聚合支付平台的分类、风险及对策建议

　　近年来，以条码支付为代表的移动支付在中国迅速普及，线上线下、境内与跨境支付等各类应用场景不断拓展，在引领金融服务改革创新、服务实体经济高质量发展、满足人民美好生活需要等方面发挥了重要作用，已经成为中国经济享誉世界的一张名片。

　　但由于参与主体众多，不同机构的产品和服务技术标准不一，“碎片化”现象较为明显，“一柜多机”“一柜多码”的现象较为常见，重复投入、重复建设既浪费了社会资源，也给客户和商户使用移动支付工具带来了困扰。

　　由此，整合多种支付渠道、为商户提供一点接入服务的聚合支付平台应运而生，但由于没有明确的准入标准，加之前期非银行支付机构牌照转让价格动辄过亿，最高甚至超过30亿元，巨大的“造富效应”吸引了大量资本涌入聚合支付市场，造成聚合支付平台的股东资质良莠不齐，技术、信息、资金、合规等方面的风险也随之而来。

　　特别是一些非法聚合支付平台，以聚合支付创新的名义为跨境DB、电信网络ZP、XQ、地下QZ、非法炒汇、非法融资等违法犯罪活动提供支付通道，成为支付领域中的重大风险来源。规范发展聚合支付市场、治理非法聚合支付平台，有效切断违法犯罪活动的“资金链”，既是防范化解支付领域重大风险的关键一环，也是推动支付行业健康可持续发展的重要内容。

　　一、聚合支付平台的发展现状

　　（一）概念与定义

　　聚合支付，又称“第四方支付”“融合支付”，是相对于“第三方支付”而言，业内约定俗成的称谓，不同部门、不同场合对其称谓有所差别。本文参照中国人民银行支付行业监管部门的说法，统一称为“聚合支付”平台。

　　关于聚合支付的定义，目前较为权威的是《中国人民银行关于持续提升收单服务水平规范和促进收单服务市场发展的指导意见》（银发〔2017〕45号）提出的，“收单机构运用安全、有效的技术手段，集成银行卡支付和基于近场通信、远程通信、图像识别等技术的互联网、移动支付方式，对采用不同交互方式、具有不同支付功能或者对应不同支付服务品牌的多个支付渠道统一实施系统对接和技术整合，并为特约商户提供一点式接入和一站式资金结算、对账服务”，并将聚合支付平台定位为“技术服务商”。

　　全国金融标准化技术委员会在《聚合支付安全技术规范（草案稿）》（金标委秘发〔2018〕95号）中，则将聚合支付定义为“将多种支付方式或者多个支付渠道进行技术整合，为商户提供一点接入和对账的技术服务”，并明确聚合技术服务商“是指经工商行政管理部门批准成立，接受支付服务机构、商户委托，利用自身的技术与服务集成能力，提供商户拓展、支付渠道整合、技术对接、系统运维、集合对账等服务的机构”。

　　简而言之，聚合支付就是利用技术手段将多种条码、设备、APP、支付接口等产品和服务进行整合，从而为商户提供一种一点接入式综合支付解决方案的支付服务。从本质上看，它将传统支付服务中支付机构与商户间点对点的M×N网状连接方式，转化为具有中心节点的M×1×N星型连接方式，是一种支付渠道的整合，在功能上能够降低商户的技术成本和财务对账成本，同时对提高消费者支付体验、提升支付服务环境也具有一定的积极作用。

图1 聚合支付平台的业务结构

　　（二）我国聚合支付的发展历程

　　萌芽期：2014—2015年。在这一时期，余额宝持续火热，微信支付在不同领域攻城略地，“滴滴快的”共享经济补贴大战燃起，百度钱包、京东支付等支付产品陆续上线，移动支付方式日趋多样且零散化，“一柜多机”“一柜多码”的现象日益普遍，给收款的商户和付款的消费者都带来了不少困扰。为此，为各类支付方式提供一体化整合服务的聚合支付平台逐渐萌芽并发展壮大，在有效整合和弥补市场空白的同时，也满足了客户及商户的“一站式收付款”需求。

