在上一期的文章“第三方支付机构反洗钱及网络犯罪法律风险防范（上）”当中，我们对网络第三方支付的基本运转模式以及各个业务项下现存的一些漏洞做了详细的梳理和介绍，以下我们将从各国法规监管及一些原则上的风险规避要求角度，来厘清目前的第三方支付机构反洗钱、反网络犯罪法律现状。

一、对于支付机构反洗钱的法规要求

      对于反洗钱犯罪的预防，源头是支付客户以及客户所从事的业务。作为第三方支付机构也好，首先必须具备较高的风险意识，并需要遵循风险为本的方法。《互联网金融从业机构反洗钱和反恐怖融资管理办法（试行）》（以下简称《反洗钱管理办法》）明确规定，从业机构应当遵循风险为本方法，根据法律法规和行业规则，建立健全反洗钱和反恐怖融资内部控制制度，强化反洗钱和反恐怖融资合规管理，完善相关风险管理机制。无处例外，香港《打击洗钱及恐怖分子资金筹集指引》（以下简称《打击洗钱指引》）也指出，风险为本的方法是有效推行打击洗钱/恐怖分子资金筹集制度的关键。

（一）客户身份识别的要求

1.基本原则

     “了解你的客户”，是对于客户身份识别的基本原则。根据此项原则，需要针对具有不同洗钱或者恐怖融资风险特征的客户、业务关系或者交易应釆取相应的合理措施，了解客户及其交易目的和交易性质，了解实际控制客户的自然人和交易的实际受益人。也就是说，需要对客户的基本情况、日常经营情况有所了解和掌握，如果客户结算账户出现异常，可能涉及到洗钱行为的，则需要进一步进行背景调查。

     《反洗钱管理办法》没有规定对客户的实际控制人进行穿透性审查，但是香港《打击洗钱及恐怖分子资金筹集条例》（以下简称《打击洗钱条例》）对此有所要求。根据《打击洗钱条例》，需要对“实益拥有人”的身份进行识别和核实。实益拥有人是指，最终拥有、控制客户或由客户代其进行交易或者活动的自然人。由此，作为金融服务机构，非但要对客户本身的身份进行鉴别，还要对客户的实际控制人或者持有25%股权的股东或者25%权益的合伙人进行穿透性鉴别，直至自然人。相对而言，香港《打击洗钱条例》在反洗钱制度中对客户鉴别的要求要大大高于中国人民银行现行的要求。

2.客户身份初次识别的要求

A．核实基本信息

      根据对于建立初次支付账户的客户，不论是单位客户还是个人客户，都需要进行实名制登记，核实客户的基本情况。单位客户需要出示营业执照等经营性文件，个人客户在出现资金往来频繁或者资金出入较大的情况时，也需要核对个人身份证件及信息，主要包括以下情况：

i.办理单笔收付金额人民币1万元以上或者外币等值1000美元以上支付业务的；

ii.全部账户30天内资金双边收付金额累计人民币5万元以上或外币等值1万美元以上的；

iii.全部账户资金余额连续10天超过人民币5000元或外币等值1000美元的；

iv.通过取得网上金融产品销售资质的网络支付机构买卖金融产品的；

v.中国人民银行规定的其他情形。

B．对客户风险等级的评估制度

      根据《中国人民银行关于印发<支付机构反洗钱和反恐怖融资管理办法>的通知》（银发〔2012〕54号）（以下简称“54号通知”）的规定，支付机构应按照客户特点和交易特征，综合考虑地域、业务、行业、客户是否为外国政要等因素，制定客户风险等级划分标准，评定客户风险等级。客户风险等级标准应报总部所在地中国人民银行分支机构备案。

      54号通知本身未对支付机构客户的风险等级如何划分做出明确规定，但要求支付机构自行制定并交当地中国人民银行备案。一般原则是在综合评估客户的各类因素以后，划分为四个等级，即低风险等级，普通风险等级，较高风险等级，以及最高风险等级。

      香港《反洗钱指引》也没有对客户的风险等级做出划分，但是对金融服务机构辨别客户风险等级的要求做出了较为明确的划分原则。这些原则主要要求金融服务机构考虑客户的性质，法人治理结构，主要业务范围，交易方式，国家和地区因素，是否是政治人物等等。 其中，对于上市公司、已经持牌的金融机构、会计师或者律师事务所、地方政府机构等较低风险的机构，可以使用简易识别程序。但对于来源于某些特定的国家或者地区的客户，或者无法判别业务类型，股权代持等情况的客户，就需要采用较高级别的识别程序，必要时还需要接受金融主管机构的建议进行识别。

