盯紧支付端的可疑“后门”

庄嘉

互联网产业的发展增速催生了支付方式的加速裂变。支付宝、财付通、快钱、平安支付、易付宝、微信钱包、百付宝等非银行的第三方支付已经渗透到人们社会生活的各个领域。在“互联网+”、大数据应用、人工智能等技术的支撑下，第三方支付平台在消费者与商家之间搭建了一座非银行的中介桥梁。如图1所示，用户在第三方支付平台上可以直接进行货币收付、资金结算等交易活动，转账通过电脑终端、移动端瞬间完成，既高效又便民。

据中国人民银行公布的数据显示，“2016年，我国第三方支付机构累计发生网络支付业务1639亿笔，金额高达人民币99万亿元，同比分别增长99.5%和100.7%”。另据知名的互联网数据资讯聚合平台“艾瑞咨询”出具的《2017年第一季度第三方移动支付交易市场规模报告》，“在移动支付市场份额上，支付宝的市场份额达到54.0%，财付通市场份额达到40.0%，其他众多支付企业的市场份额之和为6.0%”。由此可见，作为当下互联网金融的主要模式之一，第三方支付正在逐渐替代传统银行的柜面转账、信用卡消费、网银划拨，从根本上革新现有的支付方式、投资理财以及结算运行模式，支付流程更便捷、成本更低、甚至零边际。然而，第三方支付端在推动变革的同时，亦存在潜在的风险性，为不法分子提供了违法犯罪“后门”，比如：对支付宝账户、支付宝绑定的银行账户中的金额进行窃用、冒用。这对公安侦查工作提出了更新、更高、更难的挑战！

金融违法犯罪的新跳板

随着第三方支付机构的竞争由线下跑马圈地演变至线上你追我赶，监管层对于这个新兴产业正在逐步加大监管的力度和广度。此前，中国人民银行等主管部门接连颁布《非金融机构支付服务管理办法》（中国人民银行令〔2010〕第2号）、《非金融机构支付服务管理办法实施细则》（中国人民银行令〔2010〕第17号）、《支付机构客户备用金存管办法》（中国人民银行令〔2013〕第6号）、《非银行支付机构自律管理评价实施办法（试行）》（中支协发〔2016〕33号）、《非银行支付机构分类评级管理办法》等部门规章与政策性文件，分别从政策、市场准入、业务准则等方面将“第三方支付平台”逐步纳入金融监管体系中。但是，围绕第三方支付端的诈骗、盗刷、网络洗钱、账户资金受损、用户信息泄密等案件却顶风而上、层出不穷。如图2所示，第三方支付机构正面临自身犯罪涉案，或者被利用作为犯罪工具而涉案的巨大风险，面临成为金融违法犯罪“新宠”的可能。

【无证经营】据零壹财经提供的数据显示，自2014年3月起截至2017年5月初，我国第三方支付机构已经累计被罚款近人民幣1亿元，合计48家第三方支付机构被处罚71次。其中，多数涉及无证经营，情节严重，可能涉嫌构成非法经营罪。尽管《非金融机构支付服务管理办法》明确对支付机构开展支付业务实施准入管理，但是实务中，无资质却从事支付业务的案例却时有发生。比如：国内知名OTA平台（即旅游在线网站）“携程旅行网”于2017年5月遭律师实名举报，涉嫌无证经营第三方支付业务。该司在平台上向不特定用户销售的礼品卡均涉及账面上的资金沉淀。在无《支付业务许可证》的情况下，这些资金沉淀及其产生的收益（譬如银行存款利息），自然滞留在携程的平台上，不得不令人产生无证经营的质疑。

【二维码的偷梁换柱】据《新快报》等媒体的报道，2016年11月底，曾某至广东省佛山市公安局禅城分局报案，称“其店铺微信收款的二维码被人更换，人民币6360余元营业款不翼而飞”。接报后，属地公安机关立即成立了专案组，并迅速开展侦办工作，对案发地点及周边店铺进行了细致的走访调查。结果，警方竟然发现案发地周边的数十家店铺的收银柜台张贴的二维码均是假的！根据案发现场的视频，警方初步确认嫌疑人为“吴某”和“岳某”。二人以“商业广场内的奶茶店、小食店”为作案目标，通过更换商家收款二维码的方式，非法占有店铺营业收入。经调查，二人合计作案320余宗，获利达人民币90余万元。类似上述通过偷换店家收款二维码非法占有本应转入店家账户的营业收入的案例，在现实生活中并不鲜见。最高人民法院亦通过判例的形式，将此种行为认定为“盗窃罪”，予以入刑量罚。

