出版研究 / Publication
>
金融刑事合规 | 反洗钱系列二:从刑事合规角度看第三方支付平台反洗钱管理中两大风险敞口
2020-11-12       汤临君、荣埚

第三方支付机构,作为非银金融机构中势如破竹且还在不断壮大的主体,因其网络支付的天然属性,在反洗钱管理中面临着重重困难。当越来越多与洗钱相关的刑事案件中出现第三方支付机构的身影,这一严峻形势足以引起相关从业人员的重视。那么,第三方支付机构在反洗钱管理中常遭遇哪些重大刑事风险、应当如何进行有针对性的刑事合规建设和防范呢?


一、近期两则处罚案例

2020年3月,第三方支付机构深圳瑞银信信息技术有限公司(下称“瑞银信”)收到4张来自人行的罚单,合计处罚金额高达6000万元人民币。根据行政处罚信息公示资料显示,瑞银信因违反反洗钱相关规定,中国人民银行深圳市中心支行对公司和责任人实行了双罚制,公司收到罚单的同时,3名相关责任人也一并被处罚,他们分别时任公司副总经理,运营部总经理及风险控制部总经理。

 

附:行政处罚信息公示表[i]

当事人名称

行政处罚决定书编号

违法行为类型

行政处罚内容

作出行政处罚决定机关名称

作出处罚决定日期

深圳瑞银信信息技术有限公司

深人银罚(2020)3号

1.超出核准业务范围

2.未按规定建立有关制度办法或风险管理措施

3.未按规定履行客户身份识别义务

4.与身份不明客户进行交易

5.未按规定报送可疑交易报告

罚款人民币6124万元

中国人民银行深圳市中心支行

2020年3月26日

 

同样的,财付通支付科技有限公司(下称“财付通”)作为微信支付、QQ钱包的运营主体,也在此次人行的处罚中因未按照规定履行客户身份识别义务、未按照规定报送可疑交易报告,违反反洗钱相关规定而被处以罚款。


上述案例只是第三方支付平台因违反反洗钱相关规定被处罚的典型缩影。据统计,2019年,第三方支付行业已收到至少25张监管罚单,涉及20家支付机构,被罚没金额合计超2.38亿元。[ii]其中,交易真实性审查和客户信息保护成为第三方支付平台在反洗钱管理中面临的重大风险敞口,其涉及的刑事风险及合规问题也成为各类平台反洗钱合规管理着重关注的焦点。

 

二、反洗钱管理中两大风险敞口及刑事法律风险

(一)两大风险敞口之一:交易真实性审查及刑事法律风险

1.关于交易真实性审查的挑战及行政监管背景

近年来,第三方支付机构正面临着各种反洗钱带来的挑战,其中,较为集中的有:1)客户信息泄露、2)跨境支付洗钱、3)网络欺诈、4)境内外犯罪所得资金以及空壳商户利用三方支付通道进行洗钱等风险,相较于银行、保险公司等传统金融机构,支付机构开立账户流程大多更为简单,对客户的尽职调查往往无法做到穿透到最终受益人的要求,有些中小机构甚至仅凭一个手机号便可为客户开通支付账户并进行资金收付。

 

时任财付通反洗钱中心高级总监周治明曾于2018年公开谈到反洗钱工作所面临的三重挑战:“自助金融服务快速扩展,加大了用户身份识别难度;网络支付业务普及,增大追踪交易难度;多重账户交易复杂,掩盖了交易真实目的。”

 

通常来说,一个合法正常的网上交易涉及商家、第三方支付平台、金融机构、清算组织等环节,反洗钱对支付平台最基本、核心的要求之一是要保证交易的可追溯性,这同样也是平台本身合法合规、高效运营的前提和需要。2018年,中国人民银行先后颁布《中国人民银行关于非银行支付机构开展大额交易报告工作有关要求的通知》(银发【2018】163号)及其配套大额交易报告报文接口规范、《互联网金融从业机构反洗钱和反恐怖融资管理办法(银发【2018】230号)》、《中国人民银行办公厅关于进一步加强反洗钱和反恐怖融资工作的通知(银办发【2018】130号)》、《中国人民银行关于进一步做好受益所有人身份识别工作有关问题的通知(银发【2018】164号)》以及支付机构非现场检查数据接口规范(301号文)等一系列反洗钱规范性文件,不断释放出强监管要求信号。在上述文件中,监管当局从风险管理政策、架构和程序、系统建设、数据治理、内审以及绩效考核等各方面,提出了更为明确、清晰、严格的管控要求,为第三方支付机构反洗钱义务有效履职指明了方向。

