摘要：第四方支付是聚合多种支付通道的高效便捷的在线支付方式，具有广泛的兼容性、显著的便利性和集中的流量性。网络黑灰产在利用非法第四方支付的过程中产生了企业商户类、跑分平台类和虚假交易类三种主要模式，可能涉及非法经营罪、侵犯公民个人信息罪、洗钱犯罪、上游犯罪的共同犯罪、帮助信息网络犯罪活动罪等犯罪类型。基于非法第四方支付犯罪的监管难点，理应进行前置性法律法规的充分规制、明晰刑法适用的统一标准乃至推进刑事立法的适当补充，从而将非法第四方支付犯罪的防治策略提升为治理网络犯罪的有效经验，以保障数字经济的长远发展和网络秩序的持续稳定。

关键词：第四方支付 聚合支付 业务模式 犯罪类型 刑法规制

前 言

第四方支付（也称“聚合支付”“融合支付”）的快速发展和线下普及影响到我们每个人的日常生活，“扫码支付”“一码通行”的流行促使我国进入“少现金社会”乃至“无现金社会”。相比于欧美社会使用信用卡支付的商业习惯，我国头部支付企业对广大用户支付习惯的大力培养和第四方支付对线下商户的快速覆盖，共同推动我国第四方支付覆盖的商户数量从2016年的121.3万家增长到2019年的2307万家，3年时间增长逾18倍。2019年，我国支持移动支付的商户总数量在5000万左右，其中第四方支付的商户渗透率达到了46.1%。[1]2019年第四方支付处理交易总金额约为40.7万亿元，处理交易总笔数预计为1331.0亿笔；2020年处理交易总金额预计约94.0万亿元，处理交易总笔数预计约3936.5亿笔。[2]在打通“移动支付最后一公里”的过程中，良莠不齐的第四方支付行业也出现了较为严重和令人警惕的犯罪乱象，并引发了理论界和实务界的关注和争议。那么第四方支付的概念该如何界定，其与第三方支付存在哪些区别？非法第四方支付的业务模式和监管难点该如何归纳？司法实践中到底存在什么犯罪类型和争议焦点？为此我们又应采取哪些一体化的防治策略和刑法应对？以上重要且紧迫的一系列问题亟待我们加以研究并给出解决方案。

一、非法第四方支付的业务模式与监管难点

（一）第四方支付的概念和特点

根据一般通说，第四方支付是介于商户和第三方支付之间，通过工具、App以及网站等渠道聚合相关银行、第三方支付和相应平台的新型支付方式，从而为交易双方或多方提供了高效便捷的在线支付综合解决方案。[3]相应地，非法第四方支付是指通过整合承接各类机构的支付能力，为违法犯罪提供支付结算服务的非法支付方式。第四方支付的诞生是在第一方支付、第二方支付、第三方支付基础上的发展和跨越。在支付历史上，第一方支付的本质就是货币支付，属于最古老的支付方式；第二方支付是依托于银行的支付，其原理是通过银行这一中介去完成支付流程；第三方支付是指第三方机构整合银行基础设施并提供给消费者的一种便捷支付方式，属于“非金融机构提供的货币资金转移服务”。[4]央行在2010年发布《非金融机构支付服务管理办法》（下文简称“2010年办法”），要求第三方支付机构应按规定申请支付业务许可证，非经央行批准，不得从事或变相从事支付业务，第三方支付行业由此正式进入牌照监管时代。第四方支付是相对第三方支付而言的新型支付方式，它没有支付许可牌照的限制，并能集合多种支付渠道根据商户需求进行个性化定制。2016年之后，随着我国对第三方支付的资金监管机制日益严格，中国人民银行不再颁发新的支付牌照，在注销掉34个支付牌照后仅剩下237个支付牌照。[5]众多未取得支付业务许可证的第三方支付平台不得不面临转型。由于行业竞争的激烈和巨大非法利益的驱使，开始流转会被正规支付机构拦截的黑灰产资金，并引发巨大的社会危害性。

相比于第三方支付，第四方支付存在以下的特点：第一，更具有广泛的兼容性。二维码的诞生和移动互联网的发展打通了线上和线下的支付场景，推动第三方支付巨头各自占领了较大的市场规模，不同机构的支付方式日益同质化、零散化和多元化，导致提供地推服务和具备整合优势的第四方支付迎来宝贵的发展机遇。相比于特定的第三方支付，第四方支付往往集合了支付宝、微信、京东、百度、银联、Apple Pay等机构的交易通道，涵盖软件支付、扫描支付、银行卡支付等支付场景，能够最大程度兼容各种支付方式。第二，更具有显著的便利性。为了解决第三方支付碎片化、网络化、高频化导致的“一柜多码”、“一店多机”的困扰，第四方支付通常采用交互式方式整合支付渠道并提供一站式服务。具体来说，商户可享有更方便的收银体验、更精准的业务营销和更低门槛的金融服务；消费者可根据不同场景和偏好自由选择使用各种支付账户，从而扩大各个支付账户的使用范围；第三方支付、银行等收单机构可克服线下商户地域分布广、行业差距大、需求差异多的痛点，进行线下商户拓展、后期商户运营和整体售后服务。第三，更具有集中的流量性。在应用场景上，第四方支付应用从商场、餐厅、酒店等泛零售场景扩张到医院、学校、交通等公共化领域；在适用空间上，从一二线城市的存量市场蔓延至三四线城市乃至农村市场的广阔蓝海。因此，在庞大支付基数的基础上，为了在业务分成、比例抽成基础上增加行业利润，第四方支付会进行包括运营管理、会员管理、移动电商、广告收入等在内的增值服务场景布局，第四方支付平台因而成为天然的“流量入口”和“流量水池”。

