中国网民在境外电商网站使用第三方支付平台跨境支付的用户占比为68.3%。第三方支付机构为网民跨境支付带来便捷的同时也为犯罪分子掩饰、隐瞒贪污贿赂、网络赌博、网络诈骗等犯罪所得开辟了跨境洗钱新通道,特别是近几年,越来越多的犯罪资金利用网络支付手段进行跨境清洗,如2010年苏州市公安局破获的特大网络赌博案,涉及国内外多家知名支付机构;2011年某网络走私武器案中犯罪嫌疑人以售卖高档相机为幌子,利用第三方支付平台结算走私贩卖枪支20支;2014年11月山东警方破获的“3.18”特大跨境网络赌博案,涉案金额达100亿元。
一、第三方支付跨境业务流程
通过第三方支付平台进行交易的类型有两种:一种是购买者(付款人)在境内,商家(收款人)在境外,如“海淘”;另一种是购买者(付款人)在境外,商家(收款人)在中国境内,即境外购买模式。
本文主要分析境内不法分子如何利用第三方支付平台反洗钱风险漏洞向境外转移赃款,因此重点关注第一种交易类型。以支付宝进行“海淘”为例,其交易流程为:在境内的买家拍下境外商家的货品后,支付宝向境内合作银行查询汇率并向境内买家显示人民币交易价格,买家按显示的人民币价格支付相应款项到支付宝,支付宝向境外商家发出支付通知,境外商家向境内买家发货,同时,支付宝根据交易情况通过银行进行批量购汇,在买家收到货品后向银行发送清算指令,通过SWIFT直接将外币货款打入境外商户开户银行,完成交易。在整个交易过程中,客户身份、资金用途、交易性质隐蔽性强,交易背景复杂,交易持续时间长,洗钱行为难以被监测。
二、第三方支付跨境业务反洗钱工作面临的问题和困难
(一)客户身份信息难识别
非面对面和跨国界的交易性质使得第三方支付平台难以有机会接触客户或账户的实际使用人。同时,由于不同国家和地区客户身份证明文件的多样性和跨境交易的复杂性,第三方支付平台尚缺乏身份识别的有效手段。一是客户身份信息的真实性难以核实。对境内客户,第三方支付平台目前尚未使用公安部的联网核查公民身份信息系统,难以确保个人客户身份信息的真实性;对境外客户,第三方支付平台获取身份信息存在一定困难,即使客户提供了身份信息,审核人员也缺乏有效手段对诸如客户的职业、收入情况、通讯地址等信息进行核实[1]。二是机构客户身份资料更新存在困难。第三方支付平台一般采用电话方式通知机构客户更新身份证明材料,但经常会遇到无法联系到客户或联系后客户迟迟不更新的情况。对于境内机构,第三方支付平台可以通过实地走访的方式进行联系提醒,但对于境外机构,尚缺乏有效手段与其再次取得联系,也缺乏核实其提供证件是否真实有效的途径。
(二)跨境交易真实性难审核
第三方支付平台由于获取境外客户的实际控制人、股权结构等信息存在困难,难以判断客户财务状况、经营范围与资金交易情况是否相符,所以无法核实跨境交易金额和交易商品是否匹配,再加上对境外客户进行尽职调查的成本相对较高,造成审核工作流于形式。此外,第三方支付平台取得跨境支付业务资格的时间较短,相关配套制度不够完善,缺乏足够的审核经验,部分违法客户可能会利用这一漏洞,制造虚假交易或虚假贸易合同向境外非法转移资金,为贪污受贿、出口骗税、黄赌毒等上游犯罪所得销赃[2]。
(三)跨境可疑交易难监测
第三方支付平台通常是每天将所有客户当日所有交易汇总而非每笔交易明细发给收单银行,银行按照第三方支付平台的指令,将资金划入目标账户。第三方支付平台只能获取交易双方有限的交易信息,如订单号、银行账号等,而交易双方的姓名、职业等信息获取较难;银行的业务系统只能看到交易一方和第三方支付平台信息,无法查询交易对手的信息,因此,一笔完整的交易(包括完善的客户身份信息和交易信息)被第三方支付平台和银行割裂,影响了双方反洗钱系统监测可疑交易的效果,增加了分析、甄别可疑交易的难度。以跨境网络赌博资金清算为例,境外的赌博公司在境内设立代理人,双方均以空壳公司名义在第三方支付平台注册成为客户,并虚构一笔商品或服务交易,境内代理人确认收到由境外赌博公司发送的虚假商品或服务后,第三方支付平台将境内代理人托管的资金转入境外指定关联银行账户。银行在跨境交易过程中,只负责核对支付机构名称和交易金额,并在交易附言中注明“跨境外汇互联网支付划转”字样,而无法了解交易双方的资金来源、资金用途、经营状况,也无法核实该笔跨境外汇业务的交易背景、交易用途、收付款人之间的资金来往关系[3]。即使该交易被监测报告为可疑交易,监管部门在分析过程中查询的交易记录显示交易双方为客户A和平台,而无法查看到客户A具体的交易对手客户B,进而难以追踪、分析资金流向。
(四)互联网技术难支撑
