香港空壳公司的隐秘江湖,跨境支付风控的数据盲区

发表于:2026-04-15
#行业洞察
#金融

在2023年6月,山东淄博警方侦破一起非法经营外汇案,注册在各地的空壳跨境电商公司,控制着多个交易网站,自21年初始,通过“虚假贸易背景+地下钱庄对敲”的组合手法,将28亿元资金转移出境。这批公司的反侦察意识很强:网站能正常加载,商品页面有图片和描述,利用贸易公司资质向金融机构申请外币结汇通道链接上游客户网站,骗取金融机构结汇,为境外博彩类、交友类网站非法转移灰黑资金。

警方拆解此案的切入点,从交易的时间、金额、频率等特点及涉案网站的后台解析发现与实际贸易严重不符,由此判断系犯罪团伙利用虚假的跨境电商贸易形式将境外外汇资金通过金融机构结汇至境内,这些公司的注册地分散、法人频繁变更、关联人员在多家已注销企业担任过股东。

1

这是跨境支付风控的第一个现实,最有效的风控手段,往往不是最贵的技术,而是最准的数据。

01.香港公司为什么是跨境支付的“问题”

理解香港公司在跨境支付中的角色,必须先理解跨境支付这门生意的底层逻辑。

当一个深圳工厂的老板在亚马逊开了个店,向美国消费者卖商品,这笔钱的流转路径大致是这样的:美国买家用信用卡付款→亚马逊收单→亚马逊平台账户→商家在亚马逊注册的收款账户→换汇→汇回国内

问题出在哪里?

亚马逊要求商家以企业主体注册,接受美国、欧盟或英国的KYC审核。内地注册的公司在亚马逊完成注册并不困难,但收款后想把外币高效汇回内地,要绕过的监管节点非常多:外管局的逐笔申报要求、银行的贸易真实性审核、结汇的额度限制。

香港公司在这里提供了一个优雅的解法。

香港地区没有外汇管制,港元可以与美元、人民币自由兑换,那么在香港开设公司账户,亚马逊等平台的款项可以直接进入,不需要逐笔向监管机构申报;换汇不需要提供贸易背景证明,资金向内地转移时,可以通过内地公司向香港公司提供商品/服务分红、借款的方式进行,灵活度远高于内地公司直接收款。

更重要的是税务规划空间,香港利得税率16.5%,且采用地域来源原则——只对香港本地产生的利润征税,海外收入可以申报豁免,跨境电商的收入大多来自海外,理论上可以在香港实现较低税负,而内地公司的企业所得税税率是25%(小微、高新技术或鼓励类产业企业税率较之更低)。

5

这就是为什么我国有百万家注册香港公司,其中大量是跨境电商、外贸企业的海外收款主体,这个架构本身完全合法,是市场对监管环境的理性应对。

但这套逻辑被大规模复制之后,衍生出了一个严重问题:当每个人都用香港公司收款时,监管机构和支付机构面对的,是一堆看起来高度相似的商户,而他们背后的真实身份和经营状况,差异可能是天壤之别。

02.信息孤岛在与风控部门看不到的那一半

跨境支付机构的风控工作,本质是在解决信息不对称问题——商户声称自己做什么,和他实际在做什么,之间有多大的差距?

对于内地注册企业,这个问题已经有相对成熟的解决方案,即工商登记数据、司法判决数据、税务信用数据,在监管体系的推动下,已经实现了相当程度的联通。支付机构可以通过企查查平台,在几秒钟内查到一家内地企业的股权结构、诉讼记录、经营异常状态,乃至近期有没有大规模裁员或法院强制执行的信号。

