涉第三方移动支付侵财犯罪的定性

李伟明

（华东政法大学，上海 200042）

近年以来，随着“微信”“支付宝”等第三方移动支付方式的兴起，人们的支付方式发生了很大的改变，通过移动支付购物不仅给人们带来便利，这样的支付方式也成为了我国的一张名片。根据比达咨询数据监测中心的数据及其《中国第三方移动支付市场发展报告》，2017年中国第三方移动支付交易规模达到105.4万亿元。从第三方移动支付市场的规模和格局来看，支付宝和微信支付（财付通）两大巨头占据绝对主导地位（约占市场总份额89.1%）。随着第三方移动支付的兴起，相关侵财犯罪的数量也是大幅增加。由于第三方支付特别是第三方移动支付的新颖性、普及性，该领域所产生的犯罪行为受到了刑法学者的关注。笔者拟从第三方移动支付的性质出发，分析所涉侵财类犯罪与一般侵财类犯罪的区别，在此基础上，对涉第三方移动支付侵财犯罪进行分类并定性。

一、第三方移动支付的性质

如果要对于一个行为进行刑法上的评价，我们就必须了解这一行为的模式及其所指向客体与对象的实现方式与特征。目前对于涉及第三方支付方面的侵财类犯罪问题研究很多，但是研究者往往混淆了第三方支付、移动支付以及第三方移动支付的概念。从刑法的理论出发开展研究，如果在对客体或对象的认识存在偏差的情况下，对于行为定性就会出现结果或推导过程上的偏差。

1. 第三方移动支付的概念

支付又称付出、付给，多指付款，是发生在购买者和销售者之间的金融交换，是社会经济活动所引起的货币债权转移的过程，支付包括交易、清算和结算。而随着经济的发展，在买方卖方之间银行承担了中间人的角色，根据中国人民银行《非金融机构支付服务管理办法》《支付结算办法》的规定，支付被定义为收付款人之间转移货币资金的行为。在传统的金融支付过程中，表面上存在三方角色参与，其中包括发卡行、持卡人（付款人）、商户（收款人），但是实质上此时还存在一个第四方角色即银行承担的支付机构的角色，此时的发卡行与支付机构往往是同一的。而所谓第三方支付，是指具备一定实力和信誉保障的独立机构，取代了传统支付中银行作为支付机构的角色，此时传统支付中的发卡行与支付机构产生了分离。

任曙明等归纳出第三方支付的内涵和特征，认为第三方支付的实质是通过在买卖双方之间设立一个中间过渡账户，使交易资金实现可控性停顿。其业务范围包括线上支付、移动支付、预付卡的发行与受理、POS收单等业务。[1]其中的移动支付则强调依靠移动通信设备和无线电通信技术连接账户。若移动支付的提供商是第三方支付，则可以将其称之为第三方移动支付。因此，笔者认为“第三方”的表述并不是指“财付通”（微信）、“支付宝”等支付机构作为第三方参与到整个交易过程中，而是指拥有支付牌照的非金融机构作为独立于银行的第三方开展支付服务的过程。第三方移动支付实质上也只是第三方支付的一个种类，而不是独立于第三方支付的新型支付方式，其在金融属性上与传统的POS机刷卡等线下第三方支付并无本质区别。

2. 第三方移动支付的实现过程

按支付方式的实现逻辑，第三方移动支付大致可以分为网关通道模式和账户支付模式。前者实现银行账户之间的直接交易，后者的支付交易则借助独立于银行账户的第三方支付平台账户，而银行账户的作用是实现对平台账户的充值与提现。若再按第三方支付平台是否提供担保交易，账户支付模式又可细分为非监管型账户支付模式和监管型账户支付模式。[2]

事实上，在网关通道模式下第三方移动支付在支付中扮演的仅仅是一个中介角色，其既非银行卡发行主体，也非使用支付帐户的帐户和密码完成支付，第三方支付平台仅仅是将持卡人的交易信息报送给发卡银行，由发卡银行进行验证后将资金划转入第三方支付的备付金账户，之后再由第三方支付机构转账给商户（收款人）的银行卡账户。

2013年中国人民银行《银行卡收单业务管理办法》第一百零六条规定：“收单机构不得以任何形式存储银行卡磁道信息或芯片信息、卡片验证码、卡片有效期、个人标识码等敏感信息，并应采取有效措施防止特约商户和外包服务机构存储银行卡敏感信息。”2015年中国人民银行发布的《非银行支付机构网络支付业务管理办法》第二十条规定：“支付机构应当依照中国人民银行有关客户信息保护的规定，制定有效的客户信息保护措施和风险控制机制，履行客户信息保护责任。支付机构不得存储客户银行卡的磁道信息或芯片信息、验证码、密码等敏感信息，原则上不得存储银行卡有效期。”由此可见，持卡人资金转移的行为并不是通过输入第三方支付平台的账户名与密码并由第三方支付平台来完成的，第三方支付平台甚至不会保存并报送持卡人所有的银行卡账号和密码，持卡人对于第三方平台的登陆仅仅是获取了一个支付的通道。

但是在实际的第三方支付体验中，使用者会感受到在支付过程中仅仅是在登陆第三方支付平台的过程中输入了账户名与密码（也可能选择保存账户名密码模式）就完成了支付，因为其中没有输入过银行卡的密码，所以就误以为是第三方支付平台完成了整个支付。事实上，在第三方支付过程中不输入银行卡的密码，是根据有关银联卡小额免密免签业务规则来规制的，其定义是“小额免密免签业务（以下简称‘小额免密免签’）是指在对结账速度有一定要求的行业和商户，对于单笔交易金额在规定限额以下的联机交易，无需跳密码键盘验密、打印签购单验签名等步骤，实现快速支付的目的。小额免密免签业务适用范围仅限IC卡或承载IC卡信息的移动设备以闪付联机方式发起的交易”。①参见《银联卡小额免密免签业务规则》（2017年12月版）。

二、涉第三方移动支付侵财犯罪与传统侵财犯罪的区别

在传统面对面支付方式中，财物的给付过程是公开与可见的。财物的付出方与明确的相对方事先成立了民事法律关系，然后基于这一民事法律关系给付财物。在给付财物的过程中其首先对于给付对象会进行确认，而当对象确认完毕之后才会发生给付行为。因此，在整个支付过程中，财物付出方会有三个行为环节，分别是建立法律关系、确认给付对象、进行给付。在传统的支付过程中，这三个行为环节一般是先后依序发生，当前一个环节发生认识错误之后，后面的环节也必定发生错误。犯罪人在传统支付侵财犯罪中，如果采用“虚构事实、隐瞒真相”的方式实施诈骗，其使被害人产生认识