电子商务领域违法犯罪热点问题研究
——以探索两岸四地移动支付犯罪问题及其对策为例

王大为，刘云志

（中国人民公安大学，北京 100038）

进入移动互联网时代以来，人们对于支付交易的便捷性有了更高的要求。移动通信技术发展提高了支付行业的信息化水平，深入到人们社会生活的方方面面，改变了传统的支付方式，移动支付行业也应运而生，大有向无现金社会发展的趋势。根据《2016年第四季度支付体系运行总体情况》，2016年第四季度银行业金融机构共处理移动支付业务73.30亿笔，金额40.77万亿元，同步分别增长30.13%和73.79%。[1]移动支付迅速成为主要的支付手段，图1是2016年各类移动支付方式使用情况的对比。从中国内地银联《2016移动支付安全调查报告》中的调查数据来看，使用过手机支付的受访者已超过9成，与2015年相比，增加了14个百分点。[2]根据《中国支付清算行业运行报告 （2017）》统计显示，2016年全国共办理非现金支付业务1 251.11亿笔，金额3 687.24万亿元，同比分别增长32.64%和6.91%，其中，移动支付的发展尤为迅猛，共发生971.5亿笔、50.86万亿元，同比分别增长1.43倍和1.33倍，中国已经是世界上最大的移动支付市场。但与此同时，作为一个新兴技术和新兴领域，由于金融制度有待完善的中国内地以及两岸四地的不同条件，移动支付在面临制度缺位、监管不力、技术漏洞、不同区域差异的环境下，其中的有关风险和犯罪问题也开始逐步浮现出来，难免产生了一些不法分子的可趁之机，这就需要加以研判，以在制度、监管、技术层面进行完善。

图1 2016年各类移动支付方式使用情况的对比[3]

一、新兴电子商务——移动支付及其社会影响

移动支付是指行为人通过手机、笔记本电脑等移动通信设备对其消费的产品或服务产生的账务进行清偿的一种支付方式。一般将移动支付分为近场支付和远程支付，近场支付使用近距离通讯技术发送支付指令，RFID、NFC是较为常见的近场支付技术；远程支付使用移动通讯网络传输支付指令，移动支付平台、快捷支付是常见的远程支付方式。移动支付通过利用包括SMS、WAP、IVR在内的多种通信方式，通过融合互联网、金融机构和移动终端设备，可以使用户便捷地进行货币支付、购物消费、银行转账等交易活动。移动支付的低交易成本优势使得移动支付技术得到迅速推广，其所具有的快捷性、安全性的优点，被业界普遍认为市场前景较好。[4]

移动支付作为一种新兴的支付方式，具有多种不同于传统支付方式的特点。移动性是移动支付最明显的特点，用户可以随时随地在移动终端上进行移动支付，摆脱了传统支付方式在距离、地域方面的限制。及时性是移动支付的优势之处，移动支付可以实现资金的即转即到，使交易行为没有时间间隔的限制，迎合了要求交易时效性用户的需要，可以即时查看资金的划拨、到账情况。高渗透性是移动支付的另一个显著特点，移动支付的业务范围目前已渗透到交通订票、生活缴费、网络购物、娱乐出行等几乎所有生活领域。移动支付已经成为中国普通民众日常生活中的一项不可替代的服务模式，由于渗透率的不断升级，从而形成了良好的社会效应，提高了社会整体消费水平，市场交易规模不断扩大。

一般而言，可以将移动支付模式分为以移动通信运营商为运营主体的运营模式、以金融机构为运营主体的运营模式、以独立的第三方支付平台为运营主体的运营模式、金融机构与移动通信运营商共同运作的运营模式等四种模式。移动通信运营商为主导的运营模式一般表现为手机支付，其支付账户就是手机话费账户。在以金融机构为主导的运营模式中，金融机构负责提供支付服务，移动通信运营商负责提供通信服务。在以第三方支付平台为主导的运营模式中，第三方支付机构需要建立一个移动支付平台，由用户在该平台之上进行支付活动，由第三方支付平台承担支付活动的安全保障责任。金融机构与移动通信运营商共同运作的一个典型运营模式就是中国银联与多家银行、手机厂商、通信运营商共同推出的云闪付系列产品，通过在移动终端中植入金融芯片，使用TSM、NFC、HCE等技术，可实现手机等移动设备在具有银联“Quickpass”标识的移动支付终端进行线下非接触支付，同时也支持远程在线支付，不用连接网络，打开操作系统即可“一挥即付”。[5]

