第三方支付的刑事风险与防控措施
张泽辰++江奥立?
近年来,随着网络技术的广泛应用和金融行业的深度发展,中国的互联网金融呈现出一片繁华的景象,尤其在第三方支付领域,基于“应用多、功能强、效率高”的特点,其用户人数与全球的网民人数已基本持平。然而就在第三方支付普惠广大网络用户的同时,利用该技术进行赌博、洗钱等犯罪活动的情况却是屡见不鲜。究其原因,是由于我们在刑法于何种范围、何种程度介入,才能对第三方支付进行有效规制的问题上,欠缺系统研究。本文试图通过研究第三方支付在各个服务环节中可能出現的刑事风险,提出防范这类风险有益的建议。
一、第三方支付的行为模式
(一)网络支付模式
网络支付是第三方支付服务中最为典型的一种模式,该模式又被理解为是“互联网支付”。在本文看来,“互联网支付”应当被界定为以公共互联网为基础,利用非银行支付机构所提供或支持的数字金融工具,通过互联网发起支付指令,并在购买者和销售者之间进行资金交换和转移,从而完成买卖双方之间的支付结算的模式。根据互联网支付的流程和方式,大致可分为网关模式和平台模式两种。
网关模式又称支付通道服务模式。在该模式中,第三方支付平台所收集的网上支付电子信息,必须通过互联网公共网络和银行内部的专用网络间网关安全接口进行传递。第三方支付平台只是购买者和销售者之间的支付通道,起着信息传递的作用,其将购买者发出的支付请求指令进行搜集,并实时传递给后台的签约银行内部系统,银行在完成转账业务后再将支付信息传递给第三方支付平台,支付平台据此向销售者告知相关信息并进行账户结算。
平台模式另称支付平台账户模式。该模式一般都是在第三方支付机构自己开发的支付平台上运行。所有接受该第三方支付平台服务的用户,必须首先在该支付平台上开设一个虚拟账户,并以此作为付款和收款的账户。该虚拟账户既可以作为一个支付通道,帮助买卖双方通过网关在银行账户间转账结算,也可以为买卖双方提供虚拟账户间的转账结算。当然,支付平台也可以充当买卖双方的信用中介,通过提高交易付款的安全度来促成交易。在此过程中,客户在第三方支付平台上的虚拟账户,始终是买卖双方交易结算或者是安全交易的信用担保的中介,因此,所有的网上支付都必须经过虚拟账户完成。
(二)预付卡发行模式
预付卡具体包括两种类型,即单用途储值卡和多用途储值卡,其中,单用途储值卡具有明显的封闭性,主要体现在发卡商户的管理运行和持卡人的使用两个方面,从法律关系的角度分析,单用途储值卡不过是将消费者付款的时间提前,将最为常见的“一手交钱,一手交货”模式变成了预售模式,但并没有在买卖合同关系之外形成新的法律关系。与单用途储值卡相比,多用途储值卡引入了发卡机构这样一个第三方支付结算机构,接受储值卡支付的商户也扩展到了相互独立的多家联盟商户,其商业模式更为复杂。在此模式中,发卡机构扮演着第三方支付机构的角色,具有核心地位。 严格意义上,多用途储值卡才是真正的第三方支付模式。
(三)银行卡收单模式
《非金融机构支付服务管理办法》以及《银行卡收单业务管理办法》对银行卡收单业务的界定包含了三个构成要件,一是手段为POS机等终端,二是主体为特约商户,三是行为为代收货币资金。为实体特约商户提供银行卡受理并完成资金结算服务的支付机构以及获得网络支付业务许可、为网络特约商户提供银行卡受理并完成资金结算服务的支付机构都属于法律意义上的收单机构。
收单机构在拓展特约商户时,应当遵循“了解你的客户”原则,确保所拓展特约商户是依法设立、从事合法经营活动的商户,并承担特约商户收单业务管理责任。收单机构一旦发现特约商户发生疑似银行卡套现、洗钱、欺诈、移机、留存或泄漏持卡人账户信息等风险事件的,应当对特约商户采取延迟资金结算、暂停银行卡交易或收回受理终端(关闭网络支付接口)等措施,并承担因未采取措施导致的风险损失责任。
(四)融合网络支付以及银行卡收单模式——二维码支付
二维码支付可以分为二维码线上支付和二维码线下支付。在二维码线上支付流程中,通常用户先选购好商品或服务,然后直接用扫码软件扫描二维码,然后手机会自动跳转到付款页面,用户最后在该页面输入账号密码进行付款就完成了所有支付流程。在整个流程中,二维码只取代了以往支付链接的功能。然而,二维码的线下支付,是移动支付和银行卡收单模式的结合,如微信支付的二维码支付,主要包含“刷卡”与“面对面收钱”两项服务。“刷卡”与“面对面收钱”的主要区别在于,“刷卡”是商家用扫码枪或者摄像头扫描客户的二维码,而“面对面收钱”是用户用手机扫描用户的二维码,即前者是“被扫”,后者是“主扫”。
二、第三方支付在各服务环节存在的刑事风险
(一)市场准入环节存在的刑事风险
《非金融机构支付服务管理办法》第三条明确规定,非金融机构提供支付服务,应当依据本办法规定取得《支付业务许可证》,成为支付机构。未经中国人民银行批准,任何非金融机构和个人不得从事或变相从事支付业务。由此可见,我国对第三方支付平台有着严格的准入和监管制度。不仅如此,网络支付,预付卡的发行与受理,银行卡收单每一种第三方支付模式,都有着各自具体的准入许可。现实中有些提供第三方支付平台服务的企业,在未得到经营许可的情况下,为他人的交易活动提供服务,就属于我国《刑法》第225条规定的非法经营的危害行为。在其情节严重的情况下,司法机关可以认定构成非法经营罪,给予刑事处罚。
值得关注的是上文所提到的新型二维码支付模式,其本质属于网络支付,但是如果仔细分析,二维码的线下支付模式同时也构成银行卡收单业务。在管理办法规定中,网络支付本身只单纯指线上支付业务,而不包含线下支付业务;而银行卡收单业务也只单纯指传统的POS机模式,而不包含二维码线下支付这种打通“线上线下”支付的新模式。这种新型二维码支付模式,显然不在既定的非金融机构支付服务监管框架中。这样问题就产生了,二维码线下支付是应该按照网络支付进行监管,还是按照银行卡收单进行监管,或是同时按照网络支付和银行卡收单进行监管? 是否二维码支付企业需要同时取得网络支付和银行卡收单两项业务的行政许可才算合法经营?
