一、研究方法和制裁执法的趋势分析

我们以美国金融制裁执法机构披露的所有执法案例为总体，抽取2013年至2022年间发生的涉及非银行支付机构、数字经济平台公司的案例为样本，进行分析评估。更早时期的案例因为时间跨度的原因，与我们的政策分析研究相关性不大，不再纳入样本[1]。最终，我们在总计约164个案例中，抽取了11个案例样本，其中支付机构9家，平台经济实体2家（以下总称为支付行业），样本数量合计约占总体比例的6.7%。在2013至2022年5月间，OFAC全部执法罚款合计约3,499,861,965美元（表1）。其中2014年和2019年处罚数字明显高于其他年份，主要原因是在该两个年度对个别银行的执法金额很高。11家支付行业样本公司合计被处罚10,417,524美元，占总处罚金额的比例仅约0.30%，与支付行业的总体体量较小有关（表1）。

 表1   美国制裁执法案件统计表

数据来源：美国OFAC网站。2022年度数据统计至该年5月25日。

样本11家受处罚公司中，5家公司仅收到书面违规认定决定书，没有罚款或其他经济处罚。其他6家公司均为和解，涉案公司向执法部门交付了罚款。行政和解是美国执法的一个特点，也是行政处罚的一种形式。样本中案件和解处罚金额的平均值为1,157,502美元。具体个案的处罚金额与该平均值相比，波动较大，这与样本数量较小有关。从支付行业样本的数量变化趋势看，近两年的执法数量明显增加，且处罚金额占全部执法处罚的比例呈现上升的趋势（图1）。2022年统计截止于5月份，支付行业处罚金额占全部执法处罚金额的比例为0.78%，与2021年全年的9.22%相比降低较多，但仍高于2020年之前的比例。

图 1  美国制裁执法趋势及非银行支付类占比预测

数据来源：美国OFAC网站。

我们预计对支付行业的执法力度会持续增大。回顾美国执法机构披露的历年案例，我们可以发现，该机构一直对传统支付业务集中的商业银行保持关注。2014年和2019年，分别对两家大型银行实施了严格执法，涉及处罚金额巨大。但从2020年起，该机构对支付行业的执法明显增多，至今共涉及4家支付机构和2家数字经济平台公司。这体现了美国执法部门开始关注传统银行业务之外的金融服务业，以及其潜在被非法利用的风险。而近期对数字平台经济的执法，一个涉及网络购物平台，另一个涉及全球民宿和旅馆的网上预订平台，体现了监管者对新经济认识的提高。当然，这一趋势也可以被理解为支付行业更多关注制裁合规风险，发现问题主动报告，进而提高了监管部门的执法案件数量。随着监管部门和被监管方对行业及风险认识的提高，我们认为，支付行业面临的监管执法将持续加强，甚至更多扩大到美国境外的公司。

二、美国执法案例分析和总结

我们对11个样本中的8个近期发生、具有代表性的案例进行了分析，并总结其中涉及的关键问题。这些案例中，涉案公司均主动向执法部门报告违规事项，并有针对性地采取了补救和整改的措施，因而获得减免处罚的待遇。重点违规原因集中在两个方面。一是针对支付业务信息的风险筛查流程存在逻辑设计或运行上的缺陷；二是公司员工在处理相关筛查预警时，出现人为的过失或判断错误的情况。

（一）2022年某民宿和短租公寓预订平台A公司和解案[2]

A公司是全球民宿短租公寓预订平台，其支付子公司于2022年1月与OFAC达成和解，支付91,172.29美元，承担其涉及违反古巴制裁规则的责任。美国执法部门通过样本分析、统计推算的方式，认定该公司为其母公司的旅游住宿平台在2015年至2020年间，处理了约3,464笔支付结算，涉及古巴制裁许可规则之外的旅行住宿活动。每笔住宿费用约139.52美元。根据检查和统计推算，约3,076笔支付没有按照规定保存记录。美国将古巴列入受制裁国家，不允许美国人未经许可，发生与古巴的交易。

