點開線上商城瀏覽商品,填滿購物車後,從五花八門的支付方式中擇一完成付款後,等待商品送貨上門 —— 這種線上交易對現代人來說稀鬆平常。但仔細看會發現,結帳網頁上顯示的Logo既不是交易的電商平臺也不是銀行,而是XXPay或者「紅、藍、綠」等第三方支付服務業者的畫面。
「第三方支付」究竟是什麼?又是從什麼時候、什麼原因出現在我們的交易行為當中?又為什麼與洗錢防制有關?要如何開放及管理?本文將從三個部分說明。
第三方支付的起源及發展
在沒有貨幣概念的遠古時代,買賣雙方交易均是以物易物,交易對象也都是鄰近周邊的聚落,這時沒有貨幣,也沒有交易的中間人。當社會規模擴張,因為距離遠近、農穫出產時間差異,貨幣出現成為「價值」的儲存中介,貨幣交易取代以物易物,但當交易的對象從步行一天可以到達的村落,拓展到必須要跋山涉水才能到達的城鎮時,帶著沈甸甸的貨幣,顯然不是個好主意。
解決困境的方法,是買賣雙方事先選定一個雙方都信任的中間人,買方將現金交給中間人換取一紙憑證,待交易完成後再由賣方持買方提供的憑證向中間人換取貨幣,這「中間人」就是最早的第三方支付服務業者 ——「票號」,當時的憑證也叫做「銀票」。
隨著科技的發達,金流可以透過不同的科技儲存、執行,票號也轉為大家熟知的「銀行」,由於需要負責保管存戶的財產,避免任意吸金,對社會穩定具有特別任務,因此依法必須受到政府金融法規管制及保護,必須具有一定的資本及資格才能營業(「特許業務」),其地位也轉為超然的金融中介機構,利用目前國際通用的SWIFT國際結算系統來處理款項的匯付及結算。但其實,銀行本質上也是廣義的第三方支付服務業者。
從發展上不難看出,這些第三方金融服務業者所使用的,從原始的紙本帳簿、到電腦時代的SWIFT系統,都是當時的「金融科技」,而所有的金融服務業的發展,也都是基於當代的科技而演進。
在科技發展到網路時代後,因應網路上、手機上B2B、B2C、C2C各式商業模式的商城,以及APP內團購、預購等等各式新型的網路交易模式出現,傳統銀行不願意也沒有能力即時配合研發新的支付方式,因此非銀行的第三方支付公司就應運而生,他們只要不碰到銀行法限定僅銀行能做的業務,所做的也就是合法生意。例如國際知名的PayPal、臺灣知名的街口支付,所做的基本軟體服務,就是讓使用者能快速支付的APP。相較於傳統銀行,他們的優勢在於對於軟體、網路及電商特別熟悉,因此能夠配合電商企業打造適合新商業模式、使用者體驗又好的APP,因此即使後來傳統銀行推出的APP也有相同功能,這些第三方支付公司APP仍然能有廣大的使用者。
簡單來說,第三方支付公司在做的就是不碰到錢的金融服務,例如電商交易款項的代收代付,消費者就是支付給他們而他們會再結算給賣方。細節上,實際的金錢因為涉及前述特許業務,因此仍由銀行受託管理,但其他的部分,諸如消費者下載的軟體、看見的Logo、軟體服務的其他查帳、記帳、預約、匯款等功能,都是第三方支付公司能做的範疇。
其中最重要的功能之一,就是設計讓買方付款後,銀行不直接將款項撥付給賣方,而是撥付給支付平臺的信託銀行暫時保管,等買方確認收到商品,再由信託銀行撥款給賣方。如此對於電子商務的網路糾紛——買方取貨不付錢,或者是賣家收錢不出貨——支付平臺便成為買賣雙方的信賴橋樑,保障虛擬世界的交易安全。
此類「代(賣方)收、代(買方)付」的交易型態就是廣義的「第三方支付」,也簡稱「代收代付」,而經手金流的支付平臺,又可細分為由金融監督管理委員(金管會)管理的「電子支付機構」,或由數位發展部(數發部)管理的第三方支付服務業。電子支付機構因為受到專門的「電子支付機構管理條例」管制,在業務類型與資本額上都有特殊規範。因此,一般說到「第三方支付服務業」通常指的即是「電子支付機構」,此外,提供線上交易款項代收代付的業者,有時也稱為「代收代付業者」。
簡而言之,廣義第三方支付業者包括電子支付機構與狹義第三方支付業(即代收代付業)者,二者都是透過網路、軟體等科技與銀行共同合作,向消費者提供完整且好用的金融服務。
