文◎胡公枢
利用支付宝盗刷信用卡行为的定性
文◎胡公枢*
2017年2月11日,被害人余某某经一朋友介绍,得知犯罪嫌疑人游某某会办理网上贷款,三人在一家足浴店碰面,余某某将身份证、信用卡、信用卡密码和手机等交给游某某,让其帮忙办理网上贷款。游某某从下午办理至晚上,没有办成,余某某将全部东西拿回。次日晚,该三人再次到这家足浴店碰面,余某某又将证件等交给游某某办理网上贷款,游某某同样未办成,余某某拿回全部东西。
2月17日,余某某在刷信用卡时,发现信用卡额度不对,进一步查询发现,其民生银行和兴业银行的信用卡各有两笔1000元的交易,交易描述为“支付宝快捷支付”或“支付宝-游某某”。从交易时间看,发生交易时信用卡和手机都在游某某处,但未发现交易时有手机短信提示,短信可能已被游某某即时删除。
案发后,游某某供述称当时急需用钱,便擅自采用了“支付宝商家收钱”的方式,用其自己的支付宝开通商家收钱,生成二维码,再将余某某的支付宝扫描二维码,付款方式选择用关联的信用卡付款(先将余某某提供的信用卡关联余某某的支付宝),这样分四次从余某某信用卡里转走了4000元。
第一种观点认为,犯罪嫌疑人游某某以非法占有为目的,通过秘密的方式窃取了被害人余某某信用卡内的资金,数额4000元,达到了盗窃罪的构罪标准,涉嫌盗窃罪。
第二种观点认为,犯罪嫌疑人游某某将被害人余某某的信用卡先与其支付宝进行关联 (在支付宝上操作“添加银行卡付款”),再对该信用卡进行操作,系“冒用他人信用卡”的行为;其之后利用支付宝进行刷卡操作,盗刷4000元,是一种欺骗银行的行为,而非盗窃他人财物的行为,应定信用卡诈骗罪。信用卡诈骗罪的构罪标准为5000元,犯罪嫌疑人游某某的涉案金额仅4000元,未达到构罪标准。
笔者同意第一种观点,本案应定盗窃罪,理由如下:
按照《刑法》第196条信用卡诈骗罪的罪状描述,构成该罪,既要有“冒用他人信用卡”的行为,还要有“进行信用卡诈骗活动”的行为,两者缺一不可。或言之,这里的“冒用他人信用卡”涵盖了“进行信用卡诈骗活动”的旨意,否则,就不叫“冒用他人信用卡”。由于该罪尚未就何为“信用卡诈骗活动”进行详细罪状描述,以致司法实践中易将罪状列举的情形等同于 “信用卡诈骗活动”。结合最高人民法院、最高人民检察院《关于办理妨害信用卡管理刑事案件具体应用法律若干问题的解释》第5条第2款之规定,完整的该罪罪状应如图1所示:
图1 信用卡诈骗罪主要犯罪构成
从特殊罪名与一般罪名的关系来看,“进行信用卡诈骗活动”和“诈骗活动”是特殊与一般的关系,可以按照对诈骗罪中的“诈骗活动”来理解“进行信用卡诈骗活动”。即行为人要实施诈骗的行为,并要使对方因此陷入错误认识,同时基于该错误认识而处分财产。
从司法解释的规定来看,冒用他人信用卡的前行为范围较广,甚至包括临时合法占有他人信用卡的情形,如“拾得他人信用卡”。本案中犯罪嫌疑人游某某以帮助被害人余某某办理网络贷款为名,占有并获取了余某某的信用卡等资料信息,也应属于冒用他人信用卡的前行为,此行为之后,未获信用卡的卡主同意而使用其信用卡的行为,应被评价为“冒用他人信用卡”形式。
本案中犯罪嫌疑人游某某总体行为如图2所示:
图2 犯罪嫌疑人游海建的主要行为
