支付平臺境外業務的合規性問題

張浩 陳全思

從全球范圍來看，第三方支付未來具有較大的發展空間，我國互聯網第三方支付平臺也正在依靠先進的支付模式和支付技術走出國門。但是，拓展境外業務存在多重法律風險。本文就我國互聯網第三方支付平臺境外拓展的法律風險進行深入探討，并提出相關合規建議。

我國支付平臺“全球化戰略”

第三方支付平臺（以下簡稱“支付平臺”）是指從事第三方支付服務的非金融機構。根據《非金融機構支付服務管理辦法》的規定，我國將第三方支付認定為非金融機構支付服務，指非金融機構在收付款人之間作為中介機構提供網絡支付、預付卡的發行與受理、銀行卡收單和中國人民銀行確定的其他支付服務中部分或全部貨幣資金轉移的服務。截至2018年1月，我國擁有第三方支付牌照的公司有247家，主要分為以支付寶、財付通為代表的互聯網型公司和以銀聯支付、快錢為代表的金融型公司兩大類。

目前，我國第三方支付市場基本形成雙寡頭格局。在國內市場基本成熟的情況下，支付寶與微信兩大支付巨頭逐漸將視野投向境外。從2015年開始，支付寶和微信開始大規模拓展境外支付場景，以滿足中國消費者的跨境支付需求，并在短短兩年間取得了驕人成績。截至2017年底，支付寶已覆蓋到除中國大陸以外的36個國家和地區，支持18種貨幣結算。微信支付的跨境業務也已登陸包括韓國以及我國香港、澳門、臺灣等在內的20個國家和地區，支持英鎊、港幣、美元等超過10種外幣直接結算。

目前，支付平臺拓展境外業務的方式主要是兩種，一是通過與當地金融、零售等企業和零售商合作，實現線上線下門店支付合作。以支付寶為例，在2016—2017年間，螞蟻金服分別與中國香港移動支付系統開發商YedPay和Valoot、法國巴黎銀行、德國支付服務商Wirecard、美國支付服務公司 First Data、泰國支付公司Ascend等金融、零售公司達成合作。同時，支付寶也積極與境外零售商、小商戶合作，不斷拓展支付場景，試圖覆蓋機場便利店、旅游景點等國人旅游、購物的主要聚集區域。二是通過境外投資的方式，將支付服務延伸到其他國家和地區，成立合資公司或者收購股份的方式。這種方式在一定程度上更高效，能夠短時間內解決牌照、人才、文化沖突等問題。螞蟻金服分別投資了印度最大的移動支付平臺Paytm、菲律賓數字金融公司Mynt、韓國政府批準的互聯網銀行K-Bank和支付服務供應商KICC等，期望以此種方式獲得目標國家和地區的支付牌照，開拓支付業務。

跨境支付是我國支付平臺拓展境外業務的主要驅動力。我國支付平臺之所以能在短短兩年之內打開如此多國家和地區的市場，重要原因在于出境游在我國的盛行。受此影響，跨境支付也就理所當然成為支付平臺境外業務的核心。

伴隨著我國支付平臺紛紛開展的全球化戰略，由于各地監管理念和模式的不同，支付平臺在“走出去”后常面臨合規問題。

面臨國內外雙重法律風險

支付平臺拓展境外業務會面臨完全不同的法律和監管環境，同時也會受到更多法律的規制，因此對于支付平臺要高度關注境外業務的合規性問題。

我國對支付平臺監管的主要法律依據是中國人民銀行制定的部門規章、規范性文件，包括支付機構管理和跨境結算等方面的規定。此外還有網絡安全法的相關規范要求。根據這些法律規定，我們認為支付平臺的境外經營活動可能涉及的法律風險包括以下幾點：

支付結算要求。《非金融機構支付服務管理辦法》第四十三條規定了對“轉讓”“出租”“出借《支付業務許可證》”和“超出核準業務范圍或將業務外包”行為的罰則。支付平臺的境外業務可能存在多種形態，包括獨立開展境外業務，與國外企業合資或合作開展相關業務等形式。在與國外企業的合作過程中可能出現部分業務外包的情況，也有可能超出核準業務的范圍，甚至可能涉嫌轉讓或出借《支付業務許可證》。

外匯管理要求。《支付機構跨境外匯支付業務試點指導意見》第八條規定支付機構不得為以下交易活動提供跨境外匯支付服務：不符合國家進出口管理規定的貨物、服務貿易；不具有市場普遍認可對價的商品交易，以及定價機制不清晰、存在風險隱患的無形商品交易；可能危害國家、社會安全，損害社會公共利益的項目或經營活動；法律法規及人民銀行、外匯局規章制度明確禁止的項目。該條規定一共限制了四類交易活動，其中第二類交易的規定相對模糊，相應的法律風險值得關注。電子商務領域創新活躍，互聯網支付平臺結算的商品和服務可能未必存在市場普遍認可的交易對價，新業務、新領域的無形商品也很可能缺少清晰的定價機制。支付平臺在為此類商品或服務交易提供結算服務時要特別注意其中的法律風險。