但香港公司注册处对公众开放的信息,只有:公司名称、注册号、成立日期、注册地址、股份种类、公司状态是否正常注册。

  • 股东信息、持股比例,不公开;
  • 受益所有人,不公开;
  • 财务报表,私人公司不强制审计,不公开。

公司的实际控制人藏在哪里,监管机构有一个重要控制人登记册制度,但内容不对外公示,这和内地的信息透明度之间,存在一道几乎无法跨越的鸿沟。

更复杂的是香港公司常见的多层架构,一个典型的跨境电商结算架构是这样的:内地自然人A→持股某开曼群岛公司→持股某BVI(英属维尔京群岛)公司→持股香港公B→内地VIE公司或直接持有境外电商平台账户。在这个链条里,香港公司B的股东是BVI公司,BVI公司的股东是开曼公司,开曼公司的受益所有人才是内地自然人A。这条穿透链在技术上可以走通,但每过一个节点,都需要向该司法管辖区的注册机构提出正式申请,耗时数周乃至数月,成本不低。

对于有心作假的团伙来说,更简单的方法是使用名义董事名义股东,香港允许聘用专业服务机构担任公司的挂名董事和股东,这是完全合法的做法,通常用于保护实际控制人的隐私。但在风控场景中,这意味着香港公司注册处记录的董事和股东,可能和公司的实际控制人完全没有关系。

支付机构在做KYC时,通常会要求客户自行申报受益所有人信息,并签署声明,对于真实经营的企业,这个流程没有问题。但对于有意隐瞒的团伙,这不过是多了一份虚假声明而已。

03.监管的施压逻辑是做实质性穿透工作

跨境支付监管的演变,有一条清晰的逻辑线。

2010年代初期,跨境支付作为新兴业态,监管重点是有没有资质,即是否取得了跨境人民币业务试点资格或外汇业务许可。机构层面合规了,交易层面的管控相对宽松。

2015年前后,外管局开始推行货物贸易报关单核验系统,要求银行对贸易付汇进行报关单核验,数据直接与海关系统对接。这是第一次将交易真实性纳入系统性管控,防止出现重复使用报关单骗汇。

2019年起,互联网平台被明确纳入跨境支付监管范围,对于通过跨境电商平台收款的商户,平台有义务留存交易记录,并按要求向监管机构报送,部分机构开始要求商户授权店铺实时抓取订单数据,用于监管报送。

4

新规监管处罚重点:未按规定履行客户身份识别义务、未按规定保存客户身份资料和交易记录、未按规定报送大额交易报告或者可疑交易报告、身份不明的客户开立匿名账户、假名账户、进行交易、违反规定将外汇汇入境内,违反规定将境内外汇转移境外、未按规定保存特约商户申请材料、资质审核材料等档案资料、违反商户实名制管理规定,违反收单交易资金结算管理规定

2025年1月1日,新修订的《反洗钱法》正式生效,这部重点法律最大的变化是第一,义务机构的范围大幅扩大,除传统金融机构外,非银行支付机构、互联网平台全部纳入;第二,明确要求义务机构识别并核实受益所有人,不再仅仅停留于识别名义股东和法定代表人。

2026年1月20日,央行正式实施《金融机构客户受益所有人识别管理办法》,进一步细化了受益所有人的识别规则和核实方法。对于法人客户,要求识别直接或间接持有25%以上股权或表决权的自然人;无法通过股权识别的,识别通过其他方式对客户施加控制的自然人;仍然无法识别的,识别公司的高级管理人员。

2

联动商务在24年9月的8470万元罚单处罚依据中,有一条是“未按规定审核客户身份”,这说明监管认为收了一份营业执照复印件不算审核了客户身份,这家香港公司的实际控制人是谁,他在内地还有哪些关联企业,这些企业现在的经营状况是否正常,这才是关注的核心。

这套规则写起来清晰,但对于一家跨境支付机构来说,面对上千家香港公司商户,如何落地执行?核心矛盾在于监管要求的穿透识别,需要支付机构自己有能力去穿透——而穿透一家香港公司,需要数据能力和信息来源。

04.数据盲区缺什么、差在哪?