      值得注意的是，根据香港《打击洗钱条例》及《打击洗钱指引》，如果金融服务机构没有对客户进行尽职调查，不得与客户建立业务关系。同时，金融服务机构也被禁止为客户设立匿名账户并与之建立业务关系。

3.信息更新和重新识别的要求

      根据54号通知的规定，在下列情况下，支付机构需要对客户的信息进行更新，或者作出重新识别：

i.客户要求变更姓名或者名称、有效身份证件种类、身份证件号码、注册资本、经营范围、法定代表人或者负责人等的；

ii.客户行为或者交易情况出现异常的；

iii.先前获得的客户身份资料存在疑点的；

iv.支付机构根据风险为本的方法，认为应当重新识别客户身份的。

（二）客户交易识别和记录的要求

      根据54号通知的规定，要求支付机构对于客户的所有交易都要做好记录。记录的要素包括：交易双方的名称，交易金额，交易时间，交易双方的开户银行或者支付机构名称，以及银行账户号码、支付账户号码、预付卡号码、特约商户编号或者其他记录资金来源和去向的号码。支付机构对于上述资料至少保存5年，并且如果监管机关有要求或者客户涉及反洗钱调查的，则根据需要继续保存。

（三）可疑报告及持续监测的要求

      《反洗钱管理办法》规定，支付机构应按照勤勉尽责的原则，对全部交易开展监测和分析，报告可疑交易。同时，支付机构应建立完善有效的可疑交易监测分析体系，明确内部可疑交易处理程序和人员职责。支付机构应指定专门人员，负责分析判断是否报告可疑交易。

      香港地区《打击洗钱条例》对于金融服务机构对交易进行持续监测的要求则更为详细。首先，要求金钱服务经营者采用风险为本的方法对所有业务关系进行交易监察。其次，要求金钱服务提供者设立及维持适当的系统及程序，以监察交易，并对系统和程序的标准作出了要求。第三，要求金钱服务经营者定期或在遇到触发事件时复核客户的现存资料以及尽职调查记录，并制定清晰的政策和程序来明确定期复核的频率以及触发事件的标准。最后，要求金钱服务经营者确保交易监察系统及程序能够向所有负责执行交易监察及调查的相关职业提供适时而充分的资料，足以识别、分析及有效监察客户的交易。

二、支付机构反洗钱法律风险

      为了惩治非法从事支付结算业务，或者非法外汇买卖业务的活动，2019年1月31日，最高人民法院、最高人民检察院发布《关于办理非法从事资金支付结算业务、非法买卖外汇刑事案件适用法律若干问题的解释》（以下简称《解释》）。根据该司法解释，普通的非法从事支付结算业务，或者进行非法外汇买卖业务，将构成《刑法》第225条的非法经营罪，但如果从事非法支付结算业务，或者非法外汇买卖构成洗钱或者帮助恐怖活动罪，则按照洗钱罪或者帮助恐怖活动罪论处。

      《解释》的颁布，一方面是为了杜绝违法支付的渠道，另一方面也是为防止支付机构为违法资金流动提供帮助成为违法资金流动的温床。根据《解释》的规定，下列行为属于“非法从事资金支付结算业务”：

（1）使用受理终端或者网络支付接口等方法，以虚构交易、虚开价格、交易退款等非法方式向指定付款方支付货币资金的；

（2）非法为他人提供单位银行结算账户套现或者单位银行结算账户转个人账户服务的；

（3）非法为他人提供支票套现服务的；

（4）其他非法从事资金支付结算业务的情形。

      另外，《解释》也明确了对于非法资金支付和结算，以及非法外汇买卖构成犯罪的各项定罪标准。从解释可以看出，如果支付机构不加强对于反洗钱以及非法支付的风险控制，则很有可能被违法人员利用用于非法支付，严重的可能引发犯罪，或者成为犯罪行为的共犯。

