第三方支付的刑事風險與防控措施

張澤辰++江奧立?

近年來，隨著網絡技術的廣泛應用和金融行業的深度發展，中國的互聯網金融呈現出一片繁華的景象，尤其在第三方支付領域，基于“應用多、功能強、效率高”的特點，其用戶人數與全球的網民人數已基本持平。然而就在第三方支付普惠廣大網絡用戶的同時，利用該技術進行賭博、洗錢等犯罪活動的情況卻是屢見不鮮。究其原因，是由于我們在刑法于何種范圍、何種程度介入，才能對第三方支付進行有效規制的問題上，欠缺系統研究。本文試圖通過研究第三方支付在各個服務環節中可能出現的刑事風險，提出防范這類風險有益的建議。

一、第三方支付的行為模式

（一）網絡支付模式

網絡支付是第三方支付服務中最為典型的一種模式，該模式又被理解為是“互聯網支付”。在本文看來，“互聯網支付”應當被界定為以公共互聯網為基礎，利用非銀行支付機構所提供或支持的數字金融工具，通過互聯網發起支付指令，并在購買者和銷售者之間進行資金交換和轉移，從而完成買賣雙方之間的支付結算的模式。根據互聯網支付的流程和方式，大致可分為網關模式和平臺模式兩種。

網關模式又稱支付通道服務模式。在該模式中，第三方支付平臺所收集的網上支付電子信息，必須通過互聯網公共網絡和銀行內部的專用網絡間網關安全接口進行傳遞。第三方支付平臺只是購買者和銷售者之間的支付通道，起著信息傳遞的作用，其將購買者發出的支付請求指令進行搜集，并實時傳遞給后臺的簽約銀行內部系統，銀行在完成轉賬業務后再將支付信息傳遞給第三方支付平臺，支付平臺據此向銷售者告知相關信息并進行賬戶結算。

平臺模式另稱支付平臺賬戶模式。該模式一般都是在第三方支付機構自己開發的支付平臺上運行。所有接受該第三方支付平臺服務的用戶，必須首先在該支付平臺上開設一個虛擬賬戶，并以此作為付款和收款的賬戶。該虛擬賬戶既可以作為一個支付通道，幫助買賣雙方通過網關在銀行賬戶間轉賬結算，也可以為買賣雙方提供虛擬賬戶間的轉賬結算。當然，支付平臺也可以充當買賣雙方的信用中介，通過提高交易付款的安全度來促成交易。在此過程中，客戶在第三方支付平臺上的虛擬賬戶，始終是買賣雙方交易結算或者是安全交易的信用擔保的中介，因此，所有的網上支付都必須經過虛擬賬戶完成。

（二）預付卡發行模式

預付卡具體包括兩種類型，即單用途儲值卡和多用途儲值卡，其中，單用途儲值卡具有明顯的封閉性，主要體現在發卡商戶的管理運行和持卡人的使用兩個方面，從法律關系的角度分析，單用途儲值卡不過是將消費者付款的時間提前，將最為常見的“一手交錢，一手交貨”模式變成了預售模式，但并沒有在買賣合同關系之外形成新的法律關系。與單用途儲值卡相比，多用途儲值卡引入了發卡機構這樣一個第三方支付結算機構，接受儲值卡支付的商戶也擴展到了相互獨立的多家聯盟商戶，其商業模式更為復雜。在此模式中，發卡機構扮演著第三方支付機構的角色，具有核心地位。 嚴格意義上，多用途儲值卡才是真正的第三方支付模式。

（三）銀行卡收單模式

《非金融機構支付服務管理辦法》以及《銀行卡收單業務管理辦法》對銀行卡收單業務的界定包含了三個構成要件，一是手段為POS機等終端，二是主體為特約商戶，三是行為為代收貨幣資金。為實體特約商戶提供銀行卡受理并完成資金結算服務的支付機構以及獲得網絡支付業務許可、為網絡特約商戶提供銀行卡受理并完成資金結算服務的支付機構都屬于法律意義上的收單機構。