　　成长期：2015—2017年。随着支付宝、微信支付、中国银联等头部机构在线下扫码支付领域的大力推进，线下支付市场呈现爆发式增长，零售支付领域非现金化日益普及，大量线下特约商户的存在需要依靠聚合支付服务商等外包机构进行维护，聚合支付市场也由此被推至风口。从传统的银行机构如建设银行、民生银行等，到持牌的非银行支付机构如拉卡拉等均开始涉足聚合支付领域，加之美团等大型互联网公司不断涌入，共同推动聚合支付产品创新不断涌现，智能POS、扫码枪、扫码盒子开始被接受并大范围推广。

　　规范期：2017年至今。中国人民银行支付结算司2017年1月发布《关于开展违规“聚合支付”服务清理整治工作的通知》（银支付〔2017〕14号），开启了对聚合支付的严监管。此后，又从提升服务、促进发展、机构评级、无证整治、规范创新、明确技术规范等方面发布了一系列制度文件，全面强化对聚合支付的监督管理，针对无证经营、“二清”、涉赌涉诈涉黑等风险隐患进行了强力整治。

　　特别是2020年8月，中国支付清算协会发布《收单外包服务机构备案管理办法（试行）》（中支协发〔2020〕119号，以下简称《备案管理办法》），在第八条明确将“聚合支付技术服务”作为备案业务类型之一，正式纳入收单外包服务机构备案管理范畴，并要求“未在协会规定期限内完成备案的外包机构，收单机构应在保证商户服务延续性前提下，有序终止收单业务合作”，行业自律管理的强度显着提高。

　　（三）市场发展现状

　　截至2021年8月12日，已有309家聚合支付平台以聚合技术服务商的名义在中国支付清算协会备案。从机构类型来看，其中既有“收钱吧”“利楚扫呗”“钱方好近”等较早涉足聚合支付的技术服务商，也有“银联商务”“拉卡拉”“汇付天下”“通联支付”等非银行支付机构，甚至还有农信银资金清算中心有限责任公司等清算机构，除银行不在备案范围外，已基本涵盖目前市场上从事聚合支付的所有机构类型。

　　从地区分布来看（见图2），北京、广东、上海备案家数较多，分别达62、58、49家，合计占比超过五成，排名前十的地区合计占比八成。

　　但值得注意的是，仍有大量事实上从事聚合支付业务的非法聚合支付平台没有备案。由于目前备案系统是自2020年9月份才开始启用，尚处于起步阶段，关于聚合支付市场的具体规模还没有权威统计，市场上有部分咨询机构（比如零壹财经、易观智库、艾瑞咨询等）根据企业访谈、自有监测数据和研究模型对整体市场规模进行了估计和测算。

图2 全国各地区已备案聚合支付技术服务商家数

　　由图3可知，总体来看，市场规模仍保持快速增长趋势，但随着市场规模的不断扩大，其增速也在不断放缓，特别是2020年受新冠肺炎疫情影响，增速进一步下滑。根据易观千帆和零壹智库的数据，2020年中国聚合支付市场交易规模达63万亿元，同比增长57.5%，增速较2019年下滑超过30个百分点。

图3 2014—2020年聚合支付市场交易规模

　　二、聚合支付平台的分类

　　（一）机构类型

　　聚合支付平台根据聚合技术的实现和资金聚合处理方式的不同，可分为技术集成、机构转接、合法“二清”、非法“二清”四类。一是技术集成类，此类聚合支付平台通常不负责特约商户具体支付方式的接入，而由特约商户和各支付机构或银行机构独立签约，聚合支付平台自身不触碰资金，仅在不同的银行、支付机构以及特约商户之间提供聚合技术服务，真正的资金清算是由银行或支付机构直接清算给特约商户，比如Ping++。

