作者按:我寫了兩篇文章解釋未受監管產業對受監管金融機構所帶來的複雜潛在風險,本文是第二篇。
如今,金融科技成為一種流行用語,各類公司將金融科技用於交易流程的不同階段,許多機構都自詡為金融科技公司只不過因為能提供更快或更遠的行動支付服務。然而,金融科技公司良莠不齊,其帶給核心銀行或金融機構合作夥伴的風險也各異。當美國貨幣監理署 (OCC) 於 2018 年 7 月宣佈發放金融科技公司特許執照時,認為所有金融科技公司都會樂於申請。然而,截至2019 年 12 月,美國貨幣監理署網站只顯示了 11 個新特許執照,而且其中大多數與金融科技公司無關。這種情況是不是因為大多數金融科技公司都合法使用了金融犯罪稽查局 (FinCEN) 對支付處理商提供的豁免條款?
從技術上來說,大多數金融科技公司只不過是利用既有的支付手段來轉移資金,例如自動清算中心 (ACH)。這些公司也僅負責支付流程中的一部分而已。這種自動清算中心轉移,連同資金轉移的目的(支付商品或服務費用),使他們在聯邦層級上被視為非資金匯款機構。金融犯罪稽查局的多項行政規則提供了多種豁免情況,支付處理商、支付服務商、商戶支付公司和「收款人代理」公司得於此類情況下,依聯邦法規不納入貨幣服務業,亦無需遵守嚴格的防制洗錢計劃。在美國,一個規模達數十億美元的「影子借貸」金融科技市場正在蓬勃發展。這些借貸產品係透過各種方式提供,有些經由大型銀行承銷,有些來自私人貸款者,但都無需遵循防制洗錢要求。
本文討論各種不受監管並將潛在風險擴及其各自合作銀行的支付處理商和金融科技公司。金融科技公司的形式多不勝數,交易流程包含諸多部分,而交易類型亦包羅甚廣,因此金融科技公司得以借此加速支付,或代表商戶或電子商務網站提供支付流程。以下列舉一些金融科技公司類型加以說明。
- 協助不同電子商務網站賣家付款的支付公司(私人賣家提供無庫存控制的產品)
- 為租賃或購買服務平臺提供服務的支付處理商、服務商或聚合服務商(無庫存控制)
- 協助聚集型網站(群眾募資、活動網站等)支付資金的支付公司
- 承銷或提供貸款或替代融資(影子借貸)的支付公司
這些情況在防制洗錢金融行動工作組織 (FATF)的《貨幣或價值轉移服務 (MVTS) 指南》1 和《新型支付產品及服務 (NPPS) 指南》中均有描述與處理。 2上文所列並未包含所有情況,甚至在本文發表之前,就可能有科技公司發明了新的支付方法。
有哪些風險?
讀到這裡,有些讀者可能會好奇美國以及提供方法使金融科技公司得以從事其業務的銀行需面臨哪些風險。最高層的潛在風險可以歸結為一個主要問題,即防制洗錢金融行動工作組織的產品相關主要風險因素:支付流程的分割階段。例如,資金流入、經過和流出電子商務平臺的銀行帳戶。然而,資金流的主要銀行關係並未涉及其他相關方的所有方面。從電子商務帳戶流出的資金可以整筆支付給金融科技公司,然後由金融科技公司代表電子商務網站對個人付款(參見下面的例子)。
新的金融科技支付流程會將交易從端到端予以分解,某些交易方受到監管,而有些則與交易流無關。根據所使用的手段(交易工具類型),金融科技公司可能獲得金融犯罪稽查局規定的豁免權。2003 年到 2014 年期間,該局已發佈四份公開信或規則,為金融科技公司整體或金融科技公司內部的一組支付類型提供各種豁免。例如,某些金融科技公司提供其客戶各類產品,如電子商務或實體店的支付處理。某些金融科技公司將產品與支付處理、錢包類產品和匯款轉帳等相結合。 一些金融機構甚至以貸款形式提供支付處理。以上支付類型都在金融犯罪稽查局的豁免範圍內。該等金融科技公司可以提供一種類似於匯款的計劃,但由於該計劃可協助商品或服務支付,且利用了自動清算中心系統,因此可以申請豁免聯邦防制洗錢要求。某些州則對此有不同看法,主要是佛羅里達州、加利福尼亞州和紐約州,因此金融科技公司在這幾州內可能會使用合法的「收款人代理」身份,或者成為該州的有照匯款機構。精明的金融科技公司利用豁免規定和諸如「收款人代理」等新定義,並非從事任何違法行為,他們只不過利用新的聯邦或州法規來獲取策略優勢罷了。下列例子可以更清楚地說明,為何並非所有金融科技公司產品都能或都會受到監管:
