当前位置:首页 >  热点专题 > 第三方支付刑事风险

第三方支付刑事风险
时间:2018-03-16

随着支付方式的革命性拓展,第三方支付早已成为现代国人日常生活的一部分。从密码支付到指纹支付再到刷脸支付,人们不但把自己的消费路径如实上传给了支付平台,就连不可复制和变更的生物特征也一并上传到了平台方。

从2005年第三方支付诞生至今,不过短短十几年,这期间交易额和科技手段的不断翻新,并呈几何式爆发式增长态势。本期,检察机关根据办案情况,找出了第三方支付涉及的刑事风险,包括:涉嫌非法经营罪的风险、涉嫌公民个人信息被侵犯的风险、涉嫌客户财产被侵犯以及涉及洗钱、诈骗等违法犯罪的刑事风险;公安办案部门,就发生在第三方支付端上违法犯罪的主要类型、案件侦查难点进行了分析;金融业内人士就一元夺宝、支付账户利息收入等问题,对第三方支付的营业禁止和伦理审视提出了新的观点。相信随着监管体系的不断完善,第三方支付平台将变得更为便捷、可靠和安全。

本刊编辑部

从野蛮生长到持照经营

文/梁晓轩

2017年8月,中国人民银行注销了三张支付牌照。自此,第三方支付行业结束了中国支付牌照“只发不撤”的历史。进入2017年10月,人民银行高调宣布对于第三方支付牌照从此不再“只发不撤”,年内又陆续注销20张支付牌照。这样一来,价值千金的支付牌照也不再是“躺着赚钱的生意”。

从盛极一时到严格监管,支付行业究竟经历了哪些变化,其成长之路又是如何的呢?

回顾:支付们的莽荒生长纪

2005年10月26日,被业界期待已久的《电子支付指引(第一号)》千呼万唤始出来,一个崭新的行业由此产生,也自此开启了漫长的第三方支付“功与过,道与魔”的争论。在后世看来,上述《指引》或可被认为是我国金融支付历史上的重要转折,这也预示着电子商务时代即将来临。

在《指引》出台之前,各路机构就早已杀入第三方支付领域。从官方承认的角度来看,我国最早的第三方支付平台出现在首都电子商城。1998年11月12日,由北京市人民政府与中国人民银行、信息产业部、原国家国内贸易局等共同发起的首都电子商务工程正式启动,并确定首都电子商城为网上交易与支付中介的示范平台,与电子商城相配套的就是一度闻名的首易信支付平台。七年后,作为成熟的第三方支付平台,2005年10月8日全国硕士研究生招生工作全面试行网上报名,北京地区的缴费工作就借助了首易信的支付平台。在风起云涌的第三方支付元年,不只是“官定”第一家的首易信,外资、民资也大量涌入支付领域淘金。当年4月,北京通融通信息技术有限公司推出YeePay电子支付平台。5月20日,网银在线携手VISA,宣布在中国电子商务在线支付市场推广“VISA验证服务”信用卡安全支付标准。7月11日,全球最大的在线支付厂商Paypal(贝宝)进入中国。11月7日,IBM宣布,在5个月内,其参与投资的第三方支付平台YeePay的客户交易量增长了10倍,交易额从每月12万美元上升到每月120万美元。11月18日,Paypal公司出资3.7亿美元收购VeriSign公司的在线支付部门。也是在这一年,支付宝由阿里巴巴电子商务网独立出来,逐渐成长为独立第三方支付平台。作为第三方支付的元年,2005年国内有逾50家第三方在线支付平台如雨后春笋般涌现,其中不乏后来遥遥领先的支付平台,如财付通(微信支付)。

2005年后,第三方支付机构已经呈现遍地开花的趋势,而且常常为了流量导入而“大打出手”,表面上看市场“热火朝天”。但是受到智能终端等仍未广泛普及的限制,支付平台仍多止步于PC端,需求处于疲软状态,遭遇行业发展的天花板。此外,就官方态度而言,自《指引》出台以后,缺乏后续的文件支持,舆论对于第三方支付的观点也是喜忧参半,整体的社会环境没有对第三方支付的发展起到推波助澜的作用。市场上存量的第三方支付公司也普遍欠缺资质上的认定和国家信用支持,支付平台成立以来其背后的商业(电子商务)一定程度上相当于捆绑了电商网站母体的流量,第三方支付的行业标准和制度规范依旧处于摸索状态。此后,网络支付、手机支付、短信支付等第三方支付方式层出不穷,但是这诸多的支付方式却是玩噱头多于其实际功用。

牌照时代,“宝宝”们还安好否

野蛮生长总容易演变为乱象丛生,距离监管升级自然也就不远了。2009年,中国第三方支付市场规模已经达到5766亿元,经营支付业务的企业多达300家以上。由于长期存在权威法律缺位的问题,第三方支付监管处于空白期,挪用资金,非法套现等行为接连发生,整个支付行业陷入了混乱。次年,中国人民银行出台《非金融机构支付服务管理办法》,既圈定了支付机构非金融机构的性质,也为第三方支付提供了相关的配套细则和管理办法,即中国人民银行审核发放支付牌照,正式将第三方支付纳入国家金融监管的体制内。相应地,如果经营第三方支付的企业没有获得人民银行发放的支付牌照,则不得开展支付相关业务。