　　但这类平台在市场上已经较少，单纯依靠技术服务难以支撑整个平台的持久运营，目前在已备案的聚合支付平台中，备案“聚合支付技术服务”一项的只占一成左右。二是机构转接类，这类聚合支付平台在技术集成类平台的基础上进一步延伸，不仅提供技术集成，同时也会为特约商户向各银行和支付机构申请支付通道接入提供服务，但聚合支付平台自身仍然不直接触碰资金，具体的资金清算仍由银行或支付机构完成，比如“收钱吧”等。

　　目前这类平台在支付清算协会备案的聚合支付平台中占比最多，通常这些机构除了“聚合技术服务”业务以外，还会备案“特约商户推荐”“受理标识张贴”“特约商户维护”“受理终端布放和维护”等其他外包服务，其占比超过八成。三是合法“二清”类，主要是指聚合支付平台由银行或具有合法资质的支付机构承担，这些持牌机构直接或间接与各银行机构、支付机构建立支付通道联系，商户通过这类聚合支付平台可以实现多种支付方式的同时通用。

　　这些平台既做信息清算也做资金清算，且具有合法资质，因此属于合法“二清”，比如民生银行的“民生一码通”、拉卡拉等，目前持牌的支付机构备案成为聚合支付平台的数量也在不断增加，占比接近两成。四是非法“二清”类，这类平台通常以“大商户”的名义接入银行或支付机构，然后将银行或支付机构清算给“大商户”的资金，再自行清算给小商户。

　　在给小商户进行资金清算时，这些平台既做信息清算也做资金清算，但是它们并没有合法资质的支付牌照，属于明令禁止的非法“二清”，也是监管的重点，比如网络DB收款平台等。这类平台的数量无法确切获知，但规模定然远超已经备案的机构数量。

　　（二）业务模式

　　聚合支付业务发展迅速，目前主要集中在线下条码收单业务，按照二维码被聚合的方式，可以分为静态码、动态码、设备聚合、线上聚合四类。

　　一是静态码聚合支付，其聚合码为静态，通常由聚合支付平台通过技术集成，将不同支付渠道（不同银行、不同支付机构）的支付条码整合为一个“收款码”，用户可以使用不同支付APP（如银行、微信、支付宝、云闪付等）扫描“收款码”完成支付，比如线下小商铺张贴的“收钱吧”收款码。

　　二是动态码聚合支付，与静态聚合支付码仅包含商户信息不同，动态码聚合支付条码除商户信息之外还增加了支付交易的订单信息，商户会在生成订单信息后调出付款码，用户扫码后无需输入金额等信息，只需输入指令密码即可完成支付，比如线下商户贴有多个支付通道标志的“扫码盒子”。静态码和动态码聚合支付均为用户主扫、商户被扫的模式。

　　三是条码设备聚合支付，与前面两种模式不同，这类聚合支付通常为商户主扫，聚合支付平台会为商户部署条码扫码设备及聚合前端，在交易时用户可以随意调取不同支付服务APP的付款码（如银行、微信、支付宝、云闪付等），商户通过聚合支付设备扫描后（或用户输入密码后）即可完成支付，比如超市使用的“扫码枪”。

　　综上可知，无论是静态码、动态码还是条码设备的聚合支付，均是通过条码载体进行的聚合支付。而在线上聚合支付中，支付信息的载体为H5页面等形式的链接或者SDK等调用方式，主要由用户主动发起支付动作，目前市场上的应用相对较少。

　　（三）收入来源

　　当前，市场上正规聚合支付平台的收入主要有广告收入、衍生服务收入、增值服务收入以及传统的交易服务费用四个来源。

　　一是广告收入。聚合支付平台能够通过整合各种商户、不同机构的客户消费数据，实现更精准的用户画像，从而向客户精准投放消费广告，更好地实现广告价值，这也是目前聚合支付平台营收份额增长最快的部分。