收單機構在拓展特約商戶時，應當遵循“了解你的客戶”原則，確保所拓展特約商戶是依法設立、從事合法經營活動的商戶，并承擔特約商戶收單業務管理責任。收單機構一旦發現特約商戶發生疑似銀行卡套現、洗錢、欺詐、移機、留存或泄漏持卡人賬戶信息等風險事件的，應當對特約商戶采取延遲資金結算、暫停銀行卡交易或收回受理終端（關閉網絡支付接口）等措施，并承擔因未采取措施導致的風險損失責任。

（四）融合網絡支付以及銀行卡收單模式——二維碼支付

二維碼支付可以分為二維碼線上支付和二維碼線下支付。在二維碼線上支付流程中，通常用戶先選購好商品或服務，然后直接用掃碼軟件掃描二維碼，然后手機會自動跳轉到付款頁面，用戶最后在該頁面輸入賬號密碼進行付款就完成了所有支付流程。在整個流程中，二維碼只取代了以往支付鏈接的功能。然而，二維碼的線下支付，是移動支付和銀行卡收單模式的結合，如微信支付的二維碼支付，主要包含“刷卡”與“面對面收錢”兩項服務?！八⒖ā迸c“面對面收錢”的主要區別在于，“刷卡”是商家用掃碼槍或者攝像頭掃描客戶的二維碼，而“面對面收錢”是用戶用手機掃描用戶的二維碼，即前者是“被掃”，后者是“主掃”。

二、第三方支付在各服務環節存在的刑事風險

（一）市場準入環節存在的刑事風險

《非金融機構支付服務管理辦法》第三條明確規定，非金融機構提供支付服務，應當依據本辦法規定取得《支付業務許可證》，成為支付機構。未經中國人民銀行批準，任何非金融機構和個人不得從事或變相從事支付業務。由此可見，我國對第三方支付平臺有著嚴格的準入和監管制度。不僅如此，網絡支付，預付卡的發行與受理，銀行卡收單每一種第三方支付模式，都有著各自具體的準入許可?，F實中有些提供第三方支付平臺服務的企業，在未得到經營許可的情況下，為他人的交易活動提供服務，就屬于我國《刑法》第225條規定的非法經營的危害行為。在其情節嚴重的情況下，司法機關可以認定構成非法經營罪，給予刑事處罰。

值得關注的是上文所提到的新型二維碼支付模式，其本質屬于網絡支付，但是如果仔細分析，二維碼的線下支付模式同時也構成銀行卡收單業務。在管理辦法規定中，網絡支付本身只單純指線上支付業務，而不包含線下支付業務；而銀行卡收單業務也只單純指傳統的POS機模式，而不包含二維碼線下支付這種打通“線上線下”支付的新模式。這種新型二維碼支付模式，顯然不在既定的非金融機構支付服務監管框架中。這樣問題就產生了，二維碼線下支付是應該按照網絡支付進行監管，還是按照銀行卡收單進行監管，或是同時按照網絡支付和銀行卡收單進行監管？ 是否二維碼支付企業需要同時取得網絡支付和銀行卡收單兩項業務的行政許可才算合法經營？

事實上，中國人民銀行對第三方支付機構的服務范圍進行了明確的限定：如果獲得銀行卡收單業務許可，就能從事實體商戶的收單，但不涉及網絡商戶；如果獲得網絡支付業務許可，就可以從事網絡商戶的收單，但不涉及實體商戶——即有意識針對第三方支付機構將線上業務和線下業務進行區分。二維碼支付在應用過程中，實際達到的效果卻是溝通線上與線下，形成一個所謂的閉環結構。而這種應用，恰好是和現有的監管思路相違背的。本文認為對二維碼支付這般非惡意試水的創新模式，行政立法與監管都應保持寬容的態度，給予二維碼支付明確且合法的地位，為金融創新留出必要的機會和發展空間。

