名单筛查自动化特性

黑名单筛查自动化主要有以下六个方面的特性：

1.精准性

根据企业的实际情况，设计定制化的筛查规则，创设黑名单自动化筛查工具。一方面，通过设计适当的匹配率，降低黑名单筛查的误命中率，减少无关的黑名单命中项，降低人工复核的工作量；另一方面，通过考虑关键词、简称、标点符号、特殊字符等因素，在筛查规则中加入排除词、容错率等因素，提高扫描的准确性，确保与黑名单相似的或者应当被命中的实体不会被遗漏。

2.全面性

黑名单自动化筛查工具可以根据不同企业合作方的情况，全面定制化中文、英文、个人、组织等不同的筛查规则，对企业的存量客户、供应商、服务商等合作方以及增量合作方进行全面的筛查。不仅可以设计英文筛查规则扫描英文的合作方，也可以设计中文的筛查规则对中文的合作方进行扫描，将中文合作方纳入到筛查范围内，不必再对中文合作方名称等相关信息进行翻译，提高筛查的效率，降低业务和合规人员的筛查难度，扩展黑名单筛查的覆盖范围。

3.及时性

黑名单筛查自动化可以保证筛查结果的及时更新。当黑名单发生变化时（包括新增黑名单、移除黑名单等信息变化），黑名单自动化筛查工具依托于动态黑名单基础数据变化即时筛查合作方，确保其会被及时识别并锁定。另一方面，当合作方信息发生变化时（包括名称、地址、国家等信息变化），也会触发黑名单自动化筛查工具的即时筛查功能，从而保证黑名单命中的合作方会被第一时间锁定并及时向合规人员和相关业务人员反馈。

4.批量化

不同于使用CSL等官方网站只能逐一筛查，黑名单自动化筛查工具支持批量合作方的导入和筛查。企业可以通过系统对接或者上传Excel等文件的方式将合作方信息批量传入黑名单自动化筛查工具中，由筛查工具自动批量化扫描合作方信息，并将结果批量导出或展示，提高扫描的效率，节约时间成本。

5.安全性

通过本地化部署黑名单自动化筛查工具，可以在企业的本地服务器自行开发实施，黑名单数据库等也单向传入企业服务器，确保信息数据的“只进不出”，与外部互联网实现隔离。同时，在查询时，也不需要登录外部网站，从而避免筛查信息流出，确保企业内部合作方数据的安全。

6.数字化

黑名单自动化筛查工具通过系统工具以及业务系统对接，实现对合规工作的数字化、智能化管理。一方面，黑名单自动化筛查工具可以将每次筛查的结果通过数字化的方式加以保存，能够随时调取，避免了由于人员变更、岗位变动等原因造成的线下筛选结果保存丢失或者被篡改等潜在风险。另一方面，通过与企业其他业务系统的对接和数据交互，有利于实现企业经营的数字化、智能化管理，也有利于企业合规管理的信息化进程。通过系统对接，一旦出现合作方涉及黑名单的风险，可以通过数字化系统自动将扫描结果传到业务系统、锁定业务流程，并自动转发至合规人员开展人工审核，确保合规管控的有效性，实现合规与效率的最大平衡。

（三）黑名单筛查自动化内容

黑名单筛查自动化主要包括以下五个方面内容：

1.黑名单模拟筛查

所谓“黑名单模拟筛查”是指将存量或增量的合作方数据单个或批量输入或上传到黑名单自动化筛查工具中，由筛查工具对其进行一次性的筛查，并未与其他业务系统连通，共享这些合作方数据和扫描结果，也不会在筛查工具中将合作方数据创建为主数据，对其进行重复性的扫描。

黑名单模拟筛查包括单个合作方的一次性筛查和批量合作方的一次性筛查。作为一种预筛查的措施，其主要是为了快速、便利的筛查存量或后续增量的合作方当前是否被列入黑名单，以便企业决定后续是否可以与之开展合作。

2.合作方主数据筛查

“合作方主数据筛查”是指通过黑名单自动化筛查工具与业务系统的对接，将业务系统的合作方数据作为主数据传入并在筛查工具中创建主数据，以实现合作方在筛查工具中自动化筛查的方式。同时筛查完成后，筛查工具还会将筛查结果即时返还给业务系统，以实现在业务系统中对黑名单合作方进行合规管控的目的。

合作方主数据筛查主要包括以下五个方面：

3.单据合作方筛查

“单据合作方筛查”是指除了对合作方在主数据层面进行筛查外，针对企业重要单据中的合作方，比如销售单据中的客户、最终用户，发货单据中承运商，采购单据中的供应商，付款单据中的银行等，进行自动信息抓取、黑名单筛查和合规管控。根据不同单据类型，将单据中合作方的信息随单据一并传给筛查工具，并得出筛查结果，应用于单据的管控中。

