第三方支付风险的刑法防控

黄晓亮

关键词: 第三方支付，互联网金融，公民个人信息，沉淀资金

内容提要: 作为互联网金融的先声和开端，第三方支付在蓬勃发展的同时，也带来了一定的社会风险，有些风险在生产、生活中可能会演变成实际的危害，因而需要国家采取包括刑罚在内的多种法律措施予以防范。对于社会风险的防范，从刑法角度考虑，应坚持行政规制先行、刑法介入谨慎、个人法益优先的基本理念。就具体防范而言，第三方支付招致风险或者将风险现实化为危害行为的，只有当给客户的合法权益造成客观和实际侵害时，才能根据归责原则，按照刑法的罪刑条文，对之给予刑事处罚。

互联网的创新发展给金融发展提供了非常难得的机遇与平台，使得互联网金融在短短几年里成为了经济发展的热点和理论关注的主要课题，并随着大数据、云计算的迅猛发展而呈现出复杂的形态。[1]其中，被认为是互联网金融最初形态和当前主要形式的第三方支付尤其得到了蓬勃发展。然而，第三方支付的发展也带来了一系列的风险，如数据安全风险、资金沉淀风险、网上洗钱风险、虚拟货币风险、信用卡套现风险、交易纠纷风险、法律责任风险等。[2]虽然国家采取了多种措施予以防控，但是对第三方支付风险防控的研讨多从综合的角度进行，而且偏重于行政法律监管，民事法或者刑事法的分析相对较少；即便是有关于第三方支付风险之刑事对策的分析，也尚处于尝试阶段，对第三方支付向智能移动支付发展的未来趋势考虑得不多。基于此，本文拟从整体互联网金融发展、大数据运用对刑法的冲击及影响的角度来分析第三方支付风险防控的刑法路径，为互联网金融发展过程中公民合法财产权益的刑法保护提供有益的思路。

一、第三方支付可能招致的法律风险

支付是互联网金融的核心功能。第三方支付为消费者和经营者提供了一个交易与支付的平台。在该平台上，消费者先是将购买物品或者服务的钱款交给第三方，第三方在消费者确认收货或者接受服务后再将钱款支付给经营者。通常情况下，第三方支付平台会与消费者、经营者开户的银行建立联系，消费者将自己银行账户中的钱款通过互联网交给第三方支付平台，随后第三方支付平台再将该笔钱款划拨到经营者的银行账户中。在此过程中，第三方支付从技术上突破了过去将互联网视为生产、生活工具的思维，成为了互联网金融的先声和开端，但这也是冒着一定风险进行的，因为在其发展过程中会带来一定的社会风险。有些风险在生产、生活中有可能演变成实际的危害。这些违法性风险主要表现在以下几个方面。

（一）未经许可提供第三方支付服务而导致的法律风险

第三方支付平台介入了消费者账户银行与经营者账户银行之间的结算活动，因而具有金融的性质，但我国对金融行业有着严格的准入和监管制度，合法的经营资格对第三方支付来说至关重要。现实中有些提供第三方支付平台服务的企业，在未得到经营许可的情况下，为他人的交易活动提供服务，就属于我国《刑法》第225条规定的非法经营的危害行为。在其情节严重的情况下，司法机关可以认定构成非法经营罪，给予刑事处罚。

基于此，未取得许可而存在并运行的第三方支付服务提供者可能构成非法经营罪。

（二）被恶意非法利用后面临监管不严而导致的法律风险

第三方支付平台本身不介入消费者与经营者之间的交易活动，因而在缺乏必要审核渠道的情况下，无法避免消费者与经营者合意的非法交易活动，如购销违禁品等；而且，对消费者与经营者之间转换的钱款，第三方支付平台本身具有一定的控制权利——无论其是否将该笔钱款存放在该平台的专用银行账户，于是，第三方支付平台就有可能成为替他人洗钱、信用卡套现或者赃物赃款转移的工具。[3]那么，第三方支付平台将会面临怎样的法律责任？笔者认为，对此须考察第三方支付服务提供者是否尽到充分考察他人交易内容的义务。如果尽到该义务，就不能对其予以苛求；若其没有履行该义务，或者没有充分尽到该义务，那么就有被追责的可能性。特别是在未经许可而提供第三方支付服务的情形下，提供者为了谋取经济利益，在主观上放任乃至促成他人的非法交易活动，就有可能构成违禁品犯罪、洗钱罪、信用卡诈骗罪，从而面临受刑事处罚的风险。