 

然而,根据近年来发生的各类通过支付平台洗钱的案例来看,反洗钱最大的挑战可能并非只局限于完成交易的可追溯性,交易的真实性往往也是反洗钱防控的重点和难点。归因于第三方支付平台在网络平台交易中扮演的角色,其对交易过程中的商品交易信息、价格以及交易的真实性判断存在着很大的难度。例如:我们时常会看到一些购物平台上的商品价格远远偏离其实际价值,一般来说,除非购物平台采取人工干预审核的方式,去核实该商户的交易情况,商品及服务的真实性,否则第三方支付平台作为交易中介,其实是很难判定相关交易的真实性的。当然,第三方支付平台对于某些商户频繁大额的交易也会有一定的预警上报机制,但是,由于违法商户洗钱手段的多样化和隐蔽性(一些违法商户会接入四方支付),无论是商品交易平台还是第三方支付平台要全程审核接入商户服务的真实性都会面临成本和效益的矛盾以及用户体验度下降的风险,因此平台通常是以定期抽查配合事后追责的形式来实现反洗钱风险防范和控制。


在上文中,我们提到了四方支付,四方支付在商家洗钱过程中扮演的是怎样的角色呢?所谓四方支付,在整个网上交易环节中主要起到聚合各类商家、银行、第三方支付平台、清算机构等服务商的作用,并对洗钱客群提供综合性的支付结算服务。目前网络犯罪比如诈骗、黄赌毒及军火交易的非法所得绝大多数都是通过四方支付来“洗白”的。这些四方支付通过搭建低成本的网络平台(不需要POS机等硬件,没有支付牌照限制,仅需搭建一个技术门槛极低的系统即可),大量购买空壳公司、借用或盗用个人信息以注册“第三方支付”账号并用这些账号来收取客户资金,他们承担相关非法的资金结算工作从而获取高额的费率收入。


四方支付平台通常会多找一些承兑商(虚构账户)帮忙收款来规避洗钱风险,承兑商一般不会将非法所得转入商家账户,而是由这些虚拟账户进行收款,交易类型也通常会是一些看似非常普通的商品和服务。经过几轮的“洗钱”行为后,这些交易被平台监控到的风险会大幅度的降低。即使因为某些原因被监控到,商户和实际的收款人也可以把责任和风险转嫁给空壳公司和提供身份证件开立账户的个人。


2.交易真实性审查涉及到的刑事法律风险

有关第三方支付机构进行反洗钱管理过程中进行交易真实性审查时的刑事法律风险,主要可以从两个层面来考虑:其一,因交易真实性审查未达成目的导致第三方支付机构卷入洗钱类犯罪的刑事风险;其二,因员工违法犯罪行为造成单位承担刑事责任的法律风险。以下分而述之。


(1)牵涉洗钱类犯罪的刑事风险

如前所述,第三方支付机构因其本身的特性,在交易真实性审查上常常遇到困难,从而无法很好地防范洗钱的风险,也因而沦为犯罪分子洗钱的工具。自第三方支付机构产生以来,通过第三方支付机构进行洗钱的案件就屡见不鲜。例如2014年张某、郑某某贩卖毒品案[iii],犯罪分子就是冒用多人身份证,在某电商平台注册账号,以销售茶叶、香料等为名销售毒品,通过某第三方支付方式付款,以快递交付方式进行交易。犯罪分子正是利用第三方支付在交易真实性审查中的难点逃避了监管,对毒赃进行了洗白。除此之外,利用电商平台和第三方支付方式进行洗钱日渐成为诈骗和其他犯罪团伙的惯用手段。


