【201922064】涉第三方支付平台侵财案件的司法认定
文/胡春健;李小文
作者单位:上海市人民检察院第四检察部
专题分类:互联网金融
期刊栏目:互联网金融犯罪及相关问题研究专栏
随着移动支付的大范围扩展,第三方支付平台已然成为人们生活中不可或缺的支付媒介。但由于第三方支付往往需要绑定用户的信用卡、身份证等敏感信息,人们在享受其带来的快捷与便利的同时,也面临诸如个人信息被窃取、信用卡内资金被盗刷等潜在风险,当前涉第三方支付类侵财案件日渐增多就是这一风险的具体体现。此类案件的作案手法明显不同于盗窃、诈骗、信用卡诈骗等传统犯罪,司法实践中对此类案件的定性争议也较大,尤其是涉第三方支付平台关联信用卡内资金的案件,办案中面临许多难题。
典型案例如下:林某以非法占有为目的,利用其本人及他人的身份信息,在某收单机构微信公众号平台注册了多个商户账户,并绑定由其本人控制的银行卡。林某非法获取他人在第三方支付平台上设定的付款二维码信息后,采用扫二维码付款的方法,将他人在第三方支付平台上绑定的银行卡账户内资金转至其控制的个人银行账户。林某采取此种方式刷取资金共计人民币7万余元。该案案情虽然简单,却在理论界和司法实务界引起了较大争议。笔者拟通过对该案争议观点进行梳理和分析,以期厘清此类案件定性的关键所在,进而提出此类案件的认定标准。
一、观点争鸣
对于这起案件的定性,主要存在信用卡诈骗罪和盗窃罪两种观点。持信用卡诈骗罪的观点认为,由第三方支付平台生成的付款二维码属于信用卡信息资料,行为人非法获取他人信用卡信息资料后,通过互联网刷取资金,属于冒用他人信用卡型信用卡诈骗罪。
持盗窃罪的观点认为,行为人利用非法获取的付款二维码进行扫码交易是实现非法占有他人钱款目的的决定性行为,而付款二维码不属于信用卡信息资料,被害人在不知情的情况下遭受损失,不存在财产处分环节,因此该行为不符合诈骗类犯罪所要求的行为特征,而应属于秘密窃取。此外,只要登录人使用正确的账户名和密码登录,第三方支付平台都会视为是客户本人所为。在这种支付流程下,第三方支付平台和银行都没有产生错误认识而被骗,故将该行为认定为盗窃罪更符合社会公众的认知。
归纳上述争议观点,可知此类案件的定性主要取决于以下三个问题:第一,行为人非法获取的第三方支付平台付款二维码是否属于信用卡信息资料;第二,该行为是否属于冒用他人信用卡;第三,该行为是否符合盗窃罪的构成要件。
二、信用卡诈骗说之证成
(一)第三方支付平台付款二维码不属于信用卡信息资料
信用卡信息资料,是指发卡银行在发卡时使用专用设备写入信用卡磁条中的信息,是POS机、ATM机等终端识别合法用户的数据,是一组有关发卡行代码、持卡人账号、账号密码等内容的加密电子数据。也就是说,信用卡信息资料是与持卡人账号、发卡银行、支付密码等相关的载入信用卡磁条的信息。
中国人民银行《条码支付业务规范(试行)》(以下简称《规范》)第十八条规定:“条码信息仅限包含当次支付相关信息,不应包含任何与客户及其账户相关的支付敏感信息。特约商户展示的条码,仅限包含与当次支付有关的特约商户、商品(服务)或商品(服务)订单等信息。移动终端展示的条码,不得包含未经加密处理的客户本人账户信息。”从上述规范中可知,二维码信息仅包含与“当次”支付有关的交易信息,不包含与客户及其账户相关的支付密码、银行卡密码、验证码、卡片有效期、生物特征以及未获客户授权的金融信息等支付敏感信息。因此,付款二维码信息不属于信用卡信息资料。