事实上,中国人民银行对第三方支付机构的服务范围进行了明确的限定:如果获得银行卡收单业务许可,就能从事实体商户的收单,但不涉及网络商户;如果获得网络支付业务许可,就可以从事网络商户的收单,但不涉及实体商户——即有意识针对第三方支付机构将线上业务和线下业务进行区分。二维码支付在应用过程中,实际达到的效果却是沟通线上与线下,形成一个所谓的闭环结构。而这种应用,恰好是和现有的监管思路相违背的。本文认为对二维码支付这般非恶意试水的创新模式,行政立法与监管都应保持宽容的态度,给予二维码支付明确且合法的地位,为金融创新留出必要的机会和发展空间。
(二)资金存管环节存在的刑事风险
第三方支付在资金存管环节基本都会出现资金的沉淀,由此可能引发以下两个方面的法律风险,一方面,第三方支付平台形成资金池,极易出现该平台及其工作人员非法占用或者使用沉淀资金的问题,其中符合刑法有关财产犯罪规定的,可以盗窃罪、诈骗罪、职务侵占罪、挪用资金罪等罪进行处罚;另一方面,第三方支付平台将资金存于专门的银行,因此所产生的孳息的归属问题。尽管我国物权法对孳息的归属有明确的规定,但沉淀资金、第三方支付平台账户资金的孳息却并未实际地归于客户,这就涉嫌构成了《刑法》第270条规定的侵占罪。但是,由于侵占罪属于亲告罪,每个消费者或者经营者作为被害人所涉及的被侵占数额又非常小,难以达到犯罪程度。同时《刑法》也未规定亲告罪的集体诉讼问题,也没有将单人数额小,但人数众多、总体数额大的被害情况规定为公诉的条件。更值得一提的是,在预付卡发行中,由于预付和消费之间存在时间差,预付卡还将多一部分沉淀资金的来源——卡内残值收入,部分持卡人無意丢失或有意放弃卡内资金 ,或者发卡机构擅自缩小特约商户的范围,变更预付卡的使用期限,致使持卡人无法使用卡内资金。目前对于这部分隐蔽收益,仍属于监管空白。
在本文看来,一方面应当考虑对《刑法》第270条进行修正,设置本罪告诉才处理的例外情况;另一方面,国家监管机构也应制定内容完备的行政法规范,规定第三方支付机构须参照银行利率将客户资金产生之利息自动划拨到客户在第三方支付平台的账户里。第三方支付机构在客户资金或者孳息数额上虚构事实或者隐瞒真相,公示较低数额,非法占有差额的,则属于诈骗罪。对于其直接负责的主管人员或者其他责任人员,依法追究刑事责任。
(三)资金流向环节存在的刑事风险
1.网络结算,助长开设赌场罪、帮助网络犯罪活动罪
网络赌博犯罪在结算方式上不支持现金结算,因此,必须要借助于电子技术来完成赌博背后的资金流转。另外,为逃避法律的制裁,更是经常利用第三方支付平台,通过设置多个账户对巨额资金进行流转,这使得涉案资金来源以及流转过程的查证难度大大增加。 目前出现了以比特币为代表的“虚拟货币”结算的网络赌博,使网络赌场和赌客之间可以不借助任何第三方机构直接进行资金交易,无疑进一步助长了网络赌博犯罪的气焰。
另外,根据《刑法修正案(九)》第287条之二的规定,“明知他人利用信息网络实施犯罪,为其犯罪提供互联网接入、服务器托管、网络存储、通讯传输等技术支持,或者提供广告推广、支付结算等帮助,情节严重的,处3年以下有期徒刑或者拘役,并处或者单处罚金。”这意味着第三方支付平台在明知他人实施网络犯罪行为仍为其提供支付服务,将构成帮助网络犯罪活动罪。事实上,在第三方支付平台和网络犯罪的行为人存在犯罪合意时,第三方支付平台就能构成相应网络犯罪的帮助犯,然而,在信息时代,网络技术放大了网络犯罪行为造成的危害,降低的犯罪的成本,相反的,陌生人之间的距离越来越近,证明其之间存在犯罪合意的难度亦越来越大,因此,如果仍坚持通过共犯理论去规制第三方支付平台的有关犯罪行为,显然会影响刑法打击的效果。本罪的设置实现了帮助行为的实行化,解决了诸多共同犯罪中因无明显主观意思联络而难以入罪的难题,在一定程度上缓解传统犯罪网络异化为刑事法律体系带来的冲击,给未来网络犯罪技术帮助行为的制裁带来更多的期待。
2.虚假交易,触碰反洗钱、反恐怖融资类犯罪红线
第三方支付平台一直是洗钱犯罪的重灾区,其涉及资金数额特别巨大,主体范围广,交易类别众多,在监管机制尚未成熟的情况下,洗钱犯罪的成本更低。利用第三方支付平台的洗钱犯罪手法主要包括虚构网络交易和木马洗钱,其中前者在此类洗钱犯罪中最为常见,由于许多第三方支付平台对卖家与买家的身份认证并不严格,行为人往往通过注册账号,发布虚假商品信息,然后自拍自买将钱转移到名下,或是直接取消交易,同样可以将资金从一个账户中导入另一个账户,从而达到洗钱的目的。此外,行为人还可以利用远程系统加木马病毒操纵他人电脑。行为人先通过散播木马病毒,如果用户进行网上交易,木马病毒会自动激活、盗取用户个人信息,并编造虚假的订单来欺骗用户。与此同时,行为人会尽快利用被害人账户和其他虚拟账户实现洗钱。
对此,第三方支付机构需全方位注意监测支付活动双方的情况,将交易双方的基本信息、钱款支付轨迹、实物交付的流程等详尽地记录下来,并履行相关的洗钱或者预防惩治犯罪的法定报告义务。如果尽到该义务,就不能对其予以苛责,若其没有履行该义务,或者没有充分尽到该义务,那么就存在追责的可能。特别是在未经许可而提供第三方支付服务的情形下,提供者为了谋取经济利益,在主观上放任乃至促成他人的非法交易活动,就有可能构成违禁品犯罪、洗钱罪、信用卡诈骗罪,从而面临受刑事处罚的风险。
3.跨境支付,滋生逃汇、骗汇类犯罪。
随着“海淘”的盛行,第三方支付机构在跨境电子支付服务领域也发挥着巨大的作用。基于区块链或者分布式网络技术的跨境支付可以在去中心化的机制下更快更低成本地完成跨境转账,即交易双方不再需要依赖一个中央系统来负责资金清算并存储所有地交易信息,而是基于一个不需要进行信任协调的共识机制直接进入价值转移。区块链虽然能够在内部逻辑和运行方式上保证数据安全,但是跨境支付方式创新性以及立法的滞后性决定了跨境支付领域的监管会更加困难。
在我国境内,经营外汇业务的主体是金融机构。随着第三方支付机构跨境支付业务的飞速发展,外汇管理中相关法律法规的完善与修改却没有跟进。一方面,外汇管理制度中第三方支付机构的定位不明确,准入标准缺失。在第三方支付机构参与的跨境支付服务中,第三方支付机构实际上承担了一定的类似银行的外汇管理职责,执行着一定的国家外汇管理政策,而这类机构从性质上讲又不属于“金融机构”。另一方面,跨境电子支付中,第三方支付机构充当跨境交易的收付款方,交易资金会在第三方支付机构大量沉淀,长此以往,不但会产生沉淀资金的安全问题,还会因国际收支申报收付款主体不是交易当事人而影响到监管机构对外汇收支统计的准确性。另外,由于跨境支付通过互联网来传递交易信息和完成交易流程,缺少传统的书面纸质凭证,这就会在一定程度上增加监管交易真实性的难度,容易滋生大量的逃汇、骗汇类犯罪。
