反洗钱系列二：从刑事合规角度看第三方支付平台反洗钱管理中的两大风险暴露

第三方支付机构作为非银行金融机构中占主导地位和不断壮大的主体，由于网络支付的天然性，在反洗钱管理中面临诸多困难。 当越来越多的洗钱犯罪案件出现在第三方支付机构时，这种严峻的形势足以引起相关从业者的重视。 那么，第三方支付机构在反洗钱管理中常遇到哪些重大犯罪风险，又该如何进行有针对性的刑事合规建设和防范？

一、近期两起处罚案件

2020年3月，第三方支付机构深圳瑞银信息技术有限公司（以下简称“瑞银”）收到中国人民银行罚款4单，罚款总额6000万元。 根据行政处罚信息公示，中国人民银行深圳中心支行对违反反洗钱相关规定的公司及责任人实行双重处罚制度。 并受到处罚，他们分别担任公司副总经理、运营部总经理和风控部总经理。

附件：行政处罚信息公示表

党名

行政处罚决定数

违规类型

行政处罚内容

作出行政处罚决定的机关名称

处罚决定日期

深圳市瑞银信息技术有限公司

申人银刑（2020）第3号

1、超出批准的经营范围

2.未按规定建立相关制度、措施或风险管理措施

3.未按规定履行客户身份识别义务

4. 与身份不明的客户进行交易

5.未按规定提交可疑交易报告

罚款人民币6124万元

中国人民银行深圳中心支行

2020 年 3 月 26 日

同样，财付通支付科技有限公司（以下简称“财付通”）作为微信支付和QQ钱包的运营主体，也未按规定履行客户身份识别义务，未遵守条例。 提交可疑交易报告，违反反洗钱规定将被罚款。

上述案例只是第三方支付平台因违反反洗钱规定而被处罚的一个典型缩影。 据统计，2019年第三方支付行业至少收到25起监管罚单，涉及支付机构20家，罚没总额超过2.38亿元。 其中，交易真实性审查和客户信息保护成为第三方支付平台在反洗钱管理中面临的主要风险暴露点，所涉及的刑事风险和合规问题也成为我国反洗钱合规管理的重点。各种平台。

2、反洗钱管理中的两大风险暴露和刑事法律风险

（一）两大风险暴露之一：交易真实性审查和刑事法律风险

一、交易真实性审查面临的挑战及行政监管背景

近年来，第三方支付机构面临反洗钱带来的各种挑战，其中比较集中的有：1）客户信息泄露，2）跨境支付洗钱，3）网络诈骗, 4) 境内外犯罪所得资金和空壳商户利用第三方支付渠道进行洗钱等风险。 与银行、保险公司等传统金融机构相比，支付机构的开户流程大多更为简单，对客户的尽职调查往往无法深入到底。 应收款人的要求，一些中小机构甚至可以为客户开立支付账户，只用一个手机号就可以收付资金。

时任财付通反洗钱中心高级总监周志明公开谈到2018年反洗钱工作面临的三重挑战： 在线支付服务的普及增加了跟踪交易的难度； 多账户交易很复杂，掩盖了交易的真正目的。”

一般来说，合法正常的网上交易涉及商户、第三方支付平台、金融机构、清算组织等。支付平台反洗钱最基本、最核心的要求之一就是保证交易的可追溯性。 也是平台自身合法合规、高效运营的前提和需要。 2018年，中国人民银行先后发布了《中国人民银行关于非银行支付机构开展大额交易报告工作有关要求的通知》（银发[2018]163号）及其配套文件大额交易报告报文接口规范，《金融机构互联网反洗钱和反恐怖融资管理办法》（银发[2018]230号），中国人民银行办公厅关于进一步加强的通知反洗钱和反恐怖融资工作（银办发〔2018〕130号）》《中国人民银行关于进一步完善受益所有人身份识别工作的通知》（银办〔2018〕130号）等一系列反洗钱规范性文件发[2018]164号）》和《支付机构非现场检查数据接口规范》（301号文），不断释放出监管要求强的信号。 根据ned文件，监管部门在风险管理政策、框架与流程、制度建设、数据治理、内部审计和绩效考核等方面提出了更加明确、明确、严格的管控要求。方法。