第三方支付與洗錢
那麼,為了確保交易安全所產生的第三方支付服務業者,究竟是如何和洗錢扯上關係?要理解這點,首先必須認識「洗錢」的機制:司法機關往往會透過犯罪行為的不法所得反向追查犯罪集團的首腦,為了躲避追查,犯罪集團需要切斷這些不法所得與犯罪行為的關聯。最好的做法就是將犯罪所得混入合法金融體系中「漂白」,這個動作就叫做「洗錢」。
防制洗錢金融行動工作組織(Financial Action Task Force,FATF)將洗錢分為「處置(Placement)」、「多層化(Layering)」與「整合(Integration)」三個階段。其中「處置」階段即是將不法所得混入合法金融體系,是黑錢洗白的第一步驟,也是最脆弱的一環;「多層化」指的是在合法的金融體系中多次交易,模糊金錢的流向並增加追查的困難度;「整合」則是將已經洗白的資金取出,成為犯罪集團可以放心利用的「合法收入」。
為了在第一道關卡防制黑錢進入合法金流,銀行被要求嚴格落實各項洗錢防制相關手續,包括建立內部控制與稽核制度、確認客戶身份(Know Your Customer,KYC)、保存客戶往來交易憑證、注意通報可疑交易,和持續訓練並教育員工 …等。相較於受到高規格要求的銀行,與銀行合作卻管理較為寬鬆的第三方支付服務業者,就成為犯罪集團突破的目標。
以實際發生過的判決案例來說明:犯罪集團利用甲成立A人頭公司,謊稱為食品批發業者,A公司希望成為銀行的特約商家,但銀行嚴格把關,覺得A公司剛設立,屬於高風險客戶,不願意簽約。在銀行端受阻的A公司改與第三方支付服務業者T公司簽約,T公司為了提高業績賺取更多服務費,不作他想就與A公司簽約並協助串接線上金流。犯罪集團設計投資騙局,誘使被害人透過T公司將款項以各種與食品批發無關之名義支付給A公司,過程中T公司完全沒有對交易金額的大小或名目提出任何質疑或通報,當被害人警覺遭到詐騙時,款項早已被車手提領一空,難以追回。
第三方支付之防制監理及能量登錄制
在前面的案例中,第三方支付服務業者是因為管理鬆散而被犯罪集團利用,不過實務上還有更多的是犯罪集團看準第三方支付服務業沒有專法規範,直接化身成為第三方支付服務業者進行洗錢作業。
在這種情況下,即便有周邊規定如:「第三方支付服務定型化契約應記載及不得記載事項」,要求第三方支付服務業者必須認證消費者的真實身份,以及「信用卡收單機構簽訂『提供代收代付服務平台業者』為特約商店自律規範」賦予收單銀行要求第三方支付服務業者不得接受其他第三方支付服務業者作為受款人的義務,希望藉此達到金流溯源的洗錢防制效果,但當犯罪集團自己就以第三方支付服務業者的身份成為金融系統的「內奸」時,這些規定也就形同虛設。
隨著提供第三方支付服務詐騙洗錢的案例頻生,為了強化第三方支付端之洗錢防制能力,數位發展部訂定了「第三方支付服務業防治洗錢及打擊資恐辦法」,法規內容除了比照銀行洗錢防制手續,要求第三方支付服務業必須建立內部控制與稽核制度、確實執行KYC、保留交易紀錄、通報可疑交易以外,2023年更新增必須向數發部進行「洗錢防制暨服務能量登錄」的要求,此已在2024年1月正式施行。
於此同時,金管會也配合通知金融機構,未來就未完成能量登錄之第三方支付業者,銀行在受理其開戶時(即新戶),得不受理;若為銀行既有客戶(即舊戶),在數發部規定之緩衝期內(即2023年底)未申請能量登錄者,則不提供虛擬帳戶服務。以上管理規定及措施之影響所及,雖然並未改變代收代付業之「非特許行業」之本質,但數發部及金管會間聯合夾擊,實質上也將第三方支付業的經營門檻,提升到另一個層次。未來將可期待不合格的第三方支付業者將漸漸被淘汰,洗刷第三方支付服務業淪為詐騙工具污名,重建金融服務之信心。
(由於第三方支付及金融科技發展迅速,法規更新頻率高,本文謹整理至完稿時(2024.05.14)最新之相關法規及分類,提供業界先進參考。)