（三）不当运用客户个人信息而导致的法律风险

在互联网金融背景下，消费者和经营者为了快捷地完成交易活动，自愿地将自己的有关信息告知第三方支付机构，消费者将自己的交易钱款临时性地交付给第三方支付机构，经营者则直接将商品交付给消费者，故第三方支付机构会直接接触到客户与经营者的个人信息和钱款。对于第三方支付机构而言，这是第三方支付得以存在和运行所必需的，但对消费者和经营者而言，却面临着受到侵害的可能性。如果第三方支付提供者对客户信息实施的不法行为具有一定的社会危害性，就需要为此承担刑事责任。具体表现为如下两个方面：（1）违法运用客户信息。不管是消费者还是经营者，在运用第三方支付时都需将其基本信息告知第三方支付机构，具体包括真实的姓名、性别、身份证号码或者营业执照编码、开户行名称及银行账号、收货地址或者经营场所等。一般情况下，客户将基本信息告知第三方支付机构仅用于接受第三方支付机构所提供支付平台的情形，但提供第三方支付服务的机构却并非单纯提供这一种互联网金融服务，而是涉及多方面的互联网金融活动（如支付宝还提供了余额宝、水电煤缴费、信用卡还款等服务），很有可能将客户的信息用于该机构所从事的其他互联网金融活动，这显然有违客户的真实意愿。而且，第三方支付机构本身在商业运营中，若接受其他公司、企业的投资而共同经营，或者被其他公司企业收购但仍继续运营，那么原来的第三方支付机构将所收集的客户信息提供给后来介入的单位知悉或者使用，同样也不符合客户的意愿。进一步看，在互联网金融中，商业联盟的情形将会越来越多，共享包括客户信息在内的各种数据势在必行，但这同样也不符合客户事先提供信息的意愿。从法律上看，上述三种情形都有未经客户同意而将客户信息超越第三方支付平台的范围予以使用的问题，从而产生了刑事违法的可能性。（2）自行收集客户信息。消费者通过第三方支付平台向经营者购买各种商品或者服务，消费者与经营者就在第三方支付平台留下了交易活动的轨迹，第三方支付机构很容易就能掌握消费者的性别、年龄、文化程度、兴趣爱好、生活消费习惯、娱乐方式、社会活动场所等信息，以及经营者的经营范围、商品或者服务特点、客户群体等信息。从某种意义上说，这些信息并不是消费者或者经营者主动提供给第三方支付机构的，但对第三方支付机构来说，可以凭借对这些信息的分析，给消费者提供中意的商品或者服务，给经营者推荐相关的热点销售商品或者服务，这在大数据的背景下有着非常重要的意义。然而，并不能确定第三方支付机构在获得这些信息时已经取得了消费者或者经营者的明确同意和许可。消费者或者经营者自己在其未留意的情况下留下了消费或者经营记录，能否认为是消费者或者经营者对第三方支付机构收集、存留并使用上述信息的默许呢？从隐私权的角度看，情况并非如此。没有消费者或者经营者的明确许可，第三方支付机构即便留存他们的消费经营记录，也不能进行分析、梳理并直接使用，因而第三方支付机构自行收集消费者和经营者信息的行为，涉嫌非法侵犯客户的个人信息安全，面临被追究刑事责任的风险。

（四）非法占有沉淀资金及其孳息而导致的法律风险

有论者指出，第三方支付机构对沉淀资金及其孳息只有保管的权利，并无法律上的所有权。[4]对此，笔者表示赞同。在第三方支付活动中，消费者将钱款从银行账户转出，先行交给第三方支付平台，但这并不是所有权的让渡，第三方支付机构只有占有的权利，并无使用、收益和处分的权利，在第三方支付机构转给经营者之前，对于所涉钱款，消费者与第三方支付机构之间形成债权与债务关系，原则上，只要第三方支付机构未将钱款转给经营者，消费者有权随时索回。至于钱款，对个别消费者而言所涉数额可能很小，但众多消费者的钱款在第三方支付机构的账户沉淀后，若第三方支付机构并不是立即将钱款转付给经营者，那么在第三方支付平台上就会形成沉淀资金，[5]大多数第三方支付机构会将沉淀资金转存于专门的银行账户，而有些第三方支付机构则可能会直接占有沉淀资金。对于那些未将沉淀资金存放于专门银行账户的第三方支付机构而言，其对沉淀资金的直接占有违反了相关的行政法规范，如中国人民银行于2013年6月7日发布的《支付机构客户备付金存管办法》。在此情况下，第三方支付服务提供者涉嫌侵占罪或者非法吸收公众存款罪，存在被追究刑事责任的风险。