（二）非法第四方支付的业务模式

随着互联网金融领域监管的逐步完善，监管机构、正规第三方支付机构对非法第四方支付的打击力度逐渐加大，双方随之产生激烈的对抗。非法第四方支付逐渐向着碎片化、智能化、多元化方向升级，以网络赌博领域为例，非法第四方支付演化出企业商户类、跑分平台类和虚假交易类三种主要模式。

1.企业商户类模式

企业商户类模式是通过集成各类商户收单能力形成统一的线上收单结算能力平台，且能根据自身规则和客户需求来切换对应商户进行收单的传统模式。如图1所示，由于第三方支付机构准许商户收单并给予线上收单接口，非法第四方支付就通过多种方式获取大量具有收单能力的商户以便结算。司法实践中，犯罪团伙甚至通过冒用、欺诈等手段，非法获取银行接口，批量开具银行商户组成收款账户池，并根据具体金额、付款人归属地、交易时间等信息从账户池中选择合适商户进行匹配收款，以对抗监管机构和第三方支付机构的审查。[6]

图1 企业商户类运转模式

2.跑分平台类模式

跑分平台类模式是通过各种形式获取大量支付账户，并以跑分返利为名为违法犯罪行为提供资金支付结算服务的新兴模式。如图2所示，非法第四方支付平台往往以购买、租借甚至网络传销的形式引诱大量正常用户参与“跑分”网络兼职项目。当赌客发起赌资充值请求后，境外赌博网站会将充值订单推送至具备类似网约车抢单机制的跑分平台，跑分平台会员可根据自身押金的额度进行抢单。赌客的赌资将根据程序设定自动进入抢单成功的会员账户再转账至赌博网站账户。跑分平台及其会员成为赌博网站及其赌客之间资金流转的“中转”账户和“过渡”账户，赌博网站、跑分平台和平台会员之间再以不同的佣金比例进行分成。这种“赌客—跑分平台—平台会员—境外赌博网站—赌客”的资金闭环流转方式，能有效利用分散且日常的支付账户进行收款，“化整为零”地将非法资金隐藏在用户的正常流水当中，再“化零为整”地归集为赌博网站中的庞大赌资，从而进一步增加了监管和第三方支付机构的风控难度，具备极大的社会危害性。[7]

图2 跑分平台类运转模式

3.虚假交易类模式

虚假交易类模式是通过在各大电商平台以虚开店铺、虚设商品、虚构订单的方式进行非法资金流通结算的新型模式。根据胡润研究院最新发布的“2020年中国十强电商”（以2020年6月30日数据为统计标准），电商平台交易规模持续扩大，阿里巴巴国内零售总成交额（Gross Merchandise Volume）为6.6万亿，京东和拼多多分别为2万亿和1万亿，三家企业共占中国线上零售总成交额的90%。[8]如此庞大的交易规模也引发了不法分子的觊觎之心，他们想法设法突破以上述三家企业为代表的电商平台审核机制和监管制度，以虚假交易方式实现其非法目的。如图3所示，非法第四方支付平台根据电商平台交易频繁、金额巨大的特点，先利用入驻店铺资质审核的漏洞或购买的证照信息，开设空壳店铺并上架多种不同的虚拟商品，再通过掌握的大量非实名用户账户在上述店铺中发起交易请求；进入支付环节时将付款二维码进行技术提取后直接用于赌博平台资金的收取，然后将收取到的赌资直接提现至相关银行卡，最后按照约定比例与赌博平台进行分成提现，从而将非法资金隐藏在电商平台巨额资金流中以规避风控识别。[9]

图3 虚假交易类运转模式

（三）非法第四方支付的监管难点

随着网络科技历经Web1.0到Web2.0再到Web3.0的发展变化，网络犯罪也经历了从物理性到智能性的代际特征更迭。[10]非法第四方支付平台在获取大量非法所得的同时，也不断从人力、物力和智力层面提升反侦察、反监管、反制裁的能力。非法第四方支付的监管难点主要可从“事前”、“事中”和“事后”维度进行分析。

    1.事前阶段：网络实名制落实困难

2015年《互联网用户账号名称管理规定》的正式施行标志着我国开始全面普及网络实名制，该规定要求网络运营者为用户办理相关服务时，应当要求用户提供真实身份信息，若不提供有效身份信息，网络运营者则不得为其提供相关服务。但是，网络世界的虚拟性正是实施网络犯罪的“隐身衣”，非法第四方支付平台会想法设法地规避网络实名制的落实。在个人账户方面，如图4所示，非法第四方支付平台仍能借助账户黑产和身份认证黑产获取大量支付账户，规避账户资金聚集特征的识别并顺利接入庞大和高频的支付链路当中。这些账户往往通过冒用、撞库他人身份账户，或通过购买、租用的形式收集，前者的账户归属人并不清楚这些账户被用于违法犯罪活动，甚至根本不知道这些账户的存在；后者则认为出售、出租自己账户的行为属于信息自决权的范畴，不存在法律风险。在企业账户方面，由于对公银行账户和第三方支付机构的企业账户可用验证因素有限，同时因企业账户具有较高的使用限额和更加便利使用的功能，大量黑灰产在非法第四方支付平台的强需求促使下频繁冒名开具营业执照和真实账户。