但从近年发生的多起支付平台洗钱案件来看，反洗钱的最大挑战可能不仅仅局限于已完成交易的溯源。 交易的真实性往往是反洗钱防控的重点和难点。 由于第三方支付平台在网络平台交易中所扮演的角色，在交易过程中很难判断商品交易信息、价格和交易的真实性。 例如：我们经常看到一些购物平台上的商品价格与实际价值相差甚远。 一般来说，除非购物平台采用人工干预和审核的方式来验证商家的交易状态和商品和服务的真伪，否则作为交易中介的第三方支付平台实际上很难判断商品的真伪。有关交易。 当然，第三方支付平台对于一些商户的频繁大额交易也会有一定的预警和报告机制。 商品交易平台或第三方支付平台若要全程审核接入商户服务的真伪，将面临成本与收益的矛盾和用户体验下降的风险。 因此，平台通常以定期抽查、事后追责的形式实施反洗钱。 风险防控。

上面我们提到了四方支付。 四方支付在商户洗钱过程中扮演什么角色？ 所谓四方支付，主要是在整个网络交易环节中，聚合各类商户、银行、第三方支付平台、清算机构等服务商，为洗钱客户提供全方位的支付清算服务。 目前，诈骗、色情、赌博、军火交易等网络犯罪活动的违法所得，绝大部分是通过四通支付进行“洗钱”的。 这些四方支付搭建一个低成本的网络平台（没有POS机等硬件，没有支付牌照限制，只需要搭建一个技术门槛极低的系统），大量收购壳公司，借贷或窃取个人信息注册“第三方支付”账户并利用这些账户套取客户资金，并进行相关的非法资金清算工作，获取高额收益。

四方支付平台通常会寻找更多承兑人（虚拟账户）帮助收款比特币刑事犯罪案例，避免洗钱风险。 承兑商一般不会将违法所得转移至商户账户，而是利用这些虚拟账户进行收款，交易类型通常各不相同。 这些都是一些看似普通的商品和服务。 经过几轮“洗钱”，这些交易被平台监控的风险会大大降低。 即使因为某种原因被监听，商户和实际收款人也可以将责任和风险转嫁给空壳公司和提供身份证开户的个人。

2、交易真实性审查涉及的刑事法律风险

关于第三方支付机构在反洗钱管理过程中进行交易真实性审查的刑事法律风险，可以从两个层面考虑：一是第三方支付机构因交易真实性审查涉及洗钱。审查未达到目的二是单位因职工违法犯罪行为承担刑事责任的法律风险。 如下所述。

（一）洗钱犯罪涉及的刑事风险

如前所述，第三方支付机构由于自身特点，往往在交易真实性验证方面遇到困难，无法很好地防范洗钱风险，从而成为不法分子洗钱的工具。 自第三方支付机构出现以来，通过第三方支付机构洗钱的案件屡见不鲜。 例如，2014年张某、郑某贩毒案中，犯罪分子利用多人身份证在某电商平台注册账号，以卖茶、卖香料为名贩卖毒品，并通过第三方支付。 - 方付款方式。 与快递交易。 不法分子利用第三方支付难以进行交易真实性审核，逃避监管，洗白毒品赃物。 此外，利用电子商务平台和第三方支付方式进行洗钱也日益成为诈骗等犯罪团伙的常用手段。

目前，我国《刑法》对洗钱罪主要规定了四条，即第一百九十一条洗钱罪、第三百一十二条掩饰、隐瞒犯罪所得和犯罪所得罪、包庇罪、第 349 条中的转移、隐匿毒品和麻醉品罪，以及第 120-1 条中涉及反洗钱（反恐）的协助恐怖活动罪。 第三方支付机构一旦被用作洗钱工具，必然会卷入上述犯罪甚至上游犯罪的链条中。 此次涉案有两层意思：一是第三方支付机构本身不构成洗钱犯罪，但因涉案而受到刑事追究。 即使您没有作为犯罪嫌疑人出现，被立案侦查也可能在很大程度上影响企业的正常生产经营。 这种因卷入刑事案件而产生的风险在当今社会越来越普遍。 犯罪风险。 二是第三方支付机构直接参与洗钱，构成洗钱犯罪，如上述四方支付平台。 这种犯罪风险比较直观，这里不再赘述。