牌照时代终于降临。2011年5月26日,对于第三方支付而言,是一个具有里程碑意义的日子。这一天,中国人民银行正式发放的首批第三方支付牌照中,一共有27家第三方支付企业获得了“户口簿”。值得一提的是,这些“户口”都是存在有效期的,五年后需要依续展申请延续支付许可资格。随后,对于政策的预期及行业高收益吸引了一系列企业加入第三方支付的队伍。据统计,2011年到2015年这五年间是第三方支付牌照发放的高峰期,财付通、支付宝、银联商务、拉卡拉、智付支付、快钱等具有代表性的支付平台就是在这期间获得支付牌照的。截至2017年6月末,中国人民银行共八批发放支付牌照,涉及持牌支付机构数量为270家。2015年以后,中国人民银行停止新增支付许可,支付牌照价格一夜之间堪比黄金,至今已有约30家支付机构被收购,收购者不乏京东、海尔、唯品会、美的、美团点评这样的知名企业。

第三方支付在这短短的几年间,给世界带来的变化可谓是翻天覆地。余额宝、微信红包、扫码支付、VR扫码等等一次次地刷新着人们的眼球。当然,硬币的另一面就是——极度便利带来的各种违规。拉卡拉、易付、广东益民等支付公司由于挪用客户备付金,交易监测不力等原因相继被罚或吊销支付牌照。当然,第三方支付行业的市场竞争也是极其残酷,自开启牌照时代以来,除了上述存在违规、违法情形的问题平台被吊销许可、“赶出”市场之外,也有一批支付机构因自身经营不善,最终沦落到卖壳变现。

浮华之后   

从今天来看,支付机构的市场份额与十年前已经大相径庭,很多盛极一时的机构已经湮灭,甚至一些支付机构被吊销牌照,当然也有很多行业新丁后来居上。唏嘘之余,留给人们遐想的不仅是商海沉浮,更多的是当人们越来越依赖第三方支付平台后,第三方支付其安全性几何,其便利与风险的平衡又该如何度量,成了重中之重。事实上,从人民银行近年来的“动作”我们也能略窥一二,即支付行业的乱象早已引起监管层的重视,国家也意图通过行业治理的方式完善第三方支付的运营。

把第三方支付整体作为一个角度去分析可能存在的利与弊,则可以有很多方面的解析:比如,从刑事风险的角度,与支付相关必然存在很多刑事法律风险;又如,从合规性的角度,什么样的运营是合规的,哪些又是监管禁止的;还有,从伦理的角度分析,第三方支付的营业限制和伦理禁忌又有哪些呢?

这些都是值得业界朋友投入精力去细细思考的事情……


检方解读:金融大餐背后的刑事风险

文/陈鹤 上海市浦东新区人民检察院

随着第三方支付应用领域的深化和拓展,中国第三方支付行业已经步入了一个新的阶段,线下和线上市场正在通过移动技术、O2O等形式不断融合。

从2015年微信首次提出“无现金日”到2017年2月支付宝对外宣称希望用五年时间推动中国率先进入无现金社会,我们正在经历一场“现金支付→刷卡支付→网络支付→移动支付”的变革。无论是线上消费还是线下消费,无论是去商场购物还是在路边的便利店,通过第三方支付平台进行的支付已经成为了人们最主要的支付方式。据央行统计数据显示,2016年,包括微信、支付宝在内的非银行支付机构累计发生网络支付业务81639.02亿笔,同比增长99.53%;交易金额超过了2016全年中国GDP,达到99.27万亿元。

与上述巨额的交易量相对应,第三方支付投诉量也在急剧增加。目前,我国有包含银联商务、支付宝、财付通、银联在线、快钱、汇付天下、易宝支付等两百多家支付平台。对这些企业,国家明确规定中国人民银行是负有监管义务的单位。但就现实层面而言,中国人民银行要对这些企业实施有效监管,难度很大,这势必给犯罪分子提供可乘之机,也给公安机关侦查破案带来重重困难。庞大的交易数据和交易金额背后,是否存在一定的风险或者安全隐患,是否存在法律风险甚至有没有可能被犯罪分子利用,如何防范这种刑事风险的发生,是立法者和执法者应当密切关注的问题。

涉嫌非法经营罪的风险

第三方支付机构可能会违反市场准入制度涉嫌非法经营罪的风险。我国的非金融支付机构支付采取的是经营许可制度。根据《非金融机构支付服务管理办法》第三条的规定,非金融机构提供支付服务,应当根据本办法规定取得《支付业务许可证》,成为支付机构,第三方支付机构依法接受中国人民银行的监督管理。未经中国人民银行许可,任何非金融机构和个人不得从事或变相从事支付业务。非金融机构提供支付服务,应当具备相关法规规定的诸如注册资本额、管理人员、管理制度以及风险防控措施等条件。《支付业务许可证》也就是通俗讲的“牌照”,只有取得“牌照”才可开展第三方支付业务,目前中国人民银行共颁发第三方支付牌照270多张。即使取得第三方《支付业务许可证》的机构,也必须在规定的范围内开展业务,按照执照规定的营业范围进行营业,未按照规定的营业范围进行营业或者超出营业范围进行营业的,就可能触犯刑法,属于法律规定的非法经营行为,有可能会按照非法经营罪追究刑事责任。    

以上海市检察机关为例,往年受理的涉第三方支付平台的案件多为行为人利用平台存在的漏洞盗划他人的信用卡,以及平台经营者以虚构交易等形式帮助他人进行信用卡套现,行为人实施此类行为一般情况下构成盗窃罪或者信用卡诈骗罪等罪名。但是2016年涉及第三方支付的犯罪形式出现了新的变化,一起案件中一个平台经营者超出自己的经营范围非法经营外汇汇兑业务。经营者在经营第三方支付平台过程中,利用其具有特许经营小额外汇现钞兑换的牌照,采用签订虚假借款合同等手段,为客户进行大额资金非法兑换并收取相关费用,这种新类型的犯罪就是第三方支付平台运营商运用自己具有第三方网络支付的权利,超出经营范围开展业务。这不仅违反了相关行政法规,扰乱了我国的外汇管理秩序,还违反了刑事法律的规定,构成了非法经营罪。

