第三方支付刑事风险研究

张锦潮++严忠华++陈鹤?
目前随着第三方支付应用领域的深化和拓展,中国第三方支付行业已经步入了一个新的阶段,线下和线上市场正在通过移动技术、O2O等形式不断进行融合。第三方支付快速发展的过程中,也存在各种各样的刑事风险,如何防范这种刑事风险的发生是本文研究的问题。
一、第三方支付的立法现状以及法律关系分析
(一)我国第三方支付的立法现状
下表1中,罗列了从2009年至2016年颁布与第三方支付相关的法律法规。
从上表中可以看出,我国目前对第三方支付机构的立法存在数量多、法律位阶较低(多数由中国人民银行制定)的特点。
(二)第三方支付的法律关系分析
1.第三方支付机构与银行之间的法律关系。在第三方支付模式中,银行与第三方支付机构存在着密切的关系,银行是合法的具有资金划拨和结算功能的国家经济体,第三方支付机构的生存,也主要依附于银行的金融功能,银行为第三方支付机构提供了包括资金转移和结算服务等金融支持,且对第三方支付机构的客户备付金负有监管职责,防止第三方支付机构挪用滥用客户备付金的同时,也为消费者的利益提供有效保障。
2.第三方支付机构与监管机构之间的法律关系。非金融机构提供支付服务必须在取得《支付业务许可证》的前提下开展,并依法接受中国人民银行的监督管理。未经中国人民银行许可,任何非金融机构和个人不得从事或变相从事支付业务。具体的,第三方支付机构与监管机构之间的法律关系包含市场准入监管、经营范围监管以及备付金监管等方面。中国人民银行在规定市场准入制度的同时,还对第三方支付机构的经营范围做了明确的规定。 同时中国人民银行、银监会、工商总局,预防腐败局等机构也分别从各自的角度出台了相关监督规定。所以,第三方支付机构作为市场主体,要接受各个监督部门的监督和管理。
3.第三方支付机构与利用互联网平台进行交易的双方之间的法律关系。第三方支付机构与(付款方)买方和卖方(收款方)之间的关系包含两个方面:一是第三方支付机构与买方之间的关系。第三方支付机构在整个交易过程中主要为消费者提供的功能包括付款、缴费,还贷和信用卡还款等支付业务,在实际交易过程中消费者必须首先将资金存入在第三方支付机构设置的虚拟托管账户,由第三方支付机构代为暂时保管,并根据消费者的支付指令进行结算。二是第三方支付机构与卖方或者收款方的关系。第三方支付机構与商家及企业之间的资金往来方式与其与付款方之间的资金往来方式具有相似性,商家或企业会与第三方支付机构以签定服务协议的方式委托由第三方支付机构代为收取货款,根据《合同法》第396条的规定,此时双方形成的是委托合同关系。等货物还未到达消费者手中这段时间里,货款由第三方支付机构暂时代为保管,根据《合同法》第365条的规定,此时双方同样形成了保管合同关系。
二、第三方支付的刑事风险
(一)第三方支付机构自身行为产生的刑事风险
1.违反市场准入制度存在涉嫌非法经营罪的风险。我国非金融机构支付采取的是经营许可制度,非金融机构提供支付服务,应当具备相关法规规定的诸如注册资本额、管理人员、管理制度以及风险防控措施等条件。第三方支付机构必须取得《支付业务许可证》才可进行第三方支付服务。即使取得第三方《支付业务许可证》的机构,也必须在规定的范围内开展业务,按照执照规定的营业范围进行营业,未按照规定的营业范围进行营业或者超出营业范围进行营业的,也属于法律规定的非法经营行为,应该受到刑事处罚。
2.可能会成为非法套现的帮凶。所谓非法套现是指持卡人通过虚拟的交易方法,把信用卡的信用额度变为现金持有。《关于办理妨害信用卡管理刑事案件具体应用法律若干问题的解释》第七条规定了违反国家规定,使用销售点终端机具(POS机)等方法,以虚构交易、虚开价格、现金退货等方式向信用卡持卡人直接支付现金,情节严重的,应当依据刑法第225的规定,以非法经营罪定罪处罚。虽然该规定并未明确应用第三方支付平台形式,但是根据犯罪构成要件的描述,第三方支付平台进行信用卡套现也属于上述规定,应当受到法律的追究,提供上述套现方式的机构,应当以非法经营罪定罪处罚,对于以非法占有为目的,利用该种方式套现的持卡人,应当以信用卡诈骗罪定罪处罚。