（二）本单位员工参与洗钱犯罪的犯罪风险情况

上述四类洗钱犯罪中，除窝藏毒品罪外的三类犯罪均明确规定了单位犯罪的情节，这也使得第三方支付机构因“内鬼”的介入而承担刑事责任成为可能。 ” 犯罪性行为的雇员。

据扬中市公安局破获的“8月22日第三方支付平台诈骗团伙洗钱案”报道。 涉案涉案赃款大部分是通过第三方支付公司转账的。 分子提供界面。 经查，第三方支付机构部分业务员对部分不法分子进行营销宣传，告诉对方如何办理或直接帮助办理“假五证”，协助办理接口和收取费用，然后建立专门的“第四方”支付平台，用于洗钱、清算和分赃。 在此案中，警方逮捕了涉案第三方支付公司的5名员工，但该公司是否会被追究刑事责任尚未有消息。 尽管如此，在实践中，第三方支付机构仍应高度警惕因员工犯罪而被追究洗钱犯罪刑事责任的风险，尤其是在涉案员工人数众多、跨部门、涉案人员多的情况下。管理。

（二）两大风险暴露之二：客户信息保护和刑事法律风险

一、客户信息保护在反洗钱管理中的挑战及行政监管背景

近年来，由于技术或人为原因，第三方支付平台个人信息和交易信息外泄、资金被盗事件频发。 在侵犯客户隐私的同时，他们也蒙受了巨大的经济损失。 2015年，全球最大的比特币交易平台MT.Gox遭到黑客攻击，信息泄露，资金被盗，MT.Gox最终宣告破产。

2019年，爬虫科技公司因涉嫌侵犯公民隐私和知识产权，非法出售公民隐私数据被查处。 曾依赖该公司进行反洗钱风控调查的第三方支付平台不得不取消与其合作，导致该平台反洗钱核查。 跨境支付的反洗钱验证面临新的挑战。 目前，国内大部分第三方支付平台都会通过合作的电商平台获取商家和消费者的隐私数据，以查看其是否存在洗钱行为。 例如，商家或消费者多次溢价销售或购买商品，或在跨境支付中，同一消费者多次更改跨境支付账号，第三方支付平台将视为可疑对交易进行核实或报告，实现反洗钱监管。 根据相关法律法规，如何合理获取和使用数据，如何在保护客户数据安全的同时保证用户体验，各类第三方支付平台也一直在探索。 一个合理的计划。

2018年5月25日，欧盟通用数据保护条例（GDPR）已被部分国内支付平台采用。 核心理念是：“同意”是数据处理的法律依据。 即要求电商平台在用户每次跨境购物支付时，都需要获得用户相应的数据授权协议，允许第三方支付机构使用用户的部分隐私数据进行反洗钱。审查。

在我国，反洗钱监管层对于客户信息保护也有较为详细的立法和处罚规定：《反洗钱法》第五条、第七条、第三十二条的处罚规定； 2007年第2号令第三条； 2016年第3号令第二十二条、第二十三条； 2013年2号文件均明确规定了客户信息保密范围，包括客户身份信息和资料、账户交易记录、大额和可疑交易报告及工作记录、客户风险等级、可疑案件监测模型、黑名单信息、钱款洗钱风险评估相关内容、反洗钱分类评级结果、反洗钱协助调查信息等。2020年，《中国银行关于印发金融行业规范做好个人技术管理工作的通知》 《金融信息保护》（银发[2020]45号）也明确了个人金融信息的范围、标准、收集和使用等各个环节的信息保密技术标准。

2、客户信息保护涉及的刑事法律风险

第三方支付机构在反洗钱过程中遇到的客户信息保护问题贯穿于信息获取、信息存储、信息使用、信息流转等多个环节。 这些环节所涉及的法律风险，除了前述的行政处罚风险外，还涉及刑事风险。

在刑事风险方面，最直接涉及的犯罪是侵犯公民个人信息犯罪。 《刑法》第253条之一规定：违反国家有关规定，出售或者向他人提供公民个人信息，情节严重的，处三年以下有期徒刑或者拘役，并处罚金； 情节严重的，处三年以上七年以下有期徒刑，并处罚金。 违反国家有关规定，出售或者向他人提供在履行职责或者提供服务过程中获取的公民个人信息的，依照前款的规定从重处罚。 窃取或者以其他方式非法获取公民个人信息的，依照第一款的规定处罚。 单位犯前三款罪的，对单位判处罚金，并对其直接负责的主管人员和其他直接责任人员，依照各款的规定处罚。 该规定对非法获取、出售/提供公民个人信息的行为进行规范。 这里的违法是指《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第二条的规定。 应当理解为违反有关公民个人信息保护的法律、行政法规、部门规章。 这也与上述关于第三方支付机构在反洗钱过程中保护客户信息的行政法规和监管相衔接，形成规定。 客户信息保护规则体系。