因为单据是实际业务发生时的产物，对单据的合作方进行筛查可以说是合规管控的最后一道防线。这是为了防止发生在主数据或模拟扫描时合作方是正常状态，但是在单据履行时其进入黑名单的情况，防范可能出现的动态合规风险，对单据履行过程进行即时的自动化筛查。

4.人工合规管理功能

“人工合规管理功能”是指当发现可能涉及黑名单的合作方时，系统会自动锁定该合作方，并反馈给业务系统，由相关的合规人员和业务人员根据实际业务情况，来决定在系统上操作是否对其放行的人工介入功能。

一般来说，为了合规的有效性和全面性，黑名单自动化筛查工具会采用模糊匹配的方式，首先将与黑名单相似或高风险的企业识别出来，再转由人工进行最终判断。例如，假设“A A FZCO”作为黑名单，那么“A FZCO”也会被识别出来，认为是有风险的合作方，那么此时就需合规人员的人工介入，以判断这两个实体是否为同一实体，是否存在违反合规要求的风险，再决定是否放行。同时，即使其确实是黑名单实体，有时也需要人工判断所进行的合作是否被禁止或者确认应当遵守的限制条件。

5.记录保存与查询

黑名单自动化筛查工具可以对每次合作方的筛查结果进行记录保存，并且支持随时对合作方筛查结果进行查询和导出，以便配合后续合规审计工作的需要，或者在必要时用于向外部监管机构开示和举证。

四、黑名单筛查自动化实施

（一）设计开发黑名单自动化筛查工具

实现黑名单筛查自动化的前提和基础是黑名单自动化筛查工具的设计。只有完成黑名单筛查自动化所需的筛查工具设计，使其具备上述所需要的功能，才能进一步实现黑名单筛查自动化的落地。

1.确定主要功能

企业应根据自身实际情况和合规需求，确定黑名单自动化筛查工具所需具备的主要功能。比如黑名单模拟筛查、批量筛查、合作方主数据筛查、筛查结果的记录保存和读取等。届时，还应注意筛查工具设计应兼顾考虑运行效率，不必太过复杂、设定和扩展过多缺乏实际应用需求的附加功能，比如如果企业并未将筛查工具与外围业务系统进行对接，那么就不必设计筛查工具扫描结果的回传功能。确定好筛查工具的功能后，撰写需求文档，以便IT技术人员理解合规要求。

2.实施技术开发

同IT技术人员就需求文档进行沟通，确保IT技术人员理解合规需求和规则，并着手推动IT技术人员进行开发，并撰写技术文档，以便在后续审计时筛查工具的准确性和权威性。

3.工具测试调整

针对开发好的黑名单自动化筛查工具进行测试，确保开发完成的筛查工具满足合规要求，能够实现如批量筛查、自动化筛查以及记录保存等功能。

（二）设计实施定制化黑名单筛查规则

所谓设计定制化的黑名单筛查规则，就是指依据企业合作方的实际情况，根据企业合作方和黑名单的基础数据，通过测试和分析，定制不同的筛查规则，以保证企业黑名单筛查的准确性和效率性，包括中文黑名单筛查规则、英文黑名单筛查规则、个人筛查规则、组织筛查规则等。定制化黑名单筛查规则是实现黑名单筛查自动化的关键步骤。如前文所述，CSL等官方网站一方面只支持英文实体的筛查，如果是中文的合作方，需要先将合作方名称等信息翻译为英文再进行筛查，这样既浪费了人力资源，又可能存在翻译错误等问题导致筛查结果不准确；另一方面，其误命中率、漏扫率过高，导致大量的筛查结果都需要合规人员进行人工干预，浪费了大量的合规资源，甚至影响业务的正常推进。因此，针对这种情形，需要制定适合企业的黑名单筛查规则来提高扫描的效率和准确率。

1.分析合作方现状

企业应当从各个维度仔细分析自身合作方的现状，比如主要合作方有哪些类型；从语言角度来看，该企业是否有中文的合作方、英文的合作方，甚至有小语种的合作方；从主体类型来看，是否有个人、组织，甚至船舶。最后根据企业当前合作方的现状，来确定要设置哪些筛查规则，比如中文筛查规则、英文筛查规则、个人筛查规则、组织筛查规则等。

2.设计筛查字段

根据企业合作方的信息以及黑名单中存在的信息，设置需要筛查的字段信息。例如，企业若只收集了合作方的名称和国家，那么可以将名称和国家设置为匹配字段；如果企业除了名称、还收集有合作方的地址、城市、邮编、行业等字段，那么对照黑名单，可以将上述字段也放入到匹配字段中。一般来说，匹配字段信息越全面、准确，筛查的结果就会越精准，但是如果企业合作方的信息维护不准确、甚至缺失，那么也会导致系统自动化筛查的疏漏和失真。