(四)数据保护环节存在的刑事风险
在互联网金融背景下,消费者和经营者为了快捷地完成交易活动,自愿地将自己的个人信息告知第三方支付机构,但也因此面临着个人信息被侵害的危险。PCIDSS(全称Payment Card Industry Data Security Standard)是第三方支付行业数据安全的标准,适用于所有涉及支付卡处理的实体,包括商户、处理机构、购买者、发行商和服务提供商及储存、处理或传输持卡人资料的所有其他实体,主要重点是对持卡人数据的保护,包括一组保护持卡人信息的基本要求,并可能增加额外的管控措施,以进一步降低个人信息泄露的风险。目前,国内大多数知名的第三方支付平台已经通过了PCIDSS支付卡行业数据安全标准的认证。在实践中,类似蚂蚁金融这样的大型互联网金融企业,非常重视数据安全的管理,不仅设置了严格的数据查用权限,建立了层层审批的制度,而且其数据安全系统能自动识别员工查用数据与其本质工作的关联度,一旦偏离正常范围,系统便发出警报,员工便需要就其查用行为向企业作出合理解释。
侵犯公民个人信息具体表现为如下两个方面:一是违法运用客户信息。不管是消费者还是经营者,在运用第三方支付时都需将其基本信息告知第三方支付机构,如果提供第三方支付服务的机构却并非单纯提供这一种互联网金融服务,而是涉及多方面的互联网金融活动,便很有可能将客户的信息用于该机构所从事的其他互联网金融活动,这显然有违客户的真实意愿。而且,第三方支付机构本身在商业运营中,若接受其他公司、企业的投资而共同经营,或者被其他公司企业收购但仍继续运营,共享包括客户信息在内的各种数据势在必行,这同样也不符合客户事先提供信息的意愿。二是自行收集客户信息。消费者通过第三方支付平台向经营者购买各种商品或者服务,消费者与经营者就在第三方支付平台留下了交易活动的轨迹,第三方支付机构很容易就能掌握消费者的生活消费习惯、娱乐运动方式、工作社交场所等信息,以及经营者的经营范围、商品或者服务特点、客户群体等信息。那么消费者或者经营者自己在其未留意的情况下留下了消费或者经营记录,能否认为是消费者或者经营者对第三方支付机构收集、存留并使用上述信息的默许呢?本文认为,没有消费者或者经营者的明确许可,第三方支付机构即便留存他们的消费经营记录,也不能进行分析、梳理并直接使用,因而第三方支付机构自行收集消费者和经营者信息的行为,涉嫌非法侵犯客户的个人信息安全,面临被追究刑事责任的风险。
三、第三方支付刑事風险防范理念与对策
(一)犯罪二次性违法理念的运用与贯彻
应当明确的是,刑法不是保护法益的唯一手段,法体系整体功能的发挥更有助于这一任务的实现。当代刑法理论认为,适当的惩罚远比严厉的惩罚更加有效,前置法的有效调整与惩戒不仅成本低,而且收益大。同时,刑法不是保护法益的主要手段,刑法作为一部保障法,其任务在于强化法益的保护,这种强化保护意味着刑法只有在其他轻缓的惩戒手段无法达到保护的目的时介入才具有正当性。因此,前置法的完善与明确不但可以提升其在保护法益过程中的地位,克制滥用刑法的冲动,而且可以为刑事立法提供明确的立法依据和范围。
法体系自身主要是以制度性条文、救济性规则群以及制裁性规则群三部分构成,其中制度性条文旨在对基本制度进行安排以及对权利义务进行分配,救济性规则群主要关注损害结果的恢复和填补,制裁性规则群则重在对违法行为的惩罚和预防。救济性规则群和制裁性规则群均是因违反义务后引起的法律后果,但由于二者设立目的不同,所以二者在运用的时候并行不悖。既然各部门法立场有别,刑法“二次性”的特征也非简单的意指概念或制度上的从属,那么这里就有必要明确“二次性违法”中贯穿“第一次违法”和“第二次违法”的主线是什么。在本文看来,犯罪的二次性违法理论强调的是法律渐进性适用的重要性,而这种渐进性适用的前提就在于追责目的的一致,同时,这也正是贯穿“第一次违法”和“第二次违法”的主线,如果A规则和B规则所实现的追责目的并不一致,此时显然不能认为A与B之间存在衔接或渐进的关系。就刑事责任强大的制裁功能而言,犯罪的二次性违法强调的就是具有制裁性特点的规则之间的衔接,至于这些制裁性规则系属于民法、还是经济法、抑或是刑法事实上无关紧要。在这制裁性规则群中,法律后果越严厉其所处的位置便越靠后,处于前端的制裁性规则若能有效实现报应和预防的目的,处于后端的规则便不能僭越启动。犯罪二次性违法理论在立法层面和司法层面均有意义,在立法层面,该理论的运用通过以下方面实现,(1)明确和完善前置法,包括法律制度的建构、权利义务的合理安排、树立科学的刑事立法理念等;(2)前置法中制裁手段的多元化。惩戒并非越严厉越有效,及时介入适当的惩戒手段所产生的规制效果更加长久,制裁手段的多元化目的就在于寻找具有针对性的惩戒手段,通过充分运用前置制裁性规则以保证将刑罚的适用限制在必要的范围;(3)前置法与刑法之间有效衔接,强调刑事立法始终以前置法为依据,进而表现其从属性和内敛性的特点。在司法层面,犯罪的二次性违法理论的运用则通过以下步骤实现,(1)分析制度性条文,排除行为人可能拥有的权利。既然是行使权利就不可能成立犯罪;(2)分析前置制裁性规则,判断是否存在违法行为;(3)通过犯罪构成模型分析该违法行为是否进一步构成刑事犯罪。
(二)准确监管定位,构建分级监管模式
我国目前对第三方支付认定的角色是非金融机构,《非金融机构支付服务管理办法》开明宗义地将第三方支付界定为非金融机构,禁止支付机构从事除资金转移之外的任何行为。但让人迷惑的是,该办法的第九条规定:“申请人拟在全国范围内从事支付业务的,其注册资本最低限额为1亿元人民币;拟在省(自治区、直辖市)范围内从事支付业务的,其注册资本最低限额为3千万元人民币。注册资本最低限额为实缴货币资本。”这样的注册资本金要求几乎与银行等同。如果仅仅按照非金融中介机构的角色理解第三方支付机构,那么为何要求其持有如此之高的自有资金?
