撰文:邓小宇、李浩均
引言
在 Web3 圈子里,流行着一种危害极大的合规幻想:只要项目方花钱把KYC(身份驗證)和 AML(反洗錢)業務外包給國際知名的第三方機構,就等於買到了一張「刑事豁免險」。一旦平台卷入洗錢或黑產資金,這口「鍋」理應由外包商背,項目方可以穩坐「甩手櫃」。
這種想法,在律師眼里是「天真」,在偵查機關眼里是「此地無銀」,而在現實中,這是一顆隨時可能引爆的深水炸彈。
近兩年來,隨著司法機關對虛擬貨幣相關犯罪打擊維度的不斷升級,特別是針對「幫助犯罪」、「掩蓋犯罪」乃至「非法經營罪」的穿透式偵查,這種「鴕鳥式」的合規邏輯正被密不透風的證據鏈條逐一粉碎。項目方必須清醒地認識到:外包不等於合規,更不等於刑事豁免。
外包 KYC 不是「免死金牌」:刑法如何看「中立行為」?
很多項目方覺得,我付了錢,買了服務,這就屬於「技術中立」或者「商業行為中立」。但曼昆律師要提醒你:中立行為是有邊界的。
1.形式合規不等於實質合規
參考傳統支付行業及聚合支付(四方支付)的司法判例,法院在處理此類「外包合規」抗辯時,邏輯高度統一:「技術外包不免除主體責任」。在刑法邏輯中,如果你僅僅通過外包一個「走過場」的 KYC 方案來掩人耳目,這在司法實踐中極易被認定為「以合規之名,行放任之實」。法院看重的是你是否履行了「實質性審慎義務」,而非僅僅是那一紙外包合同。
2.AI 黑產沖擊下的「主觀明知」判定
隨著 AI 技術的發展,即便接入了標準 KYC 接口,項目方仍面臨巨大的挑戰。目前,黑產利用ProKYC和OnlyFake等工具,能以極低成本生成高度逼真的虛假護照照片,並利用深度偽造(Deepfake)技術生成活體檢測視頻,通過「虛擬攝像頭」注入系統,完美繞過自動化審核。
早期項目方可以說「我不懂黑產技術」,但在 ProKYC 等工具已成為行業威脅的背景下,司法機關會認為:作為專業項目方,你應該預見到外包商的「靜態審核」已無法阻擋 AI 伪造。
如果平台後台出現大量「證件背景完全一致但人臉不同」、「多名用戶活體檢測時的環境光影完全重合」等明顯技術特徵,項目方卻未升級「防注入檢測」或增加人工抽檢,這種「技術鬆懈」在刑事訴訟中極易被判定為「明知他人犯罪而提供幫助」。
3.刑事責任具有不可轉嫁性
很多項目方在簽署外包合約時,會要求增加「免責條款」或「賠償條款」,聲明若因外包商審核不嚴導致的法律後果由外包商承擔。但在刑事法律體系內,這種條款近乎廢紙。
刑事責任具有強烈的屬人性。一個人或一個單位是否構成犯罪,取決於其自身的行為是否符合犯罪構成要件。你不能通過一份民事合同,將法定的刑事義務「轉包」出去。
根據《民法典》第 153 條規定,違反法律、行政法規的強制性規定,或違背公序良俗的民事法律行為無效。任何試圖通過約定來逃避刑事打擊、規避反洗錢監管義務的合同條款,在司法機關眼中均屬無效,甚至可能被視為項目方具有「逃避監管」主觀惡性的證據。
在 Web3 項目中,若被認定為「單位犯罪」,根據《刑法》對單位犯罪的「雙罰制」,不僅項目方主體要受罰,作為「直接負責的主管人員」(CEO、CTO)以及「其他直接責任人員」(合規負責人)依然是刑事追責的第一對象。外包合同不僅救不了你,反而可能因為你對第三方機構的「選擇性失察」而加重主觀過錯的認定。
決定刑事責任的三個關鍵維度:保命還是送命?
當項目方因涉嫌「幫助犯罪」或「掩蓋犯罪」坐在訊問室時,辦案人員的核心任務是論證你的「主觀明知」。外包了 KYC,你的責任是減輕了還是加重了,往往取決於以下證據還原:
1.是對標行業標準,還是「買個證件」?
在監管合規中,你對供應商的選擇本身就體現了合規態度。
選用 Sumsub、Jumio、Onfido等國際公認的一線服務商,支付市場價,證明主觀追求最高標準,已盡到「合理注意義務」;選用主打「通過率高」、「審核寬鬆」的小型服務商,會被解讀為:明知有風險,卻故意通過劣質供應商降低防禦標準,具有明顯的「放任」動機。
2.預警之後,你是「封號」還是「裝死」?
這是判定「幫助犯罪」最核心的證據環節。如果後台日誌記錄了成千上萬條「身份異常」預警,項目方卻無人工復核痕跡,未採取任何限制措施,那份外包合同就成了證明你「明知而放任」的鐵證。因此,必須建立「技術反饋-人工處置」的全面機制。沒有處置日誌的合規外包,在法律上等於零。
3.利潤來源是否具有「違法對價」?
錢的流向是判定刑責的終極風向標。如果平台通過默許「低合規標準」來獲取遠超行業平均水平的利潤,法官會認定這部分利潤具有「犯罪分成」的性質。如果支付給供應商的費用遠低於正常成本,這種商業不合理性將直接刺破「技術中立」的偽裝。
曼昆實務建議
為了避免合規外包淪為刑責證據,給項目方出具以下操作指引:
1.保留盡職調查日誌:記錄選擇外包商的原因、資質審查過程及正式合同。
2.建立二次審核機制:對系統反饋的「高風險」用戶,必須留存內部合規團隊的人工復核痕跡。
3.定期合規審計:每年至少一次,請專業律師或第三方機構審計合規效果並出具報告,這是極佳的「無主觀故意」證據。
4.嚴禁「絕對自動化」:嚴禁設置「自動通過」所有審核的後門腳本。任何承諾 100% 通過、不掉線的低價 KYC 服務,都是刑法意義上的「誘導犯罪」。
5.響應監管通知:一旦收到協查通知,必須立即切斷與相關風險帳戶的連接,不可心存僥倖。
結語:
Web3 行業的合規博弈,早已告別了那個靠「外包合同」就能瞞天過海的草莽時代。
外包 KYC 業務,本質上是在購買一項技術服務,而非轉嫁刑事風險。如果你試圖將外包商當作逃避責任的「防火牆」,那麼在司法機關穿透式的數字化溯源面前,這道牆往往比紙還薄。
最後送給大家一句話:合規的確昂貴,但相比於失去自由的代價,它永遠是最划算的投資。在刑事紅線面前,唯有實質合規,才是項目方真正的安全感。