从图中可知,支付宝在信用卡被透支的过程中,起到了“POS机”的作用。犯罪嫌疑人至少在为被害人办理网络贷款的过程中,产生了冒用被害人信用卡的故意,这与司法解释中列举的“拾得他人信用卡并使用”的主观犯意相比,并不为轻。因此,犯罪嫌疑人游某某的行为,从形式上可以评价为冒用他人信用卡的行为。
但是,“冒用他人信用卡”的实质在于还要进行信用卡诈骗活动,即犯罪嫌疑人如何“使用”信用卡,决定了其行为的实质。这在司法解释中未进行明确规定,理论上也存在不少争议。
其中:Uc为系统外部输入量(此处为电机输入的电压信号),K为待设计的状态反馈增益矩阵。则闭环系统可表示为:
高铭暄等教授的观点认为,冒用他人信用卡本身就是一种“信用卡诈骗活动”,具体行为包括:拾得他人信用卡并使用;骗取他人信用卡并使用;窃取、收买、骗取或者以其他非法方式获取他人信用卡信息资料,并通过互联网、通讯终端使用;其他冒用等情形。[1]该观点与信用卡诈骗罪司法解释规定的情形一致。张明楷教授对此有更细致地理解。他提出,“冒用他人信用卡,只限于对自然人使用,在机器上使用他人信用卡取款的,成立盗窃罪”。换言之,机器不能被诈骗,只有人才能被诈骗,才有可能 “陷入错误认识而处分财产”。[2]这与高铭暄等教授关于信用卡诈骗罪中“利用信用卡进行诈骗活动”的笼统观点相比,有较大不同。笔者同意张明楷教授的观点,应将信用卡诈骗罪中的“进行信用卡诈骗活动”与罪状列举的具体情形区别看待,机器不能被诈骗,只有人才能被诈骗而陷入错误认识。
第一,从诈骗罪与盗窃罪的轻重比较,可推知诈骗罪(包括信用卡诈骗罪)必须要对人进行诈骗。诈骗罪比盗窃罪轻,因诈骗罪被害人系“有感”处分财产,而盗窃罪被害人“无感”处分财产,两者在相同财产受到侵害时,法益的侵害程度不同。这里的“有感”可以理解为被害人受骗当时“对处分财产有感知”。按照一般的认知、感受,“有感”受到侵害比“无感”受到侵害,前者的法益侵害性小。另言之,诈骗罪的犯罪嫌疑人要与被害人进行沟通,被害人可以接受也可以拒绝,因此其受到的危险性相对较小,而盗取罪的犯罪嫌疑人是直接侵害被害人财产,被害人无沟通的机会,其受到的危险性、不安感相对较大。正是基于诈骗罪被害人“有感”,在浙江省的入罪标准上,诈骗罪比盗窃罪高一倍,根据浙江省高级人民法院、浙江省人民检察院《关于我省执行诈骗罪“数额较大”、“数额巨大”、“数额特别巨大”标准的意见》(浙高法〔2013〕257号),诈骗罪的入罪标准为6000元,根据浙江高级人民法院、浙江省人民检察院《关于确定盗窃罪数额标准的通知》(浙高法〔2013〕105号),盗窃罪的入罪标准为3000元。信用卡诈骗罪作为诈骗罪的特殊罪名,相关罪质与诈骗罪应相同。
关于被害人“有感”、“无感”与犯罪嫌疑人入罪门槛相联系的事实,还可以结合抢夺罪理解。根据浙江高级人民法院、浙江省人民检察院《关于确定抢夺罪数额标准的通知》(浙高法〔2014〕76号),抢夺罪的入罪门槛是2000元,比盗窃罪还低,抢夺罪是被害人“当场有感受到侵害”,与诈骗罪“当场有感未受到侵害”相反,比盗窃罪的“无感”更进了一步,因此,入罪门槛低了“1000元”。从以上关于被害人的分析可知,被害人的感知是诈骗罪的构成要件之一,如果被害人没有感知,就不能认定为“诈骗”,而机器显然不具有这种感知能力。