公民个人信息被侵犯的刑事风险

第三方支付存在公民个人信息被侵犯的刑事风险。在实际的支付操作中,不管是消费者还是经营者,采用第三方支付时,都需要将其基本信息告诉第三方支付机构,包括真实姓名、性别、身份号以及营业执照等信息,并且还包括开户银行以及银行卡号、收货地址和经营场所。这些涉及公民的基本个人信息,如果被第三方支付机构用于其所从事的其他金融活动、商业活动,或者把客户的信息出售、透露给其他第三人的话,就产生了违法泄露客户信息的可能性,并构成侵犯公民个人信息的犯罪。

近年,司法机关就曾办理过第三方支付平台的客户信息被泄露的刑事案件。在此案件中,某支付公司内部一员工因伙同他人多次以批量出售的方式泄露用户信息被查处。该涉案嫌疑人曾经是该支付公司的技术员工,利用工作之便多次在公司后台下载用户资料超20G,并以每3万条500元的价格将用户信息多次出售给电商公司、数据公司。这些用户资料包括公民个人的真实姓名、手机、身份号、电子邮箱、家庭住址、消费记录等。根据犯罪嫌疑人的供述,仅最大买家服装类电商V公司就曾一次性购买用户资料1000万条。试想如果这些信息流入电信诈骗犯罪分子之手,被电信诈骗犯罪分子利用,后果将更加严重。

此外,发生在广东、黑龙江、四川、上海和浙江等省(市)的特大利用黑客手段盗取支付宝资金系列案件中,犯罪嫌疑人就非法买卖公民个人信息、制作扫描探测软件和实施网络套现,通过网上购买他人提供的账号、密码信息,使用扫号软件批量测试是否与支付机构支付账号、密码一致,比对成功后实施盗窃。此案中犯罪嫌疑人共收集公民个人信息40多亿条,涉及支付宝、京东和Paypal等支付账户达1000多万个。

客户财产被侵犯的风险

第三方支付还可能存在客户财产被侵犯的风险。由于买方和卖方交易时间差的存在,第三方支付平台账户上存在巨量的沉淀资金,沉淀资金产生的利息以及沉淀资金的本身,都应该属于资金所有人即支付账户所有人所有,但实际上资金所有人是没有取得这部分资金的利息的。作为第三方支付服务的提供者,侵占沉淀资金的利息、获得沉淀资金本身,都有可能构成侵占罪或者非法吸收公众存款罪,都可能被追究刑事责任。同时,第三方支付平台之外的违法犯罪分子还可能通过第三方支付平台进行非法犯罪活动,侵犯客户的财产利益。如网站被假冒、服务器的网页被非法修改、客户敏感信息如银行账号、密码等被非法窃取,客户身份被冒用等。例如在一起刑事案件中,赵某向银行反映其五个银行卡存款账户资金在3月7日至9日期间遭到连续盗划二十余次,损失金额累计达21.9万元,手机短信提醒在此期间被屏蔽。公安机关最后通过查询赵某五个银行卡个人银行结算账户交易流水,发现犯罪嫌疑人在盗取赵某账号后通过上海某网络支付机构将钱款划至北京一家公司账户,这便是一个典型的运用第三方支付平台实施犯罪侵犯公民财产权的案件。

涉及洗钱、

诈骗等违法犯罪的风险

第三方支付可能存在违法者利用第三方支付平台进行洗钱、诈骗等违法犯罪的风险。实际支付操作中支付平台不会对具体的交易行为进行审核和把关,也无法判断消费者和经营者之间的交易行为是否合法,是否存在违法犯罪行为。并且由于网上支付行为的隐蔽性和网上交易记录的缺失,第三方支付对反洗钱体系构成了相应的冲击,第三方支付在一定程度上为不法分子实施洗钱、信用卡套现、诈骗以及逃税漏税等活动提供了便利。比如消费者和经营者之间购买如枪支、弹药、毒品、武器等违禁物品,进行交易的双方就会构成刑事犯罪,第三方支付平台就可能存在过失或者故意的非法行为,在主观上放任或者帮助他人进行非法交易活动,进而构成违禁品犯罪、洗钱罪、信用卡诈骗罪并面临刑事处罚。

如上海发生的一起利用第三方支付平台进行信用卡套现的案件中,犯罪嫌疑人徐某某就利用某网络科技有限公司支付平台进行虚拟购物帮助多人刷信用卡套现,累计套现金额达到人民币160余万元。公安部刑侦局相关负责人说:“一些中小型第三方支付平台为抢占市场,忽视系统安全建设,监管严重滞后。有的第三方支付平台发放的POS机层层转包,被诈骗分子刷卡套现转移赃款。”在实际操作中,诈骗团伙利用第三方支付平台转移赃款和洗钱的手段主要有三种:一是通过一些第三方支付平台发行的商户POS机虚构交易套现;二是将诈骗得手的资金转移到第三方支付平台账户,在线购买游戏点卡、比特币、手机充值卡等物品,再转卖套现;三是利用第三方支付平台转账功能,将赃款在银行账户和第三方支付平台之间多次切换,使得公安机关无法及时查询资金流向,逃避打击。以上种种方式都在一定程度上为犯罪分子洗钱、诈骗以及隐瞒犯罪所得等提供了便利。

