互聯網產業的發展增速催生了支付方式的加速裂變。支付寶、財付通、快錢、平安支付、易付寶、微信錢包、百付寶等非銀行的第三方支付已經滲透到人們社會生活的各個領域。在“互聯網+”、大數據應用、人工智能等技術的支撐下,第三方支付平臺在消費者與商家之間搭建了一座非銀行的中介橋樑。如圖1所示,用戶在第三方支付平臺上可以直接進行貨幣收付、資金結算等交易活動,轉賬通過電腦終端、移動端瞬間完成,既高效又便民。
據中國人民銀行公佈的數據顯示,“2016年,我國第三方支付機構累計發生網絡支付業務1639億筆,金額高達人民幣99萬億元,同比分別增長99.5%和100.7%”。另據知名的互聯網數據資訊聚合平臺“艾瑞諮詢”出具的《2017年第一季度第三方移動支付交易市場規模報告》,“在移動支付市場份額上,支付寶的市場份額達到54.0%,財付通市場份額達到40.0%,其他眾多支付企業的市場份額之和為6.0%”。由此可見,作為當下互聯網金融的主要模式之一,第三方支付正在逐漸替代傳統銀行的櫃面轉賬、信用卡消費、網銀劃撥,從根本上革新現有的支付方式、投資理財以及結算運行模式,支付流程更便捷、成本更低、甚至零邊際。然而,第三方支付端在推動變革的同時,亦存在潛在的風險性,為不法分子提供了違法犯罪“後門”,比如:對支付寶賬戶、支付寶綁定的銀行賬戶中的金額進行竊用、冒用。這對公安偵查工作提出了更新、更高、更難的挑戰!
金融違法犯罪的新跳板
隨著第三方支付機構的競爭由線下跑馬圈地演變至線上你追我趕,監管層對於這個新興產業正在逐步加大監管的力度和廣度。此前,中國人民銀行等主管部門接連頒佈《非金融機構支付服務管理辦法》(中國人民銀行令〔2010〕第2號)、《非金融機構支付服務管理辦法實施細則》(中國人民銀行令〔2010〕第17號)、《支付機構客戶備用金存管辦法》(中國人民銀行令〔2013〕第6號)、《非銀行支付機構自律管理評價實施辦法(試行)》(中支協發〔2016〕33號)、《非銀行支付機構分類評級管理辦法》等部門規章與政策性文件,分別從政策、市場準入、業務準則等方面將“第三方支付平臺”逐步納入金融監管體系中。但是,圍繞第三方支付端的詐騙、盜刷、網絡洗錢、賬戶資金受損、用戶信息洩密等案件卻頂風而上、層出不窮。如圖2所示,第三方支付機構正面臨自身犯罪涉案,或者被利用作為犯罪工具而涉案的巨大風險,面臨成為金融違法犯罪“新寵”的可能。
【無證經營】據零壹財經提供的數據顯示,自2014年3月起截至2017年5月初,我國第三方支付機構已經累計被罰款近人民幣1億元,合計48家第三方支付機構被處罰71次。其中,多數涉及無證經營,情節嚴重,可能涉嫌構成非法經營罪。儘管《非金融機構支付服務管理辦法》明確對支付機構開展支付業務實施准入管理,但是實務中,無資質卻從事支付業務的案例卻時有發生。比如:國內知名OTA平臺(即旅遊在線網站)“攜程旅行網”於2017年5月遭律師實名舉報,涉嫌無證經營第三方支付業務。該司在平臺上向不特定用戶銷售的禮品卡均涉及賬面上的資金沉澱。在無《支付業務許可證》的情況下,這些資金沉澱及其產生的收益(譬如銀行存款利息),自然滯留在攜程的平臺上,不得不令人產生無證經營的質疑。
【二維碼的偷樑換柱】據《新快報》等媒體的報道,2016年11月底,曾某至廣東省佛山市公安局禪城分局報案,稱“其店鋪微信收款的二維碼被人更換,人民幣6360餘元營業款不翼而飛”。接報後,屬地公安機關立即成立了專案組,並迅速開展偵辦工作,對案發地點及周邊店鋪進行了細緻的走訪調查。結果,警方竟然發現案發地周邊的數十家店鋪的收銀櫃臺張貼的二維碼均是假的!根據案發現場的視頻,警方初步確認嫌疑人為“吳某”和“嶽某”。二人以“商業廣場內的奶茶店、小食店”為作案目標,通過更換商家收款二維碼的方式,非法佔有店鋪營業收入。經調查,二人合計作案320餘宗,獲利達人民幣90餘萬元。類似上述通過偷換店家收款二維碼非法佔有本應轉入店家賬戶的營業收入的案例,在現實生活中並不鮮見。最高人民法院亦通過判例的形式,將此種行為認定為“盜竊罪”,予以入刑量罰。