第二,即使机器可以被诈骗,机器是否可以诈骗他人,也存在疑问。假如认为本案中银行的信用卡系统(机器)可以被诈骗,那么,犯罪嫌疑人游某某可以辩称,不是他欺骗的银行机器,是支付宝欺骗的银行机器。支付宝关联了银行的信用卡,支付宝发出指令,银行才将信用卡内资金转移至游某某的支付宝账户,是支付宝(机器)诈骗了银行机器,而不是游某某诈骗了银行机器。游某某的行为就是将余某某的信用卡关联至余某某的支付宝,利用支付宝进行资金转移,其行为不涉及诈骗。如果非要说游某某有诈骗的行为,那他是违反了支付宝的资金支付规定,冒用他人进行操作,诈骗了支付宝机器。但如果可以这样扩大理解,那么网络时代,诈骗的范围就显得太过宽泛,几乎任何违规的操作,都可以被评价为诈骗机器,从而被划入诈骗的范畴,这显然不合理。
第三,即使认为机器可以被诈骗,这种诈骗也与传统的诈骗存在“质”的不同。众所周知,机器是建立在一定的编译好的计算机程序之上,只要符合程序设定的规则,就能返回正确的指令,否则就不能返回正确的指令。如果将遵循了计算机程序编译规则进行的操作行为,与传统的人与人的关系结合起来,前者完全是计算机意义上“合法”的操作,后者是一种违背他人意愿的行为,或未告知他人真实情况的行为等,从而认为这种结合的行为就是一种和传统诈骗行为相同的行为,显然是存在问题的。应该说,这种结合的行为与传统的诈骗行为——通过使他人陷入错误认识,并基于错误认识而处分财产,有着本质的不同。复言之,机器不能被诈骗。
综上,本案中犯罪嫌疑人游某某的行为缺乏“冒用他人信用卡”的实质。
尽管本案中犯罪嫌疑人游某某的行为具有司法解释规定“冒用他人信用卡”的形式,但仔细推敲,司法解释列举的“冒用他人信用卡”情形,存在与刑法条文列举的情形存在不一致性。刑法条文列举的情形,如“使用伪造的信用卡”、“使用虚假身份证明骗领的信用卡”、“使用作废的信用卡”、“恶意透支”等,信用卡的持卡人均非被害人,被害人是银行。因此,按照条文列举的情形具有类似的旨意性,“冒用他人信用卡”的情形,被害人也应当是银行。但从司法解释列举的情形看,明显扩大了对“冒用他人信用卡”的理解,如“拾得他人信用卡并使用”,实际的被害人一般不是银行,而是信用卡的卡主。这种情形信用卡被使用,银行不负任何责任,如果该信用卡具有透支功能,银行还是会追究卡主的还款责任,而不是去追究冒用者;又如“骗取他人信用卡并使用”,银行同样一般不承担责任,被害人仍是信用卡的卡主。司法解释列举的其他 “冒用他人信用卡”的情形也存在同样的情况,被害人不是银行,而是卡主。这与刑法条文列举的多种情形——被害人是银行不相符;也不符合信用卡诈骗罪,被害人是银行的一般语义理解。
或言之,司法解释列举的“冒用他人信用卡”的情形,不应定信用卡诈骗罪,而应定盗窃罪、诈骗罪等罪名;判断是定信用卡诈骗罪,还是定盗窃罪或诈骗罪等,应从一般意义上来考察行为的被害人是谁。
《刑法》第264条规定,盗窃公私财物,数额较大,即可构成盗窃罪。按照盗窃罪通说的犯罪构成,该罪要求犯罪嫌疑人主观上具有非法占有的目的,客观上实施了秘密窃取的行为。[4]本案中,犯罪嫌疑人游某某的行为符合盗窃罪该两个特征,既有非法占有余某某财产的故意,又实施了使余某某不知情的秘密行为。其行为定性之所以存在争议,是因为其盗窃的行为中,盗窃对象系被害人信用卡内的资金,行为手段利用了支付宝的收付款功能。
如果本案行为不涉及支付宝,那么游某某的行为符合“冒用他人信用卡”的形式,案件定性的主要方面将集中于“机器能否被诈骗”等传统争议。