移动支付技术给人类生活带来了诸多积极影响，同时也带来诸多的风险以及一些消极影响。在积极影响方面，移动支付颠覆了传统的交易方式，使交易更加便捷，带动了消费增长，构筑了新型的金融网络社会，提高了社会交往的效率，促进了社会的发展。网络社会具有结构独特性和管理自治性、高度开放性和交互性、空间虚拟性和跨地域性及信息传递的快捷性等特点，其发展也给社会造成了冲击，带来了一系列问题。[6]在消极影响方面，移动支付由于是在制度与机制不完善的情况下产生和发展的，其存在着使用人信息不对称、交易人对金融知识和交易方式方法不熟知以及监管不力等问题，这些对人类生活及其秩序具有负面的作用。

二、移动支付中突出的两类犯罪

移动支付犯罪是指行为人利用移动支付的交易规则、技术漏洞、监管缺位等实施的侵犯公私财产、破坏金融管理秩序等违法犯罪行为。移动支付犯罪是在移动支付行业快速发展而监管缺位的背景下产生的，移动支付犯罪具有主体低龄化、手段智能化、类型多样化的特点。在犯罪主体方面，移动支付是一种新生事物，对于年轻人而言有较大吸引力，移动支付所涉及的通信、金融等领域也都是年轻人不断开拓的领域。大多数年轻人都是能够合法运用自己的所学知识为移动支付行业发展做出贡献，而其中的一些不法之徒则利用自己掌握的移动通信技术开始实施违法犯罪活动，且低龄化的特点日趋明显。在犯罪手段方面，身处互联网时代的行为人可以足不出户地在互联网的任一终端实施犯罪行为，如利用木马病毒实施盗窃犯罪，利用支付交易规则实施诈骗犯罪，利用支付平台交易特点实施洗钱犯罪等等，犯罪手段日趋多样化且隐蔽性较强。在犯罪类型方面，随着移动支付业务的不断翻新和技术的不断革新，移动支付在各行业、各领域都展现了较大的影响力，同时犯罪类型也体现在各个方面。目前我国的移动支付犯罪主要有破坏金融管理秩序犯罪和侵犯财产犯罪两大类型，如图2所示。

图2 移动支付犯罪的两大类型

（一）破坏金融管理秩序犯罪

利用移动支付的自由交易及信息保护不完善实施的破坏金融管理秩序犯罪，主要涉及洗钱罪和信用卡诈骗罪。移动支付中的洗钱行为主要表现为行为人利用移动支付手段，通过电子货币的媒介作用，将非法资金转化成合法资金。目前，几乎所有的移动支付平台都可以实现资金的自由转移。在监管系统薄弱的条件下，将非法资金转化成合法资金对于犯罪人来说犯罪风险较低，犯罪人可以在支付平台上制造虚假信息，进行自我交易。这就使得怀有不良心态的人有机可乘，移动支付平台成为非法资金转化为合法资金惯用的工具。移动支付中的信用卡诈骗行为主要表现为行为人通过编写包含木马程序的短信，诱使受害者点击短信链接，在短信链接被打开后受害人的银行卡信息便会被行为人获取。在电子商务环境下，信用卡诈骗犯罪的犯罪对象是用户账户中的电子资金，[7]但是仅有银行卡信息没有银行卡实物，无法将银行卡内的资金取出，行为人便会通过制造虚假交易的方式利用移动支付平台将该账户的资金予以套现。近年来随着移动支付行业的发展，利用支付平台实施破坏金融管理秩序的犯罪不断增加。