　　二是衍生服务收入。基于综合性数据支撑，聚合支付能够更好、更全面地掌握企业商户的销售数据，通过与其他金融机构合作，可以为B端商户提供贷款、理财、保险、资金托管等一系列衍生金融服务，这是目前仅次于广告收入的部分。

　　三是增值服务收入。这部分收入主要来源于为一些小微商户提供的类似于会员管理、财务管理等商业经营的增值服务，增加用户粘性，进而不断增加服务收入。这部分收入的规模也在快速增长，在营收份额占比中不断提高。

　　四是交易服务费。这是聚合支付平台最初级、也是最基本的收入来源，但随着聚合支付市场的发展和竞争的日趋激烈，单纯依靠交易服务的费用来盈利已几无可能，其在聚合支付平台整体营业收入中的份额也在持续下滑。通常情况下，一个聚合支付平台所收取的交易服务费用已经不到全部支付交易手续费的四分之一。

　　总体来说，通过提供支付交易的入口，从而为其他业务吸引客户、贡献流量，已经成为国内聚合支付平台获取合法收入的主要模式。

　　三、聚合支付平台的风险及成因分析

　　由于聚合支付准入门槛较低，加上前期非银行支付机构牌照高昂的转让价格，聚合支付自出现起就受到了各类资本的广泛关注，也吸引了越来越多的参与者涌入。随着市场竞争日趋激烈，业务的利润日益微薄，问题和风险也陆续暴露。

　　更有甚者，有部分机构在非法支付交易的巨大利益诱惑面前，开始为跨境DB、电信网络ZP、XQ、非法炒汇等违法犯罪活动提供支付通道，严重扰乱支付市场秩序，成为当前支付市场的一颗毒瘤，给社会治理、经济发展、人民群众财产安全带来不小的风险隐患。这背后既有机构自身经营的问题，也有机构管理、制度环境、技术创新等环境的影响。

　　（一）存在的主要风险

　　一是资金挪用风险。《中国人民银行关于持续提升收单服务水平规范和促进收单服务市场发展的指导意见》（银发〔2017〕45号）中将聚合支付平台定位为“外包服务机构”，并明确“严禁聚合技术服务商以任何形式截留特约商户结算资金，从事或者变相从事特约商户资金结算”。

　　但目前很多聚合支付平台普遍存在“二清”，即以商户的名义向多家银行或支付机构等收单机构申请网络支付接口，然后违规拓展下级商户使用该接口，从而演变成违规开展资金清算业务的“二清”机构，客户和商户的资金被平台截留、挪用的风险较高。

　　二是信息泄露风险。聚合支付平台掌握着大量的用户信息和商户信息，付款人扫码后的每笔交易信息/订单信息均需由聚合支付平台传输至对接的收单机构系统，信息传输过程中存在被变造修改乃至泄露的可能，更有一些非法聚合支付平台将买卖账户信息非法牟利作为主业。

　　三是技术安全风险。中国人民银行发布的金融行业标准《非金融机构支付业务设施技术要求》（JR/T 0122-2014）中，从技术标准符合性和系统安全性要求等方面，提出和规定了非金融机构支付业务设施技术认证相应级别的最低要求，达到标准方能实现系统的基本技术符合和相对安全。

　　但对于一些中小型聚合支付平台而言，其技术标准以及系统的稳定性和安全性很难满足相关要求，一方面存在由网络中断和系统瘫痪导致无法提供服务的风险，另一方面也存在系统被黑客侵入，从而造成信息泄露、报文被伪造篡改的风险。

　　四是滋长犯罪风险。近年来，随着各级监管部门加大打击力度，持牌银行和非银行支付机构等涉赌、涉诈、涉黑的行为得到有效遏制，而聚合支付平台逐渐成为这些违法犯罪活动的温床。部分聚合支付平台在已知客户实施违法犯罪活动的情况下仍为其提供支付服务，还有DB网站雇佣相关人员搭建非法聚合支付平台，专门为跨境DB、电信网络ZP、XQ等行为提供支付通道。