马克思在《资本论》里引用托·约·登宁的话来形容资本的本性“如果有10%的利润,资本就会保证到处被使用;有20%的利润,资本就能活跃起来;有50%的利润,资本就会铤而走险;为了100%的利润,资本就敢践踏一切人间法律;有300%以上的利润,资本就敢犯任何罪行,甚至去冒绞首的危险”。这句话不仅可以形容资本的本性,用来形容追求自身利益的犯罪分子也并无不当,在强大的利益驱动下,犯罪分子会铤而走险实施犯罪行为。

有学者将第三方支付平台称作“不受管制的银行”,也就是说第三方支付平台可能成为金融犯罪滋生的温床,为诈骗、洗钱、信用卡套现、偷税、赌博等犯罪活动提供便利并带来潜在的金融犯罪风险。诈骗分子通过第三方支付平台转移变现诈骗资金的案件占到了38.6%,尤其是冒充好友、冒充淘宝客服、机票改签、积分兑换、木马链接等诈骗警情中使用第三方支付平台流转资金的更为突出。

第三方支付从诞生之日起,风险就与便利高效并存,犹如硬币的两面,我们在享用第三方支付给我们带来的这顿“大餐”之时,也同样承担着潜在的风险。如何降低风险?笔者认为,可通过立法加强对第三方支付的事前监管、通过执法实现对第三方支付的事后监管,通过第三方支付机构自身建立风险预警和客户身份识别等机制实现全流程监管。只有各个环节都做好了风险防控,消费者才能真正地享用这顿便捷又高效的金融“大餐”。


盯紧支付端的可疑“后门”

文/庄嘉

互联网产业的发展增速催生了支付方式的加速裂变。支付宝、财付通、快钱、平安支付、易付宝、微信钱包、百付宝等非银行的第三方支付已经渗透到人们社会生活的各个领域。在“互联网+”、大数据应用、人工智能等技术的支撑下,第三方支付平台在消费者与商家之间搭建了一座非银行的中介桥梁。如图1所示,用户在第三方支付平台上可以直接进行货币收付、资金结算等交易活动,转账通过电脑终端、移动端瞬间完成,既高效又便民。

据中国人民银行公布的数据显示,“2016年,我国第三方支付机构累计发生网络支付业务1639亿笔,金额高达人民币99万亿元,同比分别增长99.5%和100.7%”。另据知名的互联网数据资讯聚合平台“艾瑞咨询”出具的《2017年第一季度第三方移动支付交易市场规模报告》,“在移动支付市场份额上,支付宝的市场份额达到54.0%,财付通市场份额达到40.0%,其他众多支付企业的市场份额之和为6.0%”。由此可见,作为当下互联网金融的主要模式之一,第三方支付正在逐渐替代传统银行的柜面转账、信用卡消费、网银划拨,从根本上革新现有的支付方式、投资理财以及结算运行模式,支付流程更便捷、成本更低、甚至零边际。然而,第三方支付端在推动变革的同时,亦存在潜在的风险性,为不法分子提供了违法犯罪“后门”,比如:对支付宝账户、支付宝绑定的银行账户中的金额进行窃用、冒用。这对公安侦查工作提出了更新、更高、更难的挑战!

金融违法犯罪的新跳板

随着第三方支付机构的竞争由线下跑马圈地演变至线上你追我赶,监管层对于这个新兴产业正在逐步加大监管的力度和广度。此前,中国人民银行等主管部门接连颁布《非金融机构支付服务管理办法》(中国人民银行令〔2010〕第2号)、《非金融机构支付服务管理办法实施细则》(中国人民银行令〔2010〕第17号)、《支付机构客户备用金存管办法》(中国人民银行令〔2013〕第6号)、《非银行支付机构自律管理评价实施办法(试行)》(中支协发〔2016〕33号)、《非银行支付机构分类评级管理办法》等部门规章与政策性文件,分别从政策、市场准入、业务准则等方面将“第三方支付平台”逐步纳入金融监管体系中。但是,围绕第三方支付端的诈骗、盗刷、网络洗钱、账户资金受损、用户信息泄密等案件却顶风而上、层出不穷。如图2所示,第三方支付机构正面临自身犯罪涉案,或者被利用作为犯罪工具而涉案的巨大风险,面临成为金融违法犯罪“新宠”的可能。

【无证经营】据零壹财经提供的数据显示,自2014年3月起截至2017年5月初,我国第三方支付机构已经累计被罚款近人民币1亿元,合计48家第三方支付机构被处罚71次。其中,多数涉及无证经营,情节严重,可能涉嫌构成非法经营罪。尽管《非金融机构支付服务管理办法》明确对支付机构开展支付业务实施准入管理,但是实务中,无资质却从事支付业务的案例却时有发生。比如:国内知名OTA平台(即旅游在线网站)“携程旅行网”于2017年5月遭律师实名举报,涉嫌无证经营第三方支付业务。该司在平台上向不特定用户销售的礼品卡均涉及账面上的资金沉淀。在无《支付业务许可证》的情况下,这些资金沉淀及其产生的收益(譬如银行存款利息),自然滞留在携程的平台上,不得不令人产生无证经营的质疑。