二、第三方支付刑法规制的基本理念

互联网金融是在风险中产生和发展的，且风险与营利共存。但是，规避和防控风险却是人的本性，对于互联网金融的风险也同样如此。在现代社会，人们对风险的规避和防控，除了依赖技术规范外，还要在法律规范的范围内进行考量。近年来，刑法学者开始涉足并重视对包括第三方支付在内的互联网金融刑法规制问题的研究，但多集中于第三方支付可能涉嫌哪些犯罪。笔者认为，厘清第三方支付风险之刑法防控的基本理念，是使刑法发挥规制作用、为第三方支付提供良好发展法治环境的前提。

（一）行政规制应先行

互联网金融不同于过去运用互联网的金融行业（金融互联网），更不是简单地将金融业务活动搬到互联网上。相反，是互联网整合和盘活金融行业的传统运作方式，提供新的平台让每个人可以便捷地进行金融活动。[6]对互联网金融而言，比传统金融行业更重要的是普惠性，有论者将普惠性界定为互联网金融的核心，没有普惠性，互联网金融就是死路一条。[7]第三方支付作为互联网金融的源头和最初形式，在推动互联网金融以多种形式发展的情况下，仍在互联网金融中处于至关重要的位置，且其本身也融合了多种形式的金融业务服务，如前所示，“支付宝”就融合了余额宝、直接转账、当面付款、信用卡还款、淘宝购物等商业服务微信钱包”同样包括了转账、刷卡、京东购物、嘀嘀打车等服务项目。

突破传统的行业壁垒和监管已经成为互联网金融发展的新趋势。面对上述形势，金融业、工商业的传统行政管理方式逐渐凸显出落伍的特点，并处于一种尴尬的境地中：不加管理，会导致风险爆发，形成危害；不当管理，会束缚互联网金融的发展，遏制经济活力。从当前的实际情况看，行政管理重于惩治和打击。例如，根据2013年九部委处置非法集资部际联席会议精神，中国人民银行将三种P2P网络借贷行为认定为集资诈骗的违法犯罪，此举在惩治违法犯罪的同时也关闭了中小企业通过互联网金融融资的大门。而实际上，对于互联网金融，国家却有着明确的政策，鼓励大于约束，强调促进互联网金融的健康发展。[8]“发展”表明不会忽视和抹杀互联网金融的存在；“健康”表明国家会给予适当的管理，既不遏制其活力，也不放纵其风险。因而问题就在于如何确定“适当”的标准。笔者认为，适当性问题意味着不轻易给互联网金融活动贴上行政违法的标签，观测和重视互联网金融的风险动向与程度，合理地予以引导和规制，但不以风险防控为由阻止互联网金融的综合化发展。就第三方支付平台而言，其对其他金融功能的融合已经显而易见，只要第三方支付机构在支付功能以外的其他功能上不恶意地侵害他人的合法权益，造成他人的直接财产损失，就不宜界定为行政违法而应视为正常的商业经营失利。行政法上的适当规制能为刑事法上的克制和宽容提供基础，因为第三方支付等互联网金融活动所涉及的犯罪多是经济领域的法定犯或行政犯，属于二次违法的情形，若在认定一次违法的问题上持谨慎和严格的态度，尽可能地避免认定为行政违法，就会避免在第二次违法上作肯定评价而轻易认定为犯罪，从而适应并促进市场经济下的自由竞争。从此意义上看，对于第三方支付的风险应当使行政法的规制先行发挥作用。

（二）刑法介入需谨慎

对于互联网金融所涉及的危害行为，根据刑法谦抑性原则，尽可能不予定罪已经成为当前刑法理论界的共识。但是，仍有不少论者将讨论的重点置于包括第三方支付在内的某些互联网金融活动可能会构成哪些犯罪。其实，如何在互联网金融法律监管方面贯彻和实施刑法的谦抑性原则，仍是需要分析的问题。

