跨境支付合规全景指南:代理、数据与刑事红线
跨境支付合规全景指南:代理、数据与刑事红线
合规不是成本,是继续做生意的入场券。
做跨境支付代理的朋友经常问我三个问题:我需不需要支付牌照?商户数据传到境外合不合法?下游商户出事我会不会坐牢?
三个问题都不好答。不好答不是因为法律复杂——法律其实挺清楚——而是因为大多数同行做的事情,恰好就踩在灰色地带。灰色不可怕,怕的是你不知道灰在哪里。
这篇文章试着把灰的地方说明白。
一、三条刑事红线
先说最严重的。刑法的剑,悬在跨境支付行业头上已经很久了,这两年落下来的速度明显在加快。
(一)帮信罪——不是只有支付机构才会中招
《刑法》第二百八十七条之二:明知他人利用信息网络实施犯罪,为其提供支付结算等帮助,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金。
条文不长,杀伤力极大。跨境支付代理的业务模式——帮境外支付机构拓展境内商户、传递交易信息、协助资金结算——每一个环节都可能触达”提供支付结算帮助”这条线。
关键在于”明知”怎么认定。
两高2019年的司法解释(法释〔2019〕15号)第十一条,列了七种可以认定”明知”的情形,门槛比大多数人想象的低得多:
(一)经监管部门告知后仍然实施有关行为的——收到公安或人民银行的协查通知,继续做,就是明知。
(二)接到举报后不履行法定管理职责的——有人举报你下游商户做诈骗、做赌博,你不查、不管、不处理,就是明知。
(三)交易价格或者方式明显异常的——商户付你的佣金远超行业正常水平,你不觉得奇怪?法院会觉得你应该奇怪。
(四)提供专门用于违法犯罪的程序、工具或者其他技术支持、帮助的——比如专门为赌博网站定制的支付跳转插件。
(五)频繁采用隐蔽上网、加密通信、销毁数据等措施或者使用虚假身份,逃避监管或者规避调查的——越是遮遮掩掩,越坐实明知。
(六)为他人逃避监管或者规避调查提供技术支持、帮助的——帮商户换账户、帮忙通风报信转移资金,直接命中。
(七)其他足以认定行为人明知的情形——兜底条款,给法官留了裁量空间。
七项里,(一)(二)(三)(六)对跨境支付代理来说是家常便饭级别的风险。收到协查函继续做、商户佣金异常高不查、帮商户换个收款通道——每一件都可能变成”明知”的佐证。
这不是危言耸听。过去两年,跨境支付链条上的技术服务商、代理公司、独立销售代表被以帮信罪立案的案件数量在上升。以前公安只盯着支付机构和大的聚合平台,现在沿着资金链条往下追,代理公司一样可能中招。
(二)非法经营罪——没牌照做”资金结算”,五百万就够”情节严重”
《刑法》第二百二十五条第(三)项:未经国家有关主管部门批准,非法从事资金支付结算业务的,处五年以下有期徒刑;情节特别严重的,处五年以上有期徒刑。
什么叫”非法从事资金支付结算业务”?两高2019年的司法解释(法释〔2019〕1号)第一条列得很清楚,第一条第一项直接命中跨境支付代理最常见的操作——”使用受理终端或者网络支付接口等方法,以虚构交易、虚开价格、交易退款等非法方式向指定付款方支付货币资金的”。
对照看一下跨境支付代理行业的经典模式:用自己的账户收境外付款、再分给下游商户——俗称”二次清分”。或者用国内商户的支付接口挂靠境外交易、做跳转——俗称”挂靠开户”。这两种模式一对照法释〔2019〕1号第一条第一项,几乎就是原文描述的翻版。
更关键的是数额门槛。同一条司法解释的第三条和第四条:
“情节严重”:非法经营数额500万元以上,或者违法所得10万元以上——五年以下。
“情节特别严重”:非法经营数额2500万元以上,或者违法所得50万元以上——五年以上。
500万什么概念?跨境支付代理做一两个中型商户,一年流水轻轻松松过500万。10万违法所得什么概念?千分之二的费率,5000万流水就是10万利润。这两个门槛在跨境支付行业不是”可能触及”,而是”极容易触及”。