【二维码的偷梁换柱】据《新快报》等媒体的报道,2016年11月底,曾某至广东省佛山市公安局禅城分局报案,称“其店铺微信收款的二维码被人更换,人民币6360余元营业款不翼而飞”。接报后,属地公安机关立即成立了专案组,并迅速开展侦办工作,对案发地点及周边店铺进行了细致的走访调查。结果,警方竟然发现案发地周边的数十家店铺的收银柜台张贴的二维码均是假的!根据案发现场的视频,警方初步确认嫌疑人为“吴某”和“岳某”。二人以“商业广场内的奶茶店、小食店”为作案目标,通过更换商家收款二维码的方式,非法占有店铺营业收入。经调查,二人合计作案320余宗,获利达人民币90余万元。类似上述通过偷换店家收款二维码非法占有本应转入店家账户的营业收入的案例,在现实生活中并不鲜见。最高人民法院亦通过判例的形式,将此种行为认定为“盗窃罪”,予以入刑量罚。

【盗刷】相较于传统支付方式,第三方支付交易“非面对面”,验证方式更加简便、更易操作,盗刷的危险性亦随之上升。据《上海法治报》等媒体的报道,王先生、蒋小姐均系某银行的信用卡用户。二人均将使用的信用卡绑定在某第三方支付平台。之后,二人分别接到自称银行客服的电话,称可以为二人提高信用卡信用额度,但需进行刷积分的操作,对方要求二人提供银行发送到手机的实时动态密码。经过反复操作后,王先生、蒋小姐的信用卡信用额度非但未增加,反而分别被人通过第三方支付平台盗刷了人民币2万元、3万元。

虽然上述案例中,用户、银行对盗刷理应承担责任,可是第三方支付平台亦在其中扮演着重要的角色。不少盗刷案件均是依托第三方支付“快捷支付”功能完成的。传统的伪卡盗刷,需同时复制伪卡、获取密码后,借助ATM机、POS机等物理终端进行实现。然而,互联网支付的盗刷只需获取持卡人的身份信息、银行卡信息以及动态密码即可完成交易,省去了物理终端的媒介步骤,出现了新的犯罪隐患。

【以第三方支付平台为媒介进行诈骗】诚如厦门反诈骗中心负责人胡建跃所言,“利用第三方支付平台转移赃款手法在当下正呈现多种多样的态势。诈骗分子或是将资金在银行账户与第三方支付平台之间多次转移,最终在银行ATM机取现;或是通过第三方支付平台,用受害人账户内资金在网购平台购物,再将购买的商品通过回收商城(如闲鱼)洗钱套现;或是通过网上银行转账,将赃款以购物名义转移到第三方支付公司绑定的POS机套现”。

以《人民日报》报道的一起利用第三方购物平台进行诈骗的案件为例:2017年6月12日15时许,周某接到自称是淘宝客服的电话,称其4月份网购的一件衣服存在质量问题需要给予补偿,先让事主从支付宝“趣店”里提现2700元,后以“趣店授权不成功”为由多次通过微信发送链接及二维码。周某先后三次通过对方发来的链接输入银行卡账号及密码共向第三方购物平台支付人民币6725.4元,包括两次微信扫码京东支付链接支付人民币1999.2元,以及通过支付宝扫描支付二维码支付人民币2727元。后发现被骗,周某遂向属地公安机关报警。由上述案件,不难发现,诈骗分子正以“第三方支付交易”替代“银行转账”,作为其收取诈骗款的工具和平台。

【窃取信息的魅影】在第三方支付交易中,信息的复制与盗取正呈现手段多样化、渠道复杂化的特征。尽管目前多数第三方支付平台均要求实名认证,但是实名认证的操作步骤不一,并非都要求上传身份证原件照片,且第三方支付企业出于商业秘密的考量,未向公安机关、工商等相关部门提供联网核查的接口。这些均给违法犯罪行为人可乘之机。以山东省胶州市警方破获特大侵犯公民个人信息案为例:2017年5月,山东省青岛市、胶州市网警联手侦破一起跨省特大网上侵犯公民个人信息案,查获非法买卖公民个人信息的工作室两个、黑客源头一个(黑客张某某),抓获16名犯罪嫌疑人,扣押涉案电脑19台,移动式存储设备10台,涉案手机31部,涉案银行卡、手机卡300余张,初步查证缴获公民手持本人身份证正反面照片、银行卡信息等公民个人信息220万余条,摧毁分层五级的网络黑产利益链条。在此案中,犯罪团伙获取收益的媒介均是第三方支付平台。团伙首脑利用黑客技术暴力破解了若干第三方支付平台,并依托第三方支付平台的漏洞,贩卖给下线,从而非法牟利人民币数十万元。由此可见,利用相似网页或者域名实施网络钓鱼、发送木马程序等黑客手段,对第三方支付平台进行攻击,窃取相关账户信息,严重影响了消费者使用电子支付的资金安全,成了不法分子窃密的惯用伎俩。

【客户资金屡被侵犯】目前,中国人民银行等主管部门发布的《非银行支付机构自律管理评价办法》等部门规章与政策文件对第三方支付机构的管理起到了积极的规范作用。但是,当下的第三方支付机构普遍没有建立资金第三方托管机制。大量的投资者资金(亦称为“备付金”)存放在平台账户内,全由支付平台控制,投资者对资金的流转、用途、去向并不知情。在外部监管无法达到全流程实时监控的情况下,备付金显然存在被支付机构企业或管理者挪用、侵占卷款逃跑或倒闭的可能性,易给投资者带来资金损失的风险。