图4 个人账户认证流程

2.事中阶段：交易识别和追踪困难

非法第四方支付平台为应对监管部门和第三方支付平台的风控稽核，不断总结并升级完善全套对抗方案，通过在时间、金额、频次、地域等各个维度隐藏资金流水，甚至使用云计算、分布式存储和AI等技术来完成最符合每笔交易发生特征的场景的逻辑计算，从而进一步混淆自身交易特征来规避识别。具体而言，非法第四方支付平台会通过收集用户经纬度和IP地址信息来确认用户实时位置、交易金额、历史交易，然后按照预置算法和因素权重，挑选出最符合用户实际所在地区、交易创建时间、交易请求金额和用户历史习惯的商户进行对接收款。[11]同时，非法第四方支付随着不同模式的演进，账户数目和交易流水增加迅猛，账户使用期和模式成熟期大大缩短，造成非法交易追踪越发困难。如图5所示，在2016—2019年，“企业商户类模式”用3年左右才降低了账户使用周期，增加了账户数量，完成了起步期到成熟期的转变。但在2018年“跑分平台类模式”出现后不久，就呈现单个账户使用周期短、流水小、隐藏深的特点。2019年“虚假交易类模式”的诞生更是突破了原有各类风险识别的管控能力，一出现即进入成熟期，单个账户使用周期只有1-2天，日均资金流水可超过亿元。

图5 非法第四方支付模式演进统计表

3.事后阶段：分析和取证困难

一方面，非法第四方支付平台通过聚合多个支付通道，使得资金流在多家支付机构和多家银行之间往复流转，将原先可以全程掌握的资金链和信息链割裂成多个没有直接关联的部分。出于机构的信息安全考虑，一家第三方支付机构或银行无法完整分析一笔或多笔资金流向。即使司法部门依职权调取多家机构的交易信息数据，但因调证周期长、分析数据多而难以在短时间内进行有效定位和打击。在2018年，通过20笔以内交易数据可初步确定团伙规模，从而进行有效治理。但自2019年至今，即使有500笔交易，也难以准确刻画该非法第四方支付平台的整体情况。另一方面，非法第四方支付平台对硬件及服务器进行升级换代，借助技术能力增设取证难度。如图6所示，通过国内CND（内容分发网络）服务、云平台代理服务器和海外真实服务器的集群，非法第四方支付平台具备了能承载高峰期每秒数千次复杂逻辑计算并能在毫秒级完成计算的强大云计算平台，能在每天百万笔交易中确定每一笔交易资金准确进入与之相符的收款账户并完成清算对账。金融级别的系统稳定性和安全性、多层云加速服务和海外服务器的部署，都给非法第四方支付平台的取证带来了极大的阻碍。

图6 非法第四方支付平台线上服务器结构图

二、非法第四方支付的犯罪类型和争议焦点

根据行为人的主观方面、行为方式、参与时间、参与程度的不同，非法第四方支付平台可能涉嫌不同种类的犯罪，司法实践中对于此类新型案件的罪与非罪、此罪与彼罪存在较大争议，因此有必要通过类型化的思维总结其主要犯罪类型和争议焦点，以期减少实践分歧并形成理论共识。

（一）非法经营罪

为了打击以“地下钱庄”为代表的非法资金转移乱象，2009年刑法修正案（七）第5条在我国刑法第225条非法经营罪增加了“非法从事资金支付结算业务”的规定，旨在遏制相关违法犯罪资金的流转。2017年1月，央行发布《关于开展违规“聚合支付”服务清理整治工作的通知》（下称“2017年通知”），明确规定第四方支付不得以任何形式经手特约商户结算资金，从事或变相从事资金结算、协议签订、资助审核等核心业务。2017年6月，最高人民检察院《关于办理涉互联网金融犯罪案件有关问题座谈会纪要》（以下简称“《会议纪要》”）第三条明确规定了非法经营资金支付结算行为的具体情形。但该纪要对具体情形的情节严重标准未予规定。[12]2019年2月，“两高”《关于办理非法从事资金支付结算业务、非法买卖外汇刑事案件适用法律若干问题的解释》（下文简称“《支付解释》”）第一条进一步增加了“非法从事资金支付结算业务”的具体情形，规定非法从事上述资金支付结算业务，其非法经营数额达到500万元以上，或违法所得10万元以上即可以非法经营罪追究刑事责任。[13]司法实践中，起诉书或判决书往往在表述上并未指明犯罪嫌疑人或被告人到底触犯非法经营罪刑法条文及其司法解释中的何种具体情形，同时由于对非法第四方支付的支付链路梳理不清，司法解释条文理解不同，公检法机关各自对非法第四方支付的行为是否构成非法经营罪存在争议，[14]对兜底条款“其他非法从事资金支付结算业务的情形”的认识也存在分歧。[15]