目前,我国《刑法》对洗钱类犯罪主要规定在四个条款中,分别是第一百九十一条的洗钱罪、第三百一十二条的掩饰、隐瞒犯罪所得、犯罪所得收益罪、第三百四十九条的窝藏、转移、隐瞒毒品、毒赃罪,以及涉及反向洗钱(反恐怖)的第一百二十条之一——帮助恐怖活动罪。而第三方支付机构一旦被用作洗钱工具,则不可避免的牵涉进上述几个罪名、甚至上游犯罪的链条中。这种牵涉包含两重含义:第一,第三方支付机构本身并不构成洗钱犯罪,但因为牵涉其中,而受到刑事调查。即使并非以犯罪嫌疑人的身份出现,但受到刑事调查也可能在很大程度上影响企业正常的生产经营运作,这种因卷入刑事案件而接受调查产生风险已经日益成为当今社会中企业最常面临的刑事风险。第二,第三方支付机构直接参与洗钱,构成洗钱类犯罪,例如前文提到的四方支付平台的情形,这种刑事风险比较直观,不再赘述。


(2)员工参与洗钱类犯罪而引发的单位刑事风险

在前述四类洗钱类犯罪中,除窝藏毒赃罪以外的三个罪名都明确规定了单位犯罪的情形,这也使得第三方支付机构存在因“内鬼”员工参与犯罪而承担刑事责任的可能性。


在扬中市公安局破获的“8·22第三方支付平台为诈骗团伙洗钱案”中就报道过[iv],该团伙案件中涉案赃款资金大多通过一家第三方支付公司进行流转,该第三方支付机构为犯罪分子提供接口。后经侦查,发现该第三方支付机构部分业务员对一些犯罪分子进行营销宣传,告知对方如何办理或直接帮助办理“假五证”,帮助办理接口并收取费用,后又建立专门的“第四方”支付平台用于洗钱、结算分赃。该案件中,公安抓获了五名第三方支付公司的涉案员工,但后续是否有追究该公司的刑事责任未见报道。即使如此,实践中第三方支付机构仍应非常警惕因为员工犯罪而承担洗钱类犯罪刑事责任的风险,特别当参与犯罪员工人数较多、跨部门,或涉及管理层时。


(二)两大风险敞口之二:客户信息保护及刑事法律风险

1.关于反洗钱管理中客户信息保护的挑战及行政监管背景

近年来,由于技术或人为原因导致第三方支付平台客户个人信息和交易信息泄露,资金被盗等情况屡有发生,客户隐私受到侵害的同时,经济上也承受巨大损失。2015年世界最大的比特币交易平台MT.Gox遭到黑客攻击,信息泄露、资金被盗,MT.Gox最终宣告破产。

 

2019年,爬虫技术公司因涉嫌侵犯公民隐私和知识产权、违规贩卖公民隐私数据被查,曾经依托该公司作反洗钱风控调查的第三方支付平台不得不与其取消合作,导致平台反洗钱核查特别是跨境支付反洗钱核查面临新的挑战。目前国内大多数第三方支付平台会通过合作电商平台获取商户和消费者隐私数据,以此核查他们是否存在洗钱行为。比如当某个商户或者消费者有多次重复溢价出售或购入商品时,亦或者在跨境支付中,同一消费者多次变更账号进行跨境支付的,第三方支付平台会视作是可疑交易并进行核查或上报从而实现反洗钱监管,那么根据相关法律规定,如何合理获取和使用数据,如何在保护客户数据安全的同时亦保证其用户体验,各类第三方支付平台也一直在探索一套健全的方案。

 

2018年5月25日,欧盟出台的《通用数据保护条例》(简称GDPR)做法,已经被国内一些支付平台借鉴,其基础核心的概念是:“同意”是数据处理的法律基础。即要求电商平台在用户每次跨境购物付款时,都要获得用户相应的数据授权协议,允许第三方支付机构使用用户部分隐私数据用于反洗钱审查。

 

在我国,反洗钱监管层面对于客户信息保护也有较为详尽的立法和处罚规定:《反洗钱法》第五条[v]、第七条[vi]及第三十二条[vii]的处罚规定;2007年2号令第三条[viii];2016年3号令二十二、二十三条[ix];2013年2号文[x]等均对客户信息的保密范围作出明确的规定,其中包括客户身份信息及资料、账户交易流水、大额和可疑交易报告及工作记录、客户风险等级、可疑案例监测模型、黑名单信息、洗钱风险评估相关内容、反洗钱分类评级结果、反洗钱协查信息等等。2020年下发了《中国人银行关于发布金融行业标准做好个人金融信息保护技术管理工作的通知》(银发〔2020〕45 号),也明确了个人金融信息的范围、标准,及采集、使用等各个环节的信息保密技术标准。


2.客户信息保护涉及到的刑事法律风险

第三方支付机构在反洗钱过程中遇到的客户信息保护问题贯穿了信息的获取、信息的存储、信息的使用、信息的流转等多个环节,这些环节涉及到的法律风险除了前文提及的行政处罚风险外,还牵涉到刑事风险。


刑事风险方面,最直接涉及的罪名即侵犯公民个人信息罪。《刑法》第二百五十三条之一规定:违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。 违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,依照前款的规定从重处罚。 窃取或者以其他方法非法获取公民个人信息的,依照第一款的规定处罚。 单位犯前三款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚。该规定对非法获取和出售/提供公民个人信息进行了规制,这里的非法,根据《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第二条的规定,应理解为违反包括法律、行政法规、部门规章有关公民个人信息保护的规定,这也和前文有关第三方支付机构在反洗钱过程中就客户信息保护受到的行政规制和监管连接起来,形成了规制客户信息保护的规则体系。


除上述直接涉及的罪名外,与交易真实性审查的场景下类似,第三方支付机构在反洗钱中就客户信息保护还可能牵连进其他主体或内部员工的犯罪,从而遭遇刑事风险。例如前文提到的依托爬虫大数据公司进行反洗钱规制的第三方支付机构,就极有可能因爬虫大数据公司在数据获取、存储、使用、流转过程中存在的违法犯罪行为而被牵连。在这个过程中,爬虫大数据公司可能涉嫌侵犯公民个人信息罪、危害计算机信息系统类犯罪(包括非法获取计算机信息系统数据罪、破坏计算机信息系统罪)、侵犯商业秘密、侵犯著作权罪、拒不履行信息网络安全管理义务罪等[xi],与之合作的第三方支付机构可能因此而遭到刑事调查或其他刑事风险。此外,第三方支付机构内部员工(“内鬼”)违法犯罪行为也可能引发公司的刑事法律风险,最常见的情形是内鬼对外泄露、销售第三方支付机构合法获取、收集的公民个人信息。如何隔离员工个人犯罪与单位犯罪也是第三方支付机构刑事合规的重要目标。


三、第三方支付机构反洗钱管理中的刑事合规建议

除了根据法律法规和规章的要求做好各项反洗钱工作、避免单位本身直接构成犯罪以外,承接前述分析,从刑事合规的角度来看,第三方支付机构还可以采取如下措施以尽量降低刑事风险:


1.针对牵涉其他主体犯罪而采取的刑事合规措施

对于牵涉其他主体犯罪而已经卷入刑事程序的第三方支付机构,在处置相关案件时要有危机管理思维,将整个案件作为一个危机公关事件进行处理,避免发生公众性信任危机,产生更大的风险。此外,应当根据刑事程序法律法规的规定,依法参与刑事程序,维护公司的合法权利;反过来,也应当合法合规、谨慎操作,避免破坏证据或有其他妨碍侦查机关调查取证的行为。


2.隔离员工犯罪与单位责任的刑事合规措施

通过建立及执行良好的企业合规体系是隔离员工犯罪与单位刑事责任的重要手段,这里可以参考著名的雀巢员工侵犯公民个人信息案。[xii]该案中,雀巢某部区域经理,为了抢占市场份额、推销产品,授意员工通过拉关系、支付好处费等手段,从医务人员手中非法获取公民个人信息。后对雀巢公司是否构成侵犯公民个人信息罪的单位犯罪产生了较大争议。法院最终基于雀巢公司建立了多项规范政策禁止员工向医务人员行贿、禁止非法收集消费者个人信息,并设立了对应的培训制度且要求员工签承诺函,认定雀巢公司不构成单位犯罪。


这是在我国,企业通过建立较完备的合规体系而成功规避刑事风险的典型案例,对第三方支付机构规避有关单位犯罪风险也有一定的启示。

归纳来看,要建立良好的合规体系以规避员工参与洗钱、侵犯公民个人信息等犯罪行为而引发单位犯罪的风险,首先要制定符合法律法规规范且符合实际情况的反洗钱、反侵犯公民个人信息等相关内部政策制度,并按照《劳动合同法》的相关规定经由民主程序使相关制度生效适用,值得注意的是,基于支付方式的飞速发展,以及犯罪手段的不断创新,相关政策制度应当是及时更新且依法生效的;其次,就前述相关政策制度,应以合适方式使员工知晓并监督其遵守,包括经由民主程序公示相关制度并收集意见、明确颁行制度并通知公告、组织培训学习考核、对重要制度纳入员工手册或劳动合同附件、要求员工签订承诺书等;对于不同部门、岗位类型的员工,应根据部门、岗位的特性和在反洗钱措施中所处的地位作用,进行有针对性的宣讲、考核;第三,建立对内对外的反洗钱及其他违法不当行为举报机制,保障通畅的监督反馈渠道。


3.引入外部团队进行合规审查

与银行等其他金融机构相比,第三方支付机构本身的创新性、匿名性、间接性等属性决定了它比其他金融机构更多地暴露在反洗钱管理可能遭遇的刑事风险之中,交易真实性审查和客户信息保护上带来的挑战又使得第三方支付机构在进行内部刑事合规的过程中遭遇较大的困难,同时,金融行业各类复杂的规则、第三方支付行业高速的技术发展,进一步提高了第三方支付机构自行建立有效刑事合规体系的困难程度。有鉴于此,聘请有经验的外部合规团队(包括技术和法律团队)进行刑事合规审查,一方面有利于集合专业和经验优势,建立相对完善、有操作性、且实时更新的合规体系,另一方面也可发挥独立第三方在调查取证上的优势,更有利于防患于未然。



[i] 来源:中国人民银行深圳市中心支行官网,访问地址:http://shenzhen.pbc.gov.cn/shenzhen/122811/122833/122840/4002597/index.html,访问日期:2020年11月3日。

[ii] 北京商报:《第三方支付戴“紧箍”年内20家机构被罚没2.38亿元》,访问地址:https://baijiahao.baidu.com/s?id=1667311578021205711&wfr=spider&for=pc,访问日期:2020年11月3日。

[iii] 案号:(2014)鄂仙桃刑初字第00083号。

[iv] 参考镇江市公安局官网:《扬中警方破获团伙诈骗案,破案三千多起,涉案金额两千余万元》,访问地址:http://gaj.zhenjiang.gov.cn/tslm/yajj/201706/t20170609_1861186.htm,访问日期:2020年11月5日。

[v] 《反洗钱法》第五条:对依法履行反洗钱职责或者义务获得的客户身份资料和交易信息,应当予以保密;非依法律规定,不得向任何单位和个人提供。 反洗钱行政主管部门和其他依法负有反洗钱监督管理职责的部门、机构履行反洗钱职责获得的客户身份资料和交易信息,只能用于反洗钱行政调查。 司法机关依照本法获得的客户身份资料和交易信息,只能用于反洗钱刑事诉讼。