早期的非法跨境资金转移相对简单粗暴,地下钱庄在境内外各维护一批账户,在境内收一笔人民币、在境外付一笔外币,或整体反过来进行。这个对敲模式绕开了金融监管体系,但有一个弱点就是金额大、账户异动明显,银行的交易监控系统相对容易发现

要理解跨境支付风控的真实挑战,必须先理解对手是什么水平。

新一代的操作手法,是把非法资金套上合规的外衣——最常见的,就是借道跨境支付机构。

具体操作是这样的:犯罪团伙在香港注册一批空壳公司,通常借助当地的公司服务机构,手续简便、成本低廉,用这些公司在跨境支付机构开立商户账户,声称从事跨境电商业务,开户时提交的材料一应俱全——香港营业执照、商业登记证、虚假的店铺链接、虚构的贸易合同

随后,通过向境外账户,实际上是团伙控制的账户通过虚假贸易的销售商品方式,触发跨境结算,往往标注为3C电子产品出口的结算申请,背后可能对应的是将境内黑钱通过贸易项下汇出境外。

这套手法的高级之处,在于它完美利用了合规体系的审核逻辑。支付机构看到的是商户提供了营业执照、报关单、物流轨迹,在单证流、信息流、资金流三流合一,形式上完整。但它没有审查的是这家香港公司背后的实际控制人,在内地有没有真实的经营实体?关联供应商在内地的工商登记是什么状态?

很多相关案件,警方最终的突破口往往会是内地关联人的工商数据,控制这些公司的法人在内地控制着一批已注销或经营异常的公司,这些历史痕迹在企业数据库里清晰可查。

3

梳理下来,跨境支付机构在香港商户尽职调查上,存在几个结构性的数据缺口。

第一个缺口:香港公司的内地关联企业,无法通过常规渠道识别。

支付机构能查到香港公司在香港公司注册处登记的信息,但这不会告诉他们这家香港公司的股东,同时是哪些内地公司的法人或股东?这家香港公司声称的内地供应商,其工商登记状态如何、是否真实存在?

要回答这个问题,需要能够跨越香港和内地两套信息体系的数据源,通过人员关联(同一自然人在香港公司担任股东,同时在内地某公司担任法人)或股权关联(香港公司的控股股东在内地有关联企业)进行穿透。

第二个缺口:内地关联企业的动态风险信号,支付机构看不到。

即便支付机构知道一家香港公司在内地有关联企业,他们是否会持续监控这家内地企业的风险动态?商户开户时做过一次尽职调查,此后每年可能做一到两次年检审核,但两次审核之间,如果这家内地关联企业发生了重大变化,例如法人被更换、被列入经营异常名录、出现了大额诉讼……支付机构不会及时知晓。

第三个缺口:香港公司在内地的业务痕迹,缺乏核实。

一家声称从事内地商品出口的香港公司,这家内地供应商应该有真实的经营活动,有没有海关进出口记录?有没有正常的员工社保缴纳?有没有真实的仓储场地?这些信息分散在多个系统里,没有统一的接口,逐一核查的成本极高,实操中几乎不会去做。

05.实战场景:数据联通如何改变风控逻辑

场景一:商户准入尽调穿透

思考一个场景,某跨境支付机构的商户管理中,收到一家香港公司的入驻申请。这家公司声称从事家居用品出口,主要客户在东南亚,注册于两年前,提供的材料包括:香港公司注册证书、商业登记证、法人身份证、一份与深圳某贸易公司的采购合同、三个月的平台销售记录截图。

*按照常规流程,这些材料完整,可以通过准入。

但如果接入覆盖香港与内地双向数据信息,审核逻辑会多出一个维度——对深圳这家供应商的自动核查。

如果我告诉你:这家深圳贸易公司成立于申请前8个月,注册资本10万元,注册地址是深圳市南山区某共享办公室。法定代表人王某,同时是另外3家公司的股东或法人,其中2家已被吊销营业执照,1家处于经营异常状态,公司在近一年内,没有任何进出口海关报关记录,也没有员工社保缴纳记录。