（二）侵犯财产犯罪

利用移动支付的技术漏洞及监管空白实施的侵犯财产犯罪，主要涉及盗窃罪、诈骗罪及挪用资金罪。移动支付中的盗窃犯罪不同于传统盗窃方式中的物理性窃取，而是表现为犯罪人利用计算机技术对用户账户内的资金进行窃取。例如，在使用非接触式卡片进行支付时，犯罪人将被修改后的错误数据发送到接受设备，以改变交易金额的方式对用户财产进行盗窃；在使用手机中的移动支付APP进行支付时，不法分子伺机与用户联系并向其手机发送木马程序，从而获取用户手机号码并拦截短信，继而利用手机号码与移动支付账户绑定的特点控制其移动支付账户。诈骗犯罪主要是利用移动支付用户对交易规则的不熟悉实施的。[8]常见的诈骗手段有付款码截图、身份克隆、提前确认收货。诈骗分子通常会利用受害者的疏忽大意以当日红包上限或者扫二维码更方便为由索要二维码，并误导受害者将付款码当成收款码，诈骗分子使用扫码枪或者摄像头扫付款码即可在不需要密码的情况下诈骗用户资金。在身份克隆诈骗中，由于一些移动支付平台实行非实名制，不法分子利用这个漏洞，设置场景层层铺垫，将受害人引入精妙圈套，使其从账号上无从分别真伪，误以为是其熟人而进行转账。利用移动支付平台的特殊交易规则进行诈骗犯罪，也是不法分子的惯用手段。如不法分子利用支付宝交易过程中的确认收货，诱使用户在没收到商品前点击“确认收货”，骗取用户财产，也就是通常所说的“欺骗付款”。挪用资金犯罪主要表现为移动支付企业将支付流程中产生的沉淀资金挪作他用。移动支付平台在交易支付中起到了中介的作用，这样的中介平台在支付流程中可以从事吸收存储资金，并可以开设虚拟账户充值业务，从而形成了大量的资金沉淀。如果移动支付平台非法截留或者恶意延长资金留滞时间，虚构后台交易，将这些资金用于商业投资甚至违法犯罪活动，将会对用户的财产利益造成损害，并且也会明显降低公众对移动支付的信任度，从而造成电子交易市场的信用危机。

三、移动支付产生犯罪的原因与条件

（一）制度的缺位与局限

1.缺乏专门性法律规制。目前我国内地移动支付行业的立法很不完善，已颁布实施的法律法规包括《电子签名法》《电子支付指引（第一号）》《发展电子商务网上支付若干意见》《非金融机构支付服务管理办法》《电子银行业务管理办法》《支付清算组织管理办法》，主要针对电子支付、电子商务及电子签名等问题。从实际情况来看，这些法律、法规大多数带有指导性框架的性质，如果将这些法律、法规运用到移动支付的监管中，则缺乏针对性和可操作性。移动支付是“互联网+”时代应运而生的新兴产业，和其他支付方式相比明显具有自身特点，而如今在规范移动支付这一种特殊的支付方式时，参考的仅仅只是与其相关的指导性法律文件，而没有专门性的法律规范，使得移动支付的监管更加无章可循，从而使伺机犯罪的不法之徒有机可图，不利于移动支付行业的长期发展，这就要求必须有专门性的法律对这一行业进行规制。

2.行业规范制度不健全。行业规范制度存在的问题涉及沉淀资金管理制度以及市场准入、退出制度两方面。沉淀资金是指移动支付交易过程中本方已经支付、对方还未收到的在途资金，或是从银行账户转存于移动支付账户中的资金。沉淀资金的存管问题、存管期间产生的收益的分配问题等都需要出台相应的规范性文件予以规定，沉淀资金的擅自挪用会使用户的资金安全得不到保障。《支付机构客户备付金存管办法》规定交易过程中产生的客户备付金应当委托第三方金融机构代为存管，不得自行管理。同时该文件也允许以协定存款、单位定期存款等形式存放客户备付金。[9]一些移动支付用户钻政策的空子，依然将客户备付金用于投资金融机构的高流动性理财产品。如果受委托机构因经营出现问题而不能按时交还委托存款，用户的资金安全就会面临巨大风险。在市场准入、退出制度方面，由于移动支付涉及移动通信业、金融服务业等多个领域，因此应当与金融机构的市场准入、退出制度相区别，但目前我国内地还没有建立移动支付行业的市场准入及退出制度。为了促进移动支付行业的发展，我国内地法律并没有完全禁止其作为非金融机构进入移动支付市场，但是对其监管的制度应当严格于其他金融机构，因此应当根据具体情况制定监管措施，把对市场准入的控制作为对移动支付监管的首要任务，只允许符合资格标准的企业进入市场。移动支付的市场退出制度是在移动支付企业出现经营管理问题等法定事由时，依法律程序取消其法人资格的制度。移动支付企业在退出市场时，要做好资金保全工作以保障用户的财产安全。同时，也要兼顾平台信息安全管理工作，在支付交易过程中产生的大量身份信息，一旦泄露则会对用户产生严重不良影响。