第一，在第三方支付违法行为之刑法规制问题上，坚持宽严相济的刑事政策。宽严相济的刑事政策是我国当前刑事法领域中的基本刑事政策，其核心内容是“当宽则宽，当严则严，宽严结合，宽严相济”。如何准确地理解和把握“当”的问题，则是宽严相济刑事政策最重要的内容；而判断的时点自然是当前的社会情况与现实需要。[9]就目前情况看，以第三方支付为源头的互联网金融蓬勃发展，对市场经济的繁荣和金融行业的昌盛有着积极的推动作用，尤其是第三方支付，不仅通过互联网将金融活动进一步激活，而且因为其普惠的性质而渗透到民众生活的方方面面，有着旺盛的活力和广阔的盈利空间。这自然会吸引人们的广泛参与，而某些急功近利的个人或企业就有可能违背当前的法律法规，铤而走险，闯关冒进。从表面上看，第三方支付机构的某些金融活动是针对当前金融政策和法制的“擦边球”，有违法的嫌疑和潜在可能性，但是，也对当前监管过严的金融行业从制度层面提出了挑战，推进金融体制向符合市场经济规律、促进市场自由竞争的方向改进，为民众创造更多便利的参与金融活动的机会。对此，我们应有冷静和理性的态度，以宽待之，充分考虑第三方支付等互联网金融在降低金融行业垄断、促进市场自由竞争、为小众企业注入必需资金方面的积极作用。因而对于第三方支付机构可能涉及刑事违法的情形，应贯彻宽和的刑事政策，保持适度的容忍，尽可能不作为刑事犯罪来处理。

第二，充分发挥一次违法情况下行政法律法规的调整作用。第三方支付在互联网金融的发展中处于关键的地位。在互联网时代，很多商务活动的完成都离不开第三方支付，第三方支付已经成为传统金融支付功能的必要补充。因而对于第三方支付的法律监管，应该注意适应第三方支付的现实发展。对于第三方支付，行政法的规制和调整更有效率。因为不管是制定法规规章，还是有关机关对第三方支付机构某些活动的调查，都不需要过高的立法成本。相比之下，刑法虽然在制裁上最为严厉，力量最为强大，但也存在不足。比如，对于没有规定为犯罪的严重危害行为，通过刑事立法予以犯罪化，有很高的立法成本；同时，即便刑法有明确的规定，可按这些规定定罪处罚，但也不能否认，惩罚的严厉性会让有关从业人员付出较高的代价，从而可能影响第三方支付平台的运行以及整个行业的发展。因而就第三方支付的法律规制而言，应当强调刑法的补充性和最后性，尽可能广泛地发挥行政法律法规的作用，在一次违法与二次违法之间留出更大的空间，使得针对一次违法的行政法律法规充分地发挥规制作用。因此，对于第三方支付所涉及的客户信息、沉淀资金的存放、孳息的分配等，需要通过相关的行政法律法规和民事法律来规范。对于沉淀资金的存放，中国人民银行发布的《非金融机构支付服务管理办法》和《支付机构客户备付金存管办法》对此已作出了基本规定；而沉淀资金的孳息，虽然其归属在法律上没有问题，但如何分配，行政法律法规却没有规定，因涉及多种小额客户，在技术和程序上也存在难度，有必要深入研究解决。

