非法第四方支付犯罪的侦查取证研究

苗文杰

（中国人民公安大学，北京 100091）

在网络技术蓬勃发展的今天，微信、支付宝等第三方支付软件已经主宰了当前的支付交易市场，但是第三方支付的碎片化特点也给人们的生活带来了很多的不便。为了将市面上多家支付机构的二维码整合在一起，使消费者们可以体验到更加快捷、便利的支付服务，能够提供“一码多扫”服务的第四方支付技术应运而生。

有数据显示，第四方支付覆盖的商户总数量从2016 年的121.3 万家增长到了2019 年的2307万家。2017 年我国聚合支付交易规模为28.1 万亿元，2018 年聚合支付交易规模为34 万亿元，到2023 年底，我国聚合支付行业市场交易规模预计将超过80 万亿元。第四方支付发展迅猛，它在方便人们生活的同时，也为违法犯罪分子提供了新的犯罪途径，仅仅是“跑分”平台这种产业链就有十几万人参与，在短短几个月内就可以为赌博、色情等黑灰产业转移百亿资金。这种新型犯罪手段不仅给公安机关的侦查带来了挑战，还威胁了国家和公民的财产安全。

一、非法第四方支付及其主要犯罪类型

（一）非法第四方支付的概念

关于第四方支付较为通行的解释是“收单机构运用安全、有效的技术手段，集成银行卡支付和基于近场通信、远程通信、图像识别等技术的互联网、移动支付方式，对采用不同交互方式、具有不同支付功能或者对应不同支付服务品牌的多个支付渠道统一实施系统对接和技术整合，并为特约商户提供一点式接入和一站式资金结算、对账服务”。《聚合支付安全技术规范（草案稿）》则将第四方支付定义为“将多种支付方式或者多个支付渠道进行技术整合，为商户提供一点接入和对账的技术服务”。

根据上述论述，本文将第四方支付定义为“介于商户和第三方支付之间，通过工具、App 以及网站等途径整合相关银行、第三方支付和相应平台的新型支付方式，从而为交易双方或交易多方提供高效便捷的在线支付综合解决方案”。第四方支付资金流转途径如图1 所示。相应地，非法第四方支付就是指通过整合各种第三方支付机构，为违法犯罪分子及团队提供非法支付结算服务的支付方案。

图1 第四方支付资金流转途径

（二）非法第四方支付涉及的犯罪类型

1.利用第四方支付侵犯公民个人信息犯罪

在交易过程中，由于大量信息沉淀在第四方支付机构平台中，一些不法分子利用第四方支付机构收集商户交易信息以牟取非法利益，机构内部管理人员也可以通过自身职务便利条件将客户信息出售或提供给他人，这些信息最终被违法犯罪分子所利用进行非法第四方支付犯罪活动，危害了国家和公民的财产安全，符合侵犯公民个人信息罪。

2.利用第四方支付实施洗钱犯罪

随着第三方支付机构监管体系的不断完善，犯罪分子将目光转向了第四方支付机构。他们通过开设虚拟店铺、空壳公司等方式来搭建第四方支付平台，并为上游赌博、色情等黑灰产业提供非法资金结算服务，成功将钱洗白。

3.利用第四方支付实施盗窃犯罪

在日常交易过程中，由于第四方支付聚合了多种二维码，消费者只需要简单扫描商家收款码即可将钱转入商家账户，而不法分子如果把自己的收款码覆盖在商家的二维码上，钱财就可以转移到自己账户中，进而盗取钱财。此外，有些第四方支付机构的收款码和付款码整合在一个二维码中，这样不法分子可以先通过各种方式骗取消费者收款码，然后利用“扫码枪”等设备设置支付金额，从而通过扫描消费者的收款码盗取消费者的钱财。

4.利用第四方支付实施诈骗犯罪

不法分子通过开设游戏平台或者建立色情网站，骗取消费者扫码支付，在消费者扫码后并没有向消费者提供相应服务，从而通过第四方支付中的二维码来骗取钱财。

二、非法第四方支付的业务模式

目前，随着第四方支付服务的快速发展，一些不法分子利用监管漏洞搭建第四方支付平台，并为各种违法犯罪活动提供非法资金结算服务，以此牟取非法利益。非法第四方支付业务模式主要包括设立“跑分”平台、注册“空壳公司”、在电商平台虚构交易以及购买、租赁、挪用个人或者商户的账号这四种模式。