比如:浙江易士企业管理服务有限公司发生挪用客户备付金事件,涉及资金人民币5420.38万元。又比如:上海畅购企业服务有限公司发生挪用客户备用金事件,造成资金风险敞口人民币7.8亿元,涉及持卡人5.14万人。再比如:广东益民旅游休闲服务有限公司“加油金”业务涉嫌非法吸收公众存款,造成资金风险敞口达人民币6亿元。此外,如前所述,第三方支付平台上的沉淀资金很容易成为盗窃罪的犯罪对象。以杭州市下城区人民法院〔2016〕浙0103刑初第434号刑事判决书为例。根据该判决书,被告人赵某于2016年1月在使用被害人、其女友王某的手机时,发现王某支付宝账户内有大量钱款。在猜中支付密码后,赵某使用自己的手机登录王某的支付宝账户,分多次将该账户内的余额人民币10万元转入自己的银行账户内。案发后,杭州市下城区人民检察院以赵某涉嫌盗窃罪提起公诉,杭州市下城区人民法院判决赵某构成盗窃罪,判处有期徒刑三年,缓刑三年,并处罚金人民币4000元。显然,随着人们越来越倾向于使用第三方支付端,其亦和钱包、手机、电动车等一样成为了不法分子觊觎的盗窃对象。

【漂白非法资金】当前,第三方支付平台往往重“资金”轻“用途”,对资金来源审查不严格,甚至是本身的审查能力就有限。这就为不法分子注册成立空壳公司进行洗钱、转移赃款提供了空间和便利。实践中,第三方支付机构涉嫌网络洗钱案件通常有两种情形:一是被犯罪分子利用,为其从事走私、毒品、非法集资等犯罪提供资金流转服务,将“非法资金”通过第三方支付平台转换成“合法资金”;二是第三方支付机构或其工作人员主动与不法分子勾结,为其犯罪提供资金结算服务。由于不同第三方支付机构对其开发的平台系统技术水平及运营能力参差不齐,支付机构内用户实名制实施情况不同,造成支付账户面临资金安全和信息安全的风险,甚至容易发生支付机构被恶意注册大量虚假账户进行洗钱等犯罪行为。如图3所示,不法分子设立多个账户,与第三方支付平台发生多次资金往来,再通过虚构网络交易、木马“钓鱼”洗钱等手法,非法的资金就在一次又一次的交易中被漂白,而第三方支付平台则在不知不觉中成为其由“非法”变“合法”的绿色通道。

涉第三方支付的案件侦查难点

由上述实例,不难发现,“第三方支付端”已渐渐成为不法分子实施违法犯罪活动的重要工具与平台。其本身自带的网络属性,加上现有监管制度的不健全,为公安机关侦查涉第三方支付的违法犯罪行为带来了极大的挑战,存在客观的侦查难点:

【支付终端多样化,查证截获难度大】随着银行业与网络平台的结合,四大商业银行纷纷推出网上银行,腾讯推出微信联合人保财险的手机端支付,淘宝联合天弘基金开发的余额宝,还有包括:易付宝、百付宝、快钱等多家第三方支付平台。各平台自成一套体系,互不兼容,转账可以通过手机瞬间完成,这就为侦查取证增加了障碍,需要在多个城市、数个国家之间切换奔波。比如:上海市公安局经侦部门破获的“日收宝”平台集资诈骗案,以苏某为首的犯罪团伙藏匿于境外,通过远程操控开设公司及网贷平台并转移赃款,实施集资诈骗犯罪,设置了案件侦查取证的障碍。由此可见,不法分子在实施网络集资诈骗、网络洗钱等违法犯罪时,将资金通过多种支付渠道在短时间内进行转移,侦查部门在后续开展资金查控时遇到阻碍,直接增加了资金查控难度。

【交易隐蔽难发现,支付涉及范围广】目前,互联网金融仍未接入中国人民银行的征信系统,亦不存在信用信息共享机制。因此,当前的第三方支付端存在着数据孤岛的问题,缺乏数据的全流程实时监控,不具备类似银行的风控、合规、清收等机制。一旦发生异常交易,难以形成第一时间的及时发现和有力拦截。另一方面,涉第三方支付端的犯罪突破了传统经济犯罪区域化相对固定、发酵速度慢、社会影响可控的特点,不再局限于一市、一省,而是蔓延至全国、跨国,涉及群众十分广泛,群体类型、年龄阶段、投资风险分辨能力均情况不一。比如:涉第三方支付端的诈骗案件往往以手机为载体,不特定号码段、不特定地区,涉及范围较广。犯罪分子选择作案对象不特定,主要以青年人、上网族群体较多。犯罪分子利用受害人想快速收到退款或者赔偿费用等心理特点,让不特定的受害人扫描二维码隐性付款骗取钱财,容易引发群体性的舆情事件。

此外,如图4所示,第三方支付的业务领域正在进一步扩展,并且可以预测未来这一趋势仍将持续并进一步增大。涉第三方支付端的违法犯罪本身存在着涉及面广、资金量大、调查取证难等特点,极易造成相关机构在出现资金链断裂的情况下负责人携款“蒸发”、卷款“跑路”的情况。比如第三方支付机构“易宝支付”与P2P平台“爱增宝”曾签署托管协议,后“爱增宝”就突然跑路,涉嫌非法集资。

【涉第三方支付的违法犯罪的监管】

诚然,涉及第三方支付领域的违法犯罪行为的监管确实存在着客观难度,跨区域的协同侦查亦需统一协调。但是,鉴于第三方支付端正在成为不法分子实施违法犯罪的新温床,故主管部门不能仅立足于法规、政策制定的视角对第三方支付端进行事前规制,更应当着手在事中、事后监管机制的层面下狠功夫。