2013年出台的《支付机构客户备付金存管办法》中要求第三方支付机构按照备付金规模计提风险准备金。这又似乎是按照银行资本充足率的要求来要求第三方支付机构。从对第三方支付出台的各个办法的具体要求看,都对一个实际只有中介服务业务的第三方支付机构适用了金融机构才有资格享有的“监管配置”。如果我们将第三方支付视为金融机构甚至银行,那么我们完全可以向合乎要求的第三方支付发放银行牌照,进而对其适用银行的管制。而如果将第三方支付视为非金融中介服务机构,那么如何对其资金的托管安全进行保障才是立法的重点。易言之,我们将第三方支付的业务范围压缩至中介服务,却同时将金融监管的沉重锁链套在了第三方支付的头上。要推动第三方支付行业的健康发展,必须将第三方支付机构的角色与监管对应起来。
在跨境支付中,首先要明确第三方支付机构的外汇管理职责,应当在《外汇管理条例》中明确第三方支付机构为外汇管理的主体范畴,明确赋予该类机构非金融机构跨境支付中的监管职责。其次要完善跨境支付中的外汇收支统计机制。将执行外汇收支信息统计与监测作为第三方支付机构的法定义务予以明确,落实责任追究制,强化内外部监督机制。同时要强化跨境支付中交易信息真实性的审查制度,落实审查责任,建立异常交易和异常账户预警机制。另外,第三方支付机构还应该在外汇管理局的协调下,与海关、工商行政部门建立信息共享平台,增强跨境支付交易信息监测的准确性。
同时,简单的“一刀切”监管模式显然已经无法适应第三方支付行业的发展现状。事实上,我国在传统金融行业已经积累了丰富的分级监管实践,既促进了行业发展,又兼顾了风险防范。央行在最新發布的《非银行支付机构网络支付业务管理办法》中也已经引入了分级监管的做法(第三十二条: 中国人民银行可以结合支付机构的企业资质、风险管控特别是客户备付金管理等因素,确立支付机构分类监管指标体系,建立持续分类评价工作机制,并对支付机构实施动态分类管理。具体办法由中国人民银行另行制定)。具体的分级细则仍然有待后续的完善。
(三)完善前置性立法,提高法体系的规制能力
在第三方支付跨境监管方面,应该提高立法层次,完善前置性立法,详细拟订支付机构跨境支付中的各项管理规范,设专章规定“跨境电子支付服务”,内容具体涵盖跨境电子支付服务的含义、监管原则、监管机构、监管程序、监管技术、风险的识别与防控机制等,强化跨境电子支付服务中消费者资金和信息安全的保障机制。落实支付机构信息管理和资金管理程序中的透明度原则是实现消费者资金和信息安全的重要内容,要求从事跨境电子支付业务的支付机构应当进行恰当的风险评估和审慎调查,应当在其网页上作充分的信息披露,以允许潜在消费者进行判断。
在客户信息安全保护方面,我国对公民个人信息的保护尚无专门的行政立法。我国《刑法》第253条之一侵犯公民个人信息罪的规定缺乏行政法律规范的支撑,在公民、个人信息的范围以及犯罪实行行为的界定方面还存在争议,存在一次性违法的认定和处罚不足的问题。
具体表现为:(1)就第三方支付机构分享客户信息行为而言,违法性的实际认定缺乏行政法律规范的依据,最高司法机关也没有以司法解释的形式阐明。本文认为,若第三方支付机构本身或者从业人员未按原来公司的章程或者规定,擅自将这些客户信息提供给他人或者其他机构,那就应当认定其行为的非法性质,进而认定其构成非法提供公民个人信息罪。(2)就第三方支付机构收集并用大数据、云计算技术分析客户交易信息的行为来说,虽然行政法并无禁止性规定,但该行为实际上侵犯了公民的隐私权和个人信息安全。然而,该行为并不符合《刑法》第253条之一第2款规定的“其他非法获取公民个人信息”的情形,从而导致对该行为无法加以刑法规制。在当前我国缺乏公民个人信息保护行政立法的情况下,《刑法》第253条之一的立法超前性地对公民个人信息提供法律保护,其所面临的疑难问题就需要最高司法机关通过相关文件来提供应对方案。本文认为,若自行收集或者分析行为只是对客户公布在网络上的信息、在本机构内部的信息而实施,则可认为并不违法,若超出上述范围,就属于非法行为。另外,第三方支付机构在信息收集分析后仅用于本单位的合法经营活动,也可认为不违法,但其在自用之外还提供或者出售给他人或者其他机构,就应按照前述非法提供公民个人信息罪来惩处。从互联网金融发展的角度看,国家应该尽快行政的前置性立法,对何为善意收集、分享、利用公民个人信息的行为作出明确的规定。
(四)遵循刑法原则,加强判例指导
刑法原则对网络犯罪的刑法规制有着重要的价值。刑法原则的意义包括以下两个方面,一方面可以避免自由裁量对立法规范本身的突破,另一方面是指引对成文法的扩大解释不违反罪刑法定原则。刑法原则在网络犯罪的规制方面表现的更加突出,因为借助网络工具,网络犯罪在行为上并不如传统犯罪那样明显,犯罪结果也不直观,对其进行规制需要司法实践者的理性思维和对刑法原则的理解。在罪刑法定和罪刑相适应原则的指引下,运用“举轻明重”的方式,将可应对新形式的网络领域犯罪。另外,当前对网络犯罪的定性和量刑并无统一的标准,各地司法实践活动难以统一,甚至导致罪与非罪的差异,损害了法律的权威性和公正性。典型案例的指导可以就特定类型的网络犯罪形成相对一致的法律规则或法律适用原则,使其具有普适性,最大程度实现“同案同判”的要求。
近年来,随着网络技术的广泛应用和金融行业的深度发展,中国的互联网金融呈现出一片繁华的景象,尤其在第三方支付领域,基于“应用多、功能强、效率高”的特点,其用户人数与全球的网民人数已基本持平。然而就在第三方支付普惠广大网络用户的同时,利用该技术进行赌博、洗钱等犯罪活动的情况却是屡见不鲜。究其原因,是由于我们在刑法于何种范围、何种程度介入,才能对第三方支付进行有效规制的问题上,欠缺系统研究。本文试图通过研究第三方支付在各个服务环节中可能出現的刑事风险,提出防范这类风险有益的建议。