（一）设立“跑分”平台

所谓“跑分”是指利用银行卡账户或第三方支付账户为他人代收款，随后再转账到上家要求的指定账户，从中赚取佣金的违法犯罪活动。在这种模式中，其上游链接是黑灰产业，下游链接则是一群“跑分客”，“跑分”平台只是一个中间商，平台运营者通过微信群、抖音等方式发布“跑分”广告，诱导那些拥有微信或支付宝账户的用户参加平台的抢单活动并给予高额的报酬。首先，各个“跑分”平台从上游黑灰产业接收订单，然后平台运营者把这些订单发布在第四方支付平台上，让“跑分客”抢单，抢到单后这些不法资金就会转入“跑分客”账户，最后“跑分客”再将资金通过秘密方式转入违法犯罪分子的账户中。等资金到账后，平台会给“跑分客”一定的佣金，这样黑灰产业就可以顺理成章地将非法收入洗白。这种模式能够谋取暴利，而且监管难度非常大，不易侦破，因此吸引着大量的用户和犯罪分子加入，给社会造成了极大的危害。该模式的详细流程图如图2 所示。

图2 “跑分”平台业务模式

（二）注册“空壳公司”

在这种模式中，犯罪分子先以商城、超市等名义注册多家“空壳公司”，然后将这些公司的支付方式整合成一个二维码，淫秽色情、网络赌博网站与这些公司之间建立支付接口，随后上游犯罪的淫秽色情、网络赌博网站就将从消费者那里获取的资金通过二维码转入这些公司的对公账户中，然后“空壳公司”再将这些资金从对公账户转移到第四方支付平台运营者的对私账户中，最后平台运营者在扣除一定手续费后将资金转移到上游黑灰产业最终获利者的账户中，成功将钱洗白。该模式的详细流程图如图3 所示。

图3 注册“空壳公司”业务模式

（三）在电商平台虚构交易

这种模式是指犯罪分子利用电商平台建立虚拟店铺、设置虚拟商品、伪造虚拟订单，以此进行非法资金结算。[1]黑灰产业中的不法分子先利用入驻店铺资格审核漏洞或者向他人购买证照信息，将自己伪装成正规的电商平台商户，在平台上开设空壳店铺并虚构商品和价格，犯罪分子随后利用电商网站注册的小号在自己设立的虚假店铺中购买指定商品，从而获得大量产品代付码，随后将这些代付码传递到第四方支付平台，第四方支付平台根据用户充值需求调整代付码金额大小，并推送至用户手中，用户充值完成资金转移。在这种模式中，犯罪分子往往“打一枪换一个地方”，所以公安机关很难进行追踪。该模式的详细流程图如图4 所示。

图4 电商虚构交易模式

（四）购买、租赁、挪用个人或者商户的账号

这种模式可以避免使用犯罪分子自己的身份信息和支付账户，能轻松逃避公安机关的监管和打击，主要有两种途径：一种是第四方支付平台在与第三方支付机构合作过程中，非法挪用第三方支付机构正规商户的账号，利用这些账户帮助上游犯罪转移资金。这种途径是在商户不知情的情况下完成资金的转移，无疑侵犯了公民个人信息。另一种是第四方支付平台以“刷单”的名义向社会群体租赁或收购身份信息和支付账号，这些群体主要是大学生、外来务工人员、无业人员等经济实力较为薄弱的群体，这些群体因贪图利益将自己的信息和账号租赁或卖出，无意之中就卷入了违法犯罪的漩涡。在2020 年初，宜都公安摧毁了一个贩卖对公账户犯罪团伙，在这其中，第三方支付公司人员与犯罪团伙相互勾结，为犯罪团伙提供技术支持以及第三方支付商户号3687 个，犯罪团伙利用这些商户号进行支付结算，以逃避公安机关监管。[2]

三、非法第四方支付犯罪的侦查取证难点

（一）资金交易复杂，取证困难

以企业商户模式为例，犯罪分子通过购买、租赁、挪用甚至盗取、诈骗等手段获取商户信息和银行账户，然后利用这些账户非法转移资金。第四方支付平台掌握着大量信息，其中包括用户个人信息和资金交易信息，通过聚合多种第三方支付通道，资金流和信息流可以在交易过程中交错运行，并且资金和信息在不同银行和第三方支付机构间反复流转，使得完整的信息链和资金链被割裂开来，这就导致了资金交易极其复杂。在如此复杂的交易过程中，公安机关仅仅通过一家第三方支付机构或者银行根本无法获取一条完整的资金链，即使公安机关调取了多家第三方支付机构或者银行的交易信息，由于调查时间长、数据冗杂，也难以在有限时间内实现精准定位和打击，而犯罪分子又掌握着大量账户信息，随时可以更换账户进行非法活动，并在全国不同地点提款，因此更加大了公安机关查证追踪的难度。此外，资金通过第四方支付平台流转时，犯罪分子使用手机就可以完成所有的操作，而且网络虚拟程度极高，且里面的数据极容易被破坏。同时，犯罪分子会定期清理手机后台数据来抹除犯罪痕迹，从而逃避打击，这也给公安机关的取证工作造成了极大的困难。