这两个信号——关联多家异常企业的法人、无实际经营痕迹,已经足以触发人工审核。

6

场景二:存量商户动态监控

对动态数据的持续监控很重要,打个比方,一个跨境支付机构商户库中有约2000家香港公司,通过传统手段做年检审核,成本高、效率低,大多数审核流于形式——仍然是收更新后的营业执照和法人证件,看看证件没过期就算完成。

如果接入动态数据监控,这2000家商户的风险状态就可以实现持续追踪,监控逻辑可以设计成这样:

①每天自动扫描各商户内地关联企业的司法数据,一旦出现新的诉讼立案,尤其是合同纠纷、劳动仲裁、债务追偿,自动生成预警工单;

②经营合规性问题,出现疑似空壳企业存在行政处罚记录、临近经营期限、受益所有人无法识别或穿透边界以外的情况;

③追踪法定代表人变更信号——研究表明,在公司出现财务危机或准备跑路前,频繁变更法人是常见的前置动作,平均提前3至6个月出现;

④识别空壳特征,例如注册地址批量集中于同一个公司地址(某些地址在香港注册着几百家甚至上千家公司,是典型的虚拟地址)、周年申报长期由同一签字人完成、与内地关联企业之间缺乏实质性的业务往来记录。

……

这套动态监控的意义,在于把风控从开户审管延伸到了全生命周期,毕竟跨境支付的风险,很多不是开户时就存在的,而是在商户运营过程中产生的,一些刚开始是真实做电商的商户,后来业务萎缩,账户被转让给第三方用于洗钱,如果没有持续监控,这种转变很难被发现。

06.跨境支付全流程风控,从数据到决策的合适链路

对于跨境支付机构的技术团队,数据能力的落地通常有两种路径。

一种是“拼凑”方式,自建爬虫抓取香港公司注册处公开数据,同时对接国内的企业数据,再通过内部系统做关联比对,这种方式成本高、维护难度大,而且香港公司注册处的公开数据更新频率低,无法实时掌握变化。更关键的问题是两套数据体系之间的关联识别——这家香港公司的股东,在内地有哪些关联企业——需要大量的关联关系数据,光靠自建很难做到准确率。

另一种是接入专业的企业数据API,直接获得经过清洗和关联处理的结构化数据。对于跨境支付的具体场景,风控团队最需要的数据字段,大致是这样的层次:

第一层,香港公司本体信息:成立日期、注册状态、注册资本、注册地址类型、历次周年申报时间、董事和股东名称……这些信息用于判断公司的基本合规真实。

第二层,关联人员在内地的身份,香港公司的董事/股东,是否同时在内地担任法定代表人或股东?对应的内地公司是什么经营状态?

第三层,内地关联企业的风险信号,被列入经营异常名录(未移出)、司法诉讼、抽查检查不合格、被列入非正常户、环保处罚、行政处罚、股权冻结、法定代表人历史变更记录等。

第四层,香港公司的内地业务真实性,例如是否有在内地登记的商标或专利、是否有在内地参与的招投标、是否有可以印证其声称业务的公开记录。

一个数据能力完整的风控系统,应该能够在一次查询请求中,自动返回以上四层数据的综合结果,并给出风险评分和触发的具体信号,这是将海量数据转化为可操作的风控决策的核心一步。

一个仍在扩大的缺口

文章写到这里,应该回到一个更根本的问题:香港公司在内地留下的司法诉讼痕迹,为什么是独特的风控信号?