      2019年3月中国人民银行发布《关于进一步加强支付结算管理防范电信网络新型违法犯罪有关事项的通知》（银发[2019]85号）（以下简称“85号通知”），要求所有与支付有关的机构，包括各级银行、清算机构以及各非银行支付机构，根据网络犯罪新形势进一步加强落实支付结算管理，防范法律风险。通知对支付机构的风险控制在客户的实名制管理，加强转账管理，强化对特约商户收单管理及日常支付监督，以及加强数据管理和保存和对于司法机关调查的配合度等方面提出了更高的要求。如果各类支付机构没有落实并且情节严重的，则中国人民银行将依据《中华人民共和国中国人民银行法》第四十六条的规定予以行政处罚，构成犯罪的追究刑事责任，并对支付机构的防范义务和责任提出了更高的要求。

三、支付机构防范反洗钱法律风险需要采取的措施

（一）建立完善的反洗钱内控机制

      根据54号通知的规定，对于支付机构总部要求依法建立健全统一的反洗钱和反恐怖融资内部控制制度，并报总部所在地的中国人民银行分支机构备案。同时，支付机构应当设立专门机构或者指定内设机构负责反洗钱和反恐怖融资工作，并设立专门的反洗钱和反恐怖融资岗位。

      根据《中国人民银行办公厅关于支付机构履行反洗钱职责情况的通报》（银办发〔2013〕29号）（以下简称“29号通报”），很多支付机构或者未建立完善的反洗钱内控制度，或者即便建立了内控制度，但是没有较好地落实执行，流于形式，或者内控制度职责不明，不利于实际操作。因此，作为反洗钱的有效手段，支付机构首先应当建立完善的合规及风控制度，将具体的工作和责任落实到具体的岗位和人员。在扩大业务规模的同时，需要进一步加强风险意识，根据实际情况对反洗钱内控制度不时进行更新。

      香港《打击洗钱条例》及《打击洗钱指引》根据业务范围及风险程度不同，建议金融服务机构设立三个等级的内部监管，即公司高管层面，合规主任层面，以及洗钱报告主任层面。这三个层面均有较为明确的分工、职责，及汇报制度。同时，规定金融服务机构需要及时向“联合财富情报组”及其他执法机构披露和报告可疑情况，并协助执法机构进行调查。

（二）积极履行可疑报告和持续监测的法律义务，配合司法机关的调查取证和紧急冻结

      根据85号通知的要求，支付机构在受理公安机关通过电信网络新型违法犯罪交易风险事件管理平台发起的查询业务时，应当准确反馈交易流水号。强化涉案账户查询、止付、冻结管理。对于公安机关通过管理平台发起的涉案账户查询、止付和冻结业务，符合法律法规和相关规定的，银行和支付机构应当立即办理并及时反馈。

（三）以风险为本的方法了解客户及客户所从事的业务

1.选择适当的合作机构及合作模式

      基于支付机构主要是为商户与消费者之间提供支付服务的特点，对于网络支付和收单业务，支付机构一般难以依靠企业本身的力量寻找商户，主要依靠网络或者当地的其他咨询机构负责线上或者线下的市场开拓和寻找商户，或者与其他商业机构合作寻找市场，并将支付业务所获得的收益与这些机构分享。

      在实践中，需要对这些合作的代理机构或者商业机构的基本资质和实际控制人进行验证和考察。一方面是从反洗钱风险的角度考虑，对合作机构的运营方式和主要客户等情况予以了解，对合作机构及其股东或者实际控制人是否存在被行政处罚，或者犯罪记录，以及拟帮助开拓的市场领域等情况进行初步调查；另一方面是从保护商户及消费者的角度考虑，防止这些机构存在欺骗商户，或者套取商户资金的行为。作为支付机构，无论与其他商业机构采取何种合作方式，都要与商户建立直接的支付法律关系，并签署支付合作协议。同时，必须防止商户与合作机构建立代理支付关系，防止合作机构截留商户的款项，进行所谓的二次清算。

2.注意真实商户和支付主体

      根据《反洗钱管理办法》、29号通报以及85号通知的要求，支付机构应当通过合理手段核对客户基本信息的真实性，同时严格审核支付主体单位开户证明文件的真实性、完整性和合规性，保证开户申请人与开户证明文件所属人的一致性。