（二）机制的缺位与局限

1.行政监管机制不健全。行政监管机制的问题主要包括行政监管职责界定不清晰及监管措施不完善两个方面。在行政监管职责界定方面，由于没有颁布专门性法律以及制定明确的监管制度，监管职责界定相当模糊。中国政府对于新兴支付方式坚持“规范发展与促进创新并重”的态度。[10]目前我国内地和其他三地移动支付行业的监管主体较多，且监管主体之间缺乏沟通机制，导致监管体系较为混乱，没有形成一个明确的、具有层次性的监管体系。同时，我国内地政府对于不同的运营模式有着不同的政策指引（如银监会针对金融机构主导的移动支付模式出台相应政策，工信部针对电信运营商主导的移动支付模式出台相应政策），并没有形成统一的政策规范，这也使得监管职责界定不清晰。在行政监管措施方面，已出台的规范性文件一般都带有浓厚的框架色彩，少有针对性、具体性的监管措施，缺乏可操作性。由于移动支付所具有多方面和广泛的渗透性，涵盖互联网、金融、电信运营商等多个领域，单一行政部门无法对其进行有效监管，这就要求各行政部门要针对各自领域内的情况开展协同监管。

2.行业监管机制不健全。行业监管机制的问题主要包括行业监管协调机制不完善及缺乏行业自律两个方面。在行业监管协调机制方面，移动支付产业链中的各方没有形成一个多方、有效的监管协调机制。监管者和被监管者存在利益牵扯，这也导致行业监管难以有效开展。正是因为没有一个有效的监管协调机制，监管者对被监管者“睁一只眼闭一只眼”，甚至移动支付企业帮助犯罪分子逃避监管实施诈骗、洗钱等不法行为。在移动支付平台上，用户可以自由转移账户资金，支付平台承担监管主体责任，监管不作为降低了不法分子犯罪活动的成本。由于行业监管不力，行为人可以既充当卖方又充当买方，制造虚假交易，使行业间监管协调机制缺失，滋生各类非法活动。在行业自律方面，从相关行业性的监督层面看，目前缺少一个统一性的移动支付行业机构来担当行业监管的职责，以规范行业的发展及便于用户对移动支付业务进行评价和投诉。

（三）技术问题

1.移动终端风险因素。移动终端风险因素主要包括授权验证方式单一及木马病毒威胁日增两个方面。在授权验证方式方面，受制于技术发展水平，没有突破单纯的密码输入进行支付的方式。目前，市场使用率较高的网上银行都已形成了较完备的安全风险防范能力。而反观手机银行的技术发展情况，验证方式单一的现状仍未改变，大多数手机银行仅仅在用户支付交易时使用短信的形式进行再次确认，这种“密码+短信”的验证方式仍存在风险漏洞，容易被不法分子利用进行犯罪活动。木马病毒对移动支付行业的威胁正日益显现，以“应用程序来源的多样性”为特点的谷歌安卓系统移动终端更易受到木马病毒的威胁，不法分子通过上传包含木马程序的手机软件，诱使受害者下载使用，在该软件被打开后受害人的账户信息便会泄露。木马病毒对于移动支付的威胁是巨大的，交易安全性直接决定了用户对移动支付的体验感，急需从改进技术上做出应对。