除了上述直接涉案的犯罪行为外，类似于交易真实性审查的场景，第三方支付机构在反洗钱中的客户信息保护方面也可能牵涉到其他主体或内部员工的犯罪行为，从而面临犯罪风险。 例如上述依托爬虫大数据公司进行反洗钱监管的第三方支付机构，极有可能在数据采集、存储过程中牵连到爬虫大数据公司的违法犯罪行为。 、使用和流通。 在此过程中，爬虫大数据公司可能涉及侵犯公民个人信息罪、危害计算机信息系统罪（包括非法获取计算机信息系统数据罪、破坏计算机信息系统罪）、侵害贸易秘密、侵犯著作权罪、拒绝履行。 信息网络安全管理义务犯罪等，与其合作的第三方支付机构可能被追究刑事责任或存在其他刑事风险。 此外，第三方支付机构内部员工（“内鬼”）的违法犯罪行为也可能给公司带来刑事法律风险。 最常见的情况是，内鬼泄露、出售第三方支付机构合法获取、收集的公民个人信息。 如何将员工个人犯罪与单位犯罪区分开来，也是第三方支付机构刑事合规的重要目标。

三、第三方支付机构反洗钱管理中的刑事合规建议

除了按照法律、法规和规章的要求做好反洗钱工作，避免单位自身直接犯罪外，经过以上分析，从刑事合规的角度，第三——党支部支付机构还可以采取以下措施，最大限度地减少刑事指控。 风险：

一、针对涉外犯罪采取的刑事合规措施

对于涉及其他主体犯罪、已经进入刑事诉讼程序的第三方支付机构，在处理相关案件时要有危机管理的思维，将整个案件作为一次危机公关事件来处理，避免出现公信危机和公关危机。造成更大的损坏风险。 此外，根据刑事诉讼法律法规的规定，公司应当依法参与刑事诉讼，维护公司的合法权益； 反过来，也应依法合规，谨慎操作，避免毁坏证据等妨碍侦查机关调查取证的行为。

2. 将员工犯罪与单位责任隔离的刑事合规措施

建立和实施良好的企业合规制度是将员工犯罪与单位刑事责任隔离开来的重要手段。 这里可以参考著名的雀巢员工侵犯公民个人信息案。 本案中，雀巢某部门区域经理为抢占市场份额、推销产品，指使员工通过拉关系、支付福利等方式，非法获取医护人员的公民个人信息。 后来，关于雀巢是否构成侵犯公民个人信息的单位犯罪，争议很大。 法院最终认定雀巢公司不构成单位犯罪，是基于雀巢公司制定了多项禁止员工行贿医务人员和非法收集消费者个人信息的规范性政策，并建立了相应的培训制度，并要求员工签署一份承诺书。

这是我国企业通过建立较为完备的合规体系成功规避刑事风险的典型案例，对第三方支付机构规避相关单位的刑事风险也具有一定启示。

综上所述，要建立良好的合规制度，规避因员工参与洗钱、侵犯公民个人信息等犯罪活动而引发的单位犯罪风险，首先需要制定反洗钱和反洗钱规章制度。 - 符合法律法规、符合实际的侵犯公民个人信息的行为。 信息等相关内部政策制度，并按照《劳动合同法》的有关规定，通过民主程序使相关制度有效适用。 及时更新并依法生效； 二是对上述相关政策制度，员工应以适当方式进行宣传和监督，包括通过民主程序对相关制度进行公示和征求意见，明确制度出台和通知公告，组织培训和学习考核，将重要制度纳入员工手册或劳动合同附件，要求员工签署承诺书等； 针对不同部门和岗位类型的员工，要根据部门和岗位的特点及其在反洗钱措施中的地位和作用，有针对性地采取措施。 三是建立内外部反洗钱等违法违规行为举报机制，确保监督反馈渠道畅通。

3.引入外部团队进行合规审查

与银行等其他金融机构相比，第三方支付机构自身的创新性、匿名性、间接性等属性决定了其在反洗钱管理上可能遭遇的犯罪风险高于其他金融机构。 安全审查和客户信息保护带来的挑战，让第三方支付机构在内部刑事合规过程中遇到了更大的困难。 同时，金融行业各种复杂的规则和第三方支付行业技术的快速发展，进一步加大了第三方支付机构自行建立有效的刑事合规体系的难度。 鉴于此，聘请经验丰富的外部合规团队（包括技术和法务团队）进行刑事合规审查，一方面有利于整合专业和经验优势，建立一个相对完整、可操作、实时的更新的合规体系，另一方面也可以发挥独立第三方调查取证的优势，更有利于防患于未然。