第三，区分第三方支付违法行为的类型。对于第三方支付机构涉及的违法行为，贯彻宽严相济的刑事政策，尽可能不以刑事犯罪予以追究，但并非一概不认定为犯罪。相反，若实际侵害了他人的合法财产权益和人身权利，仍应依法追究刑事责任。从当前的理念看，对于第三方支付的风险防控问题，国家有关管理部门还是比较重视刑事法的作用。例如，在中国人民银行发布的《非金融机构支付管理办法》中，规定对涉嫌犯罪的几种情形“依法移送公安机关立案侦查，构成犯罪的，依法追究刑事责任”。不过，即便不多说上述行政规章对第三方支付涉嫌犯罪的规定是否妥当，单看其所涉及的第三方支付机构涉嫌犯罪的情形，尚存在不够全面的问题。就目前关于第三方支付涉及刑事犯罪的类型看，其违法行为涉嫌构成的犯罪主要有如下几种：一种是经济犯罪，如非法吸收公众存款罪、集资诈骗罪、非法经营罪等；另一种是财产犯罪，如盗窃罪、诈骗罪。另据前述分析，其还可能涉及人身权利的犯罪，即公民个人信息的犯罪，如出售、非法提供公民个人信息罪、非法获取公民个人信息罪等。在包括第三方支付在内的互联网金融发展中，行为人所实施的上述违法行为有着不同的意义。涉嫌经济犯罪的违法行为一般会涉及金融秩序，而对我国当前的金融管理秩序和市场经济秩序，实务和理论上的诟病较多，过于严格的监管和过高的准入门槛反而不利于市场经济的发展，因而对于危害到金融管理秩序或者市场秩序的行为，可考虑从宽处理，给第三方支付机构更多改进和纠正的机会，促使其改变经营观念，而不是判刑了事。[10]但是，对于涉嫌侵犯财产犯罪、侵犯人身犯罪的违法行为，则以传统刑法观念待之，对达到犯罪程度的第三方支付违法行为，如盗窃、诈骗、非法提供公民个人信息等，仍需定罪量刑，予以惩治，以保护我国公民的合法权益。

（三）个人法益保护要优先

风险与机遇并存，对于第三方支付这种形式的互联网金融来说尤为如此。在种种风险面前，客户其实处于劣势。质言之，客户所面临的风险最大，一旦转化为现实，便是切身财产利益直接受到损害，完全不同于金融管理秩序或者市场秩序被破坏的情形；而对国家金融造成的风险，则主要表现为国家关于金融的管理秩序可能受到侵害。第三方支付机构尽管在力量上无法与以强大国家为后盾的特定管理机关相较，但还是优于普通客户，因为其将分散、交易额小的众多客户集中起来，反而集聚了强大的经济力量，自然也具备较强的抗击风险能力。同时，不同于第三方支付机构对客户的要求，第三方支付机构不太可能详尽、细致地向客户披露自己的信息和经营情况，客户在一般情况下也不会对第三方支付机构提出信息披露的要求，第三方支付机构只是按照行政法律法规的要求向国家管理机构提供信息，这就使得第三方支付机构与客户之间存在较为严重的信息不对称情况。故此，在种种风险之下，如何保护客户的合法权益、维护客户对包括第三方支付在内的互联网金融的信心，显得尤其重要。
基于此，在第三方支付这种互联网金融的运行活动中，对于面临风险的各个方面，首先要依法保护客户的合法权益，尤其是客户的个人信息权利和财产权利，这属于传统刑法所确定的自然犯的基本内容。其次才是保护第三方支付机构的合法权益，不能让外在的非法侵害妨碍乃至阻滞第三方支付平台的运行，这些涉及的违法犯罪主要是针对第三方支付平台的网络攻击行为、恶意非法运用第三方支付平台的行为（如洗钱、贩卖毒品等违禁品）。这两点与刑法在互联网金融领域之外的同类型犯罪并无显著的区别，不同的只是其多发生在第三方支付平台的网络空间，属于传统犯罪与互联网的结合，[11]现有法律规定并未滞后，只不过是需要从互联网时代特点的角度去认知和解释。总之，在第三方支付风险的刑法防控上，应当树立个人法益优先于社会法益的观念，将对个人法益的刑法保护前置于社会法益的刑法保护。

三、第三方支付风险防控的刑法路径

所谓刑法的防控，自然是指对给客户招致风险之行为如何作刑法之评价，若风险转化为危害，对危害行为可否作为犯罪来追究。尽管刑法具有事后性，但其预先性的规定却能在其他法律难以发挥规范作用时挺身而出，惩戒危害行为，起到特殊预防和一般预防的作用。因而对于第三方支付给客户招致的风险，刑法的防控也至关重要。但以刑法防控风险，是否就意味着在刑法上扩张犯罪圈呢？答案是否定的。因为科技创新给人们带来的风险，很大程度是以新的形式使人们的合法权益面临遭受侵害的可能性，而相关的损害本身很多时候在表现形式上与传统社会产生的损害并无不同。第三方支付招致风险或者将风险现实化为危害的行为，只有当给客户的合法权益造成了客观和实际侵害时，才能根据归责原则，按照刑法的罪刑条文对危害行为给予刑事处罚。[12]