【盗刷】相较于传统支付方式，第三方支付交易“非面对面”，验证方式更加简便、更易操作，盗刷的危险性亦随之上升。据《上海法治报》等媒体的报道，王先生、蒋小姐均系某银行的信用卡用户。二人均将使用的信用卡绑定在某第三方支付平台。之后，二人分别接到自称银行客服的电话，称可以为二人提高信用卡信用额度，但需进行刷积分的操作，对方要求二人提供银行发送到手机的实时动态密码。经过反复操作后，王先生、蒋小姐的信用卡信用额度非但未增加，反而分别被人通过第三方支付平台盗刷了人民币2万元、3万元。

虽然上述案例中，用户、银行对盗刷理应承担责任，可是第三方支付平台亦在其中扮演着重要的角色。不少盗刷案件均是依托第三方支付“快捷支付”功能完成的。传统的伪卡盗刷，需同时复制伪卡、获取密码后，借助ATM机、POS机等物理终端进行实现。然而，互联网支付的盗刷只需获取持卡人的身份信息、银行卡信息以及动态密码即可完成交易，省去了物理终端的媒介步骤，出现了新的犯罪隐患。

【以第三方支付平台为媒介进行诈骗】诚如厦门反诈骗中心负责人胡建跃所言，“利用第三方支付平台转移赃款手法在当下正呈现多种多样的态势。诈骗分子或是将资金在银行账户与第三方支付平台之间多次转移，最终在银行ATM机取现；或是通过第三方支付平台，用受害人账户内资金在网购平台购物，再将购买的商品通过回收商城（如闲鱼）洗钱套现；或是通过网上银行转账，将赃款以购物名义转移到第三方支付公司绑定的POS机套现”。

以《人民日报》报道的一起利用第三方购物平台进行诈骗的案件为例：2017年6月12日15时许，周某接到自称是淘宝客服的电话，称其4月份网购的一件衣服存在质量问题需要给予补偿，先让事主从支付宝“趣店”里提现2700元，后以“趣店授权不成功”为由多次通过微信发送链接及二维码。周某先后三次通过对方发来的链接输入银行卡账号及密码共向第三方购物平台支付人民币6725.4元，包括两次微信扫码京东支付链接支付人民币1999.2元，以及通过支付宝扫描支付二维码支付人民币2727元。后发现被骗，周某遂向属地公安机关报警。由上述案件，不难发现，诈骗分子正以“第三方支付交易”替代“银行转账”，作为其收取诈骗款的工具和平台。endprint

【窃取信息的魅影】在第三方支付交易中，信息的复制与盗取正呈现手段多样化、渠道复杂化的特征。尽管目前多数第三方支付平台均要求实名认证，但是实名认证的操作步骤不一，并非都要求上传身份证原件照片，且第三方支付企业出于商业秘密的考量，未向公安机关、工商等相关部门提供联网核查的接口。这些均给违法犯罪行为人可乘之机。以山东省胶州市警方破获特大侵犯公民个人信息案为例：2017年5月，山东省青岛市、胶州市网警联手侦破一起跨省特大网上侵犯公民个人信息案，查获非法买卖公民个人信息的工作室两个、黑客源头一个（黑客张某某），抓获16名犯罪嫌疑人，扣押涉案电脑19台，移动式存储设备10台，涉案手机31部，涉案银行卡、手机卡300余张，初步查证缴获公民手持本人身份证正反面照片、银行卡信息等公民个人信息220万余条，摧毁分层五级的网络黑产利益链条。在此案中，犯罪团伙获取收益的媒介均是第三方支付平台。团伙首脑利用黑客技术暴力破解了若干第三方支付平台，并依托第三方支付平台的漏洞，贩卖给下线，从而非法牟利人民币数十万元。由此可见，利用相似网页或者域名实施网络钓鱼、发送木马程序等黑客手段，对第三方支付平台进行攻击，窃取相关账户信息，严重影响了消费者使用电子支付的资金安全，成了不法分子窃密的惯用伎俩。

