外包 KYC 业务，本质上是在购买一项技术服务，而非转嫁刑事风险。

撰文：邓小宇、李浩均

在 Web3 圈子里，流行着一种危害极大的合规幻想：只要项目方花钱把 KYC（身份验证）和 AML（反洗钱）业务外包给国际知名的第三方机构，就等于买到了一张「刑事免责险」。一旦平台卷入洗钱或黑产资金，这口「锅」理应由外包商背，项目方可以稳坐「甩手柜」。

这种想法，在律师眼里是「天真」，在侦查机关眼里是「此地无银」，而在现实中，这是一颗随时可能引爆的深水炸弹。

近两年来，随着司法机关对虚拟货币相关犯罪打击维度的不断升级，特别是针对「帮信罪」、「掩隐罪」乃至「非法经营罪」的穿透式侦查，这种「鸵鸟式」的合规逻辑正被密不透风的证据链条逐一粉碎。项目方必须清醒地认识到：外包不等于合规，更不等于刑事豁免。

外包 KYC 不是「免死金牌」：刑法如何看「中立行为」？

很多项目方觉得，我付了钱，买了服务，这就属于「技术中立」或者「商业行为中立」。但曼昆律师要提醒你：中立行为是有边界的。

1.形式合规不等于实质合规

参考传统支付行业及聚合支付（四方支付）的司法判例，法院在处理此类「外包合规」抗辩时，逻辑高度统一：「技术外包不免除主体责任」。 在刑法逻辑中，如果你仅仅通过外包一个「走过场」的 KYC 方案来掩人耳目，这在司法实践中极易被认定为「以合规之名，行放任之实」。法院看重的是你是否履行了「实质性审慎义务」，而非仅仅是那一纸外包合同。

2.AI 黑产冲击下的「主观明知」判定

随着 AI 技术的发展，即便接入了标准 KYC 接口，项目方仍面临巨大的挑战。目前，黑产利用 ProKYC 和 OnlyFake 等工具，能以极低成本生成高度逼真的虚假护照照片，并利用深度伪造（Deepfake）技术生成活体检测视频，通过「虚拟摄像头」注入系统，完美绕过自动化审核。

早期项目方可以说「我不懂黑产技术」，但在 ProKYC 等工具已成为行业威胁的背景下，司法机关会认为：作为专业项目方，你应该预见到外包商的「静态审核」已无法阻挡 AI 伪造。

如果平台后台出现大量「证件背景完全一致但人脸不同」、「多名用户活体检测时的环境光影完全重合」等明显技术特征，项目方却未升级「防注入检测」或增加人工抽检，这种「技术松懈」在刑事诉讼中极易被判定为「明知他人犯罪而提供帮助」。

3.刑事责任具有不可转嫁性

很多项目方在签署外包合同时，会要求增加「免责条款」或「赔偿条款」，声明若因外包商审核不严导致的法律后果由外包商承担。但在刑事法律体系内，这种条款近乎废纸。

刑事责任具有强烈的属人性。一个人或一个单位是否构成犯罪，取决于其自身的行为是否符合犯罪构成要件。你不能通过一份民事合同，将法定的刑事义务「转包」出去。

根据《民法典》第 153 条规定，违反法律、行政法规的强制性规定，或违背公序良俗的民事法律行为无效。任何试图通过约定来逃避刑事打击、规避反洗钱监管义务的合同条款，在司法机关眼中均属无效，甚至可能被视为项目方具有「逃避监管」主观恶性的证据。

在 Web3 项目中，若被认定为「单位犯罪」，根据《刑法》对单位犯罪的「双罚制」，不仅项目方主体要受罚，作为「直接负责的主管人员」（CEO、CTO）以及「其他直接责任人员」（合规负责人）依然是刑事追责的第一对象。外包合同不仅救不了你，反而可能因为你对第三方机构的「选择性失察」而加重主观过错的认定。

决定刑事责任的三个关键维度：保命还是送命？

当项目方因为涉嫌「帮信罪」或「掩隐罪」坐在讯问室时，办案人员的核心任务是论证你的 「主观明知」。外包了 KYC，你的责任是减轻了还是加重了，往往取决于以下证据还原：

1.是对标行业标准，还是「买个证件」？

在监管合规中，你对供应商的选择本身就体现了合规态度。

选用 Sumsub、Jumio、Onfido 等国际公认的一线服务商，支付市场价，证明主观追求最高标准，已尽到「合理注意义务」；选用主打「通过率高」、「审核宽松」的小型服务商，会被解读为：明知有风险，却故意通过劣质供应商降低防御标准，具有明显的「放任」动机。

2.预警之后，你是「封号」还是「装死」？

这是判定「帮信罪」最核心的证据环节。如果后台日志记录了成千上万条「身份异常」预警，项目方却无人工复核痕迹，未采取任何限制措施，那份外包合同就成了证明你「明知而放任」的铁证。因此，必须建立「技术反馈 - 人工处置」的全面机制。没有处置日志的合规外包，在法律上等于零。

3.利润来源是否具有「违法对价」？

钱的流向是判定刑责的终极风向标。如果平台通过默许「低合规标准」来获取远超行业平均水平的利润，法官会认定这部分利润具有 「犯罪分成」 的性质。如果支付给供应商的费用远低于正常成本，这种商业不合理性将直接刺破「技术中立」的伪装。

曼昆实务建议

为了避免合规外包沦为刑责证据，给项目方出具以下操作指引：

1.保留尽职调查日志：记录选择外包商的原因、资质审查过程及正式合同。

2.建立二次审核机制：对系统反馈的「高风险」用户，必须留存内部合规团队的人工复核痕迹。

3.定期合规审计：每年至少一次，请专业律师或第三方机构审计合规效果并出具报告，这是极佳的「无主观故意」证据。

4.严禁「绝对自动化」：严禁设置「自动通过」所有审核的后门脚本。任何承诺 100% 通过、不掉线的低价 KYC 服务，都是刑法意义上的「诱导犯罪」。

5.响应监管通知：一旦收到协查通知，必须立即切断与相关风险账户的连接，不可心存侥幸。

结语

Web3 行业的合规博弈，早已告别了那个靠「外包合同」就能瞒天过海的草莽时代。

外包 KYC 业务，本质上是在购买一项技术服务，而非转嫁刑事风险。如果你试图将外包商当作逃避责任的「防火墙」，那么在司法机关穿透式的数字化溯源面前，这道墙往往比纸还薄。

最后送给大家一句话：合规的确昂贵，但相比于失去自由的代价，它永远是最划算的投资。 在刑事红线面前，唯有实质合规，才是项目方真正的安全感。