多说一句:很多人以为”我没有直接碰资金,我只是做信息撮合和技术服务”就能绕开非法经营罪。这个认知是危险的。法释〔2019〕1号第一条的措辞是”使用受理终端或者网络支付接口等方法”,不要求你直接碰资金,你提供了支付接口、提供了跳转技术、搭建了清分系统——都属于”非法从事资金支付结算业务”的射程范围。
(三)洗钱罪——”自洗钱”入罪,自己洗自己的钱也坐牢
《刑法》第一百九十一条,2021年《刑法修正案(十一)》改过一版,有三个关键变化:
第一,删掉了”明知””协助”的表述。原来洗钱罪只打”帮别人洗”,现在自己洗自己的钱——上游犯罪行为人自己实施洗钱行为——也独立构成洗钱罪。简称”自洗钱入罪”。
第二,”协助将资金汇往境外”改成了”跨境转移资产”。原来只管单向汇出,现在双向都管、各类资产都管。
第三,取消了原来的比例罚金(5%-20%),改成无限额罚金。
这对跨境支付行业意味着什么?很简单——如果你的上游客户涉嫌诈骗、赌博、走私、贪污贿赂等七类上游犯罪,你帮他做了资金跨境转移,你可能同时被追究两个罪名:上游犯罪的共犯,加上洗钱罪。数罪并罚,最高十年。
跨境支付天然涉及”转移资金”和”跨境转移资产”——第191条第(三)项和第(四)项直接命中。你做的不是灰色地带,你是站在刑法的靶心上做业务——如果不做合规防火墙的话。
二、你到底需不需要支付牌照?
这个问题我问过人民银行的人。答案是:看你碰不碰”资金”。
(一)一根红线:碰钱就有牌照要求
《非银行支付机构监督管理条例》(2024年5月1日施行)第六条写得很死:”未经依法批准,任何单位和个人不得从事或者变相从事支付业务。”
什么叫”支付业务”?第二条的定义:根据收款人或付款人提交的电子支付指令转移货币资金。三个要素:①接收支付指令→②转移资金→③不是银行。你只要做了这三件事中的转移资金这一步,就需要支付牌照。
绝大多数跨境支付代理做的”二次清分”——境外资金先到你(或你控制的)账户,你再分给下游商户——这就是”转移货币资金”。不需要解释,不需要论证,这就是支付业务。你没牌照,就是非法经营。
(二)只做信息撮合也要小心
有些代理公司说,我不碰钱,我只做信息撮合——帮境外支付机构对接境内商户,商户直接和境外机构签约,资金不走我的账户。这种情况原则上不需要支付牌照。
但”原则上”和”实际上”之间,有一个巨大的坑。
法院和监管机关看的是”实质”,不是”形式”。如果你虽然在合同上写”信息撮合”,但实际上——你决定了资金的分账比例、你决定了清分的时间、你决定了商户能不能提现、你掌握了商户的账户密码或API密钥——那么监管机关大概率认定你在”变相从事支付业务”。
“变相”这个词在《条例》第六条里不是装饰性的,它是给监管机关留的裁量空间。怎么避免被”变相”套住?做到三不碰:不碰商户资金、不碰商户账户控制权、不碰清分决策权。
(三)跨境支付和国内支付的牌照是两套体系
《非银行支付机构监督管理条例》第十九条:”非银行支付机构为跨境交易提供支付服务的,应当遵守跨境支付、跨境人民币业务、外汇管理以及数据跨境流动的有关规定。”
持有国内支付牌照≠可以合法经营跨境支付业务。跨境支付还需要外汇管理局的备案或许可、需要符合《支付机构外汇业务管理办法》(汇发〔2019〕13号)的要求。《办法》第二条规定支付机构开展跨境外汇支付业务须”具有合法资质的支付机构”,且业务范围受严格限制。
一句话总结:国内支付牌照管国内,跨境支付额外需要外管局的”门票”。两套体系,互不替代。很多代理公司以为自己和持牌机构合作就万事大吉,你合作的那个持牌机构的资质范围是否覆盖跨境——自己查清楚。
三、数据出境——你以为快递过去就不算?