個人信息和重要數據存儲要求。網絡安全法第三十七條規定關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的個人信息和重要數據應當在境內存儲。因業務需要，確需向境外提供的，應當按照國家網信部門與國務院有關部門制定的辦法進行安全評估。由于我國互聯網金融快速發展，支付平臺的影響力和重要程度日益加深，支付平臺應當被視作關鍵信息基礎設施，因此必須遵守相關信息存儲要求。在境外支付場景中，盡管支付平臺的一部分服務行為發生在境外，但其境內相關部門和軟硬件也在提供運營支持，因此支付平臺為消費者提供境外支付服務仍應被視作在境內運營。但同時相關交易數據很可能被一些國外政府要求向其提供或存儲在境外。支付平臺應高度重視向境外提供其收集和產生的個人信息和重要數據時，相關操作的合規性。

支付平臺拓展業務，特別是從事本地支付業務的過程中，難免涉及本地公民個人信息等數據問題，目前，雖然國際上對數據權屬尚無定論，但是以歐盟、美國為代表的許多國家采取了保守型做法。其中最鮮明的問題具體如下：

數據存儲、安全問題備受重視。一是本國化儲存問題。嚴格限制本國公民的數據存儲地點，要求相關業務運營者在本國境內開展業務時產生和收集的數據應當在其本國境內存儲。據相關專家的統計，目前大約有二十多個國家對數據的本國化存儲作出規定，其中，俄羅斯、澳大利亞等國通過立法的形式對數據的流動進行了動態調整和控制。

二是數據安全問題。隨著數據資源化的趨勢，越來越多的國家開始重視用戶與網絡服務提供商之間的數據安全問題。保守派在該領域主要體現在國家對收集、使用用戶數據，用戶的控制權保障和信息透明性等多方面具有嚴格要求，發展讓位于安全。其中以歐盟立法最為嚴格，其近期生效的《通用數據保護條例》（General Data Protection Regulation，以下簡稱“GDPR”）被認為是最嚴格的數據隱私保護法律。

虛假信息、違規行為損害行業發展。過分強調效率可能會使支付平臺的風險轉向刑事等強制性風險。第三方支付作為一種新興業態，相關行業法律和規范尚不成熟，甚至在很多目標國家暫無此類法律法規。在此種背景下，時間和效率決定了支付平臺是否能實現利益最大化。為保障效率，支付平臺往往會采取“先推廣后完善”的經營策略，導致先推廣的支付系統存在一定的盲區，容易制造虛假身份和虛假交易等虛假信息。有專家指出，缺乏監管時，通過第三方支付平臺進行的非交易性支付，以及具備監管時，通過第三方支付平臺進行的虛假交易支付，都可能造成非法套現和洗錢。雖然目標國家的第三方支付相關法律可能不成熟，但是非法套現、洗錢等金融安全問題是每個政府都極為重視的，虛假信息的濫用可能會導致其他強制性法律風險的提高，反而會對行業發展造成損害。

因地制宜 加強合規性建設

主動適應監管強度的增加。國內監管部門對于支付平臺的監管日趨加強，對于支付平臺的資金管理、支付額度、支付方式等規范日漸增多。網絡安全層面，國家對關鍵信息基礎設施和個人信息、重要數據的保護越發重視，下一步對于支付平臺的境外經營行為的規范相信也會逐步納入到監管機構的議事日程。支付平臺弱監管的時代已經過去，企業必須主動適應監管規則和力度的變化，在業務創新和發展的同時，也要高度重視金融安全和信息安全，對于境外經營行為，這兩個問題更加重要。

重視區域性差異。無論在哪個國家，合規都是公司業務發展基本要求。但是由于文化背景和國情的影響，不同的國家和地區的合規范圍和寬松程度是不同的。針對東南亞國家等發展中國家來說，政府積極的監管態度使合規工作更加關注準入、合同等基本要求。我國支付平臺境外業務的拓展，不但帶動了發展中國家當地電商及互聯網經濟的發展，而且降低了當地用戶獲得金融服務的門檻，受到了廣泛認可。而歐美等發達國家對于新興的互聯網金融業務，特別是我國支付平臺境外拓展業務的態度則謹慎得多。因此，支付平臺在拓展境外業務時應注重因地制宜，而不能“照搬照抄”業務模式和發展理念。在尋求發展的國家，可以采取與本土公司合作的方式，讓本土公司來主導或協助合規工作。

總之，支付平臺在境外業務拓展的前景廣闊，但須高度重視國內和所在國的法律合規要求，嚴格遵守支付結算、外匯管制、網絡安全等方面的規定，保障用戶信息和重要數據安全，做好與監管機構的溝通工作，使境外業務平穩安全有序開展。