正如北京大学金融与产业发展研究中心秘书长黄嵩所言,“目前,第三方支付主要是账户系统内结算,绕开银联。因此,其客户支付信息等数据,商业银行和央行等均不掌握,这就产生了一定的风险,比如洗钱、信息窃取等”。鉴于此,有必要设立专门机构监管第三方支付机构的清算系统。可喜的是,中国人民银行支付结算司于2017年8月向有关金融机构下发《关于将非银行支付机构网络支付业务由直连模式迁移至网联平台处理的通知》,明确建立非银行支付机构(俗称“第三方支付机构”)网络支付清算平台(即“网联”),自2018年6月30日起,支付宝、财付通等非银行的第三方支付机构的网络支付业务将有一个共有的转接清算平台,并受中国人民银行监管,便于央行掌握客户账户真实的交易信息等,利于洗钱等监管。

另一方面,虽然“网联”可以解决央行与第三方支付机构之间的数据信息共享问题,却无法破解公安机关对于涉第三方支付端违法犯罪的数据信息共通的难题。为第一时间发现异常账户、异常交易等情况,有利于公安机关先期介入涉第三方支付端的违法犯罪,可以先期在个别省市进行试点,设立公安机关技术侦查部门与网联的信息共享接口,在规定的情形下涉案数据能够第一时间送达执法机构,这样更加有益于严厉打击相关违法犯罪上升的趋势。

天网恢恢疏而不漏。随着技术侦查手段的深度介入,加上监管层在事前、事中监管上不断加大力度,为公安机关打通数据壁垒,必将为第三方支付端设置一道有效的防火墙和应急处置机制,令违法犯罪行为无所遁形。


第三方支付的营业禁止与伦理审视

文/梁思远

第三方支付可谓是资金支付领域的一场技术革命,这为广大“剁手族”带来了酣畅淋漓的购物体验,也极大便利了线下支付的渠道,解放了人们累赘的钱包。但第三方支付在为“剁手族”带来快意的同时,也伴随着一些新的问题出现,尤其是某些“灰色”领域出现了第三方支付的身影,使得第三方支付无论从合规的角度还是伦理的角度都值得仔细考量。

第一问:第三方支付助涨一元夺宝“博彩”心理,是创新抽奖游戏,还是类网络博彩?

互联网尤其是移动网络的高速发展,为人们开辟了一种新的购物模式——网上购物,人们将自己喜欢的东西通过网上下单快递运输来达到购买的目的,省时省力的同时,更多的就是省钱。如今又新兴起了一类网购模式:一元夺宝。游戏的特点就是将商品的廉价购买权分成若干等分,每个用户只需要投入一块钱,就有可能获得低至一元人民币的购买权。该购买权指向某个实际价值远高于一元的商品。一元购的范围极其广泛,小到零食服饰,大到手机家电,该模式极大地调动了人们的热情。

随着一元夺宝类游戏越来越受欢迎,越来越多的人开始接触它。这当中,的确有幸运的人花一块钱就获得了价值数千元的“商品”,但更多的人为了中奖耗费大量资金却两手空空。人们不禁想问,这个号码是怎么来的?中奖号码又是如何选的?下面我们就来研究一下,有关一元夺宝游戏的夺奖号码是怎么来的。

网上博彩领域本就是社会舆论的关注点,也是法律治理的重点。当然第三方支付本身并不一定是“一元夺宝”类的运营者,但涉及为涉嫌违规的准“博彩”活动提供支付通道则有失其道义性。一方面第三方支付作为金融科技创新之举,本身应当是进步的产物,但另一方面其营业的范围却覆盖了“灰色”甚至违法领域,其中的伦理风险让我们也不得不重新审视。

针对愈演愈烈的“一元夺宝”现象,2017年7 月中旬,国家互联网金融风险专项整治领导小组办公室发布,明确将网络“一元购”定性为变相赌博或者诈骗,并将对其展开新一轮整顿清理工作。对于利用“一元购”从事赌博活动或涉嫌诈骗的违规行为,依法予以打击处理。随后的8月,《最高人民法院关于进一步加强金融审判工作的若干意见》出台。该《意见》指出,“一元购”是指将一件商品平分成若干一元金额的“等份”,通过互联网平台出售,购买者可以购买其中的一份或多份,当所有“等份”售出后从购买者中抽出幸运者获得此商品,其他购买者的认购资金不予退还的销售模式。《意见》指出,网络“一元购”尽管极个别购买者存在侥幸获取较大利益的机会,绝大部分投资者都将承担损失全部本金的风险。

随着该《意见》的发布,各大互联网公司匆忙关闭了“一元夺宝”业务,涉及的第三方支付公司也迅速开展应对,终止与网络平台的支付通道合作。进入10月以来,就只剩下一些众筹项目的“一元抽奖”环节,作为监管的“灰色”地带暂时予以保留。

第二问:待支付账户的利息收入被第三方支付机构“纳入囊中”是否符合法理?

提到备付金这个概念,对于我们普通消费者可能觉得比较陌生,但如果分析其我们的日常网购行为,就会恍然大悟了。当我们网购商品或服务时(以淘宝为例),我们下单时点击支付,就会从第三方支付账户(或绑定的银行卡)扣除相应价款(也即待确认支付的货款)。当我们最终点击确认收货之前,这笔价款一直会存放在支付机构的账户上,这笔钱就是所谓的“客户备付金”。在部分购物平台上,这个待确认支付期间可能长达10—25天不等。鉴于部分交易的长周期特性,在整个交易过程中会产生不小时间差,而这小小的时间差会形成巨大的资金沉淀,这部分资金在银行账户里可产生不菲的利息收入。这笔沉淀资金总额有多大?据估算,截至2016年年底,全国267家支付机构吸收客户备付金合计超过5000亿元。

