互联网支付系统的洗钱风险与法律监管研究

■ 罗许生 博士生（1、西南政法大学 重庆 4011202、宜春学院江西宜春 336000）

互联网支付是随着互联网及网络购物的发展而兴起的一种新型支付方式，网络交易的当事人通过因特网的电子支付即可完成资金的转移。目前互联网支付方式主要有三种：电子货币、具有资金存储功能的磁卡如网上银行借记卡与信用卡和第三方机构担保支付的互联网支付。由于网上银行服务的主体是银行机构，开通网络银行服务需要到各银行网点实名申请，实际上还是线下操作，而且国际社会普遍将网络银行支付业务纳入反洗钱监管范围，其洗钱风险空间较小，本文探讨的仅限于非金融机构提供的电子货币及小额资金划拨业务即第三方电子支付。

互联网支付系统的发展与潜在洗钱风险

（一）互联网第三方支付领域的发展

第三方支付是指以互联网为基础，通过非金融机构的第三方支付平台，在买卖双方之间构建信用担保机制确保交易正常进行，从而将资金从买受人账户转移到出卖人账户的过程（帅青红等，2009）。1996年美国诞生全球第一家第三方支付公司，之后随着电子商务的迅猛发展，涌现出大量第三方支付机构，比较著名的如总部设在美国加州的PayPal，现已发展成为全球最大第三方支付机构，英国的Money bookers 收汇通道，荷兰的GlobalCollect。据统计2010年，全球网络支付交易量达225 亿笔，交易规模达8860 亿欧元，至2013年已发展到1.4 万亿欧元。1999年北京“首信易”推出我国首家第三方支付机构：网关支付平台。之后陆续出现chinapay、环讯支付、快钱、支付宝、财付通等第三方支付平台。截止至2013年我国已有250 多家第三方支付机构已获得了中国人民银行颁发的第三方支付牌照，获准开办互联网第三方支付业务的达90余家（互联网支付大约占第三方支付市场的97%）。经过短短十多年的发展，第三方支付产业将进入爆炸性成长期。

由此可以看出，我国在第三方支付领域不管是支付机构还是支付规模均呈倍数增长，与此同时，我国第三方支付立法却十分滞后，给本行业发展带来诸多风险，特别是反洗钱规则的不完善导致第三方支付存在洗钱及恐怖融资风险。

（二）第三方支付存在的洗钱风险

首先，第三方支付业务的非面对面开展导致资金转移的隐蔽性。由于第三方支付机构的参与到结算业务中，交易过程被人为割裂为毫不相干的两个阶段。第三方支付机构为保护客户的隐私，往往采用加密技术手段隐匿交易主体的身份信息。同时，由于互联网的全球性、非面对面特点并不能确保交易主体一定是账号持有人本人，导致监管部门很难对其资金流向进行监管。

图1 互联网第三方支付洗钱的流程

其次，第三方支付业务为洗钱打造了套现工具。第三方支付网络平台为收款人实现提供了客户POS功能，变成收款人的虚拟POS 机（范如清等，2008），第三方支付虚拟POS业务不可能像银行POS业务一样对申请人资质进行面对面调查，审核交易数据、不定期上门回访。第三方支付平台仅仅是支付中介，没有动力对虚假交易进行识别和上报，往往采用简化程序等方式为收款方实现POS功能，大大突破了信用卡等禁止套现的限制。

再次，由于第三方支付机构参与交易，导致资金流向不明确，埋下洗钱隐患。第三方支付网络平台处于交易的中间环节，交易链条被隔断，资金来源难以追踪。在跨境支付中，只要存在支付需求，第三方随时可通过境内外轧差为双方资金转移提供便利（吴朝平，2012）。

最后，第三方支付机构的巨额沉淀资金为洗钱及恐怖融资提供可能。以支付宝为例，2014 财年支付宝的总支付金额为38720 亿元人民币，其中日均支付量达106 亿元。考虑到支出与收纳资金间的时间差，保守估计每月的沉淀资金将达上亿元。对于沉淀资金的性质及其法律地位存在着一定的分歧与争议，有存款说、债务说、网络铸币说等不同观点（范峻川，2013）。根据《非金融机构支付服务管理办法》规定，第三方支付机构的备付资金应在商业银行开户存放。但由于第三方支付机构割裂了交易，银行难以查阅审核真实交易记录，无法掌握交易的具体数额。第三方支付平台的沉淀资金即使无法全部但足以自由掌控大部分资金，这给第三方支付机构从事洗钱犯罪提供了机会。

互联网支付系统洗钱模式与监管变迁

（一）互联网支付环境下的洗钱模式与特点

互联网第三方支付的非面对面性、全球性，及近年发展过快导致监管比较薄弱，容易被犯罪分子利用进行洗钱。洗钱活动一般需要经历置入、离析、归并三个阶段，在互联网第三方支付业务中，任何阶段都可能被不法分子滥用而沦为洗钱工具。

