【202410055】利用银行系统漏洞获得财物的行为判断


首页>>刑事案例>>中国检察官刑事案例>>正文


 

 

【202410055】利用银行系统漏洞获得财物的行为判断
文/姚娅;王晓

  作者单位:天津市西青区人民检察院第五检察部 天津市西青区人民检察院第一检察部

摘要:
  随着信息化社会发展,通过网络平台买卖"虚拟"黄金成为投资理财新形式,与此同时也出现了新型的违法犯罪行为。行为人利用银行系统漏洞造成银行损失的行为如何评价,是犯罪行为,还是民事不当得利,实践中存在分歧。行为人主观上是否具有非法占有目的、客观上是否具有转移占有行为成为此类案件定性的关键因素。实践中应以个案证据为基础,严格按照犯罪构成要件分析行为人的客观行为性质和主观目的,坚持主客观相一致的原则,对案件作出准确定性。
  期刊栏目:疑案精解
  关键词:盗窃 侵占 诈骗 民事不当得利
  一、基本案情
  2022年2月24日下午至2月25日上午10时许,某银行因系统内部升级导致客户交易数据异常,部分购买积利金[1]的客户账户内出现黄金克数虚增至900克的情况,且该时段内积利金买卖交易无法及时完成核销。
  2022年2月24日17时许,刘某甲通过操作其母李某某银行手机APP发现,李某某银行积利金账户内黄金由原来的20克虚增至900克,第一次点击出售后账户内黄金克数仍显示为900克,并将上述情况告知其父刘某乙、其母李某某。后该三人通过连续多次点击出售账户内黄金得款共计人民币862万余元,并将其中人民币100万元用于购买基金理财产品、人民币31万元用于购买外汇、人民币500万元用于购买中国黄金金条,并通过银行转账至刘某乙和刘某甲账户各人民币20万元。案发后,出售积利金所得钱款已全部退还给被害银行。
  二、意见分歧
  针对案件中刘某甲、刘某乙、李某某的行为性质,存在不同的认定意见:
  第一观点认为,涉及出现问题的积利金交易系统,与银行ATM机有相似之处,是按照银行事先设定好的参数运行,通过人机互动,完成日常民事交易行为,所体现的是银行意志,应当认定构成诈骗罪。
  第二种观点认为,行为人系在银行不知情的情况下,将账户内虚增的积利金卖出,造成银行财产损失,与许霆案、于德水案类似,属于秘密窃取的行为,应当认定构成盗窃罪。
  第三种观点认为,行为人系明知虚增积利金非其所有仍进行交易,该行为应当构成侵占罪。
  第四种意见认为,本案不构成犯罪,属于民法上的不当得利。
  三、评析意见
  笔者同意第四种意见。
  (一)本案不构成诈骗罪
  行为人通过银行手机APP将账户内900克积利金反复出售,该交易的行为对象是银行积利金交易系统,属于人工智能系统,而并非银行的工作人员。对此,涉及到机器或者人工智能能否被诈骗的问题,学界目前两种不同观点:一是诈骗罪的行为对象只能是自然人,不能是机器或者人工智能,因为后者虽然已经广泛应用于替代人工从事日常的生产工作,但其不具有自主意识,仅是按照人为设定的程序完成任务,无法陷入错误认识,不符合诈骗罪的构成要件。二是机器或人工智能同样可以作为诈骗罪的行为对象,因为其虽然没有或者自主思维能力有限,但在日常生产过程中它们是代替人在进行工作,所产生的后果由使用的自然人来承担,可以成为诈骗罪的行为对象。[2]