（二）侵犯公民个人信息罪

根据《民法典》第四编“人格权”、《网络安全法》和相关司法解释的规定，我国坚持“隐私和个人信息”双重保护的立法理念。“2017年通知”从保护个人信息出发，明确规定第四方支付不得采集、留存特约商户和消费者的敏感信息。2017年5月，“两高”《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》基于全面保护公民个人信息的理念，扩大了公民个人信息的内涵和外延，[16]但并没有消弭司法实践对于公民个人信息概念和侵犯个人信息行为的争议。随着第四方支付从外包服务商发展为收单集成商再演变成数据运营商，大量包含隐私信息、个人信息、金融信息在内的优质数据经过或沉淀于第四方支付平台。2018年，全国金融标准化技术委员会公开征求《聚合支付安全技术规范》相关意见，其中对数据安全问题给予高度关注。当非法第四方支付平台非法获取、出售或提供公民个人信息时，情节严重的可构成侵犯公民个人信息罪。由于信息种类的丰富多样，非法第四方支付平台在获取支付账户、隐藏资金结算等过程中，可能会侵犯不同的信息而涉及刑法中的不同罪名；当侵犯公民个人信息成为实现其他犯罪的必要手段，就存在侵犯公民个人信息罪与其他罪名的竞合问题；当非法第四方支付平台经信息主体同意而买卖和利用公民个人信息时，刑法是否应介入其中成为聚讼的争议焦点。[17]

（三）洗钱犯罪

非法第四方支付通过聚合第三方支付、合作银行及其他平台等支付渠道来实现大规模的网络洗钱，其特殊之处在于利用互联网科技和网络金融业态，借助原先辅助支付、便利商业的第四方支付躲避第二方、第三方支付的牌照监管和账户预警，从而能低成本、跨平台、碎片化地进行大量洗钱活动。由于虚拟货币自带的匿名性、便捷性、多样性、跨国性等特点，继犯罪团伙利用比特币、莱特币、维卡币等虚拟货币实施非法集资、网络诈骗、网络传销等犯罪之后，非法第四方支付平台也开始通过USDT数字货币（泰达币）为违法犯罪活动提供网络支付服务。[18]我国当前刑法规定了第191条洗钱罪，第312条掩饰、隐瞒犯罪所得、犯罪所得收益罪，第349条窝藏、转移、隐瞒毒品、毒赃罪来规制洗钱犯罪。侦查机关在查获非法第四方支付平台涉嫌网络洗钱之后，根据其主观方面、上游犯罪类型和提供资金支付结算所处阶段的不同，存在以洗钱罪，掩饰隐瞒犯罪所得、犯罪所得收益罪和窝藏、转移、隐瞒毒品、毒赃罪的不同罪名移送审查起诉的情况，司法实践中不同司法机关对同一行为的认定也有所区别。

（四）上游犯罪的共同犯罪

部分非法第四方支付平台明知上游从事违法犯罪活动却仍“挂羊头，卖狗肉”，为网络诈骗、网络赌博、网络色情等违法犯罪提供支付结算服务，沦为犯罪分子的“资金绿色通道”和“金融结算中心”，其行为已超出“中性业务行为”的“中性”范畴，应以上游犯罪的共犯处理，[19]司法实践中往往构成开设赌场罪、[20]诈骗罪。[21]但是，分工明确、环环相扣的网络上下游犯罪产业链导致了彼此之间的犯意联络存在片面性，网络语言和行业黑话的流行使得沟通内容存在模糊性，网络空间的虚拟性和犯罪环节的专业化产生了意思表示的单向性，直接挑战着传统共同犯罪中共同故意认定的理论和实践。面对涉嫌共同犯罪的非法第四方支付案件，因为对“明知”对象、内容和程度的不同判断，司法机关可能以上游犯罪的共犯、非法经营罪、帮助信息网络犯罪活动罪（下文简称“帮信罪”）等不同罪名加以处理，而三种罪名的法定刑相差较大，同案不同判的现象难以贯彻罪责刑相一致的刑法基本原则。

（五）帮助信息网络犯罪活动罪

《刑法修正案（九）》在我国刑法第287条之二增设了“帮信罪”，规定“明知他人利用信息网络实施犯罪，为其犯罪提供互联网接入、服务器托管、网络存储、通讯传输等技术支持，或提供广告推广、支付结算等帮助，情节严重的”，构成该罪。司法实践中，非法第四方支付平台选择利用自身渠道优势，为信息网络犯罪活动提供线上转账、现金提取等支付结算业务，从而构成“帮信罪”。[22]但在提供支付结算服务时，如果符合该罪的构成要件，也会因没有支付牌照而同时构成非法经营罪。非法经营罪属于重罪，具备五年以下有期徒刑和五到十五年有期徒刑这两档法定刑，如此一来，基于想象竞合犯从一重处的原则，作为只有一档三年以下有期徒刑的轻罪的“帮信罪”就可能没有用武之地。同时因为“帮新罪”的“明知”要求，行为人也可能构成下游犯罪的共同犯罪。司法机关必须在正犯化的帮助犯和实行行为的共犯之间选择适用的具体罪名，如果按照实行行为的共犯加以处理，则“帮信罪”将被空置；而如果按正犯化的帮助犯加以处理，当共犯因情节严重或数额巨大达到三年以上有期徒刑的量刑档次时，则无法与想象竞合犯从一重处的规定相符合。