2.通讯网络风险因素。通讯网络风险因素主要包括通讯数据易被拦截及易被篡改两个方面。在通讯数据易被拦截方面，随着移动支付技术的发展，应用于移动支付领域的WiFi和GSM技术已面临被破解风险，特别是伪基站对于通讯网络而言是一个极大的风险因素，当支付宝、手机银行等移动支付平台通过此类网络进行支付交易时，交易的安全性就得不到保障。在通讯数据易被篡改方面，非接触式射频识别设备（如NFC设备）在使用时极易遭到数据篡改。数据篡改包括数据插入、数据修改、数据破坏等方式。数据插入是指行为人在发出指令设备和接受指令设备进行数据交换的过程中插入自行编制的信息，行为人可以在此时接受设备提前发送数据，更改交易金额，使用户遭到财产损失。数据修改是指在行为人的操作下，将被修改后的错误数据发送到接受设备，以改变交易金额的方式对用户财产进行盗窃。数据破坏是指行为人通过数据接口对传输数据进行破坏，导致数据传输受到干扰，进而操控移动支付活动。

三、应对移动支付犯罪的对策思考

（一）制度上加强法律规制——增加犯罪风险

1.实现对移动支付有法可依。应尽快将移动支付领域的立法提上日程，制定电子商务法，明确移动支付的法律地位，为移动支付健康发展提供法律保障。可以借鉴美国和欧盟的做法，通过加强司法解释来规范移动支付行业的发展。也可以订立单行法例（如韩国的《电子资金基本法》），单列一些领域条款以规制移动支付行业。适时制定一些针对移动支付创新业务、新型支付技术衍生品业务相关的规范性文件。在整合现有的相关移动支付法律、规范性文件的过程中，确保其法律效力，升格其法律层级。[11]制定有关的适用于内地和两岸四地的执法规定和协调协议，便于监管部门和警察部门实施监管和处理相关的案件。

2.健全行业规范化解风险因素。在准入制度方面，欧盟对移动支付行业实行的牌照制度对我国有较大借鉴意义。目前我国移动支付企业实力差别很大，应适当提高准入门槛，以筛选实力较强的企业进入市场，这有利于移动支付行业的长远发展。移动支付行业的两个主要角色是移动通信服务提供者和金融服务提供者，要对这两种角色分别制定准入规则。对于移动通信服务提供者，其不同于一般的互联网接入服务商，因为其不仅承担信息传输的责任，其还要承担保障信息安全的责任。应根据《支付清算组织管理办法》制定适用于移动支付服务业的特殊规则，由中国人民银行颁发移动支付清算业务许可证。2017年，央行支付结算司向有关金融机构下发了 《关于将非银行支付机构网络支付业务由直连模式迁移至网联平台处理的通知》，要求自2018年6月30日起，支付机构受理的涉及银行账户的网络支付业务全部通过网联平台处理，“网联平台”将成为第三方支付机构服务的专门的支付清算平台，任何第三方支付机构想要接入银行、用户进行跨行转账，平台都将掌握具体商品交易信息和资金流向，防范洗钱、挪用备付金等行为，并对第三方支付行业的风险进行了有效管控。

（二）机制上建立健全监管机制——减少犯罪收益

1.强化行政监管，突出沉淀资金安全保障。从国际上来看，欧盟致力于区域一体化建设，对移动支付采用了集中监管的体制，要求移动支付企业交纳风险准备金；美国作为联邦制国家，采用了两级多头监管体制，对沉淀资金的监管采用分别账户管理且禁止挪用的办法。我国作为一个发展中大国，集中监管的体制是我国的优势所在，在移动支付监管体制上也应采用集中监管的方式。在沉淀资金管理上，应该借鉴美国、欧盟等境外先进做法，结合内地实际，未来只采纳两种方式，一种是走银联的清算渠道，一种通过网联平台，规定沉淀资金必须委托第三方金融机构进行管理，不得自行管理且不得违规挪作他用，以便于执法机构的从严管理。

2.强化行业监管，健全行业协调机制。行业监管对于预防移动支付领域犯罪活动具有重要作用，当前亟须建立一个即时性支付交易违法犯罪监测平台和移动支付行业协会。在行业监管中，移动支付行业各方应建立一个有效的监管协调机制，实现监管资源共享，协调各方的力量进行有效监管。网络通信服务提供者和金融服务提供者应该就监测违法犯罪问题建立一个即时性监测平台，并与执法平台相连，对诈骗、洗钱、异常交易记录等违法犯罪活动进行实时监测，受理用户对违法犯罪活动的举报，及时将涉及两岸四地犯罪情况通报警方，开展执法协助。