　　五是非法经营风险。2017年《最高人民检察院关于办理涉互联网金融犯罪案件有关问题座谈会纪要》（高检诉〔2017〕14号）明确，“未取得支付业务许可从事该业务的行为，违反《非法金融机构和非法金融业务活动取缔办法》第四条第一款第（三）（四）项的规定，破坏了支付结算业务许可制度，危害支付市场秩序和安全，情节严重的，适用刑法第二百二十五条第（三）项，以非法经营罪追究刑事责任”，而非法聚合支付平台几乎无一例外都涉及非法经营风险。

　　（二）风险的成因分析

　　一是持牌机构的管理不到位，在一定程度上助长了聚合支付市场挪用资金的乱象。无论聚合支付平台采用何种方式挪用资金，其资金的流转最终都需要通过持牌的银行或非银行支付机构完成资金结算。

　　但由于目前支付机构相关监管法规层级比较低，主要是以《非金融机构支付服务管理办法》（中国人民银行令〔2010〕第2号）为基础，以及包括《关于开展违规“聚合支付”服务清理整治工作的通知》（银支付〔2017〕14号）等一系列通知性文件，法律层级普遍较低，且罚则较轻，最高仅为3万元，难以对违规行为起到有效震慑，导致持牌机构忽视对聚合支付平台资金使用、商户拓展等方面的监督管理。

　　二是空壳公司大量存在，为聚合支付平台大规模获取银行和支付账户信息提供了可乘之机。目前，企业的注册登记日益简化，银行账户开立时间也不断压缩，在给市场主体经营提供便利的同时，也给犯罪分子留下了可乘之机。通常情况下，一个非法支付平台需要控制数万银行或支付账户，并维持每周更新300—500个的频率。

　　一些聚合支付平台通过大量注册公司，或通过黑产买卖获取大量银行账户或支付账户，以支撑支付平台违法违规交易的运行。

　　三是新型科技的快速发展和大规模应用，提高了聚合支付平台对抗监管技术的能力。近些年，云计算、分布式存储、人工智能、大数据等新型科技快速发展，在支付领域得到了大规模应用，一些非法的聚合支付平台不仅在硬件上大规模投入，购入高性能服务器、租用高带宽低延迟网络，也以高薪吸引不少高技术人才，在交易阶段引入大量的策略、模型甚至AI技术以降低非法交易特征，从而增强其技术对抗能力，提高监管部门和持牌机构的风控稽核难度。

　　据了解，目前一家中大规模的非法聚合支付平台能够日均处理交易50万笔、失误率低于十万分之一，技术水平堪比一家中型银行。

　　四是互联网经济的蓬勃发展为聚合支付平台的业务模式创新提供了土壤。近年来，我国互联网经济发展势头迅猛，电子商务、共享出行、餐饮外卖等新型经济业态快速普及，这些新经济业态的发展都离不开支付平台的支撑，它们为聚合支付平台的业务模式创新提供了丰富土壤，同时也容易滋生一些违法违规的支付交易行为。

　　目前，一些非法聚合支付平台为跨境DB提供的支付服务，其交易方式正从早期的“手机话费充值”“企业商户”向“跑分平台”“大型电商虚假交易”升级，并呈现出明显的碎片化、智能化、多元化趋势，逐渐从单纯的伪造商户、伪造客户、伪造交易过渡到混合交易、智能匹配、半真半假的阶段，给监管部门的监测识别带来不小的挑战。

　　在“跑分平台”模式下，平台首先以有偿购买或传销发展会员的形式大量收集个人或商户收款二维码，形成海量收款账户池；然后，通过“跑分”APP抢单机制自动匹配赌资和跑分用户收款二维码，化整为零分散赌资，将赌资交易隐藏在用户的日常流水中，隐蔽性非常高。