[vi] 《反洗钱法》第七条:任何单位和个人发现洗钱活动,有权向反洗钱行政主管部门或者公安机关举报。接受举报的机关应当对举报人和举报内容保密。

[vii] 《反洗钱法》第三十二条:金融机构有下列行为之一的,由国务院反洗钱行政主管部门或者其授权的设区的市一级以上派出机构责令限期改正;情节严重的,处二十万元以上五十万元以下罚款,并对直接负责的董事、高级管理人员和其他直接责任人员,处一万元以上五万元以下罚款:……(五)违反保密规定,泄露有关信息的;…… 金融机构有前款行为,致使洗钱后果发生的,处五十万元以上五百万元以下罚款,并对直接负责的董事、高级管理人员和其他直接责任人员处五万元以上五十万元以下罚款;情节特别严重的,反洗钱行政主管部门可以建议有关金融监督管理机构责令停业整顿或者吊销其经营许可证。 对有前两款规定情形的金融机构直接负责的董事、高级管理人员和其他直接责任人员,反洗钱行政主管部门可以建议有关金融监督管理机构依法责令金融机构给予纪律处分,或者建议依法取消其任职资格、禁止其从事有关金融行业工作。

[viii] 《金融机构客户身份识别和客户身份资料及交易记录保存管理办法》第三条:……金融机构应当按照安全、准确、完整、保密的原则,妥善保存客户身份资料和交易记录,确保能足以重现每项交易,已提供识别客户身份、监测分析交易情况、调查可疑交易活动和查处洗钱案件所需的信息。

[ix] 《金融机构大额交易和可疑交易报告管理办法》第二十二条:金融机构应当按照完整准确、安全保密的原则,将大额交易和可疑交易报告、反映交易分析和内部处理情况的工作记录等资料自生成之日起至少保存5年。保存的信息资料涉及正在被反洗钱调查的可疑交易活动,且反洗钱调查工作在前款规定的最低保存期届满时仍未结束的,金融机构应将其保存至反洗钱调查工作结束。第二十三条:金融机构及其工作人员应当对依法履行大额交易和可疑交易报告义务获得的客户身份资料和交易信息,对依法监测、分析、报告可疑交易的有关情况予以保密,不得违反规定向任何单位和个人提供。

[x] 即《中国人民银行关于印发<金融机构洗钱和恐怖融资风险评估及客户分类管理指引>的通知》。

[xi] 参考肖波、荣埚:《数据生死簿——大数据企业及高管的刑事法律风险可控吗?》,来源上海定达律师事务所公众号,访问地址:http://www.dingdalegal.com/index.php?c=show&id=216,访问日期:2020年11月7日。

[xii] (2016)甘0102刑初605号刑事判决书和(2017)甘01刑终89号刑事裁定书。

参考《通用数据保护条例(General Data Protection Regulations)》

 

免责声明

本文中的信息、意见等仅供读者参考之用,本文任何内容(包括点评)均不构成任何形式的法律意见或建议,在任何时候均不构成对任何人的个人推荐或建议,读者应对本文中的信息和意见进行独立评估,自主审慎做出决策并承担风险。定达律所及其关联人员均不承担任何责任。如果您需要就某项事情进行法律咨询,敬请联系下列律师:


汤临君 合伙人

tanglinjun@dingdalegal.com

汤律师具有十余年大型国有商业银行工作经历,主要负责合规性管理,规章制度制定、纠纷解决、反洗钱管理及企业财务管理中各类金融风险防范。擅长银行金融领域纠纷解决、不良资产处置,其丰富的金融合规从业经验曾多次为银行化解诉讼风险;汤律师作为企业法律顾问,能够为公司各项商业决策提供具有实践意义的法律意见和建议,并协助公司在大型涉外并购项目中取得谈判优势。

荣埚 律师

rongguo@dingdalegal.com

荣埚律师毕业于南开大学和中山大学,获得法学学士学位和国际法学硕士学位。荣律师具有7年的法律工作经验,分别工作于公司与律师事务所。荣律师目前主要专注于刑事案件辩护、各类民商事争议解决、网络安全和数据合规、跨境电子商务、物流仓储、房地产建筑工程等方面的法律事务。


沪ICP备20000639号 Copyright © 2019 . All rights reserved.