  在本案中,按照第一种通说观点,交易对象是银行积利金交易系统,甚至不存在诈骗罪的行为对象,当然不构成诈骗罪;即便按照第二种观点,机器或者人工智能并没有陷入错误认识。首先,行为人账户内已经显示有900克积利金,虽远远多于其实际购买的积利金克数,但该错误并非行为人人为造成,而是基于系统升级造成的漏洞,之后行为人出售积利金,系统就按照交易指令兑换钱款,不存在所谓的错误认识。其次,所谓的“认识错误”就是交易期间没有发现行为人出售时账户内的900克积利金与实际不符,但该项审查并不在积利金交易系统的审查范围内,正常情况下该系统只要识别出交易的种类和数量后进行等价兑换即可。综上,无论采取哪种观点,行为人均不构成诈骗罪。
  (二)本案不构成盗窃罪
  盗窃罪的本质是行为人违背原占有人的意志,将其占有的财物转移占有。本案是否构成盗窃罪的关键问题在于:一是行为时积利金账户内的积利金由谁占有;二是行为人点击出售积利金的行为是否可以属于转移占有的行为。
  在司法实践中,刑法上的占有与民法不同,刑法的占有一般采取控制、支配说,即财物处于行为人实际控制和支配范围内,对于在银行卡内钱款由谁占有存在争议,主要有以下两种观点:
  银行债权说,认为银行卡内钱款属于银行占有,存款人在银行开设账户,将钱款存入银行后,根据货币占有即所有的属性,该钱款属于银行占有,银行可将用户存入银行的钱款用于日常对外的贷款业务,并承诺给予存款人一定利息,故银行与存款人之间属于借款合同之债,系一种债权债务关系。存款人占有银行债权,具有取款的权能。存款人占有说,认为银行卡内钱款属于存款人占有,该银行卡始终处于存款人支配状态,随着互联网的发展,电子交付的普及,存款人亦可以随时通过电子支付的方式使用卡内的钱款,账户内的钱款已然处于存款人实际控制和支配的范围内。[3]
  伴随电子支付的兴起,人们对于现金支付的需求越来越小,借助微信、支付宝等支付软件即可随时实现对存储在银行账户内钱款的支配和使用。因此,在货币电子化和数字化的今天,对于账户内的钱款,存款人虽然将其存放于银行内,但银行是基于存款人的同意而控制财物,更多起到辅助占有的作用。银行占有说已然与现代生活实际背道而驰,存款人占有说更具有合理性。
  1.关于本案积利金账户内积利金的占有问题
  首先,行为人在银行开设的积利金账户与一般银行存款有所不同。两者账户开设的前提性法律关系不同,一般在银行开设账户办理存款,银行与用户之间本质上是一种借款合同,而本案行为人开设的积利金账户,其与银行之间是基于可赎回的买卖合同关系,即行为人在银行购买一定数量的积利金,可随时、定时根据银行提供的积利金市场价格出售给银行兑换等价的人民币,关于积利金的买进卖出属于等价有偿的市场经济交易行为。本案虽然不是存款,但本质上仍是银行债权,由账户所有人占有。
  其次,该积利金与一般的理财产品不同,后者更多属于一揽子投资,客户将投资款交由金融机构进行投资理财,投资项目由金融机构自主决定,客户没有投资的决策权,但享有一定的预期收益、承担一定的投资风险;而积利金属于银行独有的项目,以在银行开设积利金账户为前提,以积利金为固定投资对象,且客户享有投资决策的自主权,直接面对投资的收益和风险。虽然该账户设立在银行系统内,但客户对其账户内的积利金享有绝对的所有权和占有权,银行没有任何处分的权限,仅为占有的辅助者角色,故本案银行的积利金账户应属于行为人自己占有。
  2.行为人点击出售积利金的行为是否属于转移占有的行为
  (1)行为人第一次点击出售账户内900克积利金的行为评价。行为人账户内积利金虚增至900克系银行系统升级所致,并非行为人的个人行为,案发时多余的积利金已然进入行为人账户,处于由其实际占有的事实状态下,因此第一次点击出售账户内900克积利金的行为属于对其已经实际占有的账户内积利金的处分行为,而不是转移占有的行为。