　　2019年，广东省公安厅组织佛山市公安机关打击的全国首例跑分平台“赚呗”涉赌XQ案中，平台每月涉案资金高达2亿元人民币。

　　五是网络黑产业链专业化程度不断提高，使违法行为证据碎片化，增加了非法聚合支付平台的打击治理难度。互联网技术的不断迭代翻新，为色情、ZP、DB等传统黑产向互联网迁移创造了条件，同时也衍生出个人信息买卖、空壳公司注册、金融账户开户等新型网络黑产，非法聚合支付平台正是这些网络黑产利益实现的关键环节。

　　当前，网络黑产业链呈现出模块化、组织化、团队化特征，借助互联网技术，它们能够轻而易举使某些电子证据在某个环节突然“失踪”，从而切断其实施违法行为的证据链条。特别是目前一些非法聚合支付平台将网络服务器架设在境外，进一步提高了违法犯罪证据的收集难度，给打击治理工作带来更大的挑战。

　　四、对策建议

　　聚合支付是应对数字经济时代多元化支付方式发展、根据市场需求而创造出来的新生事物，在化解个人移动支付终端选择困难、便利商户收银核算等方面产生了重要作用，对经济社会发展也起到了一定的积极作用。但由于聚合支付平台没有明确的准入制度，无须像非银行支付机构那样遵循备付金管理要求，故而也埋下了一些风险隐患，甚至为一些违法犯罪活动提供了便利。

　　对此，本文建议进一步完善顶层制度设计，运用监管科技提升治理效能，加大交易风险监测力度，凝聚行政监管和自律监管合力，对聚合支付平台的全链条开展规范约束及治理，不断净化行业生态环境。

　　一是加快完善顶层设计。中国人民银行已经发布《非银行支付机构条例（征求意见稿）》，对支付信息服务机构备案和监管提出了要求，近期还发布了《非银行支付机构重大事项报告管理办法》（银发〔2021〕198号），明确要求“提供支付创新产品或者服务、与境外机构合作开展跨境支付业务、与其他机构开展重大业务合作的”，应当事前向所在地中国人民银行分支机构报告。

　　这些举措无论是对持牌支付机构自身开展聚合支付业务创新，还是与其他机构合作开展聚合支付业务，都起到了重要的规范作用。

　　鉴于此，本文建议进一步加快推进《非银行支付机构条例》立法进程，加紧出台条例的实施细则，坚持资金清算业务必须持牌经营，遵循功能监管和穿透式监管原则，加大对持牌机构违法违规行为的惩处力度，通过持牌机构打击非法聚合支付平台，以违法违规经营业务收入为基础进行处罚，使违法成本与违法所得相匹配，强化源头治理。

　　二是强化监管科技应用。要运用“监管科技”应对“金融科技”带来的挑战，加大各部门间信息共享力度，有效整合升级当前电信网络ZP等各类违法犯罪风险事件管理平台的作用，强化大数据、人工智能等科技应用，探索运用应用程序编程接口（API）、软件开发工具包（SDK）等工具，建立资金流向流量的智能化、自动化监测水平，提高涉案资金路径和流向追查效率。

　　三是加大风险监测力度。一方面，建议充分发挥中国支付清算协会的行业自律机制作用，加大对聚合支付平台业务备案数据的监测分析力度，构建风险监测指标体系和预警模型，搭建风险情报处置流转平台，不断加大风险监测的力度。

　　另一方面，银行和支付机构等持牌机构要进一步建立健全自身风险防控机制，强化穿透式管理，运用大数据、云计算、人工智能等先进技术不断提升对非法支付交易的识别能力，提高对可疑犯罪团伙的挖掘能力、对高危交易线索的处置能力。

　　四是凝聚各方打击合力。充分发挥国家关于打击治理无证经营支付业务、电信网络ZP、网络黑产、跨境DB等专项工作机制的作用，强化公安、市场监管、工信、人民银行等部门与地方政府以及行业自律机构、银行、支付机构、清算机构等持牌机构的协调配合，加大对非法聚合支付平台在企业注册设立、经营网站设立、业务运营等各环节的联合打击和综合治理力度，形成打击合力。