反对观点则认为,最高人民法院、最高人民检察院《关于办理妨害信用卡管理刑事案件具体应用法律若干问题的解释》(以下简称《解释》)第三条规定:“窃取、收买、非法提供他人信用卡信息资料,足以伪造可进行交易的信用卡,或者足以使他人以信用卡持卡人名义进行交易,涉及信用卡一张以上不满五张的,依照刑法第一百七十七条之一第二款的规定,以窃取、收买、非法提供信用卡信息罪定罪处罚。”其中对信用卡信息资料进行界定的标准有两条,一是足以伪造可进行交易的信用卡,二是足以使他人以信用卡持卡人的名义进行交易。最高人民法院《〈关于办理妨害信用卡管理刑事案件具体应用法律若干问题的解释〉的理解与适用》中对此解释:“足以伪造可进行交易的信用卡”的信息资料是指进行有磁交易(如在ATM机和POS机等终端机具上进行交易)时所需要的信用卡信息资料;“足以使他人以信用卡持卡人名义进行交易”的信息资料是指进行无磁交易(如进行网上和电话支付等交易)时所需要的信用卡信息资料。行为人在获取他人第三方支付平台的付款二维码时实际已经进行了交易,因此付款二维码属于“足以使他人以信用卡持卡人名义进行交易”的信息资料。
笔者认为反对观点的理由不能成立。上述司法解释规定的“足以伪造可进行交易的信用卡”的信息资料和“足以使他人以信用卡持卡人名义进行交易”的信息资料是根据信用卡的有磁交易和无磁交易所需信息的不同而作的规定。有磁交易下信用卡磁条需要经过ATM机或POS机等终端机具的校验,须有完整的磁条信息方能进行交易;而无磁交易下的信息要求相对较少,一些银行发行的信用卡只需卡号和有效期限即可进行无磁交易。但无论是有磁交易还是无磁交易,信用卡信息资料都是基于信用卡本身的数据信息进行定义的。而付款二维码信息不包含信用卡本身的数据信息,故此不宜归入“信用卡信息资料”。
(二)该行为属于冒用型信用卡诈骗
虽然第三方支付平台的付款二维码不是信用卡信息资料,无法适用《解释》第五条第二款第(三)项规定的“窃取、收买、骗取或者以其他非法方式获取他人信用卡信息资料,并通过互联网、通讯终端等使用”,但笔者认为,该行为可以认定为该款第(四)项规定的“其他冒用他人信用卡的情形”。
持盗窃罪的观点认为,用户在第三方支付平台上注册账号时,已经绑定银行卡并设定支付密码,消费结算时只需登录平台、输入支付密码即可完成交易,第三方支付平台并不对使用者的真实身份进行核实,行为人也不直接和银行发生关系,因此林某的行为不属于冒用他人信用卡。笔者认为,该观点忽视了第三方支付方式下财物占有转移的特殊性以及在财物转移过程中第三方支付平台的权能。
根据第三方支付平台与用户的服务协议以及第三方支付平台与银行的协议可知,用户在第三方支付平台注册账号时,往往需要绑定银行卡并设定支付密码,在使用第三方支付方式时只需登录第三方支付平台并输入正确的支付密码(有些平台还可设置免密支付,此时也无需输入支付密码),第三方支付平台就会向银行发送付款指令,银行基于第三方支付平台的指令进行支付。
在第三方支付方式下,财物的占有转移已经不同于物理空间的交付,该交付过程不再局限于买卖双方,而需要第三方参与其中。此时,第三方支付平台实际上具有处分资金的权能。根据程序设计,在免密支付模式下,只要行为人获得账号和登录密码,就可以生成付款二维码,第三方支付平台在后台验证时就会默认是持卡人本人在使用付款二维码。但实际上,第三方支付平台产生了错误认识,此时的行为人并非持卡人本人,其基于错误认识向银行发送支付指令,导致持卡人的资金被划扣。因此,有资金处分权的第三方支付平台系基于错误认识“自愿”处分了持卡人银行卡内的资金,第三方支付平台相关行为符合诈骗类犯罪所要求的“有瑕疵的意思表示”和“处分行为”两个特征,行为人的行为应当认定为“其他冒用他人信用卡的情形”。显然,否定信用卡诈骗罪的观点混淆了诈骗罪与信用卡诈骗罪的犯罪行为性质,忽略了信用卡本身的金融属性,尤其忽略了互联网金融迅速发展背景下信用卡支付途径多样化的特点。在“以其他非法方式获取他人信用卡信息资料,并通过互联网、通讯终端等使用”的情形下,持卡人甚至可能无法知晓自己的信用卡信息资料被泄露,更不存在因受骗而自愿处分财产的行为,银行也是基于行为人的冒用行为相信付款指令系持卡人发出进而划款。根据刑法条文和相关司法解释,此类行为构成冒用型信用卡诈骗罪。