OFAC认为该公司的互联网旅游业务未能有效设计流程，以适应制裁规则的复杂要求。例如，该公司的业务流程一开始仅为手工方式来对旅馆经营者和旅客进行筛查，以满足制裁规则的要求；直至其开发出了系统，实现自动化IP地址检索和阻挡功能，才做到允许古巴人在该平台上经营旅馆住宿业务，但同时不允许古巴人作为顾客进行消费。该案件一方面披露了OFAC利用样本进行统计推算作为执法依据的方法，另一方面也显示了执法部门开始更多关注数字平台经济涉及的金融支付功能。该公司在一次制裁合规全面自查中发现了该问题，并向监管部门主动报告了自查结果和整改措施，因此获得了较低处罚和解金额的待遇。

（二）2021年某网络支付B公司和解案[3]

B公司是一家网上汇款和预付卡服务公司，在纽约上市。该公司于2021年7月与OFAC达成和解，同意支付1,385,901.44美元以解决其违规责任的问题。OFAC发现，该公司在2013年至2018年间涉及2,220项违反制裁规则的行为，涉及资金793,950.70美元。该公司虽然有相应的制裁合规政策和流程，OFAC认为其内部测试和审计工作未能有效识别其合规控制流程的缺陷。其中包括（1）该公司客户筛查系统的编程不够强大，无法对特别指定制裁名单（SDN）上的受制裁实体名称的相近名称进行识别；（2）未能针对监管部门发布的受制裁对象的商业识别码（Business Identifier Codes）进行筛查；（3）在筛查预警案件积压期间，其控制流程允许预警待处理的付款项目不经审核，自动放行；（4）对受制裁地区的位置信息，特别是克里米亚地区，缺乏关注，没有监控来自受制裁地区的IP地址，也没有对涉及受制裁地区地址的付款活动进行监控预警。

该案的重要意义是监管部门指出了在制裁合规监控的技术上，义务主体应对非完全匹配信息进行关注，采用一定程度的模糊匹配技术。同时，执法部门关于内部测试和审计流程瑕疵的认定，提示义务机构需要重点关注内部控制措施的有效性和自我监督机制的有效性问题。

（三）2021年某支付C公司和解案[4]

C公司是一家支付公司，为客户提供服务向200多个国家或地区汇款。2020年公司因未获许可，向在美国联邦监狱内的受美国特别指定名单制裁的服刑人员提供付款服务，及处理涉及叙利亚的个人发起的商业目的汇款等事项而被处罚。OFAC认为，C公司本应根据汇款的详细信息或顾客提供的信息，获知汇款或收款业务与受制裁人员或国家有关而采取冻结措施，但仍基于自己对合规义务的错误理解处理了相关汇款。该公司误以为在联邦监狱没有必要对服刑人员进行收汇款前的筛查。在确认需要筛查后，该公司的筛查系统和模糊匹配逻辑又发生问题，未能准确发现需要阻挡的交易。期后，在涉及叙利亚的交易中，该公司员工错误地将一笔商业交易汇款归类为个人目的之付款，因此放行了款项。最终执法部门共发现了2013年至2020年间的359项违规事项，涉及约40个受制裁个人的105,627美元汇款。该公司在一次合规自查过程中发现了前述监狱服刑人员收汇款的问题。公司通过和解，交纳罚款总计34,328.78美元。

该公司最终获得了减轻处罚的待遇。一个原因是服刑人员的主要收汇款大都会获得政府的许可；另一个重要原因是公司发现问题后进行了一系列整改，特别是其采取措施，停用老的筛查系统，上线了一个新的系统，大幅增强了对业务活动进行筛查、监控和处理的能力。OFAC特别提示所有金融服务机构要关注在高风险国家或地区开展业务的风险，以及保持合规筛查机制有效性的重要意义。

（四） 2021年某电子货币支付方案提供商D公司和解案[5]

D公司是总部在美国亚特兰大市的一家电子货币支付方案提供商。其违规问题是即使该公司在交易前就获知客户的网络IP地址信息或其他地址信息，但仍允许来自克里米亚、古巴、朝鲜、伊朗、苏丹、叙利亚的客户与美国商人进行交易。具体而言，相关违规交易发生在2013年至2018年间，共2,102笔，涉及交易金额129,000美元。该公司接受其用户商家在受制裁地区顾客的电子货币付款，将电子货币转为实际货币，支付给平台商家。虽然公司对其平台商家进行了筛查，但并未筛查其从用户商家获得的终端消费者的地址数据，包括买家的名称、住址、电子邮件地址和电话号码。公司最终与OFAC以507,375美元达成和解。