三、非法第四方支付犯罪的防治策略和刑法应对

近年来，非法第四方支付涉刑的案件屡屡见诸报道，涉案人数多、流转资金大、非法获利多成为此类刑事案件的共同特点。诚如李斯特所言，“最好的社会政策就是最好的刑事政策”，非法第四方支付犯罪的系统治理有赖于防患于未然的防治策略和统筹整体法律规范的制度安排。作为最后的保障法，刑法功能的有效发挥需要前置性法律法规的充分规制，刑法适用标准的清晰界定和刑事立法的适当补充。

（一）前置性法律法规的充分规制

1.坚守第四方支付的行业定位，严禁异化为“二清”机构

“2017年通知”将第四方支付严格限定为“收单外包机构”，其本质是基于支付各方信息流的中介服务和技术服务，不应成为非法运转资金流的支付结算机构。非法第四方支付平台往往是在未获央行支付业务许可情况下以挂靠持牌收单机构之名，非法从事实际意义上的资金结算业务。在资金经过“一清”机构（银行或第三方支付机构）后先违规转至自身开立的第三方账户进行处理，然后再结算至对应的商户收款账户，于是非法第四方支付平台成为了事实上的“二清”机构。由于第三方账户的真实性、层级性、合规性皆难以控制，导致当前监管机制出现滞后和失效现象。为此，我们应一方面提高第四方支付的准入门槛，全面推广落实《收单外包服务机构备案管理办法（试行）》关于备案基本条件中的资质、场地、信用、技术等各项要求，[23]将收单外包服务机构纳入“柔性监管”，形成”良币驱逐劣币”的市场效应。另一方面，应强化监管标准形成监管合力，借鉴《关于加强银行卡收单业务外包管理的通知》（银发〔2015〕199号）的规定，[24]要求收单机构对第四方支付这一外包服务机构进行包括团队、财务、信用、技术等在内的全面尽职调查，以协议或其他措施防止外包服务机构的转包或分包，在央行“断直连”和支付机构客户备付金集中存管之余推行支付链路的穿透式监管，确保第四方支付的辅助支付定位。

2.落实个人信息保护行业标准，建立信息安全保障制度

个人信息领域的行业标准兼具技术和制度的双重属性，决定了我们应在制定科学行业标准的同时加以严格执行，以最终形成普遍遵从的行业共识和建立信息安全保障制度。《个人信息保护法（草案）》《数据安全法（草案）》正在立法过程中，而我国最新的国家标准GB/T35273-2020《信息安全技术 个人信息安全规范》、JR/T0171-2020《个人金融信息保护技术规范》已取代GB/T35273—2017《信息安全技术 个人信息安全规范》版本，提出了个人信息和个人金融信息在收集、传输、存储、使用、删除、销毁等不同环节的标准。为此，在监管主体上，我们应进一步明确中央和地方层面的监管机构和监管事项，突出央行和国家网信办的牵头作用，避免不同监管机构窗口指导中潜在的随意性和模糊性；在监管对象上，摸排清查辖区内第四方支付平台的数量、模式和流程等情况，明确具体场景下的个人信息范围，建立地理信息、金融信息、身份信息等不同信息种类的判断标准；在监管技术上，采取分级分类制度对第四方支付的软硬件进行专业认证，要求支付机构在业务中落实访问控制、加密存储、信息审计等措施以防范黑客攻击，在应用软件上主动设立页面敏感信息和软件非必要数据的自动清除机制，以确保信息全生命周期的安全性和保密性；在监管机制上，要求第三方支付机构通过支付标记化技术定期对第三方支付和第四方支付接口的信息进行安全审查，并协同建立“检测评估类”机制，以针对现有标准设定可执行和可重复的验收规则与核查程序。

3.明确支付机构之间的权利义务，联合建立洗钱风险监测和防控机制

我国目前确立了以《反洗钱法》为核心，以《金融机构反洗钱规定》《支付机构反洗钱和反恐怖融资管理办法》“2010年办法”等法律法规为辅助的反洗钱法律法规体系，针对金融机构和非金融机构各自规定了反洗钱义务。具体到第四方支付的反洗钱义务，我们应一方面强化收单主体和第四方支付平台的审核职责，在商户信息上杜绝伪造商户、篡改资料、随意接入等情况，以免不法账户接入合法支付体系。在交易信息上，收单机构应事先通过协议明确彼此权利义务，采取有效技术规避第四方支付平台伪造、篡改、隐匿交易信息，最终形成两者之间合作与监督的良好关系。另一方面，我们应完善第三方支付账户权限的划分，以保障特定非金融机构有能力履行其反洗钱义务。“2010年办法”要求支付机构应在明知或应知客户实施违法犯罪活动的情况下停止为其办理支付业务，以履行反洗钱义务。[25]2016年《非银行支付机构网络支付业务管理办法》也规定第三方支付机构应对疑似风险和非法交易及时采取调查核实、延迟结算、终止服务等必要控制措施”。[26]但是，由于当前只有公检法机关等特定机关才具备查询、冻结、扣划资金的权限，我们应依法授予第三方支付机构在法定情形下冻结资金的权限，如参考刑事诉讼法的规定和具体情况的需要冻结资金1-7个月，[27]在打断网络犯罪活动资金链的同时也留给侦查部门一定的侦查时间。与之相对应，第三方支付机构应承担不当履行乃至不履行反洗钱义务的法律责任，并优化被冻结账户的申诉流程，列明账户解封的明确条件，健全风险准备金和客户损失赔付机制，最大程度保障账户所有者的合法权益。

