完善制度规范 惩治第四方支付违法犯罪

日期:11-14
服务商支付机构

原标题:完善制度规范惩治第四方支付违法犯罪

完善制度规范 惩治第四方支付违法犯罪

刘仁文

第四方支付,也称聚合支付,是介于商户和第三方支付之间,通过工具、App和网站等渠道整合银行、第三方支付和服务商的新型支付方式。第四方支付具有广泛的兼容性、显著的便利性和集中的流量性,为交易方提供了高效、便捷的在线支付综合解决方案。不过,在打通移动支付“最后一公里”后,第四方支付也出现了一些违法犯罪现象,需要加以研究和规制。

第四方支付的违法犯罪类型

违规非法经营。根据2010年6月央行发布的《非金融机构支付服务管理办法》(下称《办法》)规定,第三方支付机构按照规定申领《支付业务许可证》,由此我国第三方支付行业正式进入牌照监管时代。《办法》及后续规章对第三方支付机构的牌照申请、备付金管理、合规要求等作出了系统安排。与之相对应,第四方支付服务商则无需申领牌照,其定位是第三方支付机构的外包服务机构。2017年央行发布《关于开展违规“聚合支付”服务清理整治工作的通知》(下称《通知》),明确规定其不得从事资质审核、协议签订、资金结算等核心业务;不得以任何形式经手特约商户结算资金,从事或变相从事资金结算。但不少服务商为追求利益,利用监管漏洞,超越自身定位从事或变相从事业务风控、资金结算、核心数据等非法经营行为,导致支付风险,扰乱金融秩序,具有明显的社会危害性。

侵犯个人信息。根据《通知》明确规定,聚合支付不得采集、留存特约商户和消费者的敏感信息。2018年,全国金融标准化技术委员会就《聚合支付安全技术规范》公开征求意见,意欲在术语定义、系统实现、安全技术等方面构建聚合支付服务的基本框架,其中对数据安全问题给予高度关注。但现实中,有的第四方支付(聚合支付)服务商技术能力、安全能力、风控能力有限,大量敏感信息处于“裸奔”中;有的服务商利用微信公众号“扫码自动关注”功能在高频交易流量中囤积大量“粉丝”进行非法变现;更有服务商采取注册返现形式吸引用户上传信息并进行加工和贩卖。可见,第四方支付服务商既可能会因内部管理、技术标准、业务流程等原因无意泄露公民个人信息,也可能会以牟利为目的向他人出售或提供公民个人信息,造成对身份、账户、照片等个人信息的侵害。

帮助上游犯罪。部分第四方支付服务商“挂羊头,卖狗肉”,为网络诈骗、网络赌博、网络色情、网络洗钱等犯罪提供资金结算通道,沦为犯罪分子的“金融结算中心”和“资金绿色通道”。为了规避第三方支付的资金监管,不法服务商会在上游环节购买银行卡、身份证、手机卡、U盾等“四件套”,或成立相关掩护型公司,作为违法犯罪的工具或手段,或在中游环节自行编译或外部购买第四方支付源代码,组建包含维护研发平台、审查提现申请、发展下级代理等分工的稳定团队,或在下游环节拓展具有资金支付结算需求的不法客户并收取高额佣金。有些服务商能在帮助违法犯罪活动中日均处理50万笔交易,处理失误率低于十万分之一,堪比中型银行的交易规模和交易水平。为了对抗T+1的机制(隔天交易机制),他们会在一天内完成资金结算,甚至有服务商寻找或充当“代付方”以自有资金先行垫付并收取更高佣金。

规范第四方支付的对策建议

严格落实第四方支付的行业定位。要明确第四方支付服务商的外包服务机构定位,严禁其异化为“二清”机构(二次清算机构)。“二清”机构未获央行支付业务许可,却在持牌收单机构下实际从事支付业务,结算资金经过“一清”机构(银联或第三方支付机构)后先转至“二清”机构开立的第三方账户,经由该第三方账户处理后再结算至商户收款账户,因此存在资金监管失控和信息大量泄露的风险。为了实时监管资金流向,2017年央行宣布第三方支付机构应停止直连银行模式,所有网络支付业务需经由银联或网联平台。随着央行“断直连”和支付机构客户备付金集中存管的推进,我们应实行支付链路的穿透式监管,集中管理和清算银行、第三方支付、第四方支付三者之间的交易接口,坚守第四方支付服务商的辅助支付定位。

明确收单机构与第四方支付服务商之间的权利义务。一方面,要强化收单主体的审核职责。收单机构出于对第四方支付服务商的依赖,常常由服务商录入商户基本信息后自行审核。但服务商可能存在形式审核、伪造商户、篡改资料等情况,容易造成不法账户接入合法支付体系。因此,收单机构应事先全面审核支付系统的安全性,通过协议明确彼此权利义务,采取有效技术规避服务商滥用支付渠道或隐匿、篡改、伪造交易信息。另一方面,要形成收单机构和第四方支付之间的合作与监督关系。收单机构通过第四方支付服务商来合法拓展业务规模;第四方支付机构则凭此获取合理的佣金报酬,不得以资金结算、资质审核、密钥管理等核心支付业务牟利。