【客户资金屡被侵犯】目前，中国人民银行等主管部门发布的《非银行支付机构自律管理评价办法》等部门规章与政策文件对第三方支付机构的管理起到了积极的规范作用。但是，当下的第三方支付机构普遍没有建立资金第三方托管机制。大量的投资者资金（亦称为“备付金”）存放在平台账户内，全由支付平台控制，投资者对资金的流转、用途、去向并不知情。在外部监管无法达到全流程实时监控的情况下，备付金显然存在被支付机构企业或管理者挪用、侵占卷款逃跑或倒闭的可能性，易给投资者带来资金损失的风险。

比如：浙江易士企业管理服务有限公司发生挪用客户备付金事件，涉及资金人民币5420.38万元。又比如：上海畅购企业服务有限公司发生挪用客户备用金事件，造成资金风险敞口人民币7.8亿元，涉及持卡人5.14万人。再比如：广东益民旅游休闲服务有限公司“加油金”业务涉嫌非法吸收公众存款，造成资金风险敞口达人民币6亿元。此外，如前所述，第三方支付平台上的沉淀资金很容易成为盗窃罪的犯罪对象。以杭州市下城区人民法院〔2016〕浙0103刑初第434号刑事判决书为例。根据该判决书，被告人赵某于2016年1月在使用被害人、其女友王某的手機时，发现王某支付宝账户内有大量钱款。在猜中支付密码后，赵某使用自己的手机登录王某的支付宝账户，分多次将该账户内的余额人民币10万元转入自己的银行账户内。案发后，杭州市下城区人民检察院以赵某涉嫌盗窃罪提起公诉，杭州市下城区人民法院判决赵某构成盗窃罪，判处有期徒刑三年，缓刑三年，并处罚金人民币4000元。显然，随着人们越来越倾向于使用第三方支付端，其亦和钱包、手机、电动车等一样成为了不法分子觊觎的盗窃对象。

【漂白非法资金】当前，第三方支付平台往往重“资金”轻“用途”，对资金来源审查不严格，甚至是本身的审查能力就有限。这就为不法分子注册成立空壳公司进行洗钱、转移赃款提供了空间和便利。实践中，第三方支付机构涉嫌网络洗钱案件通常有两种情形：一是被犯罪分子利用，为其从事走私、毒品、非法集资等犯罪提供资金流转服务，将“非法资金”通过第三方支付平台转换成“合法资金”；二是第三方支付机构或其工作人员主动与不法分子勾结，为其犯罪提供资金结算服务。由于不同第三方支付机构对其开发的平台系统技术水平及运营能力参差不齐，支付机构内用户实名制实施情况不同，造成支付账户面临资金安全和信息安全的风险，甚至容易发生支付机构被恶意注册大量虚假账户进行洗钱等犯罪行为。如图3所示，不法分子设立多个账户，与第三方支付平台发生多次资金往来，再通过虚构网络交易、木马“钓鱼”洗钱等手法，非法的资金就在一次又一次的交易中被漂白，而第三方支付平台则在不知不觉中成为其由“非法”变“合法”的绿色通道。

涉第三方支付的案件侦查难点

由上述实例，不难发现，“第三方支付端”已渐渐成为不法分子实施违法犯罪活动的重要工具与平台。其本身自带的网络属性，加上现有监管制度的不健全，为公安机关侦查涉第三方支付的违法犯罪行为带来了极大的挑战，存在客观的侦查难点：