本案行为过程多了一道支付宝商家收钱流程,按照以往对作为第三方支付平台的支付宝的认识,支付宝在买卖双方的收付款之间存在一个资金临时存放的过程,如消费者在“淘宝网”上进行网购,用支付宝进行支付,就存在这种情形,如果网购不满意选择退货,支付宝可以不将资金支付给卖家,而将款项退还给买家。[5]但支付宝在手机端支付上,也推出了“即时到账”的功能,商家的支付宝账户内能够即时收到货款,该款项可以即时支付,但一般不能即时提现。本案中游某某使用“支付宝商家收钱”功能,即时将余某某信用卡内的资金(透支)转移至游某某的支付宝账户内。这种行为与将信用卡内的资金通过POS机刷卡消费类似,POS机刷卡后的资金,商家一般是次日才与第三方支付平台进行结算,获得款项。换言之,本案中游某某的行为,可以类比为游某某将余某某的信用卡,用游某某的POS机刷卡透支,透支后的资金转移至游某某的银行卡,从而盗取了余某某卡内资金。
第一,游某某的行为就像一名小偷撬开了一把虚拟的钥匙,窃取了钱款。无论是游某某在本案中的行为,还是类比的行为,均难以评价银行受到了欺骗,这种情形下,银行是机器在操作,按照计算机程序设定,无论谁操作,只要密码、验证码正确,银行都会付款。因此,将此种情形评价为一名小偷撬开一把虚拟的钥匙盗取钱款,更为合适。第二,信用卡的卡主是被害人,符合盗窃罪的被害人情形。信用卡被透支前,信用卡内的资金为银行占有,在被透支的一刻,由于银行将这把“虚拟的钥匙”交给了信用卡的卡主,卡内的资金应为信用卡的卡主占有,银行成为辅助占有人。[6]因此,银行一般不对信用卡的卡主自己遗失“虚拟钥匙”丢失财产承担责任,只能由信用卡的卡主自己承担。这种情形,与盗窃罪中失去财产的人是被害人情形相同。第三,如果认为犯罪嫌疑人游某某的行为不构成盗窃罪,不符合一般的情理。被害人余某某在“无感”情形下,失去了4000元,犯罪嫌疑人游某某秘密窃取了4000元。如果法律认为游某某所窃取的4000元系通过持有被害人的信用卡、手机、密码等,并采用关联支付宝、进行支付宝商家收款功能等一系列行为而得来,并非从余某某处直接偷盗而来,以此理由而认为游某某的行为不构成犯罪,明显不合理。这两者,在一般人来看,并无区别。第四,游某某的行为并非侵占行为。本案当中,假定游某某的犯罪故意是在其为余某某办理网络贷款中产生,其事先占有被害人信用卡的行为系合法行为,但占有信用卡,不意味着占有信用卡内的资金,充其量只能算作辅助占有信用卡内的资金。对于具有透支功能的信用卡而言,在资金被透支前,银行占有着信用卡内的资金,相对银行,余某某更难以评价为一个辅助占有者。游某某没有“变合法占有为非法所有”,也就谈不上侵占行为。
综上,游某某在未合法占有余某某财物的前提下,采取秘密手段窃取了余某某信用卡内的资金或透支了余某某信用卡内的资金,系盗窃罪行为。
注释:
[1]参见高铭暄、马克昌:《刑法学》,北京大学出版社2016年版,第419页。
[2]参见张明楷:《刑法学》(第 4 版),法律出版社2011年版,第712页。
[3]张明楷:《刑法分则解释原理》,中国人民大学出版社2004年版,第255页。
[4]同[1],第 499 页。
[5]参见陈如同:《第三方支付平台备付金核算:以支付宝为例》,载《财会月刊》2014年第7期。
[6]“辅助占有”概念,参见马寅翔:《民法中辅助占有状态的刑法解读》,载《政治与法律》2014年第5期。
*浙江省乐清市人民检察院[325600]