（二）刑法适用标准的清晰界定

1.根据运营模式和文义解释把控非法经营罪的认定

我们应客观考察第四方支付的运营模式，实质性地考察行为人是否具备资金支付结算的本质特征，从而区分聚合支付通道的正常流转与提供支付结算服务的非法经营，避免简单化地将第四方支付与非法经营罪相等同。当前第四方支付一般可归纳为四类支付通道整合方式。一是单纯集成模式。第四方支付平台只是整合支付通道，既不提供接入服务，也不接触客户资金。二是支付转接模式。第四方支付平台在单纯集成的基础上提供银行或第三方支付的接入服务，并由银行和支付机构提供清算服务。三是机构直清模式。具备支付牌照的银行或第三方机构直接开展“一站式”的资金结算服务。四是“二清”模式。[28]第四方支付平台在没有取得支付许可的情况下从事“资金二清”或“信息二清”业务，其结果可能会形成平台“资金池”。无论是《会议纪要》列明的非法开立支付账户进行资金二清行为或聚集预付卡销售资金向商户划转资金；还是《支付解释》列举的以虚假交易等方式支付资金，提供单位公共账户套现或公转私服务，票据套现和其他兜底的资金支付结算方式，其本质都是脱离监管的非法流转资金行为。对于仅仅提供支付通道单纯集成或支付转接或机构直清的第四方支付平台，不应将其认定为非法经营罪。同时，我们在打击资金二清模式的非法第四方支付平台过程中，还应注意坚守文义解释的边界。若是行为人具备支付许可证，将其合法的支付结算系统用于网络犯罪的资金结算，因没有侵犯非法经营罪的法益而不构成此罪；若案件中行为人没有采取“虚构交易、虚开价格、交易退款”等虚假交易方式支付结算资金，又无提供单位公共账户套现或“公转私”服务以及票据套现的行为，则不宜适用非法经营罪加以处理；[29]若行为人并不自行开展资金结算，而是提供原始交易数据以供收单机构进行结算，即存在“信息二清”行为，则应根据其是否伪造、变造或篡改交易数据来判断其是否实质上主导资金结算；若行为人在上述行为之外，还涉嫌“其他非法从事资金支付结算业务的情形”，则应考虑资金归集业务与非法从事支付结算业务的界限，以同质性地要求来严格解释其行为是否符合违反国家规定非法流转资金的本质。

2.根据信息种类和客观行为来选择不同罪名的合理适用

非法第四方支付平台在非法获取、出售或提供公民个人信息的过程中，因为信息种类和客观行为的因素涉及不同罪名的适用。我国现行法律明确了七种类别信息的保护，分别是国家秘密、军事秘密、国家情报、商业秘密、消费者个人信息、网络运营商收集的用户信息和公民个人信息。[30]非法第四方支付平台主要侵犯公民个人信息和信用卡信息。虽然属于个人金融信息的信用卡信息往往也是公民个人信息的一部分，但是有其特殊的经济性和信用性。[31]在行为人非法获取个人账户或公司账户等公民个人信息的情况下，如果信息种类是信用卡信息以外的其他类型公民个人信息，可依据侵犯公民个人信息罪进行定罪处罚。如果行为人窃取、收买、非法提供信用卡信息，而这些信用卡信息足以伪造可进行交易的信用卡，或足以使第四方支付平台以信用卡持卡人名义进行交易，那么在符合追诉标准的情况下，可依据窃取、收买、非法提供信用卡信息罪加以定罪处罚。如果行为人侵犯公民个人信息或窃取、收买、非法提供信用卡信息，其目的是非法从事资金支付结算业务，则构成与下游犯罪的牵连犯，择一重罪论处。同时，在客观行为方面，司法实践中对行为人“经同意买卖个人信息”的行为是否构成侵犯公民个人信息罪存在争议。[32]我国《网络安全法》[33]《互联网用户账号名称管理规定》[34]《互联网新闻信息服务管理规定》[35]都要求用户贯彻“网络实名制”，基于非法第四方支付平台对于个人信息的依赖和利用，支付对价获取个人信息的目的是为了申请各类用以资金流转的账户。虽然经过信息主体书面或口头的“同意”，但“以合法形式掩盖非法目的”的合同自始无效，经同意买卖个人信息并不能完全免除行为人的刑事责任，而信息主体出卖个人信息虽然不构成刑事违法，但也可能因违背身份管理或网络实名的相关法律法规而构成行政违法。