（二）犯罪虚拟性强，信息查证难

比如上述“跑分”平台模式中，非法第四方支付平台往往把自己伪装成专业正规的平台，平台中也有规范的管理制度，因此从外表上看与正规平台没什么两样，能很轻易地逃脱监管。第四方支付平台所涉及的支付大多是非面对面进行的，并且账户不需要实名认证。除了“跑分客”的信息是真实的，其他犯罪分子的信息以及交易信息全都可以虚构，因此想要查证真实信息非常困难。此外，非法第四方支付平台在进行交易时，会从时间、金额、频次、地点等各个维度隐藏资金流水，选出最符合用户交易习惯的商户进行对接收款，从而伪装成正规交易以防止被识别出来，这也就导致公安机关难以精准查证和打击。

（三）犯罪职业化、专业化，取证困难

从平台的运行来看，非法第四方支付平台要向犯罪分子提供支付、技术、客服等众多服务，而一个人很难提供全部服务的，为此非法第四方支付平台需要明确的分工和专业的技术，呈现出向职业化、专业化发展的趋势。这些平台就像一个个工厂，不同的人负责不同的任务，有的专门负责通过各种手段获取公民信息，有的专门负责搭建支付平台以及维护其运营，有的专门负责二维码的生产制作，有的专门负责转移资金。以“跑分”平台为例，平台中的人员有的负责利用技术手段搭建“跑分”平台，有的负责向外散布“跑分”广告，有的负责收取“跑分客”们“抢”到的资金，有的负责将资金转移到上游黑灰产业的个人账户中，不同的成员之间既分工明确、相互配合又彼此制约，并且每个环节都是闭合的，一旦侦查机关打掉某个环节，其他环节的犯罪分子会迅速切断联系、删除记录并且找到新的替补者。这使得非法第四方支付犯罪呈现出防不胜防、打不胜打的态势。这样的特点不仅提高了黑灰产业资金结算和转移的效率，还能够逃避公安机关的监管和打击，造成了公安机关取证困难。

从整个犯罪流程来看，网络赌博、淫秽色情等黑灰产业先将从消费者那里获得的资金转移到第四方支付平台，随后在通过各种方式转移到上游犯罪分子的个人账户中，从而实现对资金的获取，进而形成了如图5 所示的“资金供给—非法第四方支付—黑灰产业”于一体的犯罪产业链条。[1]

图5 非法第四方犯罪链条结构

（四）涉案人员成分复杂，难以获取口供

由于非法第四方支付犯罪是利用网络空间进行的非接触式犯罪，因此其跨境跨地域特征明显。一方面，犯罪分子可以利用互联网在全国进行“撒网”，被害人分布在全国各地，想对他们进行一一查证核实十分困难。此外这类犯罪伪装性强，往往发生在不经意间，被害人可能无法向公安机关提供有价值的线索；另一方面，此类犯罪多为团伙犯罪，其组织结构复杂，人员分工明确，层级清晰，上游犯罪分子沉着冷静，反讯问能力强，且往往避重就轻，通过供述一些无关紧要的事实来干扰侦查方向。下游犯罪分子往往抱有罪责较轻的侥幸心理，因此拒不供述事实，或者相互之间建立攻守同盟，捏造虚假事实。有的人虽然真心悔改，但与上级缺乏联络，知之甚少，像“跑分客”中的有些人甚至不知道自己卷入了违法犯罪之中，这些都加大了获取口供的难度，也造成了此类犯罪取证困难。

四、非法第四方支付犯罪的侦查取证对策

（一）强化资金查控，穿透资金链路

资金流被称为经济类犯罪侦查的DNA，资金流向不仅能够反映账户使用者的身份信息、交易记录，还能够挖掘组织架构、人员关系等，具有较强的指向性。[3]