（一）违反行业准入许可擅自设立第三方支付平台行为的刑法规制

第三方支付机构在设立第三方支付平台时，必须遵守国家关于金融行业准入的规则，在符合准入的条件下申请设立第三方支付平台，在获得许可成立后，应严守国家关于备付金存储、使用和交付的规定，不从事超出第三方支付许可范围的其他金融活动。若第三方支付机构甘冒违法之风险，未经许可或者超出许可，在第三方支付平台上从事包括支付、结算在内的各种金融活动，可基于前述刑法谦抑和刑法宽容政策的要求，尽可能地发挥行政法的规制作用，而不是动辄考虑以刑法处置之。对此，国家有关金融管理部门应加强对第三方支付机构的监管，进行必要的例行检查，要求其务必在法律法规以及有关规章的范围内通过互联网、智能手机等终端设备从事第三方支付的相关金融服务。当然，对于第三方支付机构非恶意试水金融新模式的行为，行政法律监管也应保持宽容，以教育和引导为主，以处罚和禁止为辅，为金融创新留出必要的机会和发展空间。行政法律监管对于这种风险的防范具有屏障性作用，刑法的作用反而应当弱化，尽可能不予介入。

（二）对恶意不法利用监管不严行为的刑法规制

社会上不特定人或者机构恶意非法利用第三方支付平台实施违法犯罪行为，也会造成风险。一旦这些人或者机构通过第三方支付平台完成其违法犯罪行为，不管是否实现其意图，都将原本的风险转化为现实，严重损害第三方支付平台的运行，也给第三方支付这种互联网金融活动带来致命性打击。第三方支付机构在设立、运行第三方支付平台时，需要自行采取各种措施，防范他人非法恶意攻击和利用第三方支付平台的行为，具体有黑客恶意攻击第三方支付的互联网站点、经营者单方面实施相关经济违法犯罪（如销售伪劣产品、销售侵权复制品）、消费者和经营者合意实施相关违法犯罪（如买卖国家机关公文、证件，贩卖毒品、淫秽物品等，洗钱，掩饰、隐瞒犯罪所得及其收益等）。除了黑客攻击行为属于典型的网络或者计算机犯罪外，其他类型的违法犯罪只不过是将第三方支付平台作为进行非法交易的工具，这虽增加了发现和查明的技术难度，但与发生在非虚拟网络空间的类似犯罪相比，并无本质区别，因而不必确立特别的刑事政策。那么，就第三方支付机构来说，必须全方位注意监测支付活动双方的情况，将交易双方的基本信息、钱款支付轨迹、实物交付的流程等详尽地记录下来，并履行相关的洗钱或者预防惩治犯罪的法定报告义务，及时传送给反洗钱机构或者侦查犯罪的公安机关。对于以保护客户隐私为名而不履行法定报告义务的第三方支付机构，情节较为轻微的，通过行政法律法规予以处罚即可。以反洗钱为例，我国《洗钱法》在刑事责任方面的规定非常笼统，其第33条称“违反本法规定，构成犯罪的，依法追究刑事责任”，并未将可能构成犯罪的具体行为列举出来。《刑法》第191条关于洗钱罪的规定没有涉及过失为他人洗钱的法律责任，但若第三方支付机构明知他人洗钱仍予以协助或转账的，应以洗钱罪进行处罚。当然，基于秩序价值和保护互联网金融健康发展的角度进行考量，将第三方支付机构之不报告的情形犯罪化，需要认定该行为达到了严重脱逸社会相当性的程度。[13]