内地法院对案件信息的公示,比大多数人意识到的要全面,立案信息、判决文书、被执行人信息、限制高消费令等,都可以通过合法渠道查到,当一家香港公司在内地发生法律纠纷,无论是作为原告还是被告,这条记录会出现在司法数据库中。

对于跨境支付机构,这个数据点至少有两层价值:

第一,直接风险信号。一家香港公司如果在内地有未执行的判决、有未结清的债务追偿诉讼,这本身就是信用风险的体现,无论商户提交的营业执照多么完整。

第二,间接真实性验证。一家声称从事内地商品出口的香港公司,如果在内地有与供应商发生合同纠纷的记录,至少说明它和内地企业之间有真实的业务往来——这实际上是一个“正面证据”,证明其声称的商业模式不是完全虚构的。当然,反过来,如果一家声称经营多年的香港公司,在内地完全没有任何法律痕迹,没有诉讼,没有商标,没有招投标记录,那这种“干净”本身就值得怀疑。

这个逻辑,恰恰是目前大多数跨境支付机构的风控体系中缺少的,把香港公司视为一个完整主体,把它在两个司法管辖区的行为痕迹综合起来评估,而不是孤立地看它在哪一侧的信息。

数据的价值,最终不在于数量,而在于它能否填补你真正看不到的那部分。

目前企查查已与汽车、新能源、电子、仓储、运输、物流等制造行业等多个行业头部企业达成合作,围绕供应商准入排查、风险监控、围串标管理、利益冲突排查、供应商年检等业务应用,为客户提供全链路数字化尽调,穿透深层主体关系识别隐性利益链,感知外部风险实时拦截告警企业,满足采购风控合规全流程管理。

企查查用数据能力解码难题,从成本中心到防火墙,持续打造数智化采购新体系

关注我,为您带来更多行业解决方案。

推荐文章
罚单频出,金融机构如何保障反洗钱工作不踩雷?受益所有人备案实例解析:复杂股权关系之谜金融机构企业必看!受益所有人识别实战宝典(附疑难解析)银行人必读!最新修订《受益所有人核实指南》从关系催收到合规重塑,银行催收3.0时代的真正挑战是什么?重磅!金融监管总局局长丁向群17日发声,恪守监管定位不变【政策解读】新旧反洗钱法对比,如何构建合规闭环?金规25号文落地半年:尽调水分,正在被挤干金融机构董监高必看:履职合规管理新规解析与责任认定融资租赁面临业务转型,如何精准找客户、做风控?融资租赁掘金新蓝海,「产业」赛道还能怎么做?农商行的剪刀差,如何走出不良贷款背后的风控失灵穿透商业迷雾:一场重构行业效率的“反洗钱碰撞”城商行对公业务的困局:1.37%息差之下,谁在活,谁在扛?直播报名丨受益所有人实务解析与科技赋能实践分享银行在开展授信业务前,怎么快速对客户进行全面、深入的尽职调查?深化普惠金融,商业银行如何精准发力小微企业?金融信创,风控体系的必答题与国家安全的交织挑战“数智金融”吉林站启动,企查查携手吉林银行驱动产融数据生态重构22万亿私募基金踩过的坑,为什么传统的风控手段越来越失效?企查查携手银丰新融,共创一体化受益所有人管理平台政策学习丨反洗钱法规变动速览(截至20250804)数据驱动下的集团财务升级,从司库系统建设到穿透式管控落地新标准下,受益所有人识别核实三大亮点速览!央行宣布降准!银行业务破局的关键是什么?反洗钱罚单骤增,2025年上半年个人处罚总额突破1140万元!银行人必读!受益所有人法律法规【客户案例】千亿级地区城商行,破解风险动态监控难题跨境支付下半场,风控合规决定机构“生存位”
领取产品详情
微信公众号
微信公众号
微信小程序
微信公众号

友情链接:企查查 | 开放平台

数据来源:国家企业信用信息公示系统 | 中国裁判文书网 | 中国执行信息公开网 | 国家知识产权局 | 商标局 | 版权局

©2014-2026苏ICP备15042526号版权所有 企查查科技股份有限公司增值电信业务经营许可证:苏ICP证B2-20180251企业征信备案号: 04005苏公网安备 32059002002866号
  • 公众号
    公众号
  • 立即咨询
    微信扫码咨询

    电话咨询400-088-8275

    在线咨询

  • 顶部
微信扫码咨询

电话咨询400-088-8275

在线咨询