资料来源：中国人民银行深圳中心支行官网，访问地址： ，访问日期：2020年11月3日。

北京商报：《20家机构年内戴“紧箍咒”第三方支付被罚没收2.38亿元》，访问地址： ，访问日期：2020年11月3日。

案号：（2014）县桃刑初字第00083号。

参见镇江市公安局官网：“扬中警方破获团伙诈骗案破案3000余起，涉案金额2000余万元”比特币刑事犯罪案例，查阅地址：，查阅日期：2020年11月5日。

《反洗钱法》第五条：对依法履行反洗钱职责或者义务获取的客户身份资料和交易信息，应当予以保密； 除法律规定外，不得向任何单位和个人提供。 反洗钱行政主管部门和其他依法负有反洗钱监督管理职责的部门和机构在履行反洗钱职责中获取的客户身份资料和交易信息，只能用于反洗钱行政调查。 司法机关依据本法取得的客户身份资料和交易信息，只能用于反洗钱刑事诉讼。

《反洗钱法》第七条：任何单位和个人发现洗钱活动，有权向反洗钱行政主管部门或者公安机关举报。 受理举报的机关应当为举报人和举报内容保密。

反洗钱法第三十二条：金融机构有下列行为之一的，由国务院反洗钱行政主管部门或者其授权的机构责令限期改正：市级以上设区； 情节严重的，处两次10万元以上50万元以下罚款，并对直接负责的董事处1万元以上5万元以下罚款、高级管理人员和其他直接责任人员：…… （五）违反保密规定披露有关信息金融机构有前款行为，造成洗钱后果的，处以罚款not less than 500,000 yuan but not more than 5 million yuan, and the directly responsible directors, senior managers and other directly responsible persons shall be fined not less than 50,000 yuan. A fine of not more than 500,000 yuan; if the circumstances are particularly serious, the anti-money laundering administrative department may recommend that the relevant financial supervision and management agency order it to suspend business for rectification or revoke its business license. For the directors, senior managers and other directly responsible personnel of the financial institution that are directly responsible for the circumstances specified in the preceding two paragraphs, the anti-money laundering administrative department may recommend that the relevant financial regulatory agency order the financial institution to impose disciplinary sanctions in accordance with the law, or suggest that they be dismissed according to law. Qualifications, prohibiting them from working in the financial industry.

Article 3 of the "Administrative Measures for Customer Identification and Customer Identity Data and Transaction Record Preservation of Financial Institutions":... Financial institutions shall properly preserve customer identity data and transaction records in accordance with the principles of safety, accuracy, completeness, and confidentiality to ensure sufficient For each transaction, the information needed to identify customers, monitor and analyze transaction conditions, investigate suspicious transaction activities and investigate money laundering cases has been provided.

Article 22 of the "Administrative Measures for Financial Institutions' Large-value Transactions and Suspicious Transaction Reports": Financial institutions shall, in accordance with the principles of completeness, accuracy, security and confidentiality, report large-value transactions and suspicious transactions, and work records reflecting transaction analysis and internal processing Such data shall be kept for at least 5 years from the date of creation. If the saved information involves suspicious transaction activities that are being investigated by anti-money laundering, and the anti-money laundering investigation is not completed when the minimum retention period specified in the preceding paragraph expires, the financial institution shall keep it until the anti-money laundering investigation is completed. Article 23: Financial institutions and their staff shall keep confidential the client identity materials and transaction information obtained by fulfilling the obligation to report large-value transactions and suspicious transactions in accordance with the law, and keep confidential the relevant information on monitoring, analyzing, and reporting suspicious transactions in accordance with the law, and shall not violate the Provided to any unit and individual.

That is, the "Notice of the People's Bank of China on Printing and Distributing".

Refer to Xiao Bo, Rong Guo: "Data Book of Life and Death: Are the Criminal Legal Risks of Big Data Enterprises and Executives Controllable?" 》, from Shanghai Dingda Law Firm Official Account, visit address: , visit date: November 7, 2020.

(2016) Gan 0102 Xing Chu No. 605 Criminal Judgment and (2017) Gan 01 Xing Zhong No. 89 Criminal Judgment.

Reference to the General Data Protection Regulations