跨境支付反洗錢挑戰：遭遇歐盟最嚴個人資訊保護掣肘

　　今年7月末，外管局公布27起違規案例，其中5起違規案例涉及第三方支付公司違反外匯管理規定，包括支付寶、財付通等第三方支付機構首度出現在違規案例中。

　　這令第三方支付機構開始意識到，隨著跨境支付業務持續火熱，趨嚴監管已經如影隨形。

　　“本月我們的一項重要工作，就是對國際收款產品整個業務流程再做一輪合規性評估，確保每個環節都符合反洗錢反恐怖融資、擁有真實貿易背景等監管要求，避免跨境支付業務淪為個別不法分子違規跨境轉移資金的新路徑。”一家第三方支付機構合規部負責人告訴記者。

　　但他依然擔心，儘管近年相關部門收緊了第三方支付機構的跨境支付牌照發放，但如果違規案例持續增加，不排除央行相關部門最終可能收回部分支付機構的跨境支付牌照。

　　“當越來越多金融科技技術融入跨境支付業務，令整個金融服務體驗變得更加便捷高效同時，如何持續強化反洗錢等合規操作力度，將是支付機構急需解決的一大發展瓶頸。”這位合規部負責人強調說。

　　反洗錢監管博弈

　　在多位第三方支付機構人士看來，跨境支付業務其實具備一定的反洗錢特性，通常情況下，跨境支付必須滿足“三單合一”的前提條件，才能付款放貨。具體而言，即跨境電商平台方需提供交易單，支付方需出示支付單，物流方則提供物流單，當三單合一以證明貿易背景真實性，海關部門才會放貨，第三方支付機構隨之完成跨境付款流程。

　　然而，在實際操作環節，部分不法分子仍然發現“有空子可鑽”。比如他們先選擇第三方支付機構跨境支付方式購買海外商品，然後再向相關海外電商平台“申請”退貨，套取相應的資金，實現資金違規出境。此外，個別企業或個人還與海外電商平台“勾結”，利用不合理貿易定價等做法，同樣能讓資金違規轉移出境。

　　“由於第三方支付機構難以跟蹤上述跨境付款資金後續流向，且無法判斷貿易定價是否合理，也讓這些不法分子有機可乘。”上述第三方支付機構合規部負責人向記者透露，此前他曾發現個別海外電商平台對部分商品的定價不夠合理，曾向這些平台提出過疑問，但考慮到彼此合作關係就不再深入追究。如今，隨著監管趨嚴，他所在平台內部重新制定了新的風控操作準則，一經發現可疑交易必須上報，以免小洞不補，大洞吃苦。

　　在他看來，第三方支付機構要建立完善的跨境支付反洗錢監管體系，還需要從三方面下功夫：一是針對跨境支付業務的資金性質做好管理，從資金來源入手，做到資金源頭“無問題”；二是確保資金實際清算到最終合作的收款人账戶，並對收款人加強國際反洗錢、反恐怖融資的篩查；三是盡可能多地接入境內外反洗錢、反恐怖融資機構數據，通過此類機構篩查合作商戶或跨境電商平台是否存在洗錢行為，從而加大相關業務的合規審核。

　　“但這意味著平台需要花費更多資金購買大量反洗錢黑名單，導致跨境支付業務盈利期被拉長。”他直言。

　　記者多方了解到，除了花費大量資金接入更多反洗錢黑名單，不少第三方支付機構正在嘗試借助區塊鏈技術堵住反洗錢管理的漏洞。具體而言，這些支付機構借助區塊鏈不可篡改的特點，將整個跨境支付流程所涉及的交易雙方資料與相關交易付款資訊記錄在區塊鏈上，從而讓相關資訊流、資金流、商品流變得可追溯，便於相關部門核查，迫使洗錢行為漸行漸難。

　　“但此舉存在一個較大的局限性，就是付款操作與收款操作必須是同一家銀行，讓銀行通過內部大數據核查確認收付款雙方均不存在洗錢問題。一旦是兩家銀行開展上述操作，由於彼此未必能全面掌握收付款雙方的全部資訊資料，依然可能會出現漏網之魚。”一家第三方支付機構業務主管告訴記者。目前他所在平台采取的解決方案，是通過生物識別、行為畫像識別等人工智能技術提高用戶識別效率與反洗錢偵測能力，甚至平台還嘗試引入爬蟲技術“監測”用戶的各類可疑交易行為，提高反洗錢監管效率。

　　“但是，隨著越來越多西方國家推出極其嚴格的用戶資訊保護措施，反而給我們增加了新難題。”他直言。

　　“最嚴”個人資訊保護法案

　　的另類衝擊

　　這位第三方支付機構業務主管所說的極其嚴格用戶資訊保護措施，主要是5月底歐盟頒布的《通用數據保護條例》（簡稱GDPR）。

　　它也被稱為史上最嚴的數據保護法案，令過去電商平台習以為常的、利用爬蟲技術挖掘用戶消費行為數據的做法因涉嫌侵犯隱私，變得不再“合法”。

　　在他看來，GDPR的最大“殺傷力”，在於任何企業只要在歐盟市場提供商品或服務，或收集歐盟公民的個人數據，都將受到這部法案的管轄。舉例而言，若中國跨境電商平台出現“面向歐洲的特惠產品”、“歐洲區包郵”的字樣，或標注商品的歐元價格，就可以被視為在歐盟市場提供商品或服務，將受到GDPR的管轄。

　　“這無形間給第三方支付機構跨境支付反洗錢管理構成了新壓力。”一位向歐洲電商平台提供跨境支付服務的支付機構負責人向記者坦言。以往不少合作電商平台會“自動”記錄用戶搜索和購物行為，一方面根據用戶消費習慣有針對性推薦商品，另一方面也可以作為判斷用戶是否存在洗錢行為的重要依據。比如當某個用戶極有規律地在固定時間反覆溢價購買特定的貴重商品，或者頻繁變更自己銀行账號進行跨境付款“完成資金歸集”，都可以令平台加大這類跨境支付行為的反洗錢監管。如今，由於GDPR法案規定跨境電商平台等網站經營者不得擅自將用戶姓名、銀行账戶、IP地址等個人資訊用於其他業務用途，導致上述監管方式遭遇“違反歐盟GDPR法案”的挑戰。

　　在這位第三方支付機構業務主管看來，更糟糕的是，中國監管部門要求支付平台需做好“了解你的客戶”、“了解你的業務”和“盡職審查”三項基礎原則，嚴防跨境支付業務過程的洗錢行為。這意味著不同國家對個人資訊保護的監管尺度不一，正令跨境支付業務難以同時滿足不同國家地區的監管要求。

　　“這也讓我們一度不知所措。”他坦言，目前他們所能做的，一是加強與合作海外電商平台的溝通，在不違反GDPR法案的情況下，對某些可疑用戶跨境購物付款行為進行必要的合規審查，進而反饋給中國金融監管部門，二是加大投入購買更多反洗錢黑名單資料，從而對部分涉嫌洗錢的海外電商平台或商戶加大風險管控力度。不過，這種做法能否滿足國內監管要求，他坦言心裡沒底。

　　“其實我們更擔心的，是美國等海外國家步歐盟後塵，相繼頒布嚴格的用戶資訊保護法案，讓整個跨境支付業務的反洗錢合規操作成本日益增加，最終這項業務實現盈利，變得遙遙無期。”他直言。

　　（編輯：曾芳，如有意見或建議，請聯繫：[email protected]）

責任編輯：謝海平