【盜刷】相較於傳統支付方式,第三方支付交易“非面對面”,驗證方式更加簡便、更易操作,盜刷的危險性亦隨之上升。據《上海法治報》等媒體的報道,王先生、蔣小姐均系某銀行的信用卡用戶。二人均將使用的信用卡綁定在某第三方支付平臺。之後,二人分別接到自稱銀行客服的電話,稱可以為二人提高信用卡信用額度,但需進行刷積分的操作,對方要求二人提供銀行發送到手機的實時動態密碼。經過反覆操作後,王先生、蔣小姐的信用卡信用額度非但未增加,反而分別被人通過第三方支付平臺盜刷了人民幣2萬元、3萬元。
雖然上述案例中,用戶、銀行對盜刷理應承擔責任,可是第三方支付平臺亦在其中扮演著重要的角色。不少盜刷案件均是依託第三方支付“快捷支付”功能完成的。傳統的偽卡盜刷,需同時複製偽卡、獲取密碼後,藉助ATM機、POS機等物理終端進行實現。然而,互聯網支付的盜刷只需獲取持卡人的身份信息、銀行卡信息以及動態密碼即可完成交易,省去了物理終端的媒介步驟,出現了新的犯罪隱患。
【以第三方支付平臺為媒介進行詐騙】誠如廈門反詐騙中心負責人胡建躍所言,“利用第三方支付平臺轉移贓款手法在當下正呈現多種多樣的態勢。詐騙分子或是將資金在銀行賬戶與第三方支付平臺之間多次轉移,最終在銀行ATM機取現;或是通過第三方支付平臺,用受害人賬戶內資金在網購平臺購物,再將購買的商品通過回收商城(如閒魚)洗錢套現;或是通過網上銀行轉賬,將贓款以購物名義轉移到第三方支付公司綁定的POS機套現”。
以《人民日報》報道的一起利用第三方購物平臺進行詐騙的案件為例:2017年6月12日15時許,周某接到自稱是淘寶客服的電話,稱其4月份網購的一件衣服存在質量問題需要給予補償,先讓事主從支付寶“趣店”裡提現2700元,後以“趣店授權不成功”為由多次通過微信發送鏈接及二維碼。周某先後三次通過對方發來的鏈接輸入銀行卡賬號及密碼共向第三方購物平臺支付人民幣6725.4元,包括兩次微信掃碼京東支付鏈接支付人民幣1999.2元,以及通過支付寶掃描支付二維碼支付人民幣2727元。後發現被騙,周某遂向屬地公安機關報警。由上述案件,不難發現,詐騙分子正以“第三方支付交易”替代“銀行轉賬”,作為其收取詐騙款的工具和平臺。
【竊取信息的魅影】在第三方支付交易中,信息的複製與盜取正呈現手段多樣化、渠道複雜化的特徵。儘管目前多數第三方支付平臺均要求實名認證,但是實名認證的操作步驟不一,並非都要求上傳身份證原件照片,且第三方支付企業出於商業秘密的考量,未向公安機關、工商等相關部門提供聯網核查的接口。這些均給違法犯罪行為人可乘之機。以山東省膠州市警方破獲特大侵犯公民個人信息案為例:2017年5月,山東省青島市、膠州市網警聯手偵破一起跨省特大網上侵犯公民個人信息案,查獲非法買賣公民個人信息的工作室兩個、黑客源頭一個(黑客張某某),抓獲16名犯罪嫌疑人,扣押涉案電腦19臺,移動式存儲設備10臺,涉案手機31部,涉案銀行卡、手機卡300餘張,初步查證繳獲公民手持本人身份證正反面照片、銀行卡信息等公民個人信息220萬餘條,摧毀分層五級的網絡黑產利益鏈條。在此案中,犯罪團伙獲取收益的媒介均是第三方支付平臺。團伙首腦利用黑客技術暴力破解了若干第三方支付平臺,並依託第三方支付平臺的漏洞,販賣給下線,從而非法牟利人民幣數十萬元。由此可見,利用相似網頁或者域名實施網絡釣魚、發送木馬程序等黑客手段,對第三方支付平臺進行攻擊,竊取相關賬戶信息,嚴重影響了消費者使用電子支付的資金安全,成了不法分子竊密的慣用伎倆。