一、第三方支付的行为模式
(一)网络支付模式
网络支付是第三方支付服务中最为典型的一种模式,该模式又被理解为是“互联网支付”。在本文看来,“互联网支付”应当被界定为以公共互联网为基础,利用非银行支付机构所提供或支持的数字金融工具,通过互联网发起支付指令,并在购买者和销售者之间进行资金交换和转移,从而完成买卖双方之间的支付结算的模式。根据互联网支付的流程和方式,大致可分为网关模式和平台模式两种。
网关模式又称支付通道服务模式。在该模式中,第三方支付平台所收集的网上支付电子信息,必须通过互联网公共网络和银行内部的专用网络间网关安全接口进行传递。第三方支付平台只是购买者和销售者之间的支付通道,起着信息传递的作用,其将购买者发出的支付请求指令进行搜集,并实时传递给后台的签约银行内部系统,银行在完成转账业务后再将支付信息传递给第三方支付平台,支付平台据此向销售者告知相关信息并进行账户结算。
平台模式另称支付平台账户模式。该模式一般都是在第三方支付机构自己开发的支付平台上运行。所有接受该第三方支付平台服务的用户,必须首先在该支付平台上开设一个虚拟账户,并以此作为付款和收款的账户。该虚拟账户既可以作为一个支付通道,帮助买卖双方通过网关在银行账户间转账结算,也可以为买卖双方提供虚拟账户间的转账结算。当然,支付平台也可以充当买卖双方的信用中介,通过提高交易付款的安全度来促成交易。在此过程中,客户在第三方支付平台上的虚拟账户,始终是买卖双方交易结算或者是安全交易的信用担保的中介,因此,所有的网上支付都必须经过虚拟账户完成。
(二)预付卡发行模式
预付卡具体包括两种类型,即单用途储值卡和多用途储值卡,其中,单用途储值卡具有明显的封闭性,主要体现在发卡商户的管理运行和持卡人的使用两个方面,从法律关系的角度分析,单用途储值卡不过是将消费者付款的时间提前,将最为常见的“一手交钱,一手交货”模式变成了预售模式,但并没有在买卖合同关系之外形成新的法律关系。与单用途储值卡相比,多用途储值卡引入了发卡机构这样一个第三方支付结算机构,接受储值卡支付的商户也扩展到了相互独立的多家联盟商户,其商业模式更为复杂。在此模式中,发卡机构扮演着第三方支付机构的角色,具有核心地位。 严格意义上,多用途储值卡才是真正的第三方支付模式。
(三)银行卡收单模式
《非金融机构支付服务管理办法》以及《银行卡收单业务管理办法》对银行卡收单业务的界定包含了三个构成要件,一是手段为POS机等终端,二是主体为特约商户,三是行为为代收货币资金。为实体特约商户提供银行卡受理并完成资金结算服务的支付机构以及获得网络支付业务许可、为网络特约商户提供银行卡受理并完成资金结算服务的支付机构都属于法律意义上的收单机构。
收单机构在拓展特约商户时,应当遵循“了解你的客户”原则,确保所拓展特约商户是依法设立、从事合法经营活动的商户,并承担特约商户收单业务管理责任。收单机构一旦发现特约商户发生疑似银行卡套现、洗钱、欺诈、移机、留存或泄漏持卡人账户信息等风险事件的,应当对特约商户采取延迟资金结算、暂停银行卡交易或收回受理终端(关闭网络支付接口)等措施,并承担因未采取措施导致的风险损失责任。
(四)融合网络支付以及银行卡收单模式——二维码支付
二维码支付可以分为二维码线上支付和二维码线下支付。在二维码线上支付流程中,通常用户先选购好商品或服务,然后直接用扫码软件扫描二维码,然后手机会自动跳转到付款页面,用户最后在该页面输入账号密码进行付款就完成了所有支付流程。在整个流程中,二维码只取代了以往支付链接的功能。然而,二维码的线下支付,是移动支付和银行卡收单模式的结合,如微信支付的二维码支付,主要包含“刷卡”与“面对面收钱”两项服务。“刷卡”与“面对面收钱”的主要区别在于,“刷卡”是商家用扫码枪或者摄像头扫描客户的二维码,而“面对面收钱”是用户用手机扫描用户的二维码,即前者是“被扫”,后者是“主扫”。
二、第三方支付在各服务环节存在的刑事风险
(一)市场准入环节存在的刑事风险
《非金融机构支付服务管理办法》第三条明确规定,非金融机构提供支付服务,应当依据本办法规定取得《支付业务许可证》,成为支付机构。未经中国人民银行批准,任何非金融机构和个人不得从事或变相从事支付业务。由此可见,我国对第三方支付平台有着严格的准入和监管制度。不仅如此,网络支付,预付卡的发行与受理,银行卡收单每一种第三方支付模式,都有着各自具体的准入许可。现实中有些提供第三方支付平台服务的企业,在未得到经营许可的情况下,为他人的交易活动提供服务,就属于我国《刑法》第225条规定的非法经营的危害行为。在其情节严重的情况下,司法机关可以认定构成非法经营罪,给予刑事处罚。
值得关注的是上文所提到的新型二维码支付模式,其本质属于网络支付,但是如果仔细分析,二维码的线下支付模式同时也构成银行卡收单业务。在管理办法规定中,网络支付本身只单纯指线上支付业务,而不包含线下支付业务;而银行卡收单业务也只单纯指传统的POS机模式,而不包含二维码线下支付这种打通“线上线下”支付的新模式。这种新型二维码支付模式,显然不在既定的非金融机构支付服务监管框架中。这样问题就产生了,二维码线下支付是应该按照网络支付进行监管,还是按照银行卡收单进行监管,或是同时按照网络支付和银行卡收单进行监管? 是否二维码支付企业需要同时取得网络支付和银行卡收单两项业务的行政许可才算合法经营?