3.第三方支付机构侵犯公民个人信息的风险。实践操作中,不管是消费者还是经营者,采用第三方支付时,都需将其基本信息告诉第三方支付机构,具体包括真实姓名,性别,身份证号以及营业执照等信息,并且还包括开户银行以及银行卡号,收货地址和经营场所,这些涉及公民的基本个人信息,如果第三方支付机构将客户的信息用于其所从事的其他金融活动或者其他商业实体活动,或者把客户的信息出售或者透漏给其他第三人的话,就产生了违法泄露客户信息的可能性,就构成了侵犯公民个人信息的犯罪 ,例如2013年11月27日,某支付公司内部一员工因伙同他人多次以批量出售的方式泄露用户信息被杭州当地警方逮捕。该涉案嫌疑人曾经是该支付公司技术员工,利用工作之便多次在公司后台下载用户资料超20G以 500元3万条的价格将用户信息多次出售予电商公司、数据公司。
4.第三方支付机构侵犯客户财产利益的风险。由于买方和卖方交易时间差的存在,第三方支付平台账户上存在巨量的沉淀资金,沉淀资金产生的利息以及沉淀资金的本身,都应该属于资金所有人即支付账户所有人所有,但实际上资金所有人是没有取得这部分资金的利息的。 笔者认为,在没有明确法律规定情况下,任何主体对这部分利息的处理都可能是违法的,很多第三方支付机构的盈利,有很大一部分都来源于这笔资金流,也就是沉淀资金的利息,以及这笔沉淀资金的投资所得。所以第三方支付服务提供者,侵占沉淀资金的利息、获得沉淀资金本身,都有可能构成侵占罪或者非法吸收公众存款罪,都可能被追究刑事责任。
(二)第三方支付平台之外的违法者 通过第三方支付平台进行非法活动的风险
1.违法者利用第三方支付平台侵犯客户财产利益的风险。第三方支付存在来自业务系统以及进行正常交易的客户端系统之外的窃密和泄密风险,如网站被假冒、服务器的网页被非法修改、客户敏感信息如银行账号、密码等被非法窃取,客户身份被冒用等。利用网络支付平台盗划银行卡资金案例是存在的,2015年3月,赵某向银行反映其5个银行卡存款账户资金在3月7日至9日期间遭到连续盗划二十余次,损失金额累计达21.9万元,手机短信提醒在此期间被屏蔽,犯罪嫌疑人通过盗取赵某账号通过上海某网络支付机构将钱款至北京一家公司账户。
2.违法者利用第三方支付平台进行洗钱、诈骗等违法犯罪的风险。支付平台不会对具体的交易行为进行审核和把关,无法判断消费者和经营者之间的交易行为是否合法,是否存在违法行为。由于网上支付行为的隐蔽性和网上交易记录的缺失,第三方支付对反洗钱体系构成了相应的冲击,第三方支付在一定程度上为不法分子实施洗钱、信用卡套现、诈骗以及逃税漏税等活动提供了便利。比如消费者和经营者之间购买如枪支、弹药、毒品、武器等违禁物品,进行交易的双方就会构成刑事犯罪,第三方支付平台就可能存在过失或者故意的非法行为,在主观上放任或者帮助他人进行非法交易活动,就可能构成违禁品犯罪、洗钱罪、信用卡诈骗罪,进而面临刑事处罚的风险。
3. 违法者利用第三方支付平台侵犯公民个人信息。违法者利用第三方支付平台侵犯公民个人信息犯罪与前文所述的第三方支付机构侵犯公民个人信息的违法行为类似,但是违法犯罪分子利用第三方支付平台侵犯公民个人信息一般先会涉及到侵犯计算机信息系统罪,即违法者一般先侵入到第三方支付平台,非法获取客户信息,然后再将这些信息出售给另外的违法犯罪分子进行违法使用,或者自己直接利用这些非法获取的公民个人信息进行信用卡诈骗或者其他诈骗等犯罪活动。
三、第三方支付的刑事风险防范策略
(一)加强第三方支付监管法规的统一性和监管机构的协作性
除前文表格1的法规外,涉及到第三方支付的法律还有《刑法》、《商业银行法》等,从梳理中可以看出我国第三方支付的相关规定较为复杂,不同的部门制定了不同的规定。2010年央行《非金融机构支付服务管理办法》对第三方支付机构明确定位为非金融机构,笔者认为部门公告的效力层次过低,应该从立法上,最少也要从规章以上的层次规定第三方支付机构的性质。同时还应该明确第三方支付机构的非金融支付机构性质与银行支付机构的本质区别在于第三方支付机构不能对客户的备付金进行支取和使用。在立法的层面,可以从更高的层次进行立法,提请人大立法或者国务院出台行政法规,对现有的规范性文件进行整合,明确第三方支付机构定位、业务范围、风险管理、业务管理以及监管机构、监管机构的权限、监管流程等方方面面,同时规定对违法行为的处罚内容。
我国对第三方支付的监管不仅存在监管规定的混乱性,监管部门也较为复杂,证监会、工商行政管理总局、预防腐败局、银监会、保监会、外汇管理局等都在各自的职能范围内行使着对第三方支付的监管。对此,笔者认为可以由全国人大立法或者国务院制定行政法规的方法,明确规定由哪个部门来统一监管,由法律确定一个有独立权力的机构对第三方支付平台进行监管,监督其运作工程中的资金滞留、资金来源及去向等,较为妥当。
(二)明确第三方支付平台在支付交易中的义务
首先,明确第三方支付平台对客户信息和资金安全的保护义务。消费者在获取信息、技术掌控能力等方面均处于弱势地位,消费者权益易受到侵害。若第三方支付服务提供者偏离第三方支付的本意,利用大数据手段收集、分析公民个人信息并出卖信息非法谋利的,应当按照非法获取公民个人信息罪、非法提供公民个人信息罪来处罚。在客户资金安全方面,对消费者在未经授权的交易情况下的损失应当有第三方支付机构承担。笔者认为,第三方支付机构应该保护客户的交易信息、账号、密码以及其他身份信息不泄露,建立严格的内部管理制度。《非银行支付机构网络支付业务管理办法》规定客户资金损失的处理方法, 第三方支付机构应当对“不能有效证明”因客户原因导致的资金损失进行全额赔付,但是在实践中由于信息的不对称,是否因为客户原因导致的资金损失第三方支付平台常常掌握的证据要多于客户自己。笔者认为,应该将办法中的“不能有效证明”修改为“没有直接证据证明”较为妥当。
其次,明确第三方支付机构应当建立支付风险防控机制。第三方支付机构作为支付双方进行支付的媒介,不僅应该保障客户合法权益,规范自己的管理和差错处理机制,还需要明确当发生风险时如何进行处置以及及时、快速补救,必须明确自身的风险管理职责,包括技术要求和法律责任。笔者认为,第三方支付机构需建立账户和交易监管系统,对交易过程实施全天候监控,明确监控重点以及对异常交易的识别和调查处理程序。
(三)对违法占有或使用客户备付金进行法律规制
第三方支付机构应该对备付金银行账户管理、支付机构资金管理岗位的设置权限,客户资金管理结算流程、资金退回和交易退款的要求等一系列流程和环节进行规范化管理。还需要规范风险准备金提取制度,防止客户备付金被非法占用,从而保证客户备付金的安全。沉淀资金所产生的利息具体属于哪方我国目前的法律还没有明确规定。笔者认为,不得挪用客户备付金是各类非银行支付机构经营的一条红线,在没有法律明确规定之前,第三方支付平台同样是没有权利享受这部分沉淀资金产生的利息的,目前应该做的的就是尽早通过立法明确这笔沉淀资金利息的归属。
(四)加强第三方支付机构的市场准入和退出监管
在市场准入机制方面,我国实行牌照制度,应该明确对违反准入许可从事第三方支付业务的机构按照法规进行行政处罚或刑事处罚,对于严重的违反第三方支付相关规定进行违规操作的应当依法撤销其《支付业务许可证》。我国目前第三方支付服务商的现状看,实力悬殊较大,许多服务商亏本经营,实力较差的企业退出市场,有助于提高第三方支付服务业的整体质量,可以有效防范经营风险的发生。市场退出方面,应当坚持“优胜劣汰”准则,存在重大经营风险的机构及时推出市场。2015年8月24日,央行依法注销浙江易士企业管理服务有限公司《支付业务许可证》,切实保障消费者合法权益,这是我国首例《支付业务许可证》注销事件, 这种注销许可证的方法也为以后的第三方支付机构监管提供了借鉴。
(五)将第三方支付平台纳入反洗钱监控范围人民银行多次出台文件对第三方支付平台予以规范,包括要求第三方支付机构建立健全客户身份识别机制,采取有效的反洗钱措施,对支付、转账金额限制等,具体的包括要求对网络支付的客户进行识别、对预付卡机构的客户进行识别以及对收单机构的客户进行识别。对于需重新识别的客户,支付机构反洗钱和反恐怖融资管理办法规定,支付机构除核对有效身份证件外,还可以采取回访客户、实地查访等其他措施。 司法实践中,可以加强对支付机构反洗钱和反恐怖融资工作的监管管理,预防洗钱犯罪和恐怖融资活动的发生。笔者认为,在这方面可以借鉴美国的监管经验,要求第三方支付平台在金融监管机构进行注册,定期提交大额和可疑支付报告,并完整妥善的保管交易材料,美国将对第三方支付机构的监管重点放在交易过程,而不是从事第三方支付的机构本身。例如美国的财政部对金融犯罪执行网络注册,以及汇报可疑交易,保存所有的交易记录,在这一方面,我国可以在法律制定和操作过程中进行借鉴。