三、盗窃说之否定
首先,盗窃罪所要求的“秘密性”行为特征在此类案件中未能满足。盗窃罪的本质特征是行为人采用秘密窃取的方式获取他人财物,但“秘密性”应当是相对于有财产处分权的人而言。若只要是在被害人不知情的情况下转移财产就认定为盗窃罪,则窃取信用卡信息资料后在互联网上使用的行为就应当认定为盗窃罪而非信用卡诈骗罪。此类案件中,虽然被害人是持卡人,但第三方支付平台也具有资金处分权。行为人使用付款二维码扫码支付,获取他人关联银行卡内的资金,其侵财行为的整个过程对于第三方支付平台来说都是公开透明的,第三方支付平台对此知情,只不过其误认为操作人就是持卡人本人,因此该行为不符合盗窃罪的“秘密性”要求。
其次,盗窃罪不能完整评价此类案件所侵害的法益。该行为侵害的不仅是持卡人的个人财产权,同时也妨害了金融管理秩序。虽然行为人未直接与银行发生关系,而是通过第三方支付平台侵犯他人财产,但在整个支付过程中第三方支付平台对资金管理实际上起到“看门人”的作用,事实上也是第三方支付平台向银行发送付款指令,导致持卡人银行账户内的资金被冒刷,因此第三方支付平台账户的安全直接关系到银行账户的资金安全,控制了被害人的第三方支付平台账户即相当于控制了其关联银行卡内的资金。该案中,林某使用非法技术手段从网络上获取大批量第三方支付平台账户,在他处登录后短时间内频繁通过扫二维码方式使用他人绑定的银行卡、信用卡进行交易,该行为不仅侵害了他人财产权,也严重危害了金融管理秩序。
再次,从技术发展态势和公众认知角度而言,将该行为认定为信用卡诈骗罪更为适合。目前,第三方支付已然成为人们生活中不可或缺的支付方式,其不仅拓展了信用卡支付渠道,也由于便捷性在支付领域所占份额不断扩大。人们在使用第三方支付方式时,无需携带实体信用卡。在转移持卡人第三方支付平台关联信用卡内资金的情形下,持卡人的直接感知是其信用卡被他人冒刷,因而将该行为认定为信用卡诈骗罪更符合社会公众的认知。
四、涉第三方支付平台侵财案件司法认定标准之提出
当前,涉第三方支付平台类侵财案件日益多发,但实践中对此类案件的刑法定性却有待统一。笔者认为应当立足于案件的行为方式及其侵害的法益提炼出司法认定标准,统一认识,以改变同案不同判的现状,实现对此类案件的公正处理。
综观实践中涉第三方支付平台类侵财案件,基本可以分为四大类:第一类,行为人直接从被害人第三方支付平台的余额内获取资金;第二类,行为人从被害人第三方支付平台关联的信用卡内获取资金;第三类,被害人并未在第三方支付平台上绑定信用卡,行为人实施了绑定行为之后从被害人关联信用卡内获取资金;第四类,行为人利用被害人的身份信息在第三方支付平台上借贷、消费。对此,笔者认为应当分别予以定性:对于第一类案件,行为人直接侵犯了持卡人的财产权,并未危及信用卡内的资金安全,应当认定为盗窃罪;对于第二类案件,基于上文对第三方支付平台权能的分析及此类行为对持卡人财产权和信用卡管理秩序的双重侵害,应当认定为信用卡诈骗罪;对于第三类案件,行为人实施了绑定行为,直接妨害了信用卡管理秩序并在此基础上侵犯了持卡人财产权,应当认定为信用卡诈骗罪;对于第四类案件,行为对象更为复杂,涉及对第三方支付平台是否属于金融机构,以及该平台所推出的各种新型信贷类产品的性质认定,有待进一步专门研究与探讨。
[编辑:张倩]
【注释】
*上海市人民检察院第四检察部主任,法学博士;
**上海市人民检察院第四检察部检察官,法学博士。
|