那么,第三方支付账户中沉淀的这笔资金所产生的利息是否恰如其分应当归属支付机构?我们需从法理的角度展开讨论。从所有权的角度看,待支付未支付的价款,在尚未交付给网络零售商(网购中的卖方)时,不能认为发生了所有权转移,也就是说所有权仍然在支付的一方。那么这笔资金所产生的孳息也就是利息应当依法由所有人拥有。当然,第三方支付是有其特殊性的,因为支付的价款是一种“准支付”的状态,一定收货确认,就会导致整个支付行为的完成。但支付机构在整个交易的过程中其实相当于一个对资金的“占有”方,需要根据这笔资金的主人——也就是购物者的指令,才能确认资金划出。从这个角度看,第三方支付机构是不应当享有沉淀资金的利息收益的。事实上,除了网络支付,市面上许多预付卡,存在卡内的客户未消费资金,事实上也属于备付金,其沉淀资金的孳息问题也是亟待法律予以解决的。不过不同的是,预付卡中资金在用户购买时,事实上消费者往往是处于某种利益,比如获得返现、返点、特定时间段打折等等,而且购卡行为是获得发票的,也就是说所有权意义上的孳息与消费者似乎是泾渭分明了,但预付卡公司吸收资金并以此赚取利息的情形却有失合规性。所以说,备付金从法理的角度不应当由支付机构享有,至少在合规性上是存疑的。

2017年来的一系列监管政策也恰恰验证了前文所述之内容。2017年1月以来,中国人民银行发布了一项支付领域的新规定,明确了第三方支付机构在交易过程中,产生的客户备付金,今后将统一交存至指定账户,由央行监管,支付机构不得挪用、占用客户备付金。人民银行或商业银行不向第三方支付机构备付金账户计付利息。针对备付金可能存在的风险,此后的《国务院办公厅关于印发互联网金融风险专项整治工作实施方案的通知》(国办发〔2016〕21号),则明确提出了“非银行支付机构不得挪用、占用客户备付金,客户备付金账户应开立在人民银行或符合要求的商业银行。人民银行或商业银行不向非银行支付机构备付金账户计付利息”相关要求,人民银行决定对支付机构客户备付金实施集中存管。根据该《通知》,支付机构应将客户备付金按照一定比例交存至指定机构专用存款账户,该账户资金暂不计付利息。中国人民大学重阳金融研究院客座研究员董希淼指出,央行此举意在引导第三方支付机构回归到小额、快捷、通道上来,做好支付主业,而非依靠吃备付金利差赚钱,甚至通过挪用备付金进行投资理财来维持公司运转。自此,第三方支付依靠海量用户留存的巨额备付金“赚利差”的时代正式走向了终结。

第三问:当第三方支付与网购结合,公众的隐私权如何保护?

随着科技的进步,越来越多“标记着”生物特征的支付方式大量出现,比如指纹支付、刷脸支付等等,初衷是简便实现快捷支付,但越来越多的生物痕迹被收集到支付平台当中。譬如一些常用的支付平台,常常以监管需要或者核对个人信息的名义,要求或建议上传公民身份证、银行账户、社保卡、公积金账户等信息,通过这些信息,往往能勾勒出一个人的完整社会属性。新型支付,譬如指纹支付、刷脸支付则上传了更多人类的生物特征,一些常见的支付平台会要求使用者确认指纹、录入面部特征。这些信息假如同时介入第三方支付平台的医疗信息的,使得基本公民信息能够与生物信息相配合,那么一个个体的完整社会信息与自然人信息就毫无保留地暴露在支付机构面前。

更引人焦虑的是,随着支付牌照价值显现,越来越多的支付机构被大型企业收购,最直观的就是支付平台越来越多的和网购电商或者互联网巨头挂钩。这样一来,支付平台就融合了电商的信息,很多快递收货地址、联系方式等即时信息为一体,更为完整地记录了个体的静态与动态信息支付。另一方面,很多个人习惯也被记录其中,我们可以知道一个人早上习惯在哪里吃早餐,消费标准如何,配合互联网巨头的地图和测步器或者健康功能,可以知道一个人每天从哪里出发上班,几点回家等等。对于这些我们不慎遗留又分享给APP的信息,事实上被互联网巨头们广泛地应用了。经常使用网购软件的人可能会发现,近期购物平台开始根据你的购物习惯进行推介,这就导致一个有趣的现象,每个不同人的购物界面可能不大一样,电商平台会“不经意间”将你时常关注的物品作为推荐项目或“常购物品清单”显示在购物首页上。这种便利的背后,潜伏着巨大的危机,也许未来某一天,最了解我们的不是我们的亲人、人口管理部门、警察局,甚至我们自己,而是支付机构!我们的一切信息都可以被拿来量化,或者我们仅仅是作为营销中的待分析对象一样。

第三方支付,

是洪水猛兽还是金融创新

一方面,随着人工智能的普及,第三方支付的发展也进入了新的阶段。声波支付,脸部支付,指纹支付早已经不再新鲜,由此而来的便捷之余,也为我们带来一些对科技强大力量的恐惧。现代社会体系下的我们毕竟太过依赖第三方支付了,支付市场的种种法律空白为普通民众的权利保障带来种种隐患,支付行业亟待系统的法律出台进行方面调整。另一方面,随着支付行业的发展,监管体系也在不断完善。据称,《支付清算组织管理办法》可能在近期颁布。该办法将把非银行机构纳入清算体系统一管理,并界定支付清算行业的准入门槛,此举或将为略显“凌乱”的支付行业带来新的变革。

编辑:黄灵  yeshzhwu@foxmail.com