曼昆研究 | Web3項目方必讀：外包了KYC，出事就能“甩鍋”第三方嗎？

引言

在Web3圈子里，流行著一種危害極大的合規幻想：只要項目方花錢把KYC（身份驗證）和AML（反洗錢）業務外包給國際知名的第三方機構，就等于買到了一張“刑事免責險”。一旦平臺卷入洗錢或黑產資金，這口“鍋”理應由外包商背，項目方可以穩坐“甩手柜”。

這種想法，在律師眼里是“天真”，在偵查機關眼里是“此地無銀”，而在現實中，這是一顆隨時可能引爆的深水炸彈。

近兩年來，隨著司法機關對虛擬貨幣相關犯罪打擊維度的不斷升級，特別是針對“幫信罪”、“掩隱罪”乃至“非法經營罪”的穿透式偵查，這種“鴕鳥式”的合規邏輯正被密不透風的證據鏈條逐一粉碎。項目方必須清醒地認識到：外包不等于合規，更不等于刑事豁免。

外包KYC不是“免死金牌”：刑法如何看“中立行為”？

很多項目方覺得，我付了錢，買了服務，這就屬于“技術中立”或者“商業行為中立”。但曼昆律師要提醒你：中立行為是有邊界的。

1形式合規不等于實質合規

參考傳統支付行業及聚合支付（四方支付）的司法判例，法院在處理此類“外包合規”抗辯時，邏輯高度統一：“技術外包不免除主體責任”。在刑法邏輯中，如果你僅僅通過外包一個“走過場”的 KYC 方案來掩人耳目，這在司法實踐中極易被認定為“以合規之名，行放任之實”。法院看重的是你是否履行了“實質性審慎義務”，而非僅僅是那一紙外包合同。

2AI 黑產沖擊下的“主觀明知”判定

隨著 AI 技術的發展，即便接入了標準KYC接口，項目方仍面臨巨大的挑戰。目前，黑產利用ProKYC和OnlyFake等工具，能以極低成本生成高度逼真的虛假護照照片，并利用深度偽造（Deepfake）技術生成活體檢測視頻，通過“虛擬攝像頭”注入系統，完美繞過自動化審核。

早期項目方可以說“我不懂黑產技術”，但在ProKYC等工具已成為行業威脅的背景下，司法機關會認為：作為專業項目方，你應該預見到外包商的“靜態審核”已無法阻擋AI偽造。

如果平臺后臺出現大量“證件背景完全一致但人臉不同”、“多名用戶活體檢測時的環境光影完全重合”等明顯技術特征，項目方卻未升級“防注入檢測”或增加人工抽檢，這種“技術松懈”在刑事訴訟中極易被判定為“明知他人犯罪而提供幫助”。

3刑事責任具有不可轉嫁性

很多項目方在簽署外包合同時，會要求增加“免責條款”或“賠償條款”，聲明若因外包商審核不嚴導致的法律后果由外包商承擔。但在刑事法律體系內，這種條款近乎廢紙。

刑事責任具有強烈的屬人性。一個人或一個單位是否構成犯罪，取決于其自身的行為是否符合犯罪構成要件。你不能通過一份民事合同，將法定的刑事義務“轉包”出去。

根據《民法典》第153條規定，違反法律、行政法規的強制性規定，或違背公序良俗的民事法律行為無效。任何試圖通過約定來逃避刑事打擊、規避反洗錢監管義務的合同條款，在司法機關眼中均屬無效，甚至可能被視為項目方具有“逃避監管”主觀惡性的證據。

在Web3項目中，若被認定為“單位犯罪”，根據《刑法》對單位犯罪的“雙罰制”，不僅項目方主體要受罰，作為“直接負責的主管人員”（CEO、CTO）以及“其他直接責任人員”（合規負責人）依然是刑事追責的第一對象。外包合同不僅救不了你，反而可能因為你對第三方機構的“選擇性失察”而加重主觀過錯的認定。

決定刑事責任的三個關鍵維度：保命還是送命？

當項目方因為涉嫌“幫信罪”或“掩隱罪”坐在訊問室時，辦案人員的核心任務是論證你的“主觀明知”。外包了KYC，你的責任是減輕了還是加重了，往往取決于以下證據還原：

1是對標行業標準，還是“買個證件”？

在監管合規中，你對供應商的選擇本身就體現了合規態度。

選用Sumsub、Jumio、Onfido等國際公認的一線服務商，支付市場價，證明主觀追求最高標準，已盡到“合理注意義務”；選用主打“通過率高”、“審核寬松”的小型服務商，會被解讀為：明知有風險，卻故意通過劣質供應商降低防御標準，具有明顯的“放任”動機。

2預警之后，你是“封號”還是“裝死”？

這是判定“幫信罪”最核心的證據環節。如果后臺日志記錄了成千上萬條“身份異常”預警，項目方卻無人工復核痕跡，未采取任何限制措施，那份外包合同就成了證明你“明知而放任”的鐵證。因此，必須建立“技術反饋-人工處置”的全面機制。沒有處置日志的合規外包，在法律上等于零。

3利潤來源是否具有“違法對價”？

錢的流向是判定刑責的終極風向標。如果平臺通過默許“低合規標準”來獲取遠超行業平均水平的利潤，法官會認定這部分利潤具有“犯罪分成”的性質。如果支付給供應商的費用遠低于正常成本，這種商業不合理性將直接刺破“技術中立”的偽裝。

曼昆實務建議

為了避免合規外包淪為刑責證據，給項目方出具以下操作指引：

1.保留盡職調查日志：記錄選擇外包商的原因、資質審查過程及正式合同。

2.建立二次審核機制：對系統反饋的“高風險”用戶，必須留存內部合規團隊的人工復核痕跡。

3.定期合規審計：每年至少一次，請專業律師或第三方機構審計合規效果并出具報告，這是極佳的“無主觀故意”證據。

4.嚴禁“絕對自動化”：嚴禁設置“自動通過”所有審核的后門腳本。任何承諾 100% 通過、不掉線的低價 KYC 服務，都是刑法意義上的“誘導犯罪”。

5.響應監管通知：一旦收到協查通知，必須立即切斷與相關風險賬戶的連接，不可心存僥幸。

結語：

Web3行業的合規博弈，早已告別了那個靠“外包合同”就能瞞天過海的草莽時代。

外包KYC業務，本質上是在購買一項技術服務，而非轉嫁刑事風險。如果你試圖將外包商當作逃避責任的“防火墻”，那么在司法機關穿透式的數字化溯源面前，這道墻往往比紙還薄。

最后送給大家一句話：合規的確昂貴，但相比于失去自由的代價，它永遠是最劃算的投資。在刑事紅線面前，唯有實質合規，才是項目方真正的安全感。

*本文為上海曼昆律師事務所的原創文章，僅代表本文作者個人觀點，不構成對特定事項的法律咨詢和法律意見。歡迎更多Web3從業者投稿、爆料。如需轉載及法律咨詢，請添加客服： mankunlawyer。

本文作者

關于曼昆