OFAC在该案中提示电子货币服务商需要理解其业务涉及的制裁合规风险，并采取应对措施。

（五）2020年某信用卡公司E子公司处罚案[6]

E公司是美国某信用卡公司旗下的旅游服务公司，其在2015年为一受制裁个人开立了一张预付卡，处理了41项总额35,246.82美元的交易。经认定，该违规行为的原因为员工失误和筛查系统缺陷。

2009年，OFAC将某个人列入特别指定制裁名单（SDN）。2015年，该个人通过一家非美国银行申请美国信用卡公司发行信用卡。该银行将个人姓名输入信用卡公司筛查系统后，系统识别出该个人为受制裁对象，并进行了自动报警。然而，该申请开卡银行没有处理预警，而是多次在系统平台操作，试图批准开户申请，致使系统停机。而该风险筛查功能的问题是，根据逻辑设计，系统暂停会直接导致开卡申请自动获得批准。自动批准后，信用卡公司的风险筛查流程会将该预警转给人工审核流程进行调查，开卡过程并不停止。之后信用卡公司内部合规人员错误地认定该个人不是SDN名单上的受制裁对象，将其列入公司内部的“批准名单”。该个人客户开卡后，于2015年3月26日存入17,655.17美元，并在之后约两个月内，使用其信用卡在德国和阿联酋的ATM上提取39次现金，共计17,591.65美元，基本取完所有存款。

美国执法部门根据案情，没有对该公司违规行为实施经济性处罚。主要原因是OFAC未发现该公司实际知道该受制裁客户或知道其系统缺陷，且公司采取了整改措施，并主动报告并和监管部门充分合作。OFAC最终向公司开出了一张违规行为认定函，并特别提示金融机构要注意不能未经审核，随意人为干预自动化控制流程，或凌驾于既定的控制规则之上。

（六）2020年某网上购物平台F公司和解案[7]

2020年某网上购物平台F公司同意以134,523美元与OFAC达成和解，以了结其涉及为受制裁人员提供货物和服务、为受制裁地人员提供货物或服务等违规问题的责任。违规行为发生于2011年至2018年间，主要涉及低价值零售商品和服务，总计金额约269,000美元。OFAC认为该公司发生违规事项的基本原因是其制裁合规筛查的流程存在缺陷，未能对交易和客户数据进行全面分析。在一些情况下，订单上有特定的制裁国家信息、制裁国家的城市名、或者制裁国家名称的通用替代拼写，但该公司的筛查系统无法报警。例如，一个订单含有克里米亚地区的一个地名“Yalta, Krimea”，该公司的筛查系统无法识别该地名属于克里米亚地区并进行报警，也无法识别克里米亚（Crimea）地名的另一种常用拼写方式Krimea。

在发布的执法文件中，OFAC特别强调了电子商务或其他网络业务平台建立有效合规控制的重要性，包括制裁筛查措施。这类大型公司应开发、利用与其业务规模和交易速度相匹配的合规工具和控制流程。OFAC特别提示跨国企业开展自动化筛查，应以风险为导向，采取适当措施保证系统逻辑合理设计，保证对重要信息的筛查。筛查逻辑应考虑对数据留有容错空间，以有效抓取信息，包括常见的错误拼写。该监管机构提出有必要对相关控制保持常规测试，并建议在发现问题后，应立即采取补救措施实施替代性控制，直至确定问题的根本原因并得到解决。

（七）2019年某全球联网汇款G公司和解案[8]

G公司是一家货币服务提供商，为客户提供全球汇款业务。该公司在西非冈比亚签约一家本地银行作为首席代理商。该当地银行在2006年前后与一家当地商业中心运营商建立了代理与分代理的业务关系，并将商业中心的相关信息发送给了G公司。2010年，OFAC因该中心涉及恐怖主义活动将其列入制裁名单。然而直到2015年，G公司一直没有发现该商业中心是其子代理机构。在2010年至2015年间，公司为该中心处理了4,977笔交易，涉及金额127.5万美元。经和解，公司同意向OFAC支付401,697美元以承担相关责任。