（二）資金存管環節存在的刑事風險

第三方支付在資金存管環節基本都會出現資金的沉淀，由此可能引發以下兩個方面的法律風險，一方面，第三方支付平臺形成資金池，極易出現該平臺及其工作人員非法占用或者使用沉淀資金的問題，其中符合刑法有關財產犯罪規定的，可以盜竊罪、詐騙罪、職務侵占罪、挪用資金罪等罪進行處罰；另一方面，第三方支付平臺將資金存于專門的銀行，因此所產生的孳息的歸屬問題。盡管我國物權法對孳息的歸屬有明確的規定，但沉淀資金、第三方支付平臺賬戶資金的孳息卻并未實際地歸于客戶，這就涉嫌構成了《刑法》第270條規定的侵占罪。但是，由于侵占罪屬于親告罪，每個消費者或者經營者作為被害人所涉及的被侵占數額又非常小，難以達到犯罪程度。同時《刑法》也未規定親告罪的集體訴訟問題，也沒有將單人數額小，但人數眾多、總體數額大的被害情況規定為公訴的條件。更值得一提的是，在預付卡發行中，由于預付和消費之間存在時間差，預付卡還將多一部分沉淀資金的來源——卡內殘值收入，部分持卡人無意丟失或有意放棄卡內資金 ，或者發卡機構擅自縮小特約商戶的范圍，變更預付卡的使用期限，致使持卡人無法使用卡內資金。目前對于這部分隱蔽收益，仍屬于監管空白。

在本文看來，一方面應當考慮對《刑法》第270條進行修正，設置本罪告訴才處理的例外情況；另一方面，國家監管機構也應制定內容完備的行政法規范，規定第三方支付機構須參照銀行利率將客戶資金產生之利息自動劃撥到客戶在第三方支付平臺的賬戶里。第三方支付機構在客戶資金或者孳息數額上虛構事實或者隱瞞真相，公示較低數額，非法占有差額的，則屬于詐騙罪。對于其直接負責的主管人員或者其他責任人員，依法追究刑事責任。

（三）資金流向環節存在的刑事風險

1.網絡結算，助長開設賭場罪、幫助網絡犯罪活動罪

網絡賭博犯罪在結算方式上不支持現金結算，因此，必須要借助于電子技術來完成賭博背后的資金流轉。另外，為逃避法律的制裁，更是經常利用第三方支付平臺，通過設置多個賬戶對巨額資金進行流轉，這使得涉案資金來源以及流轉過程的查證難度大大增加。 目前出現了以比特幣為代表的“虛擬貨幣”結算的網絡賭博，使網絡賭場和賭客之間可以不借助任何第三方機構直接進行資金交易，無疑進一步助長了網絡賭博犯罪的氣焰。

另外，根據《刑法修正案（九）》第287條之二的規定，“明知他人利用信息網絡實施犯罪，為其犯罪提供互聯網接入、服務器托管、網絡存儲、通訊傳輸等技術支持，或者提供廣告推廣、支付結算等幫助，情節嚴重的，處3年以下有期徒刑或者拘役，并處或者單處罰金。”這意味著第三方支付平臺在明知他人實施網絡犯罪行為仍為其提供支付服務，將構成幫助網絡犯罪活動罪。事實上，在第三方支付平臺和網絡犯罪的行為人存在犯罪合意時，第三方支付平臺就能構成相應網絡犯罪的幫助犯，然而，在信息時代，網絡技術放大了網絡犯罪行為造成的危害，降低的犯罪的成本，相反的，陌生人之間的距離越來越近，證明其之間存在犯罪合意的難度亦越來越大，因此，如果仍堅持通過共犯理論去規制第三方支付平臺的有關犯罪行為，顯然會影響刑法打擊的效果。本罪的設置實現了幫助行為的實行化，解決了諸多共同犯罪中因無明顯主觀意思聯絡而難以入罪的難題，在一定程度上緩解傳統犯罪網絡異化為刑事法律體系帶來的沖擊，給未來網絡犯罪技術幫助行為的制裁帶來更多的期待。