  (2)行为人第一次之后反复点击出售账户内900克积利金的行为评价。先来分析许霆案,许霆之所以构成盗窃罪的根本在其客观上具有转移占有的行为。当许霆发现银行ATM机发生故障后,其明知自己账户内的余额为176.97元,仍利用系统取现1000元、账户内扣款1元的交易计数差额漏洞,继续交易直至账户内显示余额为0,而其实际获取17万余元,这种利用系统漏洞通过积极作为的方式将他人财物转为自己占有的行为符合盗窃罪的客观行为构成要件,且对于系统漏洞主观明知,根据主客观相统一的原则,当然构成盗窃罪。[4]
  再来分析于德水案,其之所以构成盗窃罪的原因同许霆案一致。于德水在发现银行存款ATM机存在漏洞,存入1000元后,现金被退回但账户内显示对等数额增加。其反复存储1000元,通过此种操作,使得银行账户内存款增加至9万元,却没有实际存入等额钱款。账户内的9万元原本属于银行所有且占有,通过其积极作为的方式转移至自己账户,同样具有转移占有的客观行为,且主观上属于明知,当然构成盗窃罪。
  再结合本案分析,行为人是否具有转移占有的行为关键就在于第一次之后反复点击出售积利金的行为是否诱使银行继续向其账户内填补900克积利金。
  经询问相关证人,其表示本案系统漏洞涉及通过第三方渠道开通并购买该银行积利金的客户,该漏洞的具体表现有两点:一是部分客户积利金账户内积利金克数均虚增至900克;二是交易后数据无法更新反馈核销,即900克积利金在行为人第一次点击出售后并未实际完成核销,但显示交易成功,给付交易对方价款。即行为人反复点击出售的行为并未诱使银行接续向其账户内不断填补新的900克积利金,而是因未核销导致第一次虚增的900克积利金始终显示在账户内,且处于可交易状态。由此可见,客观上行为人通过反复点击出售的行为没有造成银行需要不断拿出900克积利金填补,银行的损失是因为核销不及时导致同一900克被反复交易造成的。对此,本案与许霆利用ATM机的漏洞,通过取现的方式将远超过自己账内余额ATM机内的钱(银行钱款)取出或者转移至自己账户内存在本质上的区别。行为人取得银行的财物系银行系统发生错误导致银行“自愿”交付财物,并没有违背银行的意思,不符合盗窃罪的构成要件。
  (3)行为人反复出售同一900克积利金的行为评价。行为人反复出售行为对象是其账户内已经占有的900克积利金,根据积利金产品说明,购买积利金的客户有权在规定的时间内按照银行提供的报价买卖账户内的积利金,银行的损失是行为人多次交易后的价款。首先,这种点击出售的行为属于对于自己已经占有的财物的处分行为;其次,该交易行为符合积利金产品交易规则,本质上属于买卖合同的即时给付行为,若交易过程中存在重大误解、欺诈等情况,根据《民法典》的相关规定,合同一方当事人享有撤销权,只不过在本案中银行既是被害单位又是后续交易行为的合同相对方。
  由此可以看出,行为人反复点击出售的行为是对已经处于事实占有状态的积利金的处分行为,而不是转移占有行为。
  3.行为人将出售积利金所得钱款用于购买黄金、外汇行为评价
  行为人将出售账户内积利金所得钱款直接打入绑定的银行卡内,是对占有物处分之后所得的对应价款,正如上文所述行为人反复出售账户内积利金的行为尚且不属于转移占有的行为,那么行为人使用银行卡内的钱款用于购买黄金、外汇等行为,甚至连事后的不可罚行为都算不上,自然也不属于盗窃罪。
  (三)本案不构成侵占罪
  侵占罪主要分两种:一种为委托占有物的侵占,另一种是遗忘物、埋葬物的侵占。本案显然不属于第一种。但即便满足遗忘物、埋葬物的前提条件,还需要主观上有非法占有的目的和客观上拒不归还的行为。[5]
