境内支付主要解决的是技术问题,性能怎么扛、一致性怎么保、账怎么对平。跨境支付多了一道墙,合规。这道墙不是技术难题,但它有一个让技术团队特别不适应的特点,它不可妥协,不可绕过,逻辑上不成立也得执行。
我接触过一个做跨境的团队,技术很强,把支付链路做得又快又稳,结果上线被监管打回来,原因是制裁名单核查没做到每笔交易实时校验。技术上他们觉得名单每天同步一次够了,监管要求是每笔交易实时查。这种冲突很典型,技术团队习惯用效率去优化一切,合规的世界里效率从来不是第一优先级。
跨境合规涉及五个领域,KYC、AML、制裁核查、外汇监管、数据合规。它们各自独立,但都挂在每一笔跨境交易上,任何一个不达标,这笔交易就不能走。
KYC,准入的第一道关
KYC 全称 Know Your Customer,了解你的客户。它是跨境支付的第一道关,核心是搞清楚和你做交易的人是谁。
KYC 要做的事分三层。第一层是身份核验,证件是不是真的、地址证明有没有、生物识别过不过。第二层是风险评级,根据客户的背景打分,来自高风险地区、职业敏感、资金来源不明的,标记为高风险。第三层是持续监控,客户不是核验一次就终身免检,身份信息变了、交易行为突变了,要重新评估。
风险评级的结果决定后续处置。低风险客户正常使用,高风险客户要进加强尽调 EDD,提供更多的资金来源证明、业务背景说明,尽调还过不了就直接拒绝服务。KYC 不是走个流程,它是后续所有合规动作的基础,客户没核验清楚,AML 监控就没有基准,可疑交易也无从判断。
KYC 最难的不是核验本身,是体验。核验流程越长、要提交的材料越多,转化率掉得越狠。用户开个跨境支付账户,要传护照、拍人脸、填地址证明、等人工审核,很多人在这一步就放弃了。所以 KYC 的工程难点在于怎么把核验做到尽量无感,生物识别自动比对、权威数据库实时查询、低风险用户秒级通过、高风险才走人工。
图:KYC 三层核验——身份核验、风险评级、持续监控,按风险等级差异化处置
AML,反洗钱的交易监控
AML,Anti-Money Laundering,盯的不是某一次交易,是交易的 pattern。洗钱的人有一套固定的手法,AML 监控就是识别这些手法。
最常见的叫拆分交易,也就是 smurfing。监管规定单笔超过某个阈值要申报,洗钱的人就把一笔大额拆成多笔小额,每笔都卡在阈值以下,绕过申报。识别这种手法要跨交易看,同一账户短时间内多笔接近阈值的交易,本身就是可疑信号。
还有几种典型模式。异常大额,一笔交易远超这个客户的历史交易规模。高频快进快出,资金刚进来立刻就转走,没有任何合理的停留,正常做生意不会这样。关联交易,多个账户之间循环转账,资金在一个圈子里转,这是典型的洗钱网络特征。
可疑交易标记为 STR,Suspicious Transaction Report,上报给合规官。高风险的冻结交易并上报监管,中风险的放行但持续监控。AML 的工程实现是一个规则引擎加离线分析,实时规则拦已知模式,离线模型挖新型洗钱网络,和营销反作弊的架构思路一致。
图:AML 四种典型可疑模式——拆分交易、异常大额、快进快出、关联循环,标记 STR 分级处置
制裁核查,碰不得的红线
制裁核查是跨境合规里后果最严重的一环。和制裁对象做生意,不只是违规罚款的问题,可能面临刑事追责。
核查的对象是制裁名单和禁运国家。名单有好几个来源,美国财政部的 OFAC SDN list、欧盟制裁名单、联合国制裁名单,不同业务覆盖的区域要查对应的名单。这些名单实时更新,今天不在名单上的实体明天可能就被加进去。所以核查必须是每笔交易实时做,不能依赖缓存的旧名单。
技术上制裁核查不难,本质是名单匹配。但有几个坑。第一是模糊匹配,黑产和制裁对象会用名字变体、近似拼写规避精确匹配,所以匹配要支持模糊匹配,这又会引入误判,需要人工复核机制兜底。第二是更新时效,名单更新后多久能同步到核查系统,这个延迟越短越好。第三是核查留痕,每笔交易的核查结果都要留证,应对监管检查。
外汇监管与申报
