|
刘仁文
第四方支付,也称聚合支付,是介于商户和第三方支付之间,通过工具、App和网站等渠道整合银行、第三方支付和服务商的新型支付方式。第四方支付具有广泛的兼容性、显著的便利性和集中的流量性,为交易方提供了高效、便捷的在线支付综合解决方案。不过,在打通移动支付“最后一公里”后,第四方支付也出现了一些违法犯罪现象,需要加以研究和规制。
第四方支付的违法犯罪类型
违规非法经营。根据2010年6月央行发布的《非金融机构支付服务管理办法》(下称《办法》)规定,第三方支付机构按照规定申领《支付业务许可证》,由此我国第三方支付行业正式进入牌照监管时代。《办法》及后续规章对第三方支付机构的牌照申请、备付金管理、合规要求等作出了系统安排。与之相对应,第四方支付服务商则无需申领牌照,其定位是第三方支付机构的外包服务机构。2017年央行发布《关于开展违规“聚合支付”服务清理整治工作的通知》(下称《通知》),明确规定其不得从事资质审核、协议签订、资金结算等核心业务;不得以任何形式经手特约商户结算资金,从事或变相从事资金结算。但不少服务商为追求利益,利用监管漏洞,超越自身定位从事或变相从事业务风控、资金结算、核心数据等非法经营行为,导致支付风险,扰乱金融秩序,具有明显的社会危害性。
侵犯个人信息。根据《通知》明确规定,聚合支付不得采集、留存特约商户和消费者的敏感信息。2018年,全国金融标准化技术委员会就《聚合支付安全技术规范》公开征求意见,意欲在术语定义、系统实现、安全技术等方面构建聚合支付服务的基本框架,其中对数据安全问题给予高度关注。但现实中,有的第四方支付(聚合支付)服务商技术能力、安全能力、风控能力有限,大量敏感信息处于“裸奔”中;有的服务商利用微信公众号“扫码自动关注”功能在高频交易流量中囤积大量“粉丝”进行非法变现;更有服务商采取注册返现形式吸引用户上传信息并进行加工和贩卖。可见,第四方支付服务商既可能会因内部管理、技术标准、业务流程等原因无意泄露公民个人信息,也可能会以牟利为目的向他人出售或提供公民个人信息,造成对身份、账户、照片等个人信息的侵害。
帮助上游犯罪。部分第四方支付服务商“挂羊头,卖狗肉”,为网络诈骗、网络赌博、网络色情、网络洗钱等犯罪提供资金结算通道,沦为犯罪分子的“金融结算中心”和“资金绿色通道”。为了规避第三方支付的资金监管,不法服务商会在上游环节购买银行卡、身份证、手机卡、U盾等“四件套”,或成立相关掩护型公司,作为违法犯罪的工具或手段,或在中游环节自行编译或外部购买第四方支付源代码,组建包含维护研发平台、审查提现申请、发展下级代理等分工的稳定团队,或在下游环节拓展具有资金支付结算需求的不法客户并收取高额佣金。有些服务商能在帮助违法犯罪活动中日均处理50万笔交易,处理失误率低于十万分之一,堪比中型银行的交易规模和交易水平。为了对抗T+1的机制(隔天交易机制),他们会在一天内完成资金结算,甚至有服务商寻找或充当“代付方”以自有资金先行垫付并收取更高佣金。
规范第四方支付的对策建议
严格落实第四方支付的行业定位。要明确第四方支付服务商的外包服务机构定位,严禁其异化为“二清”机构(二次清算机构)。“二清”机构未获央行支付业务许可,却在持牌收单机构下实际从事支付业务,结算资金经过“一清”机构(银联或第三方支付机构)后先转至“二清”机构开立的第三方账户,经由该第三方账户处理后再结算至商户收款账户,因此存在资金监管失控和信息大量泄露的风险。为了实时监管资金流向,2017年央行宣布第三方支付机构应停止直连银行模式,所有网络支付业务需经由银联或网联平台。随着央行“断直连”和支付机构客户备付金集中存管的推进,我们应实行支付链路的穿透式监管,集中管理和清算银行、第三方支付、第四方支付三者之间的交易接口,坚守第四方支付服务商的辅助支付定位。 |