同樣,有些讀者可能會好奇淨風險是什麼。當合作銀行為金融科技公司開戶時,會要求提供防制洗錢制度體系相關資訊。金融科技公司應該提供完全規範且積極的監控要求。然而,如果只有部分金融科技支付流程符合防制洗錢監管要求,則合作銀行可能沒有足夠的時間或知識來了解科技公司及其各種支付類型。實際上整個國家面臨著更大的風險。當產品推廣至美國或加拿大以外的國家時,金融科技公司及其支付流程將面臨真正的考驗。如果支付產品在歐洲或包括澳大利亞在內的亞洲大多數國家推出,則相同的支付產品或流程將完全遵循防制洗錢要求。歐盟《防制洗錢指令》以及英國金融行為監管局 (Financial Conduct Authority) 法規並未對等同於美國全國自動清算中心協會系統的單一歐元支付區 (Single Euro Payments Area) 提供豁免。無論使用何種支付手段,如電匯、自動清算中心、支票、現金等,支付處理商均被視為受監管機構。
除了美國以外,大多數國家都已將貨幣價值轉移服務和新的支付方式納入考量。這些國家的法規中要求支付處理公司(可能是同一支付流程中的多個不同公司)必須實施完整的防制洗錢法規遵循計劃便可證明此點。
歸根結底,它們都是支付處理商
與其使用如商戶支付公司、第三方支付處理商、支付服務商、支付聚合商、商戶支付處理商、金融科技或專用自動櫃員機網路等各種令人眼花撩亂的詞彙,只用支付處理商這個一般詞彙便足以涵蓋下列所述交易的各個面向和參與方。雖然視其於支付流程中所在不同環節而異,但大多數機構都將會與金融科技公司和支付處理商(不被視為金融科技公司,因為它們提供商戶支付服務已有一段時間)有某種類型的接觸。先前曾提過,金融科技公司和支付處理商會鑽法律漏洞,值得注意的是,大部分法律漏洞都是給傳統支付處理公司利用的。必須一提的是,上述任何一家支付處理商在美國以外的大多數工業化國家都須遵守所有防制洗錢規定。為避免在美國註冊為貨幣服務業或匯款機構,支付處理商和金融科技公司可以透過自動清算中心,而非藉由電匯來匯出 / 接收資金。雖然這未必是唯一的消除因素,但我們有必要了解自動清算中心在支付流程中發揮了什麼樣的作用,如下圖所示。
除了前述問題外,各機構須切記,商戶處理公司(承銷和發行刷卡機或電子商務功能的公司)並無需實施防制洗錢制度體系。遇到對商戶處理公司提供銀行服務的機構時, 一旦提到這一點,支付處理機構所表現出來的抗拒是很有趣的。大多數處理商用詐欺與風險監控代替洗錢監控。這些監控並不相同,尤其是在支付監控方面。過去幾年,數個案例中發現支付處理公司雖有防制洗錢政策,但並未向金融犯罪稽查局註冊為貨幣服務業;因此,他們無法根據其防制洗錢政策內的規定提交可疑活動報告。本文並不是要置商戶處理公司或支付處理公司於不利之地,因為錯不在他們。他們已經履行了當前美國法規要求的義務。然而,大多數與商戶處理公司有業務往來關係的機構並未花時間來監控其付款文件或其提供服務的商戶類型。如果處理公司未監控洗錢相關風險,則受監管機構允許該等處理公司使用其工具透過自動清算中心轉移資金,所需承受的潛在風險將大幅增加。
切記詐欺監控屬於營運決策,意即實際上並無任何保護公司免受詐欺損失的監管要求。然而,企業進行詐欺風險監控的原因是為了避免破產。但是,目前對商戶處理公司而言洗錢活動監控也非強制性規定,因為耗費的成本無法帶來盈利,所以不予考慮。儘管某些人可能會反對這種說法,但對諸如退款頻率、平均刷卡次數偏差和每月活動偏差等資料進行監控,並不能稱為洗錢或資助恐怖活動風險監控。商戶處理公司為監控洗錢風險所應採用的監控報告基本範例,包括高風險產業代碼監控,平均刷卡價值相較於已售產品 / 服務價值、持卡人多次出現(對該業務類型來說屬異常時),以及每月總金額相較於已售產品 / 服務的價值。要簡述商戶處理公司目前已採措施(詐欺監控)和應採措施(洗錢 / 恐怖監控)之間的區別,可以參考以下情境。