2.虛假交易，觸碰反洗錢、反恐怖融資類犯罪紅線

第三方支付平臺一直是洗錢犯罪的重災區，其涉及資金數額特別巨大，主體范圍廣，交易類別眾多，在監管機制尚未成熟的情況下，洗錢犯罪的成本更低。利用第三方支付平臺的洗錢犯罪手法主要包括虛構網絡交易和木馬洗錢，其中前者在此類洗錢犯罪中最為常見，由于許多第三方支付平臺對賣家與買家的身份認證并不嚴格，行為人往往通過注冊賬號，發布虛假商品信息，然后自拍自買將錢轉移到名下，或是直接取消交易，同樣可以將資金從一個賬戶中導入另一個賬戶，從而達到洗錢的目的。此外，行為人還可以利用遠程系統加木馬病毒操縱他人電腦。行為人先通過散播木馬病毒，如果用戶進行網上交易，木馬病毒會自動激活、盜取用戶個人信息，并編造虛假的訂單來欺騙用戶。與此同時，行為人會盡快利用被害人賬戶和其他虛擬賬戶實現洗錢。

對此，第三方支付機構需全方位注意監測支付活動雙方的情況，將交易雙方的基本信息、錢款支付軌跡、實物交付的流程等詳盡地記錄下來，并履行相關的洗錢或者預防懲治犯罪的法定報告義務。如果盡到該義務，就不能對其予以苛責，若其沒有履行該義務，或者沒有充分盡到該義務，那么就存在追責的可能。特別是在未經許可而提供第三方支付服務的情形下，提供者為了謀取經濟利益，在主觀上放任乃至促成他人的非法交易活動，就有可能構成違禁品犯罪、洗錢罪、信用卡詐騙罪，從而面臨受刑事處罰的風險。

3.跨境支付，滋生逃匯、騙匯類犯罪。

隨著“海淘”的盛行，第三方支付機構在跨境電子支付服務領域也發揮著巨大的作用?；趨^塊鏈或者分布式網絡技術的跨境支付可以在去中心化的機制下更快更低成本地完成跨境轉賬，即交易雙方不再需要依賴一個中央系統來負責資金清算并存儲所有地交易信息，而是基于一個不需要進行信任協調的共識機制直接進入價值轉移。區塊鏈雖然能夠在內部邏輯和運行方式上保證數據安全，但是跨境支付方式創新性以及立法的滯后性決定了跨境支付領域的監管會更加困難。

在我國境內，經營外匯業務的主體是金融機構。隨著第三方支付機構跨境支付業務的飛速發展，外匯管理中相關法律法規的完善與修改卻沒有跟進。一方面，外匯管理制度中第三方支付機構的定位不明確，準入標準缺失。在第三方支付機構參與的跨境支付服務中，第三方支付機構實際上承擔了一定的類似銀行的外匯管理職責，執行著一定的國家外匯管理政策，而這類機構從性質上講又不屬于“金融機構”。另一方面，跨境電子支付中，第三方支付機構充當跨境交易的收付款方，交易資金會在第三方支付機構大量沉淀，長此以往，不但會產生沉淀資金的安全問題，還會因國際收支申報收付款主體不是交易當事人而影響到監管機構對外匯收支統計的準確性。另外，由于跨境支付通過互聯網來傳遞交易信息和完成交易流程，缺少傳統的書面紙質憑證，這就會在一定程度上增加監管交易真實性的難度，容易滋生大量的逃匯、騙匯類犯罪。

（四）數據保護環節存在的刑事風險

在互聯網金融背景下，消費者和經營者為了快捷地完成交易活動，自愿地將自己的個人信息告知第三方支付機構，但也因此面臨著個人信息被侵害的危險。PCIDSS（全稱Payment Card Industry Data Security Standard）是第三方支付行業數據安全的標準，適用于所有涉及支付卡處理的實體，包括商戶、處理機構、購買者、發行商和服務提供商及儲存、處理或傳輸持卡人資料的所有其他實體，主要重點是對持卡人數據的保護，包括一組保護持卡人信息的基本要求，并可能增加額外的管控措施，以進一步降低個人信息泄露的風險。目前，國內大多數知名的第三方支付平臺已經通過了PCIDSS支付卡行業數據安全標準的認證。在實踐中，類似螞蟻金融這樣的大型互聯網金融企業，非常重視數據安全的管理，不僅設置了嚴格的數據查用權限，建立了層層審批的制度，而且其數據安全系統能自動識別員工查用數據與其本質工作的關聯度，一旦偏離正常范圍，系統便發出警報，員工便需要就其查用行為向企業作出合理解釋。