目前,跨境支付业务迅速发展,互联网技术支持尚未完全跟上。一是反洗钱监测分析系统功能欠缺影响大额和可疑交易的分析甄别。第三方支付平台大额和可疑交易监测系统对于跨境支付存在参数设置不合理、模型设计不科学、监测范围和时间未能完全覆盖交易涉及区域内所有时段的全部交易等问题,影响提取大额和可疑交易的效果,容易造成漏报、错报大额和可疑交易报告。二是网络信息安全隐患可能引发客户信息和交易数据丢失风险。在大数据、云计算环境下,一些支付平台网络信息安全措施不完善,操作系统比较脆弱,易受到不同国家和地区黑客、病毒攻击;数据库系统的保密性、可靠性存在一定的安全问题,致使客户数据很容易被窃取或被篡改[4]。(五)反洗钱监管制度难执行
我国《反洗钱法》是支付机构履行反洗钱义务的法律依据,《支付机构反洗钱和反恐怖融资管理办法》(以下简称《办法》)是人民银行针对支付机构制定的规章,其中第七条规定“支付机构要求其境外分支机构和附属机构在驻在国家(地区)法律规定允许的范围内,执行本办法……要求,驻在国家(地区)有更严格要求的,遵守其规定……”但是何为“更严格”,《办法》没有予以明确;第八条规定“支付机构与境外机构建立代理业务关系时,应当……评估境外机构反洗钱和反恐怖融资措施的健全性和有效性……”如何界定“健全性和有效性”,《办法》没有明确具体标准,此外,《办法》对跨境支付业务缺乏针对性的具体规定和规范指导,影响执行效果。
三、完善第三方支付跨境业务的对策建议
(一)健全跨境支付业务反洗钱法规体系
一是在支付机构反洗钱法规规章中明确跨境支付业务的客户身份识别、客户身份资料和交易记录保存等操作细节。二是完善跨境支付业务反洗钱法律责任和处罚规定,加大对高风险支付机构的执法检查力度和处罚力度,督促支付机构优化资源配置,有效管理风险。三是明确支付机构和收单银行在信息传递中的反洗钱义务,便于监管部门事后通过收单银行加强对支付机构的监管,同时有效解决跨国境(地区)调查费时、费力和效率低的问题。
(二)完善客户身份识别措施
一是强化用户准入。在当地法律允许的情况下,引导个人用户进行实名注册,控制开户数量,强化机构客户实名制开户措施,对非实名认证账户采取功能和额度等限制策略。二是采用多种识别方式。身份识别方面,在利用传统的IP地址、Mac地址等终端数据进行识别的基础上,运用先进的生物识别技术,如指纹识别、人脸识别、掌纹识别、声波识别等辅助开展身份识别,便于在持续识别和重新识别阶段进行比对判断;行为识别方面,通过客户的注册行为、浏览行为、购物行为等识别交易的风险,尝试使用较先进的技术辅助开展识别,如近期支付宝推荐的键盘击键识别;关系识别方面,通过各种社交网站如Facebook、Twitter、LinkedIn等引入数据,查寻客户之间的关联,将身份特征、关系特征和交易特征进行分类,提高识别能力。三是严格审核客户信息。对境外机构客户,采用多种渠道严格审核其资质、证照、经营范围等相关资料,如与境内、境外权威部门提供的公民或企业身份信息数据库进行比较核实,与行业间的共享客户信息资料中已有的客户信息进行比对,确保客户身份信息的真实性。
(三)严格审核交易的真实性
一是严格审核交易资料。对于货物贸易,要求商户提供物流凭证或信息;对于服务贸易,要求客户提供电子票号等信息,在此基础上进一步确认每笔交易的真实性,切实防范利用虚假交易进行洗钱的风险。二是通过共享合作机制核实交易信息。建立第三方支付平台之间风险共享与合作机制,防止犯罪分子在不同平台反复销赃;加强与境内外银行合作,利用银行较成熟的风险防控成果核实客户身份信息和账户信息;建立与其他企业合作机制,如邮递公司,核实客户交易信息的真实性。
(四)加强跨境交易资金监测和可疑交易分析研判
一是完善大额和可疑交易监测系统。建立健全风险识别体系,完善大额和可疑交易自动识别系统,设定相应的大额和可疑交易参数、模型,并定期进行维护、优化,确保大部分交易风险能够被识别;二是建立专业的分析团队。全球性交易对人工分析、甄别具有更大的挑战,分析人员不仅要掌握境内各地区的犯罪特点,还要了解不同国家和地区的经济、社会、人文、地理及犯罪特征等,培养高度的敏锐性,对交易信息进行全方位、多角度检索、分析,做出合理的判断,能够识别少部分未被系统监测的可疑交易;三是加大对敏感国家和地区的交易监测力度。对来自洗钱高风险或反洗钱、反恐怖融资监管薄弱国家和地区的客户采取强化的尽职调查措施,密切监测转入或转出这些国家和地区的资金交易,动态维护黑名单、灰名单数据库,认真核实客户是否属于名单监测范围,分析判断为可疑交易的严格执行可疑交易报告制度。
(五)加大网络科技投入
一是完善识别、监测、查询系统功能。根据业务发展情况,不断完善客户身份识别、大额和可疑交易监测、客户信息和交易记录查询系统的功能,以支持先进的生物识别方式、监测新型洗钱类型、回溯已完成的交易记录等业务;二是提高安全、保密技术水平。不断研发、更新智能防火墙、加密、反病毒等网络信息安全技术,加强管理,防止缺损、泄露客户信息和交易数据,建立回溯性分析机制,确保已支付的交易能够完整、真实、及时重现。