非法第四方支付犯罪属于资金高度密集型犯罪的一种，其上游犯罪的资金流转是多层级的，要想充分收集证据、实现源头打击犯罪，重点要对犯罪资金流进行取证分析。首先，理清平台的资金结构链路。针对工商、监管等部门申报的以及询问中被害人供述的可疑平台和可疑资金账户，公安机关应迅速展开排查，以此弄清这些账户的性质，确定账户涉及的人员和公司信息，找出非法第四方支付的收单账户、中转账户、结算账户，并对这些资金账户进行结构分析，理清资金脉络。其次，确定“资金池”账户。由于非法第四方支付犯罪呈现链条化特征，因此可疑资金账户必然有相关联的上级账户和下级账户，公安机关还要加强对这些账户信息的调研分析，向上追查以确定资金的性质和来源，向下追查以确定最终的“资金池”账户。最后，及时查控“资金池”账户。在确定“资金池”账户之后，要想准确认定犯罪金额，就必须对“资金池”账户的各种信息进行挖掘和分析，账户性质一旦认定，公安机关就应该及时予以查控并取证，以防止账户资金流失。

在打击非法第四方支付犯罪时，既可以从上游黑灰产业犯罪入手，从资金流水出发，联合多个部门发掘有效信息，理清资金流和信息流脉络，完整地还原网络黑灰产业链的各个环节，等到时机成熟将犯罪团伙一网打尽。同时也可以从日常生活入手，格外警惕那些招募“跑分客”、收购和租赁身份证、银行卡和二维码的广告，充分收集有关公民个人信息和支付账户的买卖方面的证据，切断非法第四方犯罪技术、信息等基础资源供给，实现源头治理。

（二）明确讯问重点，获取关键口供

对于非法第四方支付犯罪的侦查取证，不仅需要线上的资金流查证分析，也需要线下侦查讯问获取犯罪嫌疑人口供。

首先，收集充足的证据是开展讯问工作的基础。由于非法第四方支付犯罪相关证据具有不稳定、易损毁的特点，犯罪嫌疑人往往抱有侥幸心理，认为侦查人员并不会获得确凿的证据。因此，侦查人员在讯问前一定要尽可能多地收集相关犯罪证据，如表1 所示。讯问过程中一旦发现犯罪嫌疑人的口供与现有证据之间存在矛盾，就可以适时出示证据，从而击溃犯罪嫌疑人心理防线，使其如实供述自己罪行。

表1 非法第四方支付犯罪不同业务模式的相关证据表

其次，前期询问是讯问的重要准备工作，也是证据收集的基础性工作。由于非法第四方支付犯罪是利用网络空间进行的非接触式犯罪，被害人往往分布在全国各地，当地公安机关在接到被害人报案后应立即进行询问，以便及时获取有效陈述。在询问过程中，应当重点围绕交易账号、交易金额、涉案相关平台等内容展开，力求获取更多案件细节。

最后，针对犯罪嫌疑人的不同层级和分工，采用合适的讯问方法。非法第四方犯罪组织是有明确分工和等级的，上游犯罪的犯罪分子往往情感冷漠、罪行较重、反讯问能力强，因此在讯问过程中要在充分掌握犯罪证据的前提下，强化其罪责感，堵塞其逃脱罪责的后路。对于搭建第四方平台、进行平台维护的技术人员，他们虽然学历较高、自尊心强，但往往缺乏反讯问经验，因此侦查人员要维护他们的自尊心，多对他们进行教育感化，并运用证据辅佐，获取口供。参与“跑分”、租赁收购银行卡和身份证的下游犯罪分子一般抱有罪责较轻、可能不被判刑的侥幸心理，因此往往态度轻浮、有恃无恐，侦查人员应当恩威并用，运用法律开展教育，适时出示证据，打消其侥幸心理，适用认罪认罚从宽制度消除其对抗心理。而对于不知情的人员，例如“跑分”平台中的“跑分客”，他们有些人都不知道自己卷入了违法犯罪之中，公安机关应当安抚他们的情绪，对他们进行疏导和教育，引导他们如实供述自己了解的有关情况，如“跑分”平台运营者信息、“跑分”的具体工作情况以及交易账户等等，这些供述有利于公安机关由下向上打击非法第四方支付犯罪。

（三）加强电子取证，对电子证据进行关联性分析

电子证据是科学技术快速发展、社会信息化水平不断提高条件下的新型证据表现形式。侦查过程中通过对电子数据的收集、分析和固定，不仅可以提高侦查效率，还能为之后庭审的定罪量刑提供重要依据。

在犯罪现场勘查取证过程中，侦查人员应着重从犯罪现场的主机、网络连接设备中调取和固定犯罪分子社交账号、聊天记录、交易信息、浏览历史记录等相关电子证据，避免犯罪分子发现后将证据删除、损毁。但同时，侦查人员也要对犯罪窝点进行勘查，提取和固定手机卡、银行卡、U 盘等实物证据。