事实上,中国人民银行对第三方支付机构的服务范围进行了明确的限定:如果获得银行卡收单业务许可,就能从事实体商户的收单,但不涉及网络商户;如果获得网络支付业务许可,就可以从事网络商户的收单,但不涉及实体商户——即有意识针对第三方支付机构将线上业务和线下业务进行区分。二维码支付在应用过程中,实际达到的效果却是沟通线上与线下,形成一个所谓的闭环结构。而这种应用,恰好是和现有的监管思路相违背的。本文认为对二维码支付这般非恶意试水的创新模式,行政立法与监管都应保持宽容的态度,给予二维码支付明确且合法的地位,为金融创新留出必要的机会和发展空间。
(二)资金存管环节存在的刑事风险
第三方支付在资金存管环节基本都会出现资金的沉淀,由此可能引发以下两个方面的法律风险,一方面,第三方支付平台形成资金池,极易出现该平台及其工作人员非法占用或者使用沉淀资金的问题,其中符合刑法有关财产犯罪规定的,可以盗窃罪、诈骗罪、职务侵占罪、挪用资金罪等罪进行处罚;另一方面,第三方支付平台将资金存于专门的银行,因此所产生的孳息的归属问题。尽管我国物权法对孳息的归属有明确的规定,但沉淀资金、第三方支付平台账户资金的孳息却并未实际地归于客户,这就涉嫌构成了《刑法》第270条规定的侵占罪。但是,由于侵占罪属于亲告罪,每个消费者或者经营者作为被害人所涉及的被侵占数额又非常小,难以达到犯罪程度。同时《刑法》也未规定亲告罪的集体诉讼问题,也没有将单人数额小,但人数众多、总体数额大的被害情况规定为公诉的条件。更值得一提的是,在预付卡发行中,由于预付和消费之间存在时间差,预付卡还将多一部分沉淀资金的来源——卡内残值收入,部分持卡人無意丢失或有意放弃卡内资金 ,或者发卡机构擅自缩小特约商户的范围,变更预付卡的使用期限,致使持卡人无法使用卡内资金。目前对于这部分隐蔽收益,仍属于监管空白。
在本文看来,一方面应当考虑对《刑法》第270条进行修正,设置本罪告诉才处理的例外情况;另一方面,国家监管机构也应制定内容完备的行政法规范,规定第三方支付机构须参照银行利率将客户资金产生之利息自动划拨到客户在第三方支付平台的账户里。第三方支付机构在客户资金或者孳息数额上虚构事实或者隐瞒真相,公示较低数额,非法占有差额的,则属于诈骗罪。对于其直接负责的主管人员或者其他责任人员,依法追究刑事责任。
(三)资金流向环节存在的刑事风险
1.网络结算,助长开设赌场罪、帮助网络犯罪活动罪
网络赌博犯罪在结算方式上不支持现金结算,因此,必须要借助于电子技术来完成赌博背后的资金流转。另外,为逃避法律的制裁,更是经常利用第三方支付平台,通过设置多个账户对巨额资金进行流转,这使得涉案资金来源以及流转过程的查证难度大大增加。 目前出现了以比特币为代表的“虚拟货币”结算的网络赌博,使网络赌场和赌客之间可以不借助任何第三方机构直接进行资金交易,无疑进一步助长了网络赌博犯罪的气焰。
另外,根据《刑法修正案(九)》第287条之二的规定,“明知他人利用信息网络实施犯罪,为其犯罪提供互联网接入、服务器托管、网络存储、通讯传输等技术支持,或者提供广告推广、支付结算等帮助,情节严重的,处3年以下有期徒刑或者拘役,并处或者单处罚金。”这意味着第三方支付平台在明知他人实施网络犯罪行为仍为其提供支付服务,将构成帮助网络犯罪活动罪。事实上,在第三方支付平台和网络犯罪的行为人存在犯罪合意时,第三方支付平台就能构成相应网络犯罪的帮助犯,然而,在信息时代,网络技术放大了网络犯罪行为造成的危害,降低的犯罪的成本,相反的,陌生人之间的距离越来越近,证明其之间存在犯罪合意的难度亦越来越大,因此,如果仍坚持通过共犯理论去规制第三方支付平台的有关犯罪行为,显然会影响刑法打击的效果。本罪的设置实现了帮助行为的实行化,解决了诸多共同犯罪中因无明显主观意思联络而难以入罪的难题,在一定程度上缓解传统犯罪网络异化为刑事法律体系带来的冲击,给未来网络犯罪技术帮助行为的制裁带来更多的期待。
2.虚假交易,触碰反洗钱、反恐怖融资类犯罪红线
第三方支付平台一直是洗钱犯罪的重灾区,其涉及资金数额特别巨大,主体范围广,交易类别众多,在监管机制尚未成熟的情况下,洗钱犯罪的成本更低。利用第三方支付平台的洗钱犯罪手法主要包括虚构网络交易和木马洗钱,其中前者在此类洗钱犯罪中最为常见,由于许多第三方支付平台对卖家与买家的身份认证并不严格,行为人往往通过注册账号,发布虚假商品信息,然后自拍自买将钱转移到名下,或是直接取消交易,同样可以将资金从一个账户中导入另一个账户,从而达到洗钱的目的。此外,行为人还可以利用远程系统加木马病毒操纵他人电脑。行为人先通过散播木马病毒,如果用户进行网上交易,木马病毒会自动激活、盗取用户个人信息,并编造虚假的订单来欺骗用户。与此同时,行为人会尽快利用被害人账户和其他虚拟账户实现洗钱。
对此,第三方支付机构需全方位注意监测支付活动双方的情况,将交易双方的基本信息、钱款支付轨迹、实物交付的流程等详尽地记录下来,并履行相关的洗钱或者预防惩治犯罪的法定报告义务。如果尽到该义务,就不能对其予以苛责,若其没有履行该义务,或者没有充分尽到该义务,那么就存在追责的可能。特别是在未经许可而提供第三方支付服务的情形下,提供者为了谋取经济利益,在主观上放任乃至促成他人的非法交易活动,就有可能构成违禁品犯罪、洗钱罪、信用卡诈骗罪,从而面临受刑事处罚的风险。
3.跨境支付,滋生逃汇、骗汇类犯罪。
随着“海淘”的盛行,第三方支付机构在跨境电子支付服务领域也发挥着巨大的作用。基于区块链或者分布式网络技术的跨境支付可以在去中心化的机制下更快更低成本地完成跨境转账,即交易双方不再需要依赖一个中央系统来负责资金清算并存储所有地交易信息,而是基于一个不需要进行信任协调的共识机制直接进入价值转移。区块链虽然能够在内部逻辑和运行方式上保证数据安全,但是跨境支付方式创新性以及立法的滞后性决定了跨境支付领域的监管会更加困难。
在我国境内,经营外汇业务的主体是金融机构。随着第三方支付机构跨境支付业务的飞速发展,外汇管理中相关法律法规的完善与修改却没有跟进。一方面,外汇管理制度中第三方支付机构的定位不明确,准入标准缺失。在第三方支付机构参与的跨境支付服务中,第三方支付机构实际上承担了一定的类似银行的外汇管理职责,执行着一定的国家外汇管理政策,而这类机构从性质上讲又不属于“金融机构”。另一方面,跨境电子支付中,第三方支付机构充当跨境交易的收付款方,交易资金会在第三方支付机构大量沉淀,长此以往,不但会产生沉淀资金的安全问题,还会因国际收支申报收付款主体不是交易当事人而影响到监管机构对外汇收支统计的准确性。另外,由于跨境支付通过互联网来传递交易信息和完成交易流程,缺少传统的书面纸质凭证,这就会在一定程度上增加监管交易真实性的难度,容易滋生大量的逃汇、骗汇类犯罪。