3.根据上游犯罪类型和故意犯罪停止形态来认定洗钱犯罪

非法第四方支付平台在为不同上游犯罪或在上游犯罪不同阶段提供资金支付结算服务时，触犯洗钱犯罪的不同具体罪名。在双方存在通谋的情况下，如果上游犯罪类型属于《刑法》洗钱罪上游犯罪的七类犯罪，即恐怖活动犯罪、走私犯罪、贪污贿赂犯罪、毒品犯罪、黑社会性质的组织犯罪、破坏金融管理秩序犯罪、金融诈骗犯罪，则构成洗钱罪。若上游犯罪属于七类犯罪之外的其他犯罪，只要行为人实施转移、收购、窝藏、代为销售或其他掩饰、隐瞒的行为，则构成掩饰、隐瞒犯罪所得、犯罪所得收益罪。特殊情况下，明知是毒品或者毒品犯罪所得的财物而为犯罪分子窝藏、转移、隐瞒毒品或毒赃，则构成窝藏、转移、隐瞒毒品、毒赃罪。但是，洗钱行为有的是在犯罪过程中为涉案资金的获取、保管、转移提供支付结算，有的是在已实际控制资金后提供支付结算。如果上游犯罪已经既遂，那么非法第四方支付平台通过转换、转移、套现、取现等各种方式帮助他人实施各类洗钱犯罪，则构成连累犯而非片面共犯，亦不成立共同犯罪，应独立承担刑事责任。连累犯是指事前没有与他人通谋，在他人犯罪后明知其犯罪情况，却提供各类帮助从而应受刑罚处罚的行为。而判断洗钱行为人是连累犯还是片面共犯的关键在于确定上游犯罪的既遂标准。以诈骗罪为例，理论与实务界对诈骗罪既遂的标准主要有三种学说：“控制说”、“占有说”和“失控说”。鉴于网络犯罪的特点，被害人一旦失去财物控制，则往往意味着难以追回，因此宜以“失控说”作为判断上游犯罪是否既遂的标准。[36]

4.根据“明知”情况和片面共犯理论选择适用共同犯罪和具体个罪

非法第四方支付平台在明知上游犯罪的情况下仍提供支付结算服务，涉及上游犯罪的共犯、“帮信罪”和洗钱犯罪等罪名。行为人往往以技术中立为由为自己辩护，如何理解此处“明知”的对象、内容和程度往往涉及此罪与彼罪，甚至罪与非罪的区分。关于明知的认定，有的学者主张“明知”应包括“或许知道”，[37]有的则认为“明知”包含知道和可能知道。[38]而根据“两高”《关于办理非法利用信息网络、帮助信息网络犯罪活动等刑事案件适用法律若干问题的解释》的规定，此处的“明知”可以归纳为确实知道和推定知道，前者是确切知道利用信息网络实施犯罪，后者是根据一般人的认知水平和行为人的认知能力、相关行为是否违反法律的禁止性规定、行为人是否履行管理职责、是否逃避监管或者规避调查、是否因同类行为受过处罚等因素来合理推定其是否知道，并且允许提出反证。[39]同时，虽然我国学界已逐渐接受了片面共犯的成立，但据调研可知我国司法实践对于片面共犯理论在此类网络犯罪中的适用保持审慎态度。也有学者指出，我国过去的片面共同犯罪肯定说与否定说，均没有摆脱德、日区分制的片面共犯论的影响，在我国刑法采取不区分正犯与共犯的单一正犯体系的背景下，按我国刑法的规定和单一正犯的解释论，不应当承认片面的共同犯罪。[40]因此，在不存在通谋的情况下，我们应限缩帮助犯（上游犯罪共犯）的适用，扩大“帮信罪”的认定范围，对于主观上仅有明知且对后续实施的信息网络犯罪活动未实际参与的，原则上宜以“帮信罪”处理。而在存在通谋的情况下，我们应根据想象竞合犯理论来处理“帮信罪”、上游犯罪的共同犯罪和洗钱犯罪，选择“从一重处断”。

（三）刑事立法的适当补充

1.增设非法使用公民个人信息的危害行为方式

非法第四方支付及相关网络犯罪的统筹治理需在“头痛医头，脚痛医脚”的应激性治理之外采取“源头治理”的积极预防思路，其长久之道还在于通过立法将非法使用公民个人信息的危害行为纳入侵犯公民个人信息罪，从根源上遏制非法结算资金的账户来源。从法益侵害性而言，非法获取、出售、提供公民个人信息的最终落脚点还是在于非法使用该信息从事违法犯罪活动，直接危及信息主体的财产、人格等合法权益。从法定犯的“二次违法性”原理来看，在“网络实名制”相关规范之外，我国《民法典》第1035条、1038条，《网络安全法》第41条和《消费者权益保护法》第29条都已明确要求合法使用或禁止非法使用个人信息，可见“使用”行为在前置法中已有评价。我国继今年10月在全国范围开展“断卡”行动之后，又以“零容忍”态度严厉打击非法买卖“两卡”违法犯罪活动，通告了限制业务、信用惩戒、刑事追究等在内的各项措施，[41]可见将非法使用个人信息行为入罪有利于法秩序的统一。从现有刑法规定看，面对仅以虚假信息申请“非实名账户”和冒用真实信息获取“非实人账户”的行为，我们难以通过刑法解释将其纳入侵犯公民个人信息罪，也难以直接通过帮信罪、妨害信用卡管理罪、信用卡诈骗罪和窃取、收买、非法提供信用卡信息罪等罪名加以处理。从域外经验而言，美国联邦和州都通过立法将非法使用公民个人信息行为入罪，欧盟《通用数据保护条例》（GDPR）将“使用”行为纳入数据处理合法性的要求当中，而日本《个人信息保护法案》第82条和韩国《个人信息保护法案》第71条都规制了“使用”行为。[42]归根结底，刑法之所以对公民信息使用权或个人信息自决权进行限制，是由于大数据时代的个人信息既是生产资料，也是犯罪工具，个人信息具备个人利益和公共利益的双重属性。因此，我们应以刑法修正案的方式，将非法使用公民个人信息、情节严重的行为作入罪化处理，以实现对公民个人信息及相关账户安全的全面保护。