（三）非法获取、运用客户信息行为的刑法规制

对于前述第三方支付机构在客户信息方面的违法可能性，刑法的防控并非易如反掌，因为我国对公民个人信息的保护尚无专门的行政立法。我国《刑法》第253条之一的规定缺乏行政法律规范的支撑，在公民、个人信息的范围以及犯罪实行行为的界定方面还存在争议，存在一次违法的认定和处罚不足的问题，具体表现为：（1）就第三方支付机构分享客户信息行为而言，违法性的实际认定缺乏行政法律规范的依据，最高司法机关也没有以司法解释的形式阐明《刑法》第253条之一规定的相关构成要件要素，于是，对于第三方支付机构面临的企业拆分、合并、收购、注销时如何处置客户信息的问题，不但在行政法上无可奈何，而且在刑法的处理上也捉襟见肘，难以顺利地按照《刑法》第253条之一第1款的规定来处理。笔者认为，若第三方支付机构本身或者从业人员未按原来公司的章程或者规定，擅自将这些客户信息提供给他人或者其他机构，那就应当认定其行为的非法性质，进而认定其构成非法提供公民个人信息罪。（2）就第三方支付机构收集并用大数据、云计算技术分析客户交易信息的行为来说，虽然行政法并无禁止性规定，但该行为实际上侵犯了公民的隐私权和个人信息安全。然而，该行为并不符合《刑法》第253条之一第2款规定的“其他非法获取公民个人信息”的情形，从而导致对该行为无法加以刑法规制。在当前我国缺乏公民个人信息保护行政立法的情况下，《刑法》第253条之一的立法超前性地对公民个人信息提供法律保护，其所面临的疑难问题就需要最高司法机关通过司法解释文件来提供应对方案。但司法解释对此付之阙如。笔者初步认为，若自行收集或者分析行为只是对客户公布在网络上的信息、在本机构内部的信息而实施，则可认为并不违法，若超出上述范围，就属于非法行为，因为互联网金融的发展需要通过大数据的技术来对有关消费和行业信息进行收集和分析，以发现客户的更多需求，从中找到更多的商机。另外，第三方支付机构在信息收集分析后仅用于本单位的合法经营活动，也可认为不违法，但其在自用之外还提供或者出售给他人或者其他机构，就应按照前述非法提供公民个人信息罪来惩处。当然，若第三方支付服务提供者偏离第三方支付的本意，出于非法获利的意图，利用大数据手段收集、分析公民个人信息，进而出卖公民个人信息，非法谋取经济利益，那就与第三方支付或者其他互联网金融活动无关，应当按照非法获取公民个人信息罪、非法提供公民个人信息罪来处罚。当然，单从互联网金融发展的角度看，国家应该尽快立法，对何为善意收集、分享、利用公民个人信息的行为作出明确的规定。

（四）违法占有或使用客户沉淀资金及其孳息行为的刑法规制

第三方支付机构违法占有或使用客户沉淀资金及其孳息的行为，主要有两种情况：（1）目前在沉淀资金（客户交易资金、备付金）的归属上并无争议。因而第三方支付机构及其工作人员非法占用或者使用沉淀资金的，符合刑法有关财产犯罪规定的，可以盗窃罪、诈骗罪、职务侵占罪、挪用资金罪等进行处罚。（2）沉淀资金（备付金）存于专门的银行，自然会产生孳息。而且有时很多客户还会在第三方支付平台上开设账户，预先放置钱款以备消费，或者将经营者退还的商品或者服务对价钱款留存在第三方支付平台的账户中，这部分钱款自然也被第三方支付机构直接掌握或者存在于特定金融机构，自然也会产生孳息。尽管我国物权法对孳息的归属有明确的规定，但沉淀资金、第三方支付平台账户资金的孳息却并未实际地归于客户。第三方支付机构并未在其章程或者格式合同中约定该孳息的归属和对客户的支付方式。这种约定和履行其实并不存在技术难度，因为第三方支付机构既然能够通过互联网金融将众多小额交易客户集中汇合起来，自然也有办法将沉淀资金、客户存放资金产生的利息返还给客户。故而第三方支付机构不将客户资金或孳息交付给消费者或者经营者，数额较大的，就构成了《刑法》第270条规定的侵占罪。但是，由于侵占罪属于亲告罪，每个消费者或者经营者作为被害人所涉及的被侵占数额又非常小，难以达到犯罪程度；而《刑法》第98条并未规定亲告罪的集体诉讼问题，也没有将单人数额虽小，但人数众多、总体数额巨大的被害情况规定为公诉的条件。因此，此处的刑法处罚会存在一定的尴尬。一方面，我们应当考虑对《刑法》第270条进行修正，删去其属于亲告罪的规定；另一方面，国家监管机构也应制定内容完备的行政法规范，规定第三方支付机构须参照银行利率将客户资金产生之利息自动划拨到客户在第三方支付平台的账户里。第三方支付机构在客户资金或者孳息数额上虚构事实或者隐瞒真相，公示较低数额，非法占有差额的，则属于诈骗罪。对于其直接负责的主管人员或者其他责任人员，依法追究刑事责任。