(四)数据保护环节存在的刑事风险
在互联网金融背景下,消费者和经营者为了快捷地完成交易活动,自愿地将自己的个人信息告知第三方支付机构,但也因此面临着个人信息被侵害的危险。PCIDSS(全称Payment Card Industry Data Security Standard)是第三方支付行业数据安全的标准,适用于所有涉及支付卡处理的实体,包括商户、处理机构、购买者、发行商和服务提供商及储存、处理或传输持卡人资料的所有其他实体,主要重点是对持卡人数据的保护,包括一组保护持卡人信息的基本要求,并可能增加额外的管控措施,以进一步降低个人信息泄露的风险。目前,国内大多数知名的第三方支付平台已经通过了PCIDSS支付卡行业数据安全标准的认证。在实践中,类似蚂蚁金融这样的大型互联网金融企业,非常重视数据安全的管理,不仅设置了严格的数据查用权限,建立了层层审批的制度,而且其数据安全系统能自动识别员工查用数据与其本质工作的关联度,一旦偏离正常范围,系统便发出警报,员工便需要就其查用行为向企业作出合理解释。
侵犯公民个人信息具体表现为如下两个方面:一是违法运用客户信息。不管是消费者还是经营者,在运用第三方支付时都需将其基本信息告知第三方支付机构,如果提供第三方支付服务的机构却并非单纯提供这一种互联网金融服务,而是涉及多方面的互联网金融活动,便很有可能将客户的信息用于该机构所从事的其他互联网金融活动,这显然有违客户的真实意愿。而且,第三方支付机构本身在商业运营中,若接受其他公司、企业的投资而共同经营,或者被其他公司企业收购但仍继续运营,共享包括客户信息在内的各种数据势在必行,这同样也不符合客户事先提供信息的意愿。二是自行收集客户信息。消费者通过第三方支付平台向经营者购买各种商品或者服务,消费者与经营者就在第三方支付平台留下了交易活动的轨迹,第三方支付机构很容易就能掌握消费者的生活消费习惯、娱乐运动方式、工作社交场所等信息,以及经营者的经营范围、商品或者服务特点、客户群体等信息。那么消费者或者经营者自己在其未留意的情况下留下了消费或者经营记录,能否认为是消费者或者经营者对第三方支付机构收集、存留并使用上述信息的默许呢?本文认为,没有消费者或者经营者的明确许可,第三方支付机构即便留存他们的消费经营记录,也不能进行分析、梳理并直接使用,因而第三方支付机构自行收集消费者和经营者信息的行为,涉嫌非法侵犯客户的个人信息安全,面临被追究刑事责任的风险。
三、第三方支付刑事風险防范理念与对策
(一)犯罪二次性违法理念的运用与贯彻
应当明确的是,刑法不是保护法益的唯一手段,法体系整体功能的发挥更有助于这一任务的实现。当代刑法理论认为,适当的惩罚远比严厉的惩罚更加有效,前置法的有效调整与惩戒不仅成本低,而且收益大。同时,刑法不是保护法益的主要手段,刑法作为一部保障法,其任务在于强化法益的保护,这种强化保护意味着刑法只有在其他轻缓的惩戒手段无法达到保护的目的时介入才具有正当性。因此,前置法的完善与明确不但可以提升其在保护法益过程中的地位,克制滥用刑法的冲动,而且可以为刑事立法提供明确的立法依据和范围。
法体系自身主要是以制度性条文、救济性规则群以及制裁性规则群三部分构成,其中制度性条文旨在对基本制度进行安排以及对权利义务进行分配,救济性规则群主要关注损害结果的恢复和填补,制裁性规则群则重在对违法行为的惩罚和预防。救济性规则群和制裁性规则群均是因违反义务后引起的法律后果,但由于二者设立目的不同,所以二者在运用的时候并行不悖。既然各部门法立场有别,刑法“二次性”的特征也非简单的意指概念或制度上的从属,那么这里就有必要明确“二次性违法”中贯穿“第一次违法”和“第二次违法”的主线是什么。在本文看来,犯罪的二次性违法理论强调的是法律渐进性适用的重要性,而这种渐进性适用的前提就在于追责目的的一致,同时,这也正是贯穿“第一次违法”和“第二次违法”的主线,如果A规则和B规则所实现的追责目的并不一致,此时显然不能认为A与B之间存在衔接或渐进的关系。就刑事责任强大的制裁功能而言,犯罪的二次性违法强调的就是具有制裁性特点的规则之间的衔接,至于这些制裁性规则系属于民法、还是经济法、抑或是刑法事实上无关紧要。在这制裁性规则群中,法律后果越严厉其所处的位置便越靠后,处于前端的制裁性规则若能有效实现报应和预防的目的,处于后端的规则便不能僭越启动。犯罪二次性违法理论在立法层面和司法层面均有意义,在立法层面,该理论的运用通过以下方面实现,(1)明确和完善前置法,包括法律制度的建构、权利义务的合理安排、树立科学的刑事立法理念等;(2)前置法中制裁手段的多元化。惩戒并非越严厉越有效,及时介入适当的惩戒手段所产生的规制效果更加长久,制裁手段的多元化目的就在于寻找具有针对性的惩戒手段,通过充分运用前置制裁性规则以保证将刑罚的适用限制在必要的范围;(3)前置法与刑法之间有效衔接,强调刑事立法始终以前置法为依据,进而表现其从属性和内敛性的特点。在司法层面,犯罪的二次性违法理论的运用则通过以下步骤实现,(1)分析制度性条文,排除行为人可能拥有的权利。既然是行使权利就不可能成立犯罪;(2)分析前置制裁性规则,判断是否存在违法行为;(3)通过犯罪构成模型分析该违法行为是否进一步构成刑事犯罪。
(二)准确监管定位,构建分级监管模式
我国目前对第三方支付认定的角色是非金融机构,《非金融机构支付服务管理办法》开明宗义地将第三方支付界定为非金融机构,禁止支付机构从事除资金转移之外的任何行为。但让人迷惑的是,该办法的第九条规定:“申请人拟在全国范围内从事支付业务的,其注册资本最低限额为1亿元人民币;拟在省(自治区、直辖市)范围内从事支付业务的,其注册资本最低限额为3千万元人民币。注册资本最低限额为实缴货币资本。”这样的注册资本金要求几乎与银行等同。如果仅仅按照非金融中介机构的角色理解第三方支付机构,那么为何要求其持有如此之高的自有资金?