一家支付處理商為某佛羅裡達州二手車經銷商開戶。該處理商對汽車經銷商所有人進行廣泛的背景和信用調查,並審查公司財務報表。這家處理公司提供了兩台刷卡機,一台用於汽車頭款及每月分期款支付,預計平均刷卡消費金額為 500 至 800 美元,另一台用於維修業服務,預計平均刷卡消費金額為 150 美元。處理公司就此進行每週和每月監控,尋找總預期活動、刷卡次數、退款等方面的偏差。然而,當防制洗錢專業人員審查相關活動並進行增強盡職調查,包括利用公開資源調查該汽車經銷商時,發現了紅旗警訊。該汽車經銷商的停車場上只有幾輛車。在一個多月時間裡,停車場上未增加任何新車,也未線上發佈新車,且發現該汽車經銷商並未登記為非銀行金融機構,而根據佛羅里達州法,如果汽車經銷商因出售汽車而接受付款,必須進行登記。兩台機器每月的刷卡總額遠超過 30,000 美元,但就防制洗錢的角度來看,卻沒有證據說明收入來源。這個交易洗錢的例子很常見,並且與行業無關。只要沒有真正的庫存控制,支付流程就有可能被濫用。
風險落在銀行身上
因此,如果商戶處理公司未監控洗錢活動,則法律責任再次落在了被監管方。被監管方包括為商戶(企業客戶)提供銀行服務的機構,以及銀行支付處理商或金融科技公司。大多數機構未對從支付處理商網路接收自動清算中心存款的商戶(企業客戶)進行監控,因為幾乎所有企業都接受簽帳卡或信用卡。此外,自動清算中心交易是任何銀行在任何日期的所有交易中最常用的交易類型。關鍵是自動清算中心被掩埋了。如果企業客戶風險較高,可能會對客戶的總收入進行審查。理想情況下,機構會對來自商戶卡網路的自動清算中心存款進行嚴格審查。但事實上,無論是支付處理商(盈利來自刷卡)還是為商戶(企業客戶)提供銀行服務的機構,對這些支付的監管都極鬆散。從交易一端到另一端,唯一必須依規定監控洗錢活動(移除幾個層次)的只有大型發卡網路,但他們只能監控特定卡片網路的終端刷卡,而非商戶終端的所有刷卡。
因此,如果由於更多交易方參與而使風險大大提升,因為它分割了端到端流程並扭曲視圖,那麼合乎邏輯的補救方法是對能見度最高實體進行監管。這些機構就是金融科技公司和支付處理商。希望防制洗錢金融行動工作組織能在下一次互評流程中,探索美國支付流程以及金融犯罪稽查局豁免條款的漏洞。當然,如果美國決定取消豁免並將支付處理機構納入防制洗錢要求,則需要採取相應的執法措施,且需要額外的聯邦資源來對公司進行審查。從單純的消費者到企業,企業到企業,企業到消費者支付流程(使用自動清算中心系統),到更複雜的提供貸款或影子融資金融科技產品的支付處理機構,美國需要重新評估價值數千億美元資金的漏洞,因為這些資金基本上是毫無阻礙地經過美國自動清算中心系統,並未受到任何監控。
Sarah Beth Felix,CAMS,MFS,Palmera Consulting 總裁,美國德州奧斯汀,sarah@palmeraconsulting.com
- “Guidance for a Risk-Based Approach:Money or Value Transfer Services”(《金錢或價值移轉服務風險基礎方法指引》),防制洗錢金融行動工作組織,2016 年 2 月,https://www.fatf-gafi.org/media/fatf/documents/reports/Guidance-RBA-money-value-transfer-services.pdf
- “Guidance for a Risk-Based Approach: Prepaid Cards, Mobile Payments and Internet-Based Payment Services”(《預付卡、行動支付及網路支付之風險基礎方法之指引文件》),防制洗錢金融行動工作組織,2013 年 6 月,https://www.fatf-gafi.org/media/fatf/documents/recommendations/Guidance-RBA-NPPS.pdf