【客戶資金屢被侵犯】目前,中國人民銀行等主管部門發佈的《非銀行支付機構自律管理評價辦法》等部門規章與政策文件對第三方支付機構的管理起到了積極的規範作用。但是,當下的第三方支付機構普遍沒有建立資金第三方託管機制。大量的投資者資金(亦稱為“備付金”)存放在平臺賬戶內,全由支付平臺控制,投資者對資金的流轉、用途、去向並不知情。在外部監管無法達到全流程實時監控的情況下,備付金顯然存在被支付機構企業或管理者挪用、侵佔捲款逃跑或倒閉的可能性,易給投資者帶來資金損失的風險。
比如:浙江易士企業管理服務有限公司發生挪用客戶備付金事件,涉及資金人民幣5420.38萬元。又比如:上海暢購企業服務有限公司發生挪用客戶備用金事件,造成資金風險敞口人民幣7.8億元,涉及持卡人5.14萬人。再比如:廣東益民旅遊休閒服務有限公司“加油金”業務涉嫌非法吸收公眾存款,造成資金風險敞口達人民幣6億元。此外,如前所述,第三方支付平臺上的沉澱資金很容易成為盜竊罪的犯罪對象。以杭州市下城區人民法院〔2016〕浙0103刑初第434號刑事判決書為例。根據該判決書,被告人趙某於2016年1月在使用被害人、其女友王某的手機時,發現王某支付寶賬戶內有大量錢款。在猜中支付密碼後,趙某使用自己的手機登錄王某的支付寶賬戶,分多次將該賬戶內的餘額人民幣10萬元轉入自己的銀行賬戶內。案發後,杭州市下城區人民檢察院以趙某涉嫌盜竊罪提起公訴,杭州市下城區人民法院判決趙某構成盜竊罪,判處有期徒刑三年,緩刑三年,並處罰金人民幣4000元。顯然,隨著人們越來越傾向於使用第三方支付端,其亦和錢包、手機、電動車等一樣成為了不法分子覬覦的盜竊對象。
【漂白非法資金】當前,第三方支付平臺往往重“資金”輕“用途”,對資金來源審查不嚴格,甚至是本身的審查能力就有限。這就為不法分子註冊成立空殼公司進行洗錢、轉移贓款提供了空間和便利。實踐中,第三方支付機構涉嫌網絡洗錢案件通常有兩種情形:一是被犯罪分子利用,為其從事走私、毒品、非法集資等犯罪提供資金流轉服務,將“非法資金”通過第三方支付平臺轉換成“合法資金”;二是第三方支付機構或其工作人員主動與不法分子勾結,為其犯罪提供資金結算服務。由於不同第三方支付機構對其開發的平臺系統技術水平及運營能力參差不齊,支付機構內用戶實名制實施情況不同,造成支付賬戶面臨資金安全和信息安全的風險,甚至容易發生支付機構被惡意註冊大量虛假賬戶進行洗錢等犯罪行為。如圖3所示,不法分子設立多個賬戶,與第三方支付平臺發生多次資金往來,再通過虛構網絡交易、木馬“釣魚”洗錢等手法,非法的資金就在一次又一次的交易中被漂白,而第三方支付平臺則在不知不覺中成為其由“非法”變“合法”的綠色通道。
涉第三方支付的案件偵查難點
由上述實例,不難發現,“第三方支付端”已漸漸成為不法分子實施違法犯罪活動的重要工具與平臺。其本身自帶的網絡屬性,加上現有監管制度的不健全,為公安機關偵查涉第三方支付的違法犯罪行為帶來了極大的挑戰,存在客觀的偵查難點:
【支付終端多樣化,查證截獲難度大】隨著銀行業與網絡平臺的結合,四大商業銀行紛紛推出網上銀行,騰訊推出微信聯合人保財險的手機端支付,淘寶聯合天弘基金開發的餘額寶,還有包括:易付寶、百付寶、快錢等多家第三方支付平臺。各平臺自成一套體系,互不兼容,轉賬可以通過手機瞬間完成,這就為偵查取證增加了障礙,需要在多個城市、數個國家之間切換奔波。比如:上海市公安局經偵部門破獲的“日收寶”平臺集資詐騙案,以蘇某為首的犯罪團伙藏匿於境外,通過遠程操控開設公司及網貸平臺並轉移贓款,實施集資詐騙犯罪,設置了案件偵查取證的障礙。由此可見,不法分子在實施網絡集資詐騙、網絡洗錢等違法犯罪時,將資金通過多種支付渠道在短時間內進行轉移,偵查部門在後續開展資金查控時遇到阻礙,直接增加了資金查控難度。
【交易隱蔽難發現,支付涉及範圍廣】目前,互聯網金融仍未接入中國人民銀行的徵信系統,亦不存在信用信息共享機制。因此,當前的第三方支付端存在著數據孤島的問題,缺乏數據的全流程實時監控,不具備類似銀行的風控、合規、清收等機制。一旦發生異常交易,難以形成第一時間的及時發現和有力攔截。另一方面,涉第三方支付端的犯罪突破了傳統經濟犯罪區域化相對固定、發酵速度慢、社會影響可控的特點,不再侷限於一市、一省,而是蔓延至全國、跨國,涉及群眾十分廣泛,群體類型、年齡階段、投資風險分辨能力均情況不一。比如:涉第三方支付端的詐騙案件往往以手機為載體,不特定號碼段、不特定地區,涉及範圍較廣。犯罪分子選擇作案對象不特定,主要以青年人、上網族群體較多。犯罪分子利用受害人想快速收到退款或者賠償費用等心理特點,讓不特定的受害人掃描二維碼隱性付款騙取錢財,容易引發群體性的輿情事件。
此外,如圖4所示,第三方支付的業務領域正在進一步擴展,並且可以預測未來這一趨勢仍將持續並進一步增大。涉第三方支付端的違法犯罪本身存在著涉及面廣、資金量大、調查取證難等特點,極易造成相關機構在出現資金鍊斷裂的情況下負責人攜款“蒸發”、捲款“跑路”的情況。比如第三方支付機構“易寶支付”與P2P平臺“愛增寶”曾簽署託管協議,後“愛增寶”就突然跑路,涉嫌非法集資。
【涉第三方支付的違法犯罪的監管】
誠然,涉及第三方支付領域的違法犯罪行為的監管確實存在著客觀難度,跨區域的協同偵查亦需統一協調。但是,鑑於第三方支付端正在成為不法分子實施違法犯罪的新溫床,故主管部門不能僅立足於法規、政策制定的視角對第三方支付端進行事前規制,更應當著手在事中、事後監管機制的層面下狠功夫。
正如北京大學金融與產業發展研究中心秘書長黃嵩所言,“目前,第三方支付主要是賬戶系統內結算,繞開銀聯。因此,其客戶支付信息等數據,商業銀行和央行等均不掌握,這就產生了一定的風險,比如洗錢、信息竊取等”。鑑於此,有必要設立專門機構監管第三方支付機構的清算系統。可喜的是,中國人民銀行支付結算司於2017年8月向有關金融機構下發《關於將非銀行支付機構網絡支付業務由直連模式遷移至網聯平臺處理的通知》,明確建立非銀行支付機構(俗稱“第三方支付機構”)網絡支付清算平臺(即“網聯”),自2018年6月30日起,支付寶、財付通等非銀行的第三方支付機構的網絡支付業務將有一個共有的轉接清算平臺,並受中國人民銀行監管,便於央行掌握客戶賬戶真實的交易信息等,利於洗錢等監管。
另一方面,雖然“網聯”可以解決央行與第三方支付機構之間的數據信息共享問題,卻無法破解公安機關對於涉第三方支付端違法犯罪的數據信息共通的難題。為第一時間發現異常賬戶、異常交易等情況,有利於公安機關先期介入涉第三方支付端的違法犯罪,可以先期在個別省市進行試點,設立公安機關技術偵查部門與網聯的信息共享接口,在規定的情形下涉案數據能夠第一時間送達執法機構,這樣更加有益於嚴厲打擊相關違法犯罪上升的趨勢。
天網恢恢疏而不漏。隨著技術偵查手段的深度介入,加上監管層在事前、事中監管上不斷加大力度,為公安機關打通數據壁壘,必將為第三方支付端設置一道有效的防火牆和應急處置機制,令違法犯罪行為無所遁形。
閱讀更多 蒼羽凌霄 的文章