侵犯公民個人信息具體表現為如下兩個方面：一是違法運用客戶信息。不管是消費者還是經營者，在運用第三方支付時都需將其基本信息告知第三方支付機構，如果提供第三方支付服務的機構卻并非單純提供這一種互聯網金融服務，而是涉及多方面的互聯網金融活動，便很有可能將客戶的信息用于該機構所從事的其他互聯網金融活動，這顯然有違客戶的真實意愿。而且，第三方支付機構本身在商業運營中，若接受其他公司、企業的投資而共同經營，或者被其他公司企業收購但仍繼續運營，共享包括客戶信息在內的各種數據勢在必行，這同樣也不符合客戶事先提供信息的意愿。二是自行收集客戶信息。消費者通過第三方支付平臺向經營者購買各種商品或者服務，消費者與經營者就在第三方支付平臺留下了交易活動的軌跡，第三方支付機構很容易就能掌握消費者的生活消費習慣、娛樂運動方式、工作社交場所等信息，以及經營者的經營范圍、商品或者服務特點、客戶群體等信息。那么消費者或者經營者自己在其未留意的情況下留下了消費或者經營記錄，能否認為是消費者或者經營者對第三方支付機構收集、存留并使用上述信息的默許呢？本文認為，沒有消費者或者經營者的明確許可，第三方支付機構即便留存他們的消費經營記錄，也不能進行分析、梳理并直接使用，因而第三方支付機構自行收集消費者和經營者信息的行為，涉嫌非法侵犯客戶的個人信息安全，面臨被追究刑事責任的風險。

三、第三方支付刑事風險防范理念與對策

（一）犯罪二次性違法理念的運用與貫徹

應當明確的是，刑法不是保護法益的唯一手段，法體系整體功能的發揮更有助于這一任務的實現。當代刑法理論認為，適當的懲罰遠比嚴厲的懲罰更加有效，前置法的有效調整與懲戒不僅成本低，而且收益大。同時，刑法不是保護法益的主要手段，刑法作為一部保障法，其任務在于強化法益的保護，這種強化保護意味著刑法只有在其他輕緩的懲戒手段無法達到保護的目的時介入才具有正當性。因此，前置法的完善與明確不但可以提升其在保護法益過程中的地位，克制濫用刑法的沖動，而且可以為刑事立法提供明確的立法依據和范圍。