在证据分析研判阶段，应当注重对证据的关联性进行分析。一方面，对收集到的各种电子账号如微信号、QQ 号、微博账号、银行卡号、支付宝账号等，可以与它们绑定的身份证、电话号码相关联，通过电信部门进一步确定犯罪嫌疑人的身份信息、活动轨迹，尽可能地缩小侦查范围，但是需要注意电子账号共有、共用或案外人使用、冒用的情况；另一方面，对收集到的IP 地址、MAC 地址、GPS 地址，要迅速与犯罪分子位置相关联，通过多警协作、阵地控制等手段将犯罪分子一网打尽。与此同时，在收集地址信息时要确定犯罪分子是否修改了地址，是否存在地址被共用、冒用的现象，以免在庭审中成为争议的焦点。

（四）强化串并案侦查资源整合，有效固定证据

在非法第四方支付犯罪案件中，犯罪分子在作案时间和空间上具有不规律性，公安机关很难在初期掌握足够多的线索和证据，但是同一犯罪团伙会采取相似的手段和工具实施多起犯罪，这也为串并案侦查提供了可能性。首先，公安机关应当做好询问工作，从被害人的陈述中了解犯罪分子的作案手段、犯罪业务模式，然后在全国范围内充分收集个案材料，串并出在不同时间和空间发生的作案手段、犯罪业务模式类似的案件。其次，公安机关利用大数据平台进行情报信息资源共享和分析研判，拓宽信息源头，在远程进行侦查取证，通过串并犯罪分子的IP 地址、银行账户、绑定的身份信息，分析其团伙藏身地。例如，可以对收集到的银行账户进行动态监测，一旦发现有存取钱的行为，就可以通过相应银行的视频监控捕捉取款人员外貌特征，再利用视频追踪确定其交通工具以及位置信息。最后，对于抓捕的犯罪分子的口供进行串并，以此分析出更多相关案件。

（五）完善侦查合作机制，多方面收集证据

在非法第四方支付犯罪中，盗取或收购个人信息、搭建和维护平台、制作二维码、转移资金是由不同的人员进行的，这些人员通过虚拟网络便可以完成整个犯罪过程，这种犯罪模式突破了时空的限制，公安机关单打独斗很难将其侦破。因此，在数字化条件下，不仅需要公安机关和不同行业部门之间的协作，更需要公安机关内部各部门通力配合、高效联动，形成多警种跨区域合力打击，充分发挥刑侦、经侦、技侦、治安、网安等各个部门的优势，打破地域限制，打破跨区域办案的数据壁垒，强化公安机关办案协作机制。在2020 年1月，泉州网安民警在工作中发现一家互联网科技公司的老板与其技术员前后搭建了17 个第四方支付平台，并且由数个犯罪团伙运营，作案地遍布泉州的晋江、南安、丰泽、漳州等地。5 月11 日下午，丰泽、南安、安溪三地公安机关200 余名警力在福建省公安厅网安支队的组织下，兵分三路，在丰泽、晋江、南安、漳州等地同步展开收网行动，共捣毁了犯罪窝点13 个，打掉第四方支付平台17个，并抓获犯罪嫌疑人56 名，涉案资金流水达10亿元。因此，在打击非法第四方支付犯罪案件过程中，侦查人员只有加强与其他地域、其他部门公安机关的合作，强化办案协作机制，这样才能取得更加显著的成效。

此外，公安机关还要加强与银行、税务部门、市场监管部门、第三方支付平台以及互联网企业的合作。公安机关侦查取证工作需要银行的支持，通过加强与银行的合作，可以获得金融数据、可疑交易记录以及资金流向，公安机关以此为出发点来深挖交易背后犯罪分子的身份信息和活动轨迹，进而确定犯罪分子；通过加强与税务、市场监管部门的合作，公安机关能够实时掌握各种工商注册和税务信息，对其进行动态监管，并联合相关部门排查可疑企业，惩治不法企业，及时发现和固定相关证据；通过加强与第三方支付平台的合作，公安机关可以调取第三方支付企业的后台数据管理系统中的客户交易记录，并鼓励第三方支付企业对客户的交易记录进行实时监控，及时提供可疑的交易记录；公安机关通过加强与微信、QQ、微博等互联网巨头企业的合作，可以及时发现利用这些平台发布回收银行卡信息、租赁账号信息等敏感信息的可疑人员，并以此为突破口，从点到面进行深入挖掘。