  本案中,虽然行为人将虚增黄金售出后所得钱款用于购买黄金、外汇等产品,但其目的是在归还所有人之前赚取孳息,且行为人所投资的黄金、外汇均属于相对保值、低风险的产品,即便是有所亏损,其名下资产亦具备返还能力。此外,从案发后行为看,行为人在接到银行工作人员的电话后,没有任何逃避行为而是答应与其见面,且在案发后及时将所有钱款归还银行,整个过程亦不存在拒不归还的情况。
  结合本案在案证据,无法认定行为人存在“变占有为所有”的主观目的,客观上亦不存在拒不归还的行为,故本案同样不构成侵占罪。
  (四)本案属于民事不当得利
  《民法典》985条规定,得利人没有法律根据取得不当利益的,受损失的人可以请求得利人返还取得的利益,但具有下列情形之一的除外:(1)为履行道德义务进行的给付;(2)债务到期之前的清偿;(3)明知无给付义务而进行的债务清偿。第986条规定,得利人不知道且不应当知道取得的利益没有法律根据,取得的利益已经不存在的,不承担返还该利益的义务。第987条规定,得利人知道或者应当知道取得的利益没有法律依据的,受损失的人可以请求得利人返还取得的利益并依法赔偿损失。
  根据《民法典》中关于不当得利的相关规定,民法保护财物所有人的财产所有权,同时法律也不强人所难,对于善意不当得利者和恶意不当得利者的法律后果显然不同,善意不当得利者仅就剩余利益承担返还的义务,而恶意不当得利者需以受损失人的损失为限承担责任。
  结合本案来看,首先,行为人账户内超过其实际购买克数的部分既不属于银行赠与或者分红收益,也不是行为人通过其他非法行为转移占有得来,而是银行系统升级造成的账户克数虚增。其次,该900克积利金已然存入行为人的账户内,由其实际占有,且可以通过点击进行出售,享有实际的控制、支配权,但其对于超过克数积利金的占有没有法律依据,因此,应属于民法上的不当得利。再次,通过因系统升级漏洞致使该900克积利金可以反复出售,行为人所得利益(银行所受损失)不仅是该900克积利金对等的价款,而是多次反复出售同一900克积利金的所得所有钱款。最后,行为人主观上明知账户内多余的克数系他人所有仍反复多次点击卖出,属于恶意不当得利者,根据《民法典》第987条的规定,应该依法返还其所取得利益并依法赔偿损失。
  法律是正义的。法律的正义并不仅仅是立法上的正义,也包含了法律适用的正义。但正义是抽象的,因为每个人认知、学识、经历等方面的差异,对正义的感知理解也就存在不同之处,因此在具体案件的处理上,只有得出基于朴素的正义感知而认为最为妥当的结论,这种处理方式与刑法精神相契合,与刑法条文相协调,那么具体案件的处理结果才能是正义的。积利金一案,就罪与非罪、此罪与彼罪存在多种观点,在本案办理中即与类似的许霆案、于德水案两个已经入罪处理的案件进行了细致区分,从犯罪构成详细论证了行为人的行为性质,并作出法定不起诉决定。对此结果,仍会有不同的观点与认识,而因时代飞速发展伴随出现的新型行为方式在法律适用上的研究讨论,终将推动整个法治发展的进程。
  【注释】
  *天津市西青区人民检察院第五检察部主任、一级检察官[300380]
  **天津市西青区人民检察院第一检察部五级检察官助理[300380]
  [1]积利金为被害某银行的特有金融产品,以黄金在内的贵重金属为投资对象,客户根据银行提供即时市场报价,在可交易的时间内自主操作个人账户直接实现黄金等贵重金属的买卖,风险收益均由客户自己直接承担。
  [2]参见黎宏:《欺骗机器取财行为的定性分析》,载《人民司法》2011年第12期。
  [3]参见傅强:《民法视角下的许霆案》,载《刑事法判解》2009年第1期。
  [4]参见张明楷:《许霆案的刑法学分析》,载《中外法学》2009年第1期。
  [5]参见张明楷:《刑法学》,法律出版社2021年版,第1260-1268页。