3.设定匹配规则和匹配率

以英文为例，针对英文的一长串名称，通过设定单词和词组的匹配率，来使系统判定合作方和黑名单是否达到“Match”的程度。匹配规则不是千篇一律或者随心所欲设定的，而是要根据企业当前合作方的情况，以及大量反复的测试得到的，既要保证筛查结果的准确性，又要有一定的容错率，例如，假设“KOYOKAREN”作为黑名单，那么输入“KOYOKIREN”“KAYOKAREN”等相似的名词，应当予以锁定提示。

4.设置通用规则

企业应当设置“特殊字符”“通用字符”等影响筛查结果的通用规则。在很多合作方的企业名称、地址中，尤其是英文的名称和地址，会有较多的标点符号等特殊字符，比如“逗号”“句号”等，在输入过程中可能会被用户省略，因此在通用规则的设置中会考虑到这一点，对这些标点符号等特殊字符进行处理。另外，针对一些通用字符，比如“Company Limited ”“Co., Ltd”“LTD”等会有不同的拼写方法，且均为正确、正式的拼写方法，无法确定用户在录入时会怎么录入，可能会影响整个合作方的匹配率，导致筛查结果的不准确。因此，在通用规则的设置中，会将一些通用单词排除在筛查规则之外，不计入匹配率，以减少这些单词对筛查结果的影响，提高扫描的准确性。

（三）黑名单汉化清单数据

黑名单清单数据是黑名单筛查整体方案的标准，黑名单筛查工具会将企业合作方的数据与黑名单清单进行对比，由此才能得到是否匹配的筛查结果。因此，如果没有黑名单清单数据或者黑名单清单数据不准确甚至缺失，都会对黑名单筛查产生巨大的影响。以中文黑名单筛查为例，针对中方企业来说，如果想要筛查中文合作方，就需要设置中文筛查规则，那么此时就必须具有可以对照匹配的中文黑名单，否则是无法完成匹配的。针对中方企业来说，当前美国主要的制裁清单中，针对中国内地主体（个人除外）有700多条，而企业的中文合作方可能上万、甚至几十万，所以毫无疑问，将英文的黑名单翻译为中文进行筛查更具有可行性。

（四）设计黑名单筛查自动化对接方案

所谓黑名单筛查自动化对接是指通过将黑名单筛查工具与企业的合作方系统进行对接，形成数据交互，实现针对合作方及时的自动化筛查。黑名单自动化筛查方案的设计是实现合作方自动化筛查的重要依据，只有根据企业实际情况设计切实可行的定制化对接方案，才能实现企业合作方的自动化筛查。

（1） 要评估企业合作方系统的实施情况，梳理企业的业务流程，了解企业合作方信息等现状，这是实施方案的数据前提。

（2） 要确定对接节点、接口等内容，从技术上确定实施方法和技术细节，这是实施方案的技术前提。

（3） 要同业务部门进行充分沟通，明确合规要求以及业务规则，将合规管控节点嵌入到业务流程之中，并评估对实际业务的影响，与业务部门达成一致意见，这是实施的业务前提。

（4） 要根据各方一致意见，形成系统对接方案，完成功能文档和技术文档的记录保存，用于后续的合规审计和对外举证。

（五）实现黑名单筛查工具本地化闭环部署

如前所述，为了保证企业及合作方的数据信息安全，减少将敏感数据外泄，企业可以依据上述的对接方案将黑名单筛查工具完成本地化部署，即将黑名单筛查工具部署在企业本地服务器。例如将中英文黑名单数据传入到企业内部服务器的筛查工具上，在企业内网系统内完成筛查工具与合作方系统的对接，以确保所有的合作方数据的筛查均在企业内部系统闭环完成。

建立全面、系统、科学地识别、分析、控制法律风险的合规事务信息化管理体系既是时代更迭的要求，也是企业发展的新方向。在全新的发展经营理念下，企业合规已成为公认的企业治理模式，建立体系完善、运转高效的企业合规信息化体系也是适应国际化经营和高质量发展要求的必然选择。

在此背景下，黑名单筛查仅是在企业合规信息化建设征途中迈出的一小步，相信未来在外部专业律师、企业法务、合规及业务人员的共同努力下，借助大数据、AI技术等信息化、数字化的高科技手段，现有以纸面化为主的合规、内控、风险、法务“四位一体”全面风险管理体系将会取得长足的发展。

感谢全球性数据咨询公司理脉LegalMiner的涂能谋先生对本文的指导。