完善第三方支付账户权限划分。为有效控制支付渠道滥用和保障客户合法权益,应完善第三方支付账户权限的划分。实际上,《办法》已规定了支付机构的反洗钱义务,“支付机构明知或应知客户利用其支付业务实施违法犯罪活动的,应停止为其办理支付业务”。2016年《非银行支付机构网络支付业务管理办法》也要求第三方支付机构“建立交易风险管理制度和交易监测系统,对疑似风险和非法交易及时采取调查核实、延迟结算、终止服务等必要控制措施”。但是,法律规定只有央行、公检法机关、税务机关等特定机关才具有查询、冻结、扣划资金等权限。所以,一方面应有限度地给予第三方支付机构冻结资金的权限,如可视不同情况冻结资金1至3个月,这样既能打断网络赌博平台等非法平台的资金链,又能给予公安机关等部门一定的侦查时间;另一方面,应健全风险准备金和客户损失赔付机制,缩短账户申诉流程,及时处理客户投诉,最大程度保障账户所有者的合法权益。

建立交易信息安全保障制度。第四方支付汇集了大量用户信息、商户信息和交易信息,因此亟待建立第四方支付服务商的信息安全保障制度,避免信息泄露、留存或贩卖。一是应明确第四方支付场景下的公民个人信息范围,建立身份信息、金融信息、地理信息等具体信息种类的判断标准,有效维护交易各方的信息安全。二是服务商应采取加密存储、访问控制、信息审计等措施防范拖库撞库攻击,并在应用软件上支持页面回退清除敏感信息机制,同时还要在应用软件退出时自动清除非必要数据,以维护客户信息的保密性。三是第三方支付机构应通过支付标记化技术,定期开展敏感信息安全的内部设计,注意支付接口的审核和安全,协同第四方支付服务商把好“安全关”。

明晰司法适用标准。第四方支付服务商往往以技术中立为由为自己辩护,对此应确立共同犯罪中“明知”的判断标准。以网络赌博为例,《关于办理网络赌博犯罪案件适用法律若干问题的意见》规定,行为人明知别人在网络赌博,仍为赌博网站提供资金支付结算服务,收取服务费数额在1万元以上或者帮助收取赌资20万元以上的,可认定为开设赌场罪的共同犯罪。其“明知”判断标准在于是否收取“明显异常”的服务费。同理,第四方支付服务商是否“明知”取决于其收费标准是否“明显过高或过低”。目前第三方支付的服务费标准往往在0.1%至1%之间,而不法第四方支付服务商为赌博网站提供的服务费却可达5%至7%左右,足可构成“明显过高”。在利用虚拟货币、虚拟物品进行洗钱的场景中,服务商会采取远低于正常市场价格的做法进行大批量交易,基于法秩序的统一,我们可参照公司法关于“关联交易损害公司利益”的司法解释和合同法关于“房屋买卖合同”的规定,将低于市场价格70%的做法界定为明显低于市场价格,构成“明显过低”。

完善刑事立法。以第四方支付的统筹治理为例,支付账户是非法结算资金的必要工具,而有效管理账户、资金的前提是全面遏制非法使用公民个人信息的行为。但当前我国的侵犯公民个人信息罪只包括非法获取、出售及提供公民个人信息三种行为,并没有包括非法使用公民个人信息这一行为类型,而非法使用公民个人信息的行为既不能通过法律解释纳入侵犯公民个人信息罪,也无法以妨害信用卡管理罪、信用卡诈骗罪、合同诈骗罪等涉及非法使用公民个人信息的罪名加以处理。实际上非法获取、出售、提供的最终落脚点在于非法使用公民个人信息,可见非法使用行为直接涉及信息主体的各项权益,具有严重的法益侵害性;民法总则第111条、网络安全法第41条、消费者权益保护法第29条都明确禁止非法使用公民个人信息,说明“使用”行为在相关前置法中也作为独立行为加以评价,将其入罪有利于法秩序的统一。因此,应将非法使用公民个人信息、情节严重的行为作为一种独立的行为类型,与非法获取、出售及提供公民个人信息的行为类型相并列,共同纳入侵犯公民个人信息罪的规制范围,以实现对公民个人信息刑法保护的全覆盖。

(作者分别为中国社会科学院法学研究所研究员、博士后)

法治进校园全国巡讲 为了孩子脸上格桑花般的笑容 暴徒一再为非作歹 港媒:反对派纵容将是玩火自焚
相关阅读: