李程 陈恒有
【摘要】面对互联网应用浪潮的日新月异,网络支付技术经验比较成熟的第三方支付机构在国内支付和跨境支付中正扮演着举足轻重的角色,但商业奇迹的背后却蕴含着巨大的洗钱风险,借助第三方支付平台的网络毒品销售、非法博彩、集资诈骗、黑社会性质有组织犯罪等洗钱案件数量近年来不断激增,如何有效平衡第三方支付创新与洗钱风险防控已成为反洗钱领域亟待解决的重要问题。
【关键词】第三方支付创新 洗钱模式 风险防控
一、问题的提出
2015年,全国最大网络赌博“116专案”宣判,地域范围跨9省17市,涉赌资金逾4840亿元,涉嫌人员超70余名,其资金大多通过第三方支付平台、地下钱庄和境外网上银行流转,渠道隐秘。无独有偶,全球最大第三方网络支付机构Paypal被美国检方指控涉嫌为洗钱犯罪分子转移非法赌资600万美元,并以最终支付1000万美元罚金与美国检方达成和解。第三方支付市场在蓬勃发展的同时,因其弱实名性和隐匿性,以及潜存的技术漏洞与操作风险,已逐渐成为洗钱犯罪的高发领域,全球反洗钱国际标准制定者——金融行动特别工作组(FATF)在新版“40项建议”中就特别指出:“各国应特别关注新技术或新工具带来的便于隐匿身份的洗钱隐患,确保从事货币和价值转移服务的自然人和法人的实名注册与登记,采取有效措施监测其符合反洗钱各项工作要求”,并于随后发布了多份洗钱类型报告和工作指引,引导国际社会高度关注第三方支付领域的洗钱风险。与此同时,国内学界和业界“支付创新与洗钱风险管控高层研讨会”的多次召开,监管部门对于虚拟货币洗钱和网络支付洗钱的官方表态,更是突显了关注第三方支付服务创新,防范第三方支付洗钱风险,对打击洗钱犯罪活动和维护金融体系安全的重要性。
二、第三方支付业务创新概述
第三方支付的业态形式源于美国独立销售组织(ISO)制度,指为适应电子商务的快捷支付特性,以互联网技术为基础,通过由非银行的第三方机构经营的网上支付平台为信用担保,在消费者、商家和银行之间建立连接,从而便捷地实现资金从消费者到商家的安全转移。中国第三方支付的业态形式自2000年兴起后,2009年起进入高速发展期,截至2015年已获得中国人民银行颁发“支付业务许可证”的第三方支付机构达270余家。经过十余年的发展,第三方支付的业态实力和行业规模已不容小觑,以“天猫”1为例,2015年“双十一”全天交易额达912.17亿元,其中无线交易额为626.42亿元,无线成交占比68.67%,200多家银行与蚂蚁金服旗下的支付宝共同支撑了高达8.59万笔/秒的支付洪峰,全天支付笔数达7.1亿笔。
(一)第三方支付业务简介
按照标准的不同,第三方支付服务可划分为不同类别。从货款交付看,第三方支付可分为预付型、即付型、后付型;从单笔金额看,第三方支付可分为微支付、消费者级支付和商业级支付;从业务类型看,第三方支付可分为网络支付、预付卡发行与受理、银行卡收单。
一是网络支付。消费者、商家和银行等电子交易当事人,借助安全电子支付手段通过网络进行的货币支付或资金流转,如电子货币类网络支付,电子信用卡类网络支付2,电子支票类网络支付。
二是预付卡发行与受理。采取磁条芯片技术以卡片和密码等形式发行的在发行机构或发行机构之外购买商品与服务的预付价值,如购物卡、公交卡、手机卡、美容卡、理发卡、以及用于餐饮和娱乐的消费卡。
三是银行卡收单。签约银行向商户提供的本外币资金结算服务,收单银行从商家取得交易单据和流水数据,扣除相应费用后再划款给商家,如网络收单形式的线上收单,POS收单与ATM收单等非网络收单形式的线下收单。
(二)第三方支付市场格局
国内第三方支付产品主要有支付宝(阿里巴巴旗下)、财付通(腾讯QQ旗下)、ChinaPay(中国银联旗下)、快钱99bill(快钱支付旗下)、PayPal(易趣公司旗下)、Yeepay(易宝支付旗下)、环迅支付(环讯电子旗下)、汇付天下(汇付电子旗下),其中份额最大的产品是“支付宝”,市场占比47.6%,“银商”市场占比11.1%,产品份额位居第三。(见图1)
(三)第三方支付业务创新
伴随大数据、云计算、社交网络、通讯技术的迅速发展,互联网应用的大众化和金融服务的普惠性呈现出相互促进、深度融合的态势。第三方支付借助互联网应用普及和金融服务普惠的契机,重组业务模式,创新业务领域,业务范围已不再局限于最初的银行卡收单结算、预付卡发行受理等传统支付领域,组织形式正由实体组织向网络组织转变,资金形态正由实物货币向虚拟货币转变,产品功能正由单一传统向多元综合转变,推广方式正由线下支付向线上支付转变,第三方支付已成为线上线下紧密融合、国内国外全面覆盖、应用场景更为丰富的综合支付工具,而在3G技术兴起发展以及APP应用日益丰富的背景下,互联网支付和移动支付3无疑又是第三方支付领域的主流业态模式,其中移动支付交易规模增长率甚至高达707%。
三、第三方支付创新洗钱模式及成因分析
(一)第三方支付创新洗钱模式
案例1:2015年6月,福州谢**在互联网QQ群购买了一个木马程序,并在淘宝网查询到赤峰买家王**ID及网店卖家联系电话,继而与卖家联系谎称是王**朋友,获取了王**的联系电话与真实地址,而后借网店卖家名义以未成功支付为由,让王**重新支付并付1元钱激活费用,通过QQ对王**远程协助,同时将木马程序植入王**电脑。当王**向支付宝账户支付1元钱激活费用时,其银行卡上的余额285650元已全部支付到谢**用木马绑定的虚假身份注册的支付宝账号上。谢**随即用该支付宝账户网购大量联通充值卡并在其虚拟的网店出售,并将出售商品的资金全部划转到其它支付宝账户,最后通过银行卡从支付宝提现。
模式一:利用互联网支付服务非面对面性质洗钱。互联网支付服务由于其非面对面的隐蔽性质往往成为第三方支付的洗钱高发领域,犯罪分子借助木马病毒和钓鱼网站,利用虚假身份或盗来身份开立类似支付宝的互联网支付服务账户,用来作为清洗非法所得及其收益的中间账户,一旦非法资金转移到该账户,犯罪分子就会从ATM上将其取走,或将其用于互联网虚拟商品购物以模糊资金形态、混淆资金流向。
案例2:2013年5月,发生了迄今为止最大的网络支付洗钱案,美国司法部指控位于中美洲哥斯达黎加的在线汇兑Liberty Reserve4的七名高管和员工通过大规模匿名转账业务进行洗钱,非法获利超过60亿美元。自2006年成立以来,该公司通过发行虚拟货币——自由币,进行了匿名且复杂的第三方支付洗钱,资助了各种类型的在线犯罪活动并服务了全球至少100万名客户。自由币与美元挂钩并可自由兑换,使用自由币仅需在该公司网站开立一个假名账号,将信用卡诈骗、窃取个人信息、投资欺诈、电脑侵入、儿童色情以及毒品贩运等犯罪收益转入账户,然后通过其指定的第三方转账机构办理存取业务,最后用户就可以与开立的假名账户进行自由的资金划转,每笔交易额外支付75美分的“隐私费”后即可帮助客户隐藏账号,使资金交易完全无法追踪。
模式二:利用新型支付工具虚拟货币进行洗钱。虚拟货币是数字化价值的代表,可以被用来数字化交易,其功能主要有交换媒介、单位账户和价值储备,在互联网上匿名转账又无需向银行支付任何费用,使金融交易游离于传统银行系统的“了解客户身份”等规定之外。犯罪分子通过购买虚拟货币,将非法所得及犯罪收益兑换成虚拟货币,向互联网支付服务账户注入资金,然后通过转账、购买商品或兑换流通货币等多种方式将虚拟货币变现,从而达到转移资产、转换资金性质、隐藏资金来源的目的。
案例3:全球金融情报中心——埃格蒙特集团2014~2015年报显示:美国警方查获的吸毒者大都通过手机付款账户进行毒品交易,吸毒者向毒贩发送带有特殊字符的交易短信,双方约定地点,买方通过手机支付付款,毒贩收到款项后提供毒品。交易完成后,毒贩马上使用手机支付等移动支付终端转移资金,并将资金转移到百慕大、开曼群岛等反洗钱和反恐融资监控较为薄弱的国家及地区银行账户内,并利用专业软件删除交易记录,抹除交易痕迹。
模式三:利用手机支付等移动支付终端进行洗钱。犯罪分子利用手机支付等移动支付终端在客户身份识别、交易监控和交易记录保存方面存在的技术风险漏洞进行洗钱,犯罪分子仅需账户名称和密码即可通过本人或盗取他人的手机账户将资金转入目标账户,交易过程不受任何监控,转账速度快,不受地域和金额限制,即时完成并转移非法收入,隐藏犯罪行为。
案例4:洗钱犯罪分子A成立了一家在线服务B公司,该公司的服务可通过网络支付缴纳费用。A随后向信用卡公司C申请开立信用卡。申请成功后,A定期将犯罪收益存入信用卡账户,并使用该卡大量购买B公司的在线服务。B公司定期向C公司出具服务发票,C公司核实数据后,把服务收入转入B公司。同时,犯罪分子A还在多家信用卡公司和银行申请开设账户,将犯罪收益存入账户并购买服务,已达到清洗犯罪收入的目的。
模式四:设立支付机构或控股支付机构进行洗钱。除了利用新型的支付工具或产品进行洗钱之外,由于部分支付机构可以由社会公众自行设立,犯罪集团往往直接注册第三方支付公司或利用控股第三方支付机构,通过购买自己公司的服务或商品,利用在线服务的虚拟性,办理信用卡混淆资金来源,把犯罪收益混入正常营业收入中,模糊资金来源与资金形态,达到清洗黑钱离析资金的目的。
(二)第三方支付创新洗钱手法
从典型案例总结利用第三方支付创新洗钱的手法主要有:
一是将企业组织形态从真实注册的实体组织转变为虚拟环境中设立的网络组织,模糊和弱化企业的合法性与真实性。
二是将支付方式从“面对面”的线下支付转变为“非面对面”的线上支付,借用互联网支付和移动支付的匿名性和隐蔽性完成交易。
三是借助互联网技术,利用木马病毒或钓鱼网站远程攻击和近端控制他人移动支付终端,获取信息资料、掩盖真实身份。
四是利用虚假身份或盗来身份开立类似支付宝的互联网支付服务账户,用以专门清洗非法资金及其收益。
五是创建和利用新型虚拟货币或电子货币5交易平台,自由买卖虚拟货币或电子货币,并与法定货币大量集中兑换变现。
六是设法脱离银行账户资金监控,利用独立于银行账户之外的PayPal转账等第三方支付业务完成资金离析。
七是采取在第三方支付平台多次大额充值并通过购买游戏点卡、手机储值卡、不记名消费卡等虚拟商品清洗资金。
八是频繁注册账户,账户仅在注册当天或短时间内使用,充值金额消费完后即不再使用,交易金额变化毫无规律。
(三)第三方支付创新洗钱成因
成因一:社交网络的普及和支付技术的多元化。互联网技术的普遍应用和支付产品的日新月异为犯罪分子借助网络连接由实体化洗钱向虚拟化洗钱提供了可能,以网络支付洗钱为代表的第三方支付洗钱呈现出隐蔽程度更强、团体规模更大、资金流转更快的特性,有些甚至形成体系庞大的犯罪产业链,洗钱犯罪团伙内部分工明确、手法专业,与合法正常交易行为日益趋同,产业链上下游的关联关系更不易被监测识别和彻底销毁,第三方支付手段的日渐多元和产品的混合趋势给犯罪分子走向团伙化洗钱和形成洗钱产业链提供了便利。
成因二:多终端物理接入和向移动互联网迁移。在虚拟环境中进行的互联网支付,主要借助技术证书、电子密匙、数字签名等电子方式认证交易双方身份,除交易流水外,一般不保留任何纸质签名、数据影像等物理留痕,某些交易甚至脱离银行账户独立完成,交易的深度隐蔽给金融机构识别客户身份及信息真伪增加了难度。同时,互联网终端成本低廉,交易完成后易被遗弃和毁损,再加之手机等移动支付终端定位与追溯的困难,使得获取和保存洗钱分子基本信息、交易记录等证据线索的充分性和及时性更是无从保障。
成因三:电子货币与虚拟货币的出现与大量使用。E-gold账户6等电子货币和比特币等虚拟货币的全球化、匿名化和去中心化特点使其成为潜在的高风险洗钱工具,洗钱犯罪分子只要在全球任意一个电子货币或虚拟货币交易平台将非法资金兑换为某类电子货币或虚拟货币,就可以自由地转移和持有资金,而无需担心受到任何监测和追踪,因为电子货币或虚拟货币交易并不需要对客户身份进行识别与验证,洗钱犯罪分子可以借其完全实现资金的匿名转移,同时由于产品的国际性,仅凭单个国家执法部门和监管机构更是无力对其开展全景追踪。
成因四:跨境在线支付国际协同监管机制的缺失。中国制造的物美价廉和国外品牌的强力吸引是跨境支付破土而出的动力,而深度的全球化和高效的物流周转则加速了跨境支付的发展,我国跨境支付正从尝试走向规模,第三方支付亦成为跨境支付的主要平台,由于国际间尚未建立对跨境在线支付的协同监管机制,这种分割服务导致反洗钱和反恐怖融资执法机构无法有效厘清监督职责,客户交易记录由不同的监管部门掌握,并通常在不同国家地区范围内,第三方支付客户信息无法做到完全的统一与共享。
四、第三方支付创新洗钱防控国别比较与实施路径
欧美等发达经济体作为第三方支付业态形式的发源地,对第三方支付机构的监管相对成熟,从欧盟和美国监管的国际经验看,二者均坚持支持创新与强化监管兼顾的原则,要求第三方支付机构通过审批取得资质,并对第三方支付机构实行审慎准入监管和反洗钱日常监控。欧盟认可虚拟货币的货币属性,规定网上第三方支付媒介不仅限于法定货币及其电子货币还包括虚拟货币,并陆续制定了《支付清算机构业务开办经营及审慎监管指令》和《电子货币指令》,规范了支付清算机构的设立和电子支付工具的使用,以及业务开办必须遵守的经营指令与反洗钱内容,风险提示虚拟货币潜在洗钱隐患和犯罪风险,加强虚拟货币交易平台监管,并尝试对虚拟货币开征交易税。美国对第三方支付实行功能监管,将监管重点放在交易过程而非支付机构,《爱国者法案》规定所有货币服务机构需在美国财政部金融犯罪执法网络(FinCEN)注册登记,同时接受联邦和州两级的反洗钱监管,及时汇报可疑交易并保存所有交易记录,对交易总额超过2万美元或者交易笔数超过200笔的第三方网络支付交易向FinCEN上报可疑交易报告。
相对于欧美发达国家,我国第三方支付平台起步较晚,但随着国内第三方支付市场规模的扩大以及业务领域的拓展,第三方支付监管经历了加速发展的过程。2009年人民银行发布7号公告,要求从事支付清算业务的机构注册登记,同年又颁布《银行卡组织及资金清算中心反洗钱和反恐融资指引》、《支付清算组织反洗钱和反恐融资指引》,指导支付清算组织全面履行反洗钱义务。2010年人民银行颁布《非金融机构支付服务管理办法》,正式确认网络支付、预付卡发行受理、银行卡收单等三类支付业务开办需获得行政许可,而反洗钱措施是行政许可的必要条件。2012年人民银行颁布《支付机构反洗钱和反恐融资管理办法》,规范支付机构反洗钱和反恐融资内控制度,同时废止了《支付清算组织反洗钱和反恐融资指引》。国内各项针对第三方支付领域反洗钱行政法规和部门规章的出台,构建了第三方支付反洗钱监管的法律基础与制度保障,我国第三方支付机构已全面纳入反洗钱监管体系,但由于第三方支付创新产品和延伸业务的迅速发展,各类支付工具和支付渠道交叉融合程度日渐加深,第三方支付反洗钱工作步入深水区,除已有的立法保证和原则性要求外,洗钱犯罪手段的日趋智能与隐蔽对第三方支付洗钱风险防控工作有着更高的技术性要求,立足操作领域全面兼顾和平衡第三方支付业务创新与洗钱风险防控已成为打击洗钱犯罪活动、维护金融体系安全的重要举措与关键路径。
路径一:强化对第三方支付使用者身份的甄别研判。一是尝试开发并推广指纹认证系统,在客户申请建立银行账户和第三方支付账户时预留指纹,当客户使用第三方支付交易系统时须经过指纹认证,确保网上用户的“实名制”,改变目前第三方支付服务只认“证”不认“人”的使用方式。二是严厉治理借记卡买卖市场,从技术手段上增加挂失证件的识别性,使得挂失的身份证无法再次使用,以降低支付账户实际使用人和申请人非同一人的风险。
路径二:强化对第三方支付可疑交易的有效监控。第三方支付机构应针对自身业务特性和交易特点自主研究制定反洗钱异常交易分析指标要素,在可疑要素中增加对IP和MAC地址变动频繁的监测,加强对规律性跨区域资金存入与转出情形的监测。逐步统一接口规范,实现银行核心业务系统、网上银行系统、第三方支付系统等不同系统间数据的对接,将客户在不同平台间发生的全部业务整合归类,为打击洗钱犯罪提供有力技术支持。
路径三:强化对新型电子货币和虚拟货币的功能监管。一是针对虚拟货币属于资金形态而非机构形态的特点,尝试引入对虚拟货币的功能监管模式,强化部门配合,形成监管合力,提高监管效率与效果。二是厘清虚拟货币发行主体反洗钱权责,明确发行主体反洗钱义务履行的全部内容。三是在虚拟货币对应监管措施尚未建立之前,禁止国内银行和第三方支付机构为其交易平台提供开户、充值、支付、提现等综合性服务。
路径四:强化对第三方支付跨境交易支付的实时监测。针对第三方支付平台的跨境交易,一方面应让其交易信息与合作银行的银行结售汇系统连接,接受外汇管理系统的实时监测,另一方面应根据跨境交易全球化特点,建立对跨境在线支付的国际协同监管机制,形成对洗钱行为的联合打击,逐步实现各国第三方支付平台之间的数据对接,实现对第三方支付机构跨境交易中大额可疑交易监测数据的充分共享。
参考文献
[1]天猫又称淘宝商城,是中国最大的企业对消费者购物网站,由淘宝网分离而成,包括多个知名品牌的直营旗舰店和授权专卖店,现为阿里巴巴集团子公司之一。
[2]电子信用卡又称虚拟信用卡,是2014年3月支付宝和财付通携手中信银行推出的线上支付产品。支付宝和财付通根据用户网上交易数据对用户授信,额度在200元-5000元以内,享有50天免息期并无年费,交易时商户需缴纳1%服务费,因其弱实名性潜在的洗钱风险被人民银行于2014年3月13日叫停。
[3]移动支付又称手机支付,就是允许用户使用其移动终端对所消费的商品或服务进行线上或线下账务支付的一种服务方式。个人或单位通过手机支付客户端、互联网、或者红外、蓝牙等近距离传感直接或间接向银行金融机构发送支付指令产生货币支付与资金转移行为,从而实现移动支付功能。
[4]Liberty Reserve又称自由储备银行,是全球最知名的虚拟货币网络银行之一,除了允许客户随时随地转出、转入电子货币外,还通过扮演中间人把现金转换成虚拟货币,转账后再以现金提取,从中抽取1%手续费。
[5]电子货币是法定货币的电子化转移机制,即电子化转移法定货币的价值,电子货币尽管与虚拟货币都有匿名性的特点,但不同于虚拟货币只能在特定社区内通过用户协议使用,电子货币可在任何国家地区内使用。
[7]E-gold账户属于电子货币的一种形态,是数字贵金属交易商美国E-gold公司给客户提供的账户,用于网络在线买卖贵金属,给贵金属交易提供交易服务平台。