（三）技术上实现创新升级——增加犯罪难度

1.从移动终端入手采取多种验证机制。身份认证与鉴别是保障移动支付交易安全的前提，用户在发出支付指令之前，移动支付平台会通过多种验证机制对支付指令发出者的身份进行识别，随后才能向金融机构下达资金划拨命令。多重验证机制会增强交易的安全性，经过传统静态密码验证之后，应使用USBKey、数字证书、手机令牌、动态密码等方式进行再次验证，并在可兼容、安全保障上进行严格设计。随着人工智能身份验证技术的进步，逐步推广指纹、声纹、掌型等生物识别技术，以提高身份认证与鉴别的技术水平，并与警方管理的大数据情报研判系统相结合，预测与防范犯罪人寻机犯案。

2.从通讯网络入手提高交易安全性。当前提升移动支付安全性的技术手段有WPKI技术、数字签名技术等多种技术手段。如WPKI就是无线公开密钥体系，该技术可以给支付活动提供一个安全的无线网络通信环境，在移动支付验证领域有较广泛的应用。[12]WPKI中使用两个不同的公开密钥，一个用于密钥交换，这样可以有效降低移动支付使用的通讯网络被第三者侵入的风险；一个用于数字签名，数字签名技术就是用户所发送的信息只能由其本人产生而无法被他人伪造的技术，可以防止不法分子对交易数据进行篡改，增强了通讯网络的安全性，增加了犯罪难度，对于减少侵财类犯罪具有重要作用。

四、结论

图3 预防移动支付犯罪的三个维度

近几年来，中国内地移动支付领域的新生事物不断涌现，促进了交易与人们的消费，带动了经济的发展，助推着我们走到了世界的前列，起到了中国引领和示范的作用。在肯定其对社会进步积极的一面同时，两岸四地的警界还应对其冲击已有的金融秩序和社会治理保持清醒的认识，为此一些学者对其进行了探讨，力求揭露出其存在的一些风险和犯罪问题，但还远远没有上升到科学与合理的犯罪预防理论和系统治理的认识高度上。本文在此也是尝试，由于移动支付横跨移动通信、金融、第三方等多个领域，与政府、市场、社会群体、个人、技术等多种社会因素相联系，并在范围上涉及两岸四地乃至世界多地，复杂交织的风险与犯罪问题需要我们在预防与打击上进行有实际应用价值的理论建构，并构建有关的制度与机制体系，以使两岸四地电子商务的发展能够沿着健康的道路继续向前发展，实为两岸四地人民乃至世界人民的福祉。

[1]中国人民银行.2016年第四季度支付体系运行总体情况[EB/OL].http：//www.pbc.gov.cn/zhifujies uansi/128525/128545/128643/3273085/index.html.

[2][3]中国银联.2016移动支付安全调查报告[EB/OL].http：//corporate.unionpay.com/infonewsCenter/infoCompanyNews/file_133153970.html

[4]谢平，刘海二.ICT、移动支付与电子货币[J].金融研究，2013，（10）.

[5]中国银联.什么是云闪付[EB/OL].http：//cn.unionpay.com/zt/2016/12719885.

[6]王大为.网络时代的社会管理——两岸四地警务合作的机遇与挑战[J].中国人民公安大学学报（社会科学版），2010，（3）.

[7]皮勇，麦勇浩.论电子商务环境下的信用卡诈骗罪[J].法学家，2002，（3）.

[8]王延祥，李炜.利用网上支付平台实施犯罪的现实状况及其法律规制[J].信息网络安全，2010，（4）.

[9]中国人民银行.支付机构客户备付金存管办法[EB/OL].http：//www.pbc.gov.cn/zhifujiesuansi/128 525/128535/128629/2811674/index.html.

[10]阙方平，李虹含.刍议中国移动支付的商业模式与监管对策[J].银行家，2015，（9）.

[11]赵春兰.我国互联网金融的业态风险及法律防范制度构建[J].社会科学战线，2015，（10）.

[12]任昌涛.移动支付安全技术分析[J].信息与电脑（理论版），2012，（6）.