2.顺应国际反洗钱趋势来完善洗钱犯罪规制体系

以非法第四方支付为代表的支付方式变革催生的洗钱乱象迫使我们加速洗钱犯罪的刑法规制。我国在2001年《刑法修正案（三）》增加了恐怖主义作为上游犯罪，提升了单位洗钱罪的法定刑。2006年《刑法修正案（六）》增加了贪污贿赂、破坏金融管理秩序、金融诈骗作为第191条洗钱罪的上游犯罪；明确了第312条掩饰、隐瞒犯罪所得、犯罪所得收益罪的行为对象和行为方式。2009年《刑法修正案（七）》增加了第312条的单位犯罪，但仍未对第349条窝藏、转移、隐瞒毒品、毒赃罪规定单位犯罪。因此，从立法论而言，我们要从整体上完善非金融机构的反洗钱立法，明确反洗钱义务的特定主体和详细内容，以便支付机构在履行反洗钱义务时具备针对性、便利性和有效性。[43]具体而言，我们应增加上游犯罪的主体，借鉴德国、中国台湾地区的自我洗钱独立定罪立法方式，改变我国目前将自我洗钱视为事后不可罚行为的做法并补充单位犯罪的规定。在主观方面，应结合被告人的认知能力、犯罪所得及其收益的转换或转移方式、市场价格的偏离程度、处理财物与财产状况是否相符等因素来认定“明知”。[44]在客观方面，应将191条洗钱罪的客观方面进一步拓宽，从当前的掩饰、隐瞒、转移、转换扩大至国际公约规定的“获取、占有、使用”；充分重视借助虚拟货币进行洗钱的现象，借鉴美国、欧盟和FATF（反洗钱金融行动特别工作组）的经验制定专门的法律法规，赋予虚拟货币管理商和交易商详尽的反洗钱义务，并确立对网络洗钱犯罪的合理管辖，完善电子证据制度，研发可有效防范和监测利用虚拟货币洗钱的新技术，[45]从而有效打击非法第四方支付涉及的洗钱犯罪。

3.明确帮助犯正犯化的分则条文中的帮助犯类型

我国立法机关为了应对网络犯罪的蔓延趋势和传统共犯中帮助犯理论的适用困境，采取了新设罪名来单独规制帮助实施网络犯罪的行为，但是由于立法条文的歧义导致新设罪名是否属于帮助犯正犯化产生了争议，并影响到司法实践的适用。以“帮信罪”为例，我国目前有帮助行为正犯化说、量刑规则说、从犯主犯化说、累积犯说和不作为处罚说。[46]多数学者认为“帮信罪”的设立属于帮助犯的正犯化，也有学者如张明楷教授认为刑法分则对帮助犯设置了独立法定刑，并不意味着就属于帮助犯的正犯化，存在着帮助犯的绝对正犯化、帮助犯的相对正犯化以及帮助犯的量刑规则三种情形。[47]黎宏教授认为“帮信罪”并不是将帮助犯正犯化，而只是帮助犯的量刑规则，其最重要的理由在于该罪并没有规定一个可以独立于被帮助人的罪名，在被帮助的他人没有实施犯罪的时候，不能成立本罪，即该罪并没有超出共犯从属性的范围。由此导致“帮助犯的正犯化”与“帮助犯的量刑规则”产生以下核心争议：一是成立“帮信罪”，是否以他人（正犯）实施符合犯罪构成要件的不法行为为前提？二是对该条规定的帮助行为本身进行教唆、帮助的，是否可成立“帮信罪”的教唆犯、帮助犯？[48]之所以产生上述学界争议和司法实践困惑，其主要原因在于分则条文表述上没有明确帮助犯的类型，比如“明知他人利用信息网络实施犯罪”中的“犯罪”是广义的“犯罪”行为还是狭义的符合构成要件、违法且有责的严格意义上的“犯罪”？“提供广告推广、支付结算等帮助”中的帮助是专指共犯理论中帮助犯的帮助，还是可指非共犯、独立化意义上的帮助？《刑法》第15条规定的“过失犯罪，法律有规定的才负刑事责任”和《刑法》第269条规定的转化型抢劫都将其“犯罪”界定为广义犯罪，[49]但是若将网络犯罪相关罪名中的“犯罪”一概做广义犯罪来理解，则可能导致犯罪圈的迅速扩大。同时，我国目前刑法分则中也有大量帮助犯独立化的立法例，如帮助恐怖活动罪，协助组织卖淫罪，窝藏、包庇罪等，都无法从法条形式上判断其是帮助犯的绝对正犯化、帮助犯的相对正犯化还是帮助犯的量刑规则。因此，未来在修法或司法解释制定过程中应从条文表述或具体解释上明确具体的帮助犯类型，以解决司法实践中该罪的定罪量刑和共犯认定问题。