首先，在置入阶段，犯罪分子通过第三方支付将犯罪所得由传统货币形式转为电子货币，实现由“有形变无形”的转变以方便进行网上支付。由于互联网支付业务均采用非面对面方式进行，加之一些第三方支付机构存在匿名交易问题，客户只需要一个匿名电子邮箱即可完成注册和登录。第三方支付机构难以（甚至不愿意）对客户身份信息进行识别与验证，犯罪分子可以冒用他人身份利用第三方支付进行虚假交易或通过多次匿名注册、利用匿名账号多次进行虚假交易完成将不法资金的洗钱置入阶段。

其次，在离析阶段，犯罪分子通过复杂的虚拟交易与资金流转导致监管机构难以审查交易的真实性，从而切断资金流向，混淆资金来源。电子商务的爆炸性发展带来了庞大的网络支付用户，交易品种的繁多与交易数额的巨大为监管带来困难。互联网支付的便捷性、跨国界性容易产生监管真空。网络交易的当事人可能处于不同的法域，对交易监管涉及国与国之间法律之间的协调，缺乏国际合作难以完成对网络支付洗钱犯罪的查处。此外，随着信息技术的发展，交易过程无需人为介入即可自动完成，传统的依靠面对面审核的一级监控机制基本失效。这些特质都可能使网络支付用于洗钱的离析阶段。

最后，在归并阶段，犯罪分子通过虚假交易、转移定价等方式将违法所得与合法经营收入混淆，或者可能通过购买高价商品或服务再将商品转卖从而获得合法收入。将违法所得通过互联网支付清洗后回到合法经济体系中。

互联网第三方支付洗钱的流程可以通过图1直观显示出来。

在培育阶段完成由传统货币转化为电子货币的任务，在离析阶段有多种方式选择，犯罪分子可以通过申请多个虚拟账户，虚拟账户之间通过虚假交易向银行提现达到洗白黑钱的目的，也可以利用虚拟账户与商家进行交易，通过与不同商家进行反复多次交易隐瞒资金来源。在归并阶段完成提现或获取合法资产的目的，成功实现将不法资金融入合法经济体系。通过图1可发现，与传统洗钱犯罪相比较，互联网第三方支付呈现出以下几个特点：第一，资金转移更加隐蔽。传统洗钱资金流向比较简单，而互联网支付由于第三方机构的介入导致交易被割裂，交易被分割为不同的阶段。银行难以掌握交易双方的资金流向，交易上方通过互联网的复杂多次交易可以成功避开银行监管，轻松转移资金。第二，单笔交易数额小而总数巨大。互联网支付的特点是交易的“碎片化”，单笔交易一般较小。银行对这些碎片化的交易信息处理较为困难。与此同时，互联网交易的总量却较大。第三，监管难度加大。互联网交易的非面对面性，银行监管难度加大，加上互联网交易发展的迅速，监管步伐难以跟上，这都给监管机构提出了新的挑战。

（二）由“合规为本”到“风险为本”的反洗钱风险监管

随着支付宝、余额宝的出现，互联网金融产品“颠覆”了人们对传统金融产品的理解，对银行等现有金融机构业务产生了冲击，更是对现有监管体制、法律法规提出了挑战。传统反洗钱监管将重点放在合规方面，强调被监管单位要遵守法律法规，符合规章制度，但由于互联网支付的快速发展，反洗钱监管立法步伐难以跟上，导致“合规为本”的反洗钱监管灵敏度较低，无法应对新型支付方式出现的洗钱风险。以“风险为本”的反洗钱风险评估是国际反洗钱监管的普遍做法，也是我国现阶段应对新型洗钱风险的必然要求。所谓以“风险为本”的方法是指具有反洗钱监管责任的主体应当准确合理评估本部门、本单位、所处行业面临的洗钱风险，确定行业洗钱风险的大小、轻重、危害，最终确定反洗钱监管的重点，达到有效规制洗钱行为（张筱微，2012）。简单说就是“将更多的反洗钱资源投入到洗钱风险最大的业务领域”。“风险为本”的方法要求监管人员必须对被监管对象有一个客观的了解与评价，能够分析被监管对象、被监管行业的风险根源、风险大小程度，以此确定监管的范围、重点与方法，根据评估风险来合理配置监管资源。