跨境支付天然要传数据:商户注册信息、营业执照、法人身份证、持卡人交易记录。三部法律管这件事:《网络安全法》《数据安全法》《个人信息保护法》。
(一)三法框架
《网络安全法》第三十七条:关键信息基础设施运营者(CIIO)在境内收集和产生的个人信息和重要数据,应当在境内存储。确需向境外提供的,须进行安全评估。
《数据安全法》第三十六条:数据处理者向境外提供数据的,应当遵守国家有关规定。
《个人信息保护法》第三十八条:个人信息出境,须通过安全评估、专业机构认证、签订标准合同或符合其他法定条件。第三十九条:必须取得个人的”单独同意”。第四十条:CIIO和处理个人信息达到规定数量的处理者,必须走安全评估,不能走标准合同。
三层法律叠加,形成了一套覆盖所有跨境支付参与者的数据出境管控体系。关键区分:
如果你是支付机构或持牌金融机构——大概率被认定为CIIO——个人信息和重要数据一概境内存储,出境必须走安全评估,流程长、标准高。
如果你是普通代理公司——不是CIIO——个人信息出境有三条合规路径可选:安全评估、专业机构认证、标准合同。对大多数中小代理公司而言,标准合同是最现实可行的路径。
(二)传什么、怎么传——边界比你想象的宽
一个重要但经常被忽略的区分:企业信息≠个人信息。
只传商户的企业注册信息(公司名称、统一社会信用代码、经营范围、注册资本),不含任何自然人信息的,不受《个人信息保护法》第三十八条个人信息出境规则的限制,不需要走安全评估或标准合同。
但只要你传了以下任何一样:法人代表身份证信息、股东身份证信息、持卡人姓名+卡号、交易记录中的付款人信息、商户联系人的手机号——这就是个人信息出境,三条路径必须选一条。
实操建议:能拆的就拆。商户企业信息和自然人信息分开传输。企业信息走常规通道,自然人信息走标准合同路径。不要把整套开户材料一股脑打包传过去——你打包的不是效率,是风险。
(三)快递算不算出境?邮件算不算?
物理纸质文件通过快递寄到境外——不算《个人信息保护法》第三十八条意义上的”向境外提供个人信息”。物理文件转移不适用数据出境的法律规则。
但电子方式的传输——邮件发送电子版开户材料、通过API接口实时传输交易数据、境外机构远程登录你的系统查看——都算数据出境。区别就在这个”电子”二字。
还有个容易被忽略的场景:你用的是境内的服务器,但是境外支付机构有系统管理员权限可以远程登录查看——这也构成数据出境,因为数据被境外主体”访问”了。《个人信息保护法》第三十八条的”向境外提供”包括传输、存储、访问等各种形式。
(四)单独同意的正确姿势
《个人信息保护法》第三十九条对”单独同意”的要求是硬性的:告知境外接收方的名称、联系方式、处理目的、处理方式、个人信息种类、个人行使权利的方式和程序——并取得个人的单独同意。
注意”单独”两个字。不能混在开户协议的长篇大论里,不能作为开户协议的一个条款夹在中间,不能”一揽子同意”。得单独签、单独一份文件、单独告知。
实操做法:商户开户时,除了开户协议,另签一份《个人信息出境告知同意书》。一张纸,写清楚数据传到哪、谁接收、做什么用、你可以怎么要求删除。商户签完字,和开户材料一起存档。
(五)最简实操方案
对于大多数中小跨境支付代理公司,当前最可行的数据出境合规方案就三步:
第一步:拆。企业信息和自然人信息分开传。
第二步:签。和境外支付机构签网信办发布的标准合同,然后向省级网信办备案。
第三步:同意。拿到商户的单独同意,存档备查。
不复杂。但要真的做。
四、五个实操坑
基于过去一年审过的跨境支付相关合同——支付代理协议、外卡收单系统采购合同、跨境物流合同——拆出最常见的五个坑。
(一)KYC走过场
新《反洗钱法》(2025年1月1日修订施行)有两个变化:第一,首次把非银行支付机构明确列为反洗钱义务机构;第二,确立了”双罚制”——既罚机构,也罚董事、监事、高级管理人员等直接责任人。
双罚意味着什么?公司被罚款是一回事,你个人被罚款甚至被追究其他法律责任是另一回事。以前大家觉得反洗钱是银行和支付机构的事,现在代理公司做KYC、做交易监控,是法定义务,不是增值服务。