跨境一定涉及外汇,外汇这块监管格外严格,因为外汇直接关系到国家的资本管制和金融稳定。
结售汇资质是第一道门槛。本外币兑换只有持牌机构能做,不是技术上能做就行,要有金融监管发的牌照。额度管控是第二道,个人年度购汇有额度上限,中国是每人每年等值 5 万美元,超额要提供真实性证明材料。
国际收支申报是第三道。超过一定阈值的跨境交易要向外管局申报,申报的要素、频次、格式都有明确规定。真实性审核是第四道,核查交易背后有没有真实的贸易背景,防止虚构贸易转移资金。
这四件事挂在每笔跨境交易上,对系统设计的直接要求是可配置。不同国家、不同业务线的额度、阈值、申报规则不一样,不能写死在代码里,必须做成配置化的规则,业务变更时改配置不改代码。这和后面要讲的配置治理是同一套思路。
数据合规,跨境数据传输
数据跨境传输是合规里最容易被技术团队忽略的一块,因为它看起来和业务逻辑无关。
欧盟的 GDPR 要求跨境传输数据要有合法机制,常用的是标准合同条款 SCC,这是欧盟认可的数据出境合同模板。某些国家要求数据本地化存储,俄罗斯和中国对部分数据有这个要求,数据存在境内服务器,不出境。
这对系统架构的直接影响是数据存储位置不能随便定。一个全球化的跨境支付系统,不能简单地把所有数据放一个中心化的数据库,要根据用户所在地区把数据路由到对应区域,欧盟用户的数据存欧盟,中国用户的数据存中国。这在工程上意味着分库分区域,跨区域查询要额外处理,复杂度显著上升。
隐私保护也是数据合规的一部分。用户有权利查询、更正、删除自己的数据,系统要支持这些数据权利请求。这要求用户数据有完整的索引和生命周期管理,否则一个删除请求可能要在几十张表里捞数据。
多币种与汇率风险
跨境多币种,汇率波动带来一类境内支付没有的风险,汇兑风险。
汇率锁定是基本手段,交易时锁定汇率,避免结算时汇率已经变了。但汇率锁定本身有成本,锁定汇率通常要和流动性提供商签协议,承担点差。汇兑损益要独立核算,汇率变动产生的盈亏走专门的汇兑科目,不能混进业务收入里。
跨境结算时效是个隐形风险。境内结算基本是实时的,跨境结算 T+2 甚至更长,这两三天里汇率可能波动。一笔交易锁定汇率时是赚的,结算时汇率一变可能就亏了。所以跨境支付的财务模型必须把汇率波动作为变量算进去,留出汇兑准备金。
合规的系统化,把规则从代码里抽出来
前面五个领域,每个都有自己的规则,而且规则会变。监管出新规、不同国家要求不同、阈值调整、名单更新,如果这些规则散落在代码各处,每次变更都要发版,根本跟不上。
系统化的核心是把合规规则配置化。规则配置中心统一管理各国各业务的合规规则,实时核查引擎在交易前执行规则,离线分析挖掘可疑模式,申报模块自动生成监管要求的报表。这四块构成合规系统的骨架。
实时核查引擎的性能要求很高,跨境交易每笔都要过 KYC 状态检查、AML 规则、制裁名单、外汇额度,全走一遍还要保证响应时间。和风控规则引擎一样,按维度索引粗筛、规则分层执行是常规的优化手段。蜂控平台用 ES 做辅助索引加 HBase 大宽表查 TB 级发票数据的架构,思路可以迁移到这里,把核查需要的数据前置到高速检索层。
图:合规系统化架构——规则配置中心统一管理,实时引擎逐笔核查,离线分析挖掘新型模式
合规和体验的平衡
合规和用户体验天然矛盾,KYC 流程长、核查慢、要提交材料,每一个环节都在掉转化率。但合规不可妥协,监管的要求不是可以拿体验去换的。
唯一能做的是用技术提效,在不降低合规标准的前提下压缩用户感知到的摩擦。身份核验用生物识别秒级完成而不是等人工,AML 规则用实时引擎跑而不是事后批量,制裁核查用高速检索而不是查库。这些都是用工程能力把合规的固定成本压低,让用户尽量无感地过完合规流程。
技术团队做跨境最大的坑是重技术轻合规。把支付链路做得再漂亮,监管要求理解偏了,系统上线就被打回来,甚至已经开展的业务被叫停。跨境团队从设计阶段就要有合规专家参与,由他们定义合规要求,技术负责实现,而不是技术先做、合规后补。后者返工成本极高,而且很可能补不回来。