与传统监管方式相比，“风险为本”的反洗钱监管有以下不同：第一，“风险为本”的反洗钱监管强调随时应对可能存在的风险。“风险，在于不随机应变”。“风险为本”方法最为重要的是对风险的观察具有前瞻性，要见微知著，未雨绸缪，每当出现重大风险时能够迅速灵活地作出调整。第二，“风险为本”的反洗钱监管，强调按风险大小配置监管资源，重点突出，有的放矢。通过对洗钱薄弱环节加强监管，使得监管部门合理配置反洗钱资源产生最大的反洗钱效能。互联网支付服务相对于传统金融服务，以其网络性、全球性、私密性等特点，在美国FFIEC委员会BSA/AML检查手册的产品与风险评估中，在高风险服务列表中名列第一（严立新等，2011）。在分配监管资源时，当然要对互联网支付服务给予更多的关注。第三“风险为本”的反洗钱监管，是激励相容的监管方式，风险无处不在，即使法律制度再严密也不可能完全消除风险。特别是在互联网支付领域，犯罪分子总是有可能找到机会转移不法资金。如果严格按照“合规为本”的监管方法进行逐条监管，无疑会对新兴的互联网金融产生致命打击。“风险为本”的反洗钱监管方法承认即便采取合理措施也不可能识别所有风险，只要服务商在执行反洗钱规程没有出现明显失误或不足，便是可以原谅的。第四，推行“风险为本”的反洗钱监管方法，并非要抛弃合规为本的方法，而是采取风险为本与合规为本相结合的方法，监管部门规定在评估反洗钱风险的基础上确定被监管对象反洗钱工作的最低要求，监管部门颁布的规章仍需遵守。

“风险为本”的反洗钱监管一般来说经历以下四个流程：

风险评估的前提是信息收集，风险评估是否有效取决于评估指标体系中数据收集的真实性与准确性。反洗钱监管部门应通过多种渠道，收集互联网支付服务企业的经营信息及互联网支付过程中交易双方的各类信息，刷选出与风险有关的资料，并对资料进行初步的加工，以衡量风险大小，为风险评估做准备。通过事先制定一个科学的指标评估体系，对收集来的数据进行评估，得出结果。洗钱风险可根据不同的标准进行不同的分类，通常可以将风险分为国家或地区风险、客户风险、产品或服务风险。国家或地区风险是指被实施制裁或禁运的国家或地区，客户风险是指存在可疑交易或交易难以识别的客户，产品或服务风险是指被监管部门确定为存在潜在较高风险的产品或服务，如互联网支付被美国FFIEC委员会列为风险最高。在此基础上还可以对被监管对象存在的潜在风险进行再分，如英国将金融机构可能存在的风险分为高风险、中高风险、中等风险、低风险四级。根据风险的不同等级分配监管资源，采取不同的监管措施。对于低风险支付机构，可以适当降低检查频率，要求其继续认真履行反洗钱义务。对于中等风险单位可以采取定期检查、现场检查等方式，要求被监管对象限期整改。对高风险、中高风险单位，可以采取约谈高管、风险预警、现场检查等方式，对于存在重大风险的机构可发布预警通知，对其进行集中整顿，甚至采取行政处罚措施。

监管部门反洗钱监管风险控制与立法完善

（一）确立反洗钱风险国家评估机制

依据“风险为本”的监管原则，积极对互联网支付行业开展反洗钱风险评估，评定风险等级，及时发布风险预警。构建互联网支付风险指标评估体系，可以根据各风险指标值的变化反应互联网支付机构在开展业务过程中的洗钱风险状态。指标体系是否科学关乎风险评估机制是否有效。在确立风险指标体系时要注意指标的科学性与开放性、可操作性与灵活性的统一。采用层次分析法确定每一指标的权重系数，然后通过信息 熵技术对确定的权系数进行修正，最终确定每一指标的权重值。对指标进行定性与定量评价需要确定一定的评价模型。互联网支付系统风险指标由于受多种因素的影响会有一定的主观性与不确定性，采用递阶模糊评价模型将使拟评价结果更加客观。所谓递阶模糊评价模型是模糊变换理论的一种运用方法，是一种以模糊推理为主的定性与定量相结合、精确与非精确相统一的分析评判方法（Jouffe L，1998）。通过这种科学的评价方法推动互联网支付领域及反洗钱工作的深入，预先堵住洗钱漏洞。

（二）完善反洗钱监管内控制度

加强内控机制建设是互联网领域反洗钱监管制度建设的根本，一套有效的反洗钱内控机制应当包括客户身份识别制度、交易监控制度、可疑交易报告制度。客户身份识别是进行交易监控的前提，上交可疑交易报告以有效监控、保存交易记录为基础。

第三方支付机构应按照风险等级对客户身份进行识别，将客户银行账户与支付账户进行捆绑。同一客户在同一支付机构可能会开立多个虚拟账户，支付机构应确保其开立的多个账户信息一致，所有支付账户必须与同一银行账户捆绑，防止随意解除捆绑或更改捆绑账户，对解除与更改捆绑实行严格的审查，确保交易中资金流向明朗。

监管部门可以开发一套统一的监控软件，要求第三方支付机构使用，对互联网支付中的客户进行监管，对于可疑交易或存在高风险的客户，建立高风险网络账户名单。同时，可以设定一个监控的货币限额或其他方面的限额，在限额以下可以免于监控。

加强对客户交易规模、交易频率的监控，对于出现可疑、不符合正常交易行为的交易及时上报监管部门。虽然现行规定对第三方支付机构规定要求建立全面的互联网支付风险管理体系，采取措施确保交易信息完整、准确，发现交易可疑存在洗钱风险时应及时向监管机构报告。但仍然存在一些问题，如可疑交易的标准不够明确，过分依赖识别系统等。笔者认为应进一步明确可疑交易与异常交易的界限，坚强反洗钱监管人员技术能力的提高，不应过于依赖识别系统。

（三）完善反洗钱监管法律体系

现有的法律法规无法满足“风险为本”的反洗钱监管要求，需要重新修改完善。首先是互联网支付领域反洗钱监管立法层级较低。2009年，中国人民银行出台《支付清算组织反洗钱和反恐怖融资指引》，一年后颁布的《非金融支付机构服务管理办法》对非金融机构开设的互联网支付平台的反洗钱义务均有所涉猎。2011年又颁布了新的《支付清算组织反洗钱和反恐怖融资管理办法》，2012年起草了《支付机构互联网支付业务管理办法》（征求意见稿第二稿，2014年3月发布征求意见稿第三稿）对互联网支付机构反洗钱义务作了进一步规定。这些规定均属部门规章，效力等级较低，有的甚至还处于征求意见阶段，不利于反洗钱义务的开展。其次，尽管从纵向发展来看，更为具体，但与国际立法相比还是缺乏可操作性，多数规定较为笼统。最后，是《反洗钱法》与《刑法》规定滞后，难以适应互联网支付反洗钱的要求。《反洗钱法》中的非金融机构是否包含第三方支付机构，存在争议。当前首要任务是修改《刑法》及《反洗钱法》的相关条款，明确互联网第三方支付机构的立法适用。同时，全国人大常委会应尽快吸收人民银行颁布的以上几个部门规章，将其上升为“法律”的层次，增加其可操作性，形成使互联网支付反洗钱立法的完整体系。

（四）加强反洗钱监管的国内、国际合作

互联网支付的无国界性，交易可能横跨几个国家，单纯由某一国进行监管难以到位，而且涉及到国家主权问题难以取证，因此加强国与国之间的合作。首先，应加强反洗钱法律领域的合作，使各国反互联网洗钱法律内容能够相互协调统一。反洗钱金融行动特别工作组《四十条建议》明确要求各国应建立统一的金融情报中心，并在反洗钱法律、法规中规定依据所掌握证据合理怀疑存在洗钱风险的，应及时向情报中心汇报。其次，在互联网反洗钱领域开展国际刑事司法合作。反洗钱金融行动特别工作组《四十条建议》指出在反洗钱领域内国与国之间应就关涉洗钱及其上位犯罪的侦查与起诉，以及其他相关事宜开展国际合作（陈浩然，2013）。加强国与国之间就犯罪分子的引渡合作，在犯罪收益的冻结与没收方面建立冻结与同等价值冻结、没收的国际协助制度。最后，加强反洗钱国际信息交流与共享。互联网支付洗钱的无国界性，仅靠一国获得的信息很难有效打击洗钱犯罪，我国应加强和扩大国际间情报信息资源交流，拓宽反洗钱国际合作渠道以有效打击洗钱犯罪。

1.帅青红，夏军飞.网上支付与电子银行[M].东北财经大学出版社，2009

2.范如清，石玉洲，叶青.第三方支付业务的洗钱风险分析及监管建议[J].上海金融，2008（5）

3.吴朝平.第三方在线支付业务的洗钱风险及反洗钱监管研究[J].南方金融，2012（10）

4.范峻川.第三方支付沉淀资金安排初议[J].北京邮电大学学报（社会科学版），2013（2）

5.Clare Chambers-Jones.Virtual Economies and Financial Crime:Money LEdward Elgar Publishing,2012

6.张筱微.新型国际犯罪研究[M].法律出版社，2012

7.严立新，汤俊.从合规为本到风险为本[J].上海金融，2011（6）

8.Jouffe L.Fuzzy Inference System Learning by Rein-forcement Methods[J].IEEE Transactions on Sys-tems,Man and Cybernetics,1998,28 (3)

9.陈浩然.反洗钱法律文献比较与解析[M].复旦大学出版社，2013