法體系自身主要是以制度性條文、救濟性規則群以及制裁性規則群三部分構成，其中制度性條文旨在對基本制度進行安排以及對權利義務進行分配，救濟性規則群主要關注損害結果的恢復和填補，制裁性規則群則重在對違法行為的懲罰和預防。救濟性規則群和制裁性規則群均是因違反義務后引起的法律后果，但由于二者設立目的不同，所以二者在運用的時候并行不悖。既然各部門法立場有別，刑法“二次性”的特征也非簡單的意指概念或制度上的從屬，那么這里就有必要明確“二次性違法”中貫穿“第一次違法”和“第二次違法”的主線是什么。在本文看來，犯罪的二次性違法理論強調的是法律漸進性適用的重要性，而這種漸進性適用的前提就在于追責目的的一致，同時，這也正是貫穿“第一次違法”和“第二次違法”的主線，如果A規則和B規則所實現的追責目的并不一致，此時顯然不能認為A與B之間存在銜接或漸進的關系。就刑事責任強大的制裁功能而言，犯罪的二次性違法強調的就是具有制裁性特點的規則之間的銜接，至于這些制裁性規則系屬于民法、還是經濟法、抑或是刑法事實上無關緊要。在這制裁性規則群中，法律后果越嚴厲其所處的位置便越靠后，處于前端的制裁性規則若能有效實現報應和預防的目的，處于后端的規則便不能僭越啟動。犯罪二次性違法理論在立法層面和司法層面均有意義，在立法層面，該理論的運用通過以下方面實現，（1）明確和完善前置法，包括法律制度的建構、權利義務的合理安排、樹立科學的刑事立法理念等；（2）前置法中制裁手段的多元化。懲戒并非越嚴厲越有效，及時介入適當的懲戒手段所產生的規制效果更加長久，制裁手段的多元化目的就在于尋找具有針對性的懲戒手段，通過充分運用前置制裁性規則以保證將刑罰的適用限制在必要的范圍；（3）前置法與刑法之間有效銜接，強調刑事立法始終以前置法為依據，進而表現其從屬性和內斂性的特點。在司法層面，犯罪的二次性違法理論的運用則通過以下步驟實現，（1）分析制度性條文，排除行為人可能擁有的權利。既然是行使權利就不可能成立犯罪；（2）分析前置制裁性規則，判斷是否存在違法行為；（3）通過犯罪構成模型分析該違法行為是否進一步構成刑事犯罪。

（二）準確監管定位，構建分級監管模式

我國目前對第三方支付認定的角色是非金融機構，《非金融機構支付服務管理辦法》開明宗義地將第三方支付界定為非金融機構，禁止支付機構從事除資金轉移之外的任何行為。但讓人迷惑的是，該辦法的第九條規定：“申請人擬在全國范圍內從事支付業務的，其注冊資本最低限額為1億元人民幣；擬在省（自治區、直轄市）范圍內從事支付業務的，其注冊資本最低限額為3千萬元人民幣。注冊資本最低限額為實繳貨幣資本?！边@樣的注冊資本金要求幾乎與銀行等同。如果僅僅按照非金融中介機構的角色理解第三方支付機構，那么為何要求其持有如此之高的自有資金？

2013年出臺的《支付機構客戶備付金存管辦法》中要求第三方支付機構按照備付金規模計提風險準備金。這又似乎是按照銀行資本充足率的要求來要求第三方支付機構。從對第三方支付出臺的各個辦法的具體要求看，都對一個實際只有中介服務業務的第三方支付機構適用了金融機構才有資格享有的“監管配置”。如果我們將第三方支付視為金融機構甚至銀行，那么我們完全可以向合乎要求的第三方支付發放銀行牌照，進而對其適用銀行的管制。而如果將第三方支付視為非金融中介服務機構，那么如何對其資金的托管安全進行保障才是立法的重點。易言之，我們將第三方支付的業務范圍壓縮至中介服務，卻同時將金融監管的沉重鎖鏈套在了第三方支付的頭上。要推動第三方支付行業的健康發展，必須將第三方支付機構的角色與監管對應起來。

在跨境支付中，首先要明確第三方支付機構的外匯管理職責，應當在《外匯管理條例》中明確第三方支付機構為外匯管理的主體范疇，明確賦予該類機構非金融機構跨境支付中的監管職責。其次要完善跨境支付中的外匯收支統計機制。將執行外匯收支信息統計與監測作為第三方支付機構的法定義務予以明確，落實責任追究制，強化內外部監督機制。同時要強化跨境支付中交易信息真實性的審查制度，落實審查責任，建立異常交易和異常賬戶預警機制。另外，第三方支付機構還應該在外匯管理局的協調下，與海關、工商行政部門建立信息共享平臺，增強跨境支付交易信息監測的準確性。

同時，簡單的“一刀切”監管模式顯然已經無法適應第三方支付行業的發展現狀。事實上，我國在傳統金融行業已經積累了豐富的分級監管實踐，既促進了行業發展，又兼顧了風險防范。央行在最新發布的《非銀行支付機構網絡支付業務管理辦法》中也已經引入了分級監管的做法（第三十二條： 中國人民銀行可以結合支付機構的企業資質、風險管控特別是客戶備付金管理等因素，確立支付機構分類監管指標體系，建立持續分類評價工作機制，并對支付機構實施動態分類管理。具體辦法由中國人民銀行另行制定）。具體的分級細則仍然有待后續的完善。