四、余论

安全是各种法律价值的基础，而寻求安全则是人们参与社会活动时的自然选择，但是，社会的存在和发展却无法避开各种风险。当前关于包括第三方支付在内的互联网金融的风险防控，就制度构建的层面看，存在相当大的不足。[14]对互联网金融加强法律监管的呼声体现了对财产和信息安全的重视，从而对互联网金融的运营者、监管者乃至参与者都提出了防控风险的考验。对我国而言，情况要更为复杂一些，因为我国民众习惯于金融产品的刚性兑付，对金融安全的要求更高，长尾风险尤为明显。[15]刑法学界就第三方支付风险防控的探讨虽然晚于其他部门法的研究，但至少表明，作为事后法的刑法在第三方支付法律监管过程中仍具有相当重要的作用。
不过，需要特别注意的是，监管的目的并非阻滞、影响互联网金融的发展，过于紧张的风险防控态度和过于严苛的第三方支付监管规则，可能会遏制第三方支付发展所需要的尝试和创新，因而不能出于消除风险的心理对第三方支付的运行和发展画地为牢，也不能因为国内法律监管制度的不完善乃至缺乏而去限制或者禁止第三方支付的特定发展，如虚拟信用卡、二维码支付等，相反，应考虑和设计合适的措施（如存款保险等金融工具）来降低或者规避风险。以此观念出发，尽可能地以行政法、民事法来调整和处理第三方支付中的纠纷和争议，将刑事处罚的范围限制在迫不得已的必要限度内，[16]在对第三方支付的规制上，应坚持刑法之事后法、补充法的特征，坚持宽严相济刑事政策。所以，容忍合理风险、放弃零风险的思维才是对第三方支付风险予以法律防控，尤其是刑法防控的必要路径。

（责任编辑：于改之）

【注释】

作者单位：北京师范大学。本文系作者主持的司法部2014年度国家法治与法学理论研究项目一般课题“大数据时代用户数据利益的刑法保护研究”（14SFB20017）的阶段性成果。

[1]参见姚文平：《互联网金融：即将到来的新金融时代》，中信出版社2014年版，第10页。

[2]参见《第三方支付新政解读系列：行业监管政策与法律环境分析》，http://finance.ifeng.com/news/tech/20101222/3099695.sht- ml,2015年3月30日访问。

[3]参见刘宪权：《互联网金融面临的刑事风险》，《解放日报》2014年5月7日第005版。

[4]参见徐明：《第三方支付的法律风险与监管》，《金融与经济》2010年第2期。

[5]其实，沉淀资金还不限于消费者向经营者支付的商品或者服务价款，还包括消费者在第三方支付平台上预先存放的资金、因为退货而发生的退款等。

[6]同前注①，姚文平书，第20页。

[7]参见朱禁弢、何方竹：《互联网金融已改变金融生态》，《中国经济周刊》2015年第1期。

[8]参见《图解2015年政府工作报告》，人民出版社、中国言实出版社2015年版，第98页。

[9]参见马克昌：《宽严相济刑事政策研究》，清华大学出版社2012年版，第80页。

[10]参见刘宪权：《论互联网金融刑法规制的“两面性”》，《法学家》2014年第5期。

[11]参见于志刚：《虚拟空间中的刑法理论》，中国方正出版社2003年版，第19页。

[12]参见何荣功：《自由秩序与自由刑法理论》，北京大学出版社2013年版，第157页。

[13]参见于改之：《我国当前刑事立法中的犯罪化与非犯罪化——严重脱逸社会相当性理论之提倡》，《法学家》2007年第4期。

[14]参见黎四奇：《对钓鱼欺诈中第三方支付机构作为或不作为法律问题的思考》，《法律科学》2012年第3期。

[15]参见谢平、邹传伟、刘海二：《互联网金融监管的必要性与核心原则》，《国际金融研究》2014年第8期。

[16]参见刘艳红：《风险刑法理论不能动摇刑法谦抑主义》，
《法商研究》2011年第4期。

出处:《法学》2015年第6期