      对于支付机构而言，一般只能通过核对商户的营业执照、身份证等证件审验客户的表面真实性，但对于商户的实际控制人一般没有办法完全了解。有一些商户是个体工商户或者民营企业，会将个人账户与单位账户支付主体相混同。在这样的情况下，支付机构需要进一步确认单位账户和个人账户的合法性，以及日常交易的真实性，从而保障没有被洗钱的风险。支付机构在有足够人员配备的情况下，应尽可能地去商户现场走访，了解商户的动态，并且做好预警机制。对于在预先核对过程中发现有可能涉嫌直接或变相的赌博、色情平台，非法销售彩票平台，非法外汇、贵金属，非法证券期货类交易或融资等金融平台，以及代币发行融资及虚拟货币交易平台等不能提供支付服务，并应当及时报告有关监管机构。

3.对商户的资金异动进行观察和监测

      根据前述规定，支付机构应当健全单位客户风险评级管理制度，根据单位客户风险评级，合理设置并动态调整同一单位所有支付账户余额付款总限额。发现单位支付账户存在可疑交易特征的，应当釆取面对面、视频等方式重新核实客户身份，甄别可疑交易行为，确属可疑的，应当按照反洗钱有关规定釆取相关措施，无法核实的，应当中止该支付账户所有业务；对公安机关移送涉案账户的开户单位法定代表人或负责人、经办人员开立的其他单位支付账户。

      支付机构在拓展特约商户时，应当通过中国支付清算协会或银行卡清算机构的特约商户信息管理系统查询其签约、更换收单机构情况和黑名单信息应当重点核实。对于有实体经营场所的商户每年至少做一次巡检，对于没有实体经营场所的商户也要通过某种适当的方式，例如视频等采集和更新信息。

      POS机等智能终端是第三方支付特别是线下支付的常用工具。由于对POS机管理缺乏有效的法律法规，POS机在网络上可以被随意买卖，一方面极大破坏了商业环境，另一方面也不利于对金钱流通进行监控，为洗钱提供了便利通道。85号通知发布后，对POS机等智能   终端不能随意进行买卖，对支付机构对于智能终端的管理也提出了要求。作为支付机构，应当了解智能终端的流向，并且需要采取措施积极防止智能终端被用于非法交易。对于3个月以上没有交易记录的终端设备，应当采取停用，重新核实用户身份等方式进行监控。

（四）妥善签署与商户之间的支付服务合同，保障合理审查权利

      虽然第三方支付机构作为商业机构，需要以谋求利润作为企业经营的宗旨，但是作为反洗钱的一个重要通道，必须首先保障交易的安全性及合法性。由于目前很多反洗钱的规定都不是法律或者法规，而是部门规章或者行政性命令，因此本身缺乏一定的强制执行效力。这就要求第三方支付机构在与客户签署合同时保留必要的审查权利，以及行使法律或者行业规范所要求审慎义务的权利。主要可以从以下几个方面考虑：

（1）关于终端设备的使用限制。

      为符合对交易进行监测的要求，支付机构对于终端设备应当进行跟踪和监测。为避免商户或者用户将终端设备用于其他非正常用途，支付机构可以与商户就终端设备的使用进行约定，包括对终端设备的使用地域范围予以限制，在一定条件下限定商户的每日交易限额，以及必要时停止终端设备的使用，并要求商户返还终端设备。

（2）明确特约商户配合审查的义务。

       支付机构可以在与商户的合同中约定，如果发现商户有涉嫌违法交易的行为，支付机构有权向商户了解情况，对可疑的交易进行审核，商户应当予以配合。

（3）约定支付机构在遇到商户发生疑似洗钱的行为时，有权采取一定的措施，包括向有关执法机关报告动态。

      为避免非法资金逃窜，支付机构可以与商户约定，如果发现商户的资金往来超过正常范围，并且存在违法犯罪的风险，支付机构可以向有关执法机关和行政职能机构及时报告，并且根据执法机关的命令采取冻结资金，冻结账户等措施。

      洗钱犯罪，是帮助违法犯罪分子摆脱犯罪惩罚的一个通道。打击洗钱犯罪，目的是断绝犯罪行为所得金钱利益的合法化渠道，使得犯罪分子最终无利可图，从而减少犯罪。在全球经济一体化和网络科技日新月异的今天，金钱已经不需要被实物化，而只是存在某个账户上的一个货币品种和数字，这对反洗钱既是一种挑战，也是一种帮助。任何事物的发生和变化都会留下痕迹，对于试图通过合法渠道进行洗钱的犯罪也是如此。网络支付虽然快速便捷，且具有较高的隐蔽性，但是只要通过合理有效的制度，从各个渠道加以防范，必然能够发现有力线索，从而打击洗钱犯罪。