实操上最容易被忽视的东西:商户尽职调查要做实。营业执照核查、法人身份验证、实际控制人穿透、业务模式了解——这些不是表格上勾一勾就能过的。商户出事,调出你的尽调档案,发现什么都没做——你解释不清楚的。
(二)合同里的裸奔状态
代理协议里最常见的三处硬伤:
第一,没有合规承诺条款。商户在协议里没有承诺”不从事违法违规业务”。后果:商户出事,你想说自己不知道,但协议里连让他”承诺合法经营”都没写——法院会觉得你根本不在乎他做什么。
第二,没有审计权和终止权。你发现商户在疑似做违规业务,但协议里没有赋予你单方审计的权利、没有赋予你随时终止合作的权利——你明知道他在做,还得继续服务。这种情况恰恰就是法释〔2019〕15号第十一条第(二)项”接到举报后不履行法定管理职责”的典型场景——你有义务管,但你没有权利管,这是个致命的合同漏洞。
第三,没有赔偿追偿条款。下游商户的违规行为导致代理公司被公安调查、被监管处罚、被上游支付机构索赔——这个损失谁来承担?合同里没写,就是自己扛。
解决方案就五个条款,每个代理协议都该有:商户合规承诺+你的审计检查权+你的单方终止权+商户对你的赔偿责任+商户的数据合规义务。五条全部写进协议,不是可选套餐,是标配。
(三)资金的灰色通道
“二次清分”和”挂靠开户”前面已经说了——非法经营罪的门槛极低。
这里补充一个更隐蔽的点:很多代理公司把自己的”信息撮合费”或”技术服务费”设定为交易金额的一个百分比。这个百分比,在法律定性上极容易被认定为”支付结算服务费”而非”技术服务费”——两者的法律含义完全不同。前者需要牌照,后者不需要。
费率的命名和计价方式,本身就是一个合规问题。固定金额的技术服务费,比按交易金额百分比计算的”费率”,在监管面前安全得多。
(四)数据留痕缺失
不管你做多少合规动作,最终能救你的不是”我做了”,而是”我能证明我做了”。
出事的时候,公安机关或监管机关来调取某商户的档案和交易记录,24小时你能拿出什么?拿不出来,或者拿出来的不完整——你所做的一切合规等于白做。
数据留痕的最低标准:①商户准入档案(营业执照+法人身份证+尽调表+合规承诺书)保存至少5年;②每笔交易的完整日志(交易时间、金额、付款方、收款方、币种、交易参考号),不可篡改;③所有合规审核动作(KYC复核、交易异常人工核查、商户沟通记录)有书面记录+时间戳+操作人。
“不可篡改”不是形容词,是法律要求。用可编辑的Excel做交易日志,在诉讼中证明力极低。至少要保证日志有数据库级别的不可篡改属性,最好有区块链或第三方存证。
(五)应急响应没有SOP
假设明天上午十点,你收到一封公安局的协查函,要求你提供某商户过去半年的全部交易记录和开户资料,并要求你立即冻结该商户的资金和交易权限。
你现在能不能在24小时内完成:①找到该商户的全部档案和交易数据→②进行内部核查,确认该商户是否存在异常→③按法律要求向公安机关提供数据→④同时对该商户采取限制措施→⑤书面记录全过程。
如果不能,你就缺一套应急响应SOP。法释〔2019〕15号第十一条第(一)项说得很明白——”经监管部门告知后仍然实施有关行为的”构成”明知”。收到协查函不采取实质措施,就满足”明知”的法定标准。
应急SOP不需要很长,三页纸足够:谁负责接收外部来函→多长时限内完成内部核查→谁有权决定限制或终止商户服务→向监管部门回复的模板→全过程留痕归档。关键是写下来、演练过、落到人。
五、合规防火墙五步
不是理论框架,是明天就能动手做的五件事。
第一步:商户准入——KYC+负面清单双重筛查
每个新商户进来,做两件事:
– 基础KYC:营业执照核查(国家企业信用信息公示系统实时查询)、法人代表身份证验证、实际控制人穿透(往上穿透到自然人)、业务模式书面说明+证明材料。
– 负面清单筛查:是否涉及虚拟货币、跨境赌博、色情、非法外汇买卖、传销、非法集资等高风险行业。不是你判断,是做一张负面清单出来,对照筛查。
全部留档,保存至少5年。
第二步:交易监控——系统+人工双重复核
系统层面:设置交易金额异常(单笔大额、日累计异常)、交易频率异常(短时高频、非营业时间密集交易)、交易对手异常(同一商户向大量分散个人账户转账)等自动预警规则。
人工层面:系统预警触发后,24小时内人工核查+书面记录。核实结果是误报——记录原因。核实结果确认可疑——立即限制该商户交易权限+启动进一步调查。
