跨境支付遭遇反洗钱挑战：花大钱买黑名单 欧盟GDPR法案过严

今年7月末，外管局公布27起违规案例，其中5起违规案例涉及第三方支付公司违反外汇管理规定，包括支付宝、财付通等第三方支付机构首度出现在违规案例中。

这令第三方支付机构开始意识到，随着跨境支付业务持续火热，趋严监管已经如影随形。

“本月我们的一项重要工作，就是对国际收款产品整个业务流程再做一轮合规性评估，确保每个环节都符合反洗钱反恐怖融资、拥有真实贸易背景等监管要求，避免跨境支付业务沦为个别不法分子违规跨境转移资金的新路径。”一家第三方支付机构合规部负责人告诉记者。

但他依然担心，尽管近年相关部门收紧了第三方支付机构的跨境支付牌照发放，但如果违规案例持续增加，不排除央行相关部门最终可能收回部分支付机构的跨境支付牌照。

“当越来越多金融科技技术融入跨境支付业务，令整个金融服务体验变得更加便捷高效同时，如何持续强化反洗钱等合规操作力度，将是支付机构急需解决的一大发展瓶颈。”这位合规部负责人强调说。

反洗钱监管博弈

在多位第三方支付机构人士看来，跨境支付业务其实具备一定的反洗钱特性，通常情况下，跨境支付必须满足“三单合一”的前提条件，才能付款放货。具体而言，即跨境电商平台方需提供交易单，支付方需出示支付单，物流方则提供物流单，当三单合一以证明贸易背景真实性，海关部门才会放货，第三方支付机构随之完成跨境付款流程。

然而，在实际操作环节，部分不法分子仍然发现“有空子可钻”。比如他们先选择第三方支付机构跨境支付方式购买海外商品，然后再向相关海外电商平台“申请”退货，套取相应的资金，实现资金违规出境。此外，个别企业或个人还与海外电商平台“勾结”，利用不合理贸易定价等做法，同样能让资金违规转移出境。

“由于第三方支付机构难以跟踪上述跨境付款资金后续流向，且无法判断贸易定价是否合理，也让这些不法分子有机可乘。”上述第三方支付机构合规部负责人向记者透露，此前他曾发现个别海外电商平台对部分商品的定价不够合理，曾向这些平台提出过疑问，但考虑到彼此合作关系就不再深入追究。如今，随着监管趋严，他所在平台内部重新制定了新的风控操作准则，一经发现可疑交易必须上报，以免小洞不补，大洞吃苦。

在他看来，第三方支付机构要建立完善的跨境支付反洗钱监管体系，还需要从三方面下功夫：一是针对跨境支付业务的资金性质做好管理，从资金来源入手，做到资金源头“无问题”;二是确保资金实际清算到最终合作的收款人账户，并对收款人加强国际反洗钱、反恐怖融资的筛查;三是尽可能多地接入境内外反洗钱、反恐怖融资机构数据，通过此类机构筛查合作商户或跨境电商平台是否存在洗钱行为，从而加大相关业务的合规审核。

“但这意味着平台需要花费更多资金购买大量反洗钱黑名单，导致跨境支付业务盈利期被拉长。”他直言。

记者多方了解到，除了花费大量资金接入更多反洗钱黑名单，不少第三方支付机构正在尝试借助区块链技术堵住反洗钱管理的漏洞。具体而言，这些支付机构借助区块链不可篡改的特点，将整个跨境支付流程所涉及的交易双方资料与相关交易付款信息记录在区块链上，从而让相关信息流、资金流、商品流变得可追溯，便于相关部门核查，迫使洗钱行为渐行渐难。

“但此举存在一个较大的局限性，就是付款操作与收款操作必须是同一家银行，让银行通过内部大数据核查确认收付款双方均不存在洗钱问题。一旦是两家银行开展上述操作，由于彼此未必能全面掌握收付款双方的全部信息资料，依然可能会出现漏网之鱼。”一家第三方支付机构业务主管告诉记者。目前他所在平台采取的解决方案，是通过生物识别、行为画像识别等人工智能技术提高用户识别效率与反洗钱侦测能力，甚至平台还尝试引入爬虫技术“监测”用户的各类可疑交易行为，提高反洗钱监管效率。

“但是，随着越来越多西方国家推出极其严格的用户信息保护措施，反而给我们增加了新难题。”他直言。

“最严”个人信息保护法案

的另类冲击

这位第三方支付机构业务主管所说的极其严格用户信息保护措施，主要是5月底欧盟出台的《通用数据保护条例》(简称GDPR)。

它也被称为史上最严的数据保护法案，令过去电商平台习以为常的、利用爬虫技术挖掘用户消费行为数据的做法因涉嫌侵犯隐私，变得不再“合法”。

在他看来，GDPR的最大“杀伤力”，在于任何企业只要在欧盟市场提供商品或服务，或收集欧盟公民的个人数据，都将受到这部法案的管辖。举例而言，若中国跨境电商平台出现“面向欧洲的特惠产品”、“欧洲区包邮”的字样，或标注商品的欧元价格，就可以被视为在欧盟市场提供商品或服务，将受到GDPR的管辖。

“这无形间给第三方支付机构跨境支付反洗钱管理构成了新压力。”一位向欧洲电商平台提供跨境支付服务的支付机构负责人向记者坦言。以往不少合作电商平台会“自动”记录用户搜索和购物行为，一方面根据用户消费习惯有针对性推荐商品，另一方面也可以作为判断用户是否存在洗钱行为的重要依据。比如当某个用户极有规律地在固定时间反复溢价购买特定的贵重商品，或者频繁变更自己银行账号进行跨境付款“完成资金归集”，都可以令平台加大这类跨境支付行为的反洗钱监管。如今，由于GDPR法案规定跨境电商平台等网站经营者不得擅自将用户姓名、银行账户、IP地址等个人信息用于其他业务用途，导致上述监管方式遭遇“违反欧盟GDPR法案”的挑战。

在这位第三方支付机构业务主管看来，更糟糕的是，中国监管部门要求支付平台需做好“了解你的客户”、“了解你的业务”和“尽职审查”三项基础原则，严防跨境支付业务过程的洗钱行为。这意味着不同国家对个人信息保护的监管尺度不一，正令跨境支付业务难以同时满足不同国家地区的监管要求。

“这也让我们一度不知所措。”他坦言，目前他们所能做的，一是加强与合作海外电商平台的沟通，在不违反GDPR法案的情况下，对某些可疑用户跨境购物付款行为进行必要的合规审查，进而反馈给中国金融监管部门，二是加大投入购买更多反洗钱黑名单资料，从而对部分涉嫌洗钱的海外电商平台或商户加大风险管控力度。不过，这种做法能否满足国内监管要求，他坦言心里没底。

“其实我们更担心的，是美国等海外国家步欧盟后尘，相继出台严格的用户信息保护法案，让整个跨境支付业务的反洗钱合规操作成本日益增加，最终这项业务实现盈利，变得遥遥无期。”他直言。

来源: 21世纪经济报道 陈植