【支付终端多样化，查证截获难度大】随着银行业与网络平台的结合，四大商业银行纷纷推出网上银行，腾讯推出微信联合人保财险的手机端支付，淘宝联合天弘基金开发的余额宝，还有包括：易付宝、百付宝、快钱等多家第三方支付平台。各平台自成一套体系，互不兼容，转账可以通过手机瞬间完成，这就为侦查取证增加了障碍，需要在多个城市、数个国家之间切换奔波。比如：上海市公安局经侦部门破获的“日收宝”平台集资诈骗案，以苏某为首的犯罪团伙藏匿于境外，通过远程操控开设公司及网贷平台并转移赃款，实施集资诈骗犯罪，设置了案件侦查取证的障碍。由此可见，不法分子在实施网络集资诈骗、网络洗钱等违法犯罪时，将资金通过多种支付渠道在短时间内进行转移，侦查部门在后续开展资金查控时遇到阻碍，直接增加了资金查控难度。

【交易隐蔽难发现，支付涉及范围广】目前，互联网金融仍未接入中国人民银行的征信系统，亦不存在信用信息共享机制。因此，当前的第三方支付端存在着数据孤岛的问题，缺乏数据的全流程实时监控，不具备类似银行的风控、合规、清收等机制。一旦发生异常交易，难以形成第一时间的及时发现和有力拦截。另一方面，涉第三方支付端的犯罪突破了传统经济犯罪区域化相对固定、发酵速度慢、社会影响可控的特点，不再局限于一市、一省，而是蔓延至全国、跨国，涉及群众十分广泛，群体类型、年龄阶段、投资风险分辨能力均情况不一。比如：涉第三方支付端的诈骗案件往往以手机为载体，不特定号码段、不特定地区，涉及范围较广。犯罪分子选择作案对象不特定，主要以青年人、上网族群体较多。犯罪分子利用受害人想快速收到退款或者赔偿费用等心理特点，让不特定的受害人扫描二维码隐性付款骗取钱财，容易引发群体性的舆情事件。endprint

此外，如图4所示，第三方支付的业务领域正在进一步扩展，并且可以预测未来这一趋势仍将持续并进一步增大。涉第三方支付端的违法犯罪本身存在着涉及面广、资金量大、调查取证难等特点，极易造成相关机构在出现资金链断裂的情况下负责人携款“蒸发”、卷款“跑路”的情况。比如第三方支付机构“易宝支付”与P2P平台“爱增宝”曾签署托管协议，后“爱增宝”就突然跑路，涉嫌非法集资。

【涉第三方支付的违法犯罪的监管】

诚然，涉及第三方支付领域的违法犯罪行为的监管确实存在着客观难度，跨区域的协同侦查亦需统一协调。但是，鉴于第三方支付端正在成为不法分子实施违法犯罪的新温床，故主管部门不能仅立足于法规、政策制定的视角对第三方支付端进行事前规制，更应当着手在事中、事后监管机制的层面下狠功夫。

正如北京大学金融与产业发展研究中心秘书长黄嵩所言，“目前，第三方支付主要是账户系统内结算，绕开银联。因此，其客户支付信息等数据，商业银行和央行等均不掌握，这就产生了一定的风险，比如洗钱、信息窃取等”。鉴于此，有必要设立专门机构监管第三方支付机构的清算系统。可喜的是，中国人民银行支付结算司于2017年8月向有关金融机构下发《关于将非银行支付机构网络支付业务由直连模式迁移至网联平台处理的通知》，明确建立非银行支付机构（俗称“第三方支付机构”）网络支付清算平台（即“网联”），自2018年6月30日起，支付宝、财付通等非银行的第三方支付机构的网络支付业务将有一个共有的转接清算平台，并受中国人民银行监管，便于央行掌握客户账户真实的交易信息等，利于洗钱等监管。

另一方面，虽然“网联”可以解决央行与第三方支付机构之间的数据信息共享问题，却无法破解公安机关对于涉第三方支付端违法犯罪的数据信息共通的难题。为第一時间发现异常账户、异常交易等情况，有利于公安机关先期介入涉第三方支付端的违法犯罪，可以先期在个别省市进行试点，设立公安机关技术侦查部门与网联的信息共享接口，在规定的情形下涉案数据能够第一时间送达执法机构，这样更加有益于严厉打击相关违法犯罪上升的趋势。

天网恢恢疏而不漏。随着技术侦查手段的深度介入，加上监管层在事前、事中监管上不断加大力度，为公安机关打通数据壁垒，必将为第三方支付端设置一道有效的防火墙和应急处置机制，令违法犯罪行为无所遁形。endprint