这套机制的意义不仅在于发现风险,更在于事后证明”我一直在做监测”。有没有发现是一回事,有没有在监测是另一回事。
第三步:商户协议——五条款标配
代理协议或商户服务协议必须包含五个条款:
①合规承诺条款——商户承诺业务合法合规,不从事XX类违规业务(负面清单直接写进合同附件)。
②审计权条款——你有权随时(合理通知后)审计商户的业务运营和交易数据。
③单方终止权条款——商户涉嫌违规,你有权立即单方终止服务、冻结交易。
④赔偿追偿条款——商户违规行为导致你遭受损失的(包括监管罚款、被上游追偿、律师费),商户全额赔偿。
⑤数据合规条款——商户同意你按《个人信息保护法》要求向境外传输必要的个人信息,并配合你完成单独同意程序。
五个条款,缺一个就是缺口。合同模板今天就改。
第四步:全链路数据留痕——不可篡改原则
四类数据必须留痕:
①商户准入档案(KYC材料、尽调表、合规承诺书)→保存至业务关系终止后至少5年。
②交易日志(每一笔交易的时间、金额、交易双方、币种、交易参考号)→不可篡改。
③合规操作日志(KYC复核时间、异常交易核查记录、商户沟通记录、合同修改记录)→有操作人+时间戳。
④应急响应记录(外部来函、内部核查结论、处置措施、向监管部门回复的完整记录)→完整闭环。
技术存储方案的选择上:能用数据库日志用数据库日志,能用第三方存证用第三方存证。Excel不是留痕工具,是给自己刨坑的工具。
第五步:应急响应SOP——24小时时间线
一页纸,写清楚三件事:
– 谁来做:明确应急响应责任人(A角+B角,确保任何时候至少一人能响应)。
– 怎么做:收到协查通知→30分钟内通知法务/合规负责人→4小时内完成内部初查(调取该商户全部档案+近期交易数据)→8小时内形成初步核查结论→如确认高风险,立即限制该商户交易权限+通知上游支付机构→24小时内正式书面回复监管机关。
– 怎么证明做了:每一步都留书面记录。最后归档的应急响应档案里,要有机打的时间戳、操作人签名、核查结论和处置措施说明。
五步做完,你就从”等出事”变成了”出事我有话说”。在跨境支付这个行业,”我不知道”从来不是保护伞,”我已尽力”才是。
结语
跨境支付行业已经进入强监管周期。2024年《非银行支付机构监督管理条例》、2025年新《反洗钱法》——制度密度在快速提高。过去十年野蛮生长的窗口正在关闭,合规能力正在从”成本项”变成”竞争力”。
三件事现在就可以做:
第一,拿你的业务流程图走一遍。资金实际经过了哪些账户?谁在做清分?数据传到了哪里?牌照是否覆盖实际业务范围?碰了钱没牌照,或者帮境外机构做实质清分没风控记录——今天就改。
第二,做一次合规压力测试。假设明天公安机关来人调取某商户过去半年的完整档案和交易数据——24小时内你能拿出什么?拿不出来或者拿不完整的地方,就是你的合规缺口。对照前面的”全链路数据留痕”标准,一个一个补。
第三,改变对合规的看法。合规不是阻碍业务——一套有效运行的合规体系,平时是成本,出事的时候是你证明”已尽合理注意义务”的唯一凭据。这个”已尽合理注意义务”的证明,往往就是罪与非罪之间的那条线。
本文仅作法律实务探讨,不构成正式法律意见。涉及具体业务模式的法律合规问题,建议聘请专业律师结合业务实际情况出具正式法律意见。
主要参考:
1. 两高《关于办理非法利用信息网络、帮助信息网络犯罪活动等刑事案件适用法律若干问题的解释》(法释〔2019〕15号)
2. 两高《关于办理非法从事资金支付结算业务、非法买卖外汇刑事案件适用法律若干问题的解释》(法释〔2019〕1号)
3. 《非银行支付机构监督管理条例》(国务院令第768号,2024年5月1日施行)
4. 《反洗钱法》(2025年1月1日修订施行)
5. 《支付机构外汇业务管理办法》(汇发〔2019〕13号)
6. 《数据安全法》《个人信息保护法》《网络安全法》
7. 《个人信息出境标准合同办法》(国家互联网信息办公室,2023年6月1日施行)
8. 《反电信网络诈骗法》(2022年12月1日施行)
9. 《刑法修正案(十一)》(2021年3月1日施行)
作者:潘建兴 律师
北京市长安律师事务所
2026年5月