论互联网金融视野下第三方支付的刑事风险及防

来自未知 2020-03-22 16:07

       

  正如凯文·凯利在《必然》一书中所说,“我们正在进入计算时代的第三个阶段:流(theFlows)。我们已经从日清日毕模式转换到了实时模式。给别人发信息的时候,我们希望立即就能收到答复。花钱的时候,我们也希望我们的银行账户能立即结算。”正是由于互联网的巨大发展,电子商务深入普及,大数据、云计算、社交网络等技术被广泛应用,我国已经成为全球第一大第三方支付市场。

  近年来,随着电子商务的飞速发展,我国第三方网络支付获得了跨越式的发展。据比达咨询发布的《2016年中国第三方移动支付市场研究报告》指出,2016年我国第三方网络支付总交易额为57.9万亿元,同比增长85.6%。其中,移动支付交易规模为38.6万亿元,约为美国的50倍。截至2017年上半年,获得《支付业务许可证》的第三方支付机构已达到267家。

  随着智能手机的普及和移动网络技术的发展,微信支付、支付宝钱包等移动终端支付方式,极大地改善了用户的消费体验。现在,人们在公交出行、超市购物、娱乐消费等活动中,只需带着一部手机就可以畅游天下。

  第三方支付领域超常规的快速发展,总体带来的是经济和产业的繁荣,对实体经济产生了积极的推动作用,也给人们带来了极大地便利。但是,一些盲目竞争者对利益的过度追求使行业的一些问题开始,风险隐患不断产生。笔者认为,第三方支付发展过程中存在着民事、刑事法律风险。仅刑事风险而言,第三方支付的支付流程设计为非法套现、洗钱、非法集资、窃取资金等违法交易活动提供了可乘之机,极易成为资金非法转移的工具。

  近年来,在司法实践中,犯罪利用第三方支付平台盗窃账户资金的案件呈高发态势。笔者将列举自身的办案实例以及相关典型案例,分析账户失窃的原因。

  [案例一]郭某、毛某某(女)与刘某某经合谋,于2014年11月至2015年3月间,由刘某某通过网络途径购得他人的身份信息及银行卡号、交易密码等账户信息,经查询并筛选出余额较多的账户后,刘某某郭某、毛某某委托专人制作虚假身份证。随后,郭某、毛某某各自持“身份证”到电信营业厅补办被害人的手机SIM卡(身份识别卡),并利用接收到的手机短信验证码,通过支付宝、快钱、网银在线等快捷支付平台转账或网购游戏卡、赌博筹码再兑换成现金的方式,盗走7位被害人共计人民币61万余元。

  [案例二]朱某某、郑某通过网络联系到广东省吴川市的李某某,要求购买电信用户的手机号码及个人信息资料。李某某先将从淘宝网一卖家处获取的10个手机号码及密码发给朱某某。朱某某、郑某筛选出开通支付宝账户的手机号码,登录电信网上营业厅,激活手机用户的短信拦截功能,采用拦截支付宝、银行客服向手机用户发送的短信和利用支付宝平台“忘记登录密码”向手机用户发送更改账户密码的验证码功能,对支付宝账户密码进行,直接将支付宝账户和关联的银行卡内的存款转入银行账户或买卖游戏点卡实施盗窃,后他人共盗取人民币23万余元。

  通过比较,上述案例有以下共同点:其一,个人信息,尤其是身份、账户信息均被泄露无遗,犯罪以网络方式就能轻而易举地购买到大量信息。其二,犯罪均利用了手机接收到的验证码实施盗窃。有所不同的是,在案例一中,犯罪利用了电信通讯公司审查不严的漏洞,以虚假身份证补办了被害人的手机SIM卡。而在案例二中,犯罪则是利用的支付宝平台的缺陷,以“忘记登录密码”的方式了被害人的支付宝账户密码。其三,犯罪均是直接通过支付宝转走关联账户的钱或是利用支付宝进行网络消费。

  通过上述案例可知,账户失窃的源头就在于个人信息的泄露。其一,或者金融、电信、交通、教育、医疗等单位的国家工作人员,通过主管各项行政事务、经营垄断性行业以及负责日常生活等方式获取个人信息。其二,各类社交、购物、第三方支付等网络平台,要求实名注册并提供相关身份信息。