违规问题发生的关键是该公司错误地将该商业中心的名称存储在其系统中代理商地名的字段。在违规期间，虽然公司对代理商、客户及收款人等信息均进行了实时扫描筛查，但并未对地址信息进行筛查审核。在该问题被发现的两年前，公司就已开始了一个整改项目，目的是系统地解决地址筛查问题。2015年发现该违规事项后，公司立即采取补救措施，对分代理机构进行一次性补充筛查，未发现其他问题。公司也主动向OFAC进行了报告，因此获得了较低金额处罚的和解。

（八）2017年某外国信用卡H公司和解案[9]

H公司是一家比利时信用卡公司，主要为其欧洲公司客户提供支付服务。2009年至2014年，该公司客户使用其发行的信用卡在古巴发生多次交易，共涉及100多个客户、1,818次交易、总计金额583,649.43美元。虽然H公司内部有合规控制流程对交易是否涉及特别指定名单（SDN）进行筛查，但却没有阻止其信用卡被用于在古巴的交易。H公司是某信用卡公司的全资子公司，美国另一家信用卡公司持有H公司母公司的50%股权。美国公司发现该违法行为后，向OFAC主动进行了报告，最终以204,277美元为子公司H公司了结该违规问题。

该案提醒跨国公司作为收购方，需要特别考虑被收购企业的制裁合规管理情况。OFAC认为美国公司及H公司母公司都应对美国制裁合规的要求非常熟悉，在收购H公司前应对其涉及的制裁风险及合规控制进行审核。该点最终成为加重处罚的一个考虑因素。

三、美国制裁执法对中概股公司的启示

分析美国近年来的制裁执法，我们发现其关注的重点从传统商业银行扩大到跨境支付行业，直到最近的数字经济平台公司。对跨境支付活动的制裁执法，逐步强化的趋势显著。在美国资本市场募集资金的中概股公司，很容易被该国执法部门关注。在当今中美关系复杂化的背景下，美国经济制裁的执法不断加强，中概股始终是各方关注的重点。很多中概股公司是数字经济企业，涉及跨境业务以及支付结算等金融服务功能，应特别关注制裁执法。

总结近期案例，中国企业跨境支付涉及的制裁合规管理应重点注意以下问题。

一是关注外国司法管辖的问题。跨国企业因为公司注册、业务、资金转移及结算等活动均可能产生与多国的实质联系，进而成为多国司法、执法机关实施管辖的依据。跨国企业在集团管理、公司治理等方面需要注意是否应该进行一定程度的切割，并在运营和数据管理上进行划分，对相关风险和对应的责任采取提前隔离措施。

二是关注自身业务金融属性引申而来的金融机构制裁合规义务。以数字经济平台为基础的中概股公司往往业务中富含汇聚资金、支付结算、货币服务或证券交易等创新金融元素。这些公司应密切关注各国对此类金融属性业务功能的监管政策。针对金融服务提供商，各国监管部门往往在制裁、反洗钱等合规管理方面有着严格监管要求，需要公司在资源、人员、系统和流程管理等多方面的投入和工作。这是跨国企业及其投资者在经营和投资决策过程中必须关注的一个问题。

三是制裁合规管理应考虑覆盖所有涉及客户和业务的信息。风险筛查功能不仅需要重点针对客户，还应在风险评估的基础上判断是否应覆盖所有相关信息。对于跨境业务，特别是涉及制裁风险较高的国家或地区时，如伊朗、古巴、朝鲜、叙利亚、克里米亚等，应特别关注制裁合规风险和对应的控制措施。

四是运用系统化方式实现自动筛查。这是对海量交易数据进行风险管理的必然要求。筛查逻辑应经过测试和审计，确保有效性。除了国内基本的精准匹配逻辑外，需要考虑开发升级模糊匹配的逻辑。特别需要加大投入，考虑对别名、易错拼写、地名与城市名，用户IP地址等信息的筛查及有效性要求。

五是注重提高制裁合规控制措施的有效性，减少人为因素导致的风险。需要加强对员工的培训，提高对制裁合规要求的理解和认识。同时，关注合规文化建设，保证工作流程的有效执行，不能随意破例，不能随意更改。必要的内部合规检查和测试可以减少人为失误出现的频率。