（三）完善前置性立法，提高法體系的規制能力

在第三方支付跨境監管方面，應該提高立法層次，完善前置性立法，詳細擬訂支付機構跨境支付中的各項管理規范，設專章規定“跨境電子支付服務”，內容具體涵蓋跨境電子支付服務的含義、監管原則、監管機構、監管程序、監管技術、風險的識別與防控機制等，強化跨境電子支付服務中消費者資金和信息安全的保障機制。落實支付機構信息管理和資金管理程序中的透明度原則是實現消費者資金和信息安全的重要內容，要求從事跨境電子支付業務的支付機構應當進行恰當的風險評估和審慎調查，應當在其網頁上作充分的信息披露，以允許潛在消費者進行判斷。

在客戶信息安全保護方面，我國對公民個人信息的保護尚無專門的行政立法。我國《刑法》第253條之一侵犯公民個人信息罪的規定缺乏行政法律規范的支撐，在公民、個人信息的范圍以及犯罪實行行為的界定方面還存在爭議，存在一次性違法的認定和處罰不足的問題。

具體表現為：（1）就第三方支付機構分享客戶信息行為而言，違法性的實際認定缺乏行政法律規范的依據，最高司法機關也沒有以司法解釋的形式闡明。本文認為，若第三方支付機構本身或者從業人員未按原來公司的章程或者規定，擅自將這些客戶信息提供給他人或者其他機構，那就應當認定其行為的非法性質，進而認定其構成非法提供公民個人信息罪。（2）就第三方支付機構收集并用大數據、云計算技術分析客戶交易信息的行為來說，雖然行政法并無禁止性規定，但該行為實際上侵犯了公民的隱私權和個人信息安全。然而，該行為并不符合《刑法》第253條之一第2款規定的“其他非法獲取公民個人信息”的情形，從而導致對該行為無法加以刑法規制。在當前我國缺乏公民個人信息保護行政立法的情況下，《刑法》第253條之一的立法超前性地對公民個人信息提供法律保護，其所面臨的疑難問題就需要最高司法機關通過相關文件來提供應對方案。本文認為，若自行收集或者分析行為只是對客戶公布在網絡上的信息、在本機構內部的信息而實施，則可認為并不違法，若超出上述范圍，就屬于非法行為。另外，第三方支付機構在信息收集分析后僅用于本單位的合法經營活動，也可認為不違法，但其在自用之外還提供或者出售給他人或者其他機構，就應按照前述非法提供公民個人信息罪來懲處。從互聯網金融發展的角度看，國家應該盡快行政的前置性立法，對何為善意收集、分享、利用公民個人信息的行為作出明確的規定。

（四）遵循刑法原則，加強判例指導

刑法原則對網絡犯罪的刑法規制有著重要的價值。刑法原則的意義包括以下兩個方面，一方面可以避免自由裁量對立法規范本身的突破，另一方面是指引對成文法的擴大解釋不違反罪刑法定原則。刑法原則在網絡犯罪的規制方面表現的更加突出，因為借助網絡工具，網絡犯罪在行為上并不如傳統犯罪那樣明顯，犯罪結果也不直觀，對其進行規制需要司法實踐者的理性思維和對刑法原則的理解。在罪刑法定和罪刑相適應原則的指引下，運用“舉輕明重”的方式，將可應對新形式的網絡領域犯罪。另外，當前對網絡犯罪的定性和量刑并無統一的標準，各地司法實踐活動難以統一，甚至導致罪與非罪的差異，損害了法律的權威性和公正性。典型案例的指導可以就特定類型的網絡犯罪形成相對一致的法律規則或法律適用原則，使其具有普適性，最大程度實現“同案同判”的要求。