2013年出台的《支付机构客户备付金存管办法》中要求第三方支付机构按照备付金规模计提风险准备金。这又似乎是按照银行资本充足率的要求来要求第三方支付机构。从对第三方支付出台的各个办法的具体要求看,都对一个实际只有中介服务业务的第三方支付机构适用了金融机构才有资格享有的“监管配置”。如果我们将第三方支付视为金融机构甚至银行,那么我们完全可以向合乎要求的第三方支付发放银行牌照,进而对其适用银行的管制。而如果将第三方支付视为非金融中介服务机构,那么如何对其资金的托管安全进行保障才是立法的重点。易言之,我们将第三方支付的业务范围压缩至中介服务,却同时将金融监管的沉重锁链套在了第三方支付的头上。要推动第三方支付行业的健康发展,必须将第三方支付机构的角色与监管对应起来。
在跨境支付中,首先要明确第三方支付机构的外汇管理职责,应当在《外汇管理条例》中明确第三方支付机构为外汇管理的主体范畴,明确赋予该类机构非金融机构跨境支付中的监管职责。其次要完善跨境支付中的外汇收支统计机制。将执行外汇收支信息统计与监测作为第三方支付机构的法定义务予以明确,落实责任追究制,强化内外部监督机制。同时要强化跨境支付中交易信息真实性的审查制度,落实审查责任,建立异常交易和异常账户预警机制。另外,第三方支付机构还应该在外汇管理局的协调下,与海关、工商行政部门建立信息共享平台,增强跨境支付交易信息监测的准确性。
同时,简单的“一刀切”监管模式显然已经无法适应第三方支付行业的发展现状。事实上,我国在传统金融行业已经积累了丰富的分级监管实践,既促进了行业发展,又兼顾了风险防范。央行在最新發布的《非银行支付机构网络支付业务管理办法》中也已经引入了分级监管的做法(第三十二条: 中国人民银行可以结合支付机构的企业资质、风险管控特别是客户备付金管理等因素,确立支付机构分类监管指标体系,建立持续分类评价工作机制,并对支付机构实施动态分类管理。具体办法由中国人民银行另行制定)。具体的分级细则仍然有待后续的完善。
(三)完善前置性立法,提高法体系的规制能力
在第三方支付跨境监管方面,应该提高立法层次,完善前置性立法,详细拟订支付机构跨境支付中的各项管理规范,设专章规定“跨境电子支付服务”,内容具体涵盖跨境电子支付服务的含义、监管原则、监管机构、监管程序、监管技术、风险的识别与防控机制等,强化跨境电子支付服务中消费者资金和信息安全的保障机制。落实支付机构信息管理和资金管理程序中的透明度原则是实现消费者资金和信息安全的重要内容,要求从事跨境电子支付业务的支付机构应当进行恰当的风险评估和审慎调查,应当在其网页上作充分的信息披露,以允许潜在消费者进行判断。
在客户信息安全保护方面,我国对公民个人信息的保护尚无专门的行政立法。我国《刑法》第253条之一侵犯公民个人信息罪的规定缺乏行政法律规范的支撑,在公民、个人信息的范围以及犯罪实行行为的界定方面还存在争议,存在一次性违法的认定和处罚不足的问题。
具体表现为:(1)就第三方支付机构分享客户信息行为而言,违法性的实际认定缺乏行政法律规范的依据,最高司法机关也没有以司法解释的形式阐明。本文认为,若第三方支付机构本身或者从业人员未按原来公司的章程或者规定,擅自将这些客户信息提供给他人或者其他机构,那就应当认定其行为的非法性质,进而认定其构成非法提供公民个人信息罪。(2)就第三方支付机构收集并用大数据、云计算技术分析客户交易信息的行为来说,虽然行政法并无禁止性规定,但该行为实际上侵犯了公民的隐私权和个人信息安全。然而,该行为并不符合《刑法》第253条之一第2款规定的“其他非法获取公民个人信息”的情形,从而导致对该行为无法加以刑法规制。在当前我国缺乏公民个人信息保护行政立法的情况下,《刑法》第253条之一的立法超前性地对公民个人信息提供法律保护,其所面临的疑难问题就需要最高司法机关通过相关文件来提供应对方案。本文认为,若自行收集或者分析行为只是对客户公布在网络上的信息、在本机构内部的信息而实施,则可认为并不违法,若超出上述范围,就属于非法行为。另外,第三方支付机构在信息收集分析后仅用于本单位的合法经营活动,也可认为不违法,但其在自用之外还提供或者出售给他人或者其他机构,就应按照前述非法提供公民个人信息罪来惩处。从互联网金融发展的角度看,国家应该尽快行政的前置性立法,对何为善意收集、分享、利用公民个人信息的行为作出明确的规定。
(四)遵循刑法原则,加强判例指导
刑法原则对网络犯罪的刑法规制有着重要的价值。刑法原则的意义包括以下两个方面,一方面可以避免自由裁量对立法规范本身的突破,另一方面是指引对成文法的扩大解释不违反罪刑法定原则。刑法原则在网络犯罪的规制方面表现的更加突出,因为借助网络工具,网络犯罪在行为上并不如传统犯罪那样明显,犯罪结果也不直观,对其进行规制需要司法实践者的理性思维和对刑法原则的理解。在罪刑法定和罪刑相适应原则的指引下,运用“举轻明重”的方式,将可应对新形式的网络领域犯罪。另外,当前对网络犯罪的定性和量刑并无统一的标准,各地司法实践活动难以统一,甚至导致罪与非罪的差异,损害了法律的权威性和公正性。典型案例的指导可以就特定类型的网络犯罪形成相对一致的法律规则或法律适用原则,使其具有普适性,最大程度实现“同案同判”的要求。