  在案例二中,犯罪以“忘记登录密码”的方式,轻而易举地了被害人的支付宝账户、密码。显然,第三方支付与网银支付的数字证书、电子签名等措施相比,在安全性上有很大的缺陷。以支付宝为例,微博和朋友圈里曾流传着一则“惊悚实验”,该实验演示的是“支付宝关联了银行卡,如果手机丢了会发生什么”。实验附图详细解释了如果个人手机丢失,他人如何利用此手机盗取与手机关联的支付宝账户中资金的过程。其实,这个测试利用的就是支付宝与个人手机账号相连接的“弱点”。总的来说,这一风险源于手机的权限太大,只要用手机短信找回密码就很容易解除安全设置,发生他人本人账户的风险。

  个人信息泄露是第三方刑事风险存在的,因此,司法机关应当从严打击上游犯罪,从源头上遏制住风险。一是,针对当前利用网络买卖信息的现状,网监部门应当建立严密的机制,在金融机构数据库等地点,对相关人员及IP地址等实施即时和不定期巡查,做到事先预防。二是,司法机关应当被允许利用更多的高科技手段取证,不仅可以从通讯商处调取通话记录、短信内容和聊天记录,还可以通过专门的技术工具,追踪定位犯罪嫌疑人,突击检测其手机、电脑、U盘等电子设备是否涉及犯罪。

  电信部门在加强内部管理的基础上,应当在合理和便捷的帮助用户补卡的同时,更加注重用户号码的安全。比如,广东电信实施的新规值得借鉴。在新规则中,非实名制用户未能提供密码,需提供5天前3个月内的5个通话记录,再加上答对或提供充值记录、激活日期、卡托三项内容中的任意一项,即可补卡。如果用户仍然无法提供上述3选1的信息,广东电信还创造性地引入三方通话验证的方式,即由客服人员向客户和客户随机的一位常联系人发起三方通话,让亲友帮助自己验证身份,确认客户的机主身份后,便可为其设置客户密码,客户再凭客户密码便可到营业厅直接补卡。由于新规则中,用户所提供的验证资料必须为5天前的有效数据,这也有效的防范了恶意补卡的现象发生,从而确保了用户的财产安全。

  2015年11月1日开始实施的《刑法修正案(九)》,基于对个人信息的,将《刑法》第253条之一关于出售、非法提供因履行职责或者提供服务而获得的个人信息犯罪的进行了修改,扩大了犯罪主体的范围,增加了出售或者非法提供个人信息的犯罪,并且对“地获得个人信息后,又将该信息出售、非法提供给他人的行为”的法律空白进行了填补。

  2017年6月1日起施行的《关于办理个人信息刑事案件适用法律若干问题的解释》(以下简称《解释》),结合当前个人信息犯罪的特点和司法实践反映的问题,对个人信息罪的标准和相关法律适用作出了全面、系统的解释,势必对人民群众个人信息安全以及财产、人身权益,发挥重要作用。

  2015年7月31日,中国人民银行发布《非银行支付机构网络支付业务管理办法(征求意见稿)》(以下简称《意见稿》)。《意见稿》首先对第三方支付的客户管理、风险管理、监督管理以及法律责任等问题做了详细。这些对于支付行业市场秩序、消费者的权益以及化解潜在的系统性金融风险等,都具有积极的作用。

  《意见稿》的实施将从根本上加快第三方支付行业的重组和洗牌的速度,促进我国支付行业的发展壮大。但从互联网金融发展的全局来看,新规还有进一步完善的空间。一是要适应移动支付的需要。《意见稿》要求第三方支付实施数字证书与电子签名,这是适应PC时代的验证方式,但在移动支付已成主流的今天,很难运用到手机上。二是要完善当前的网络支付清算体系,充分考虑互联网支付在整个网络支付体系中的角色和地位,进一步完善当前的网络支付体系。三是要切实落实协同监管,落实分业监管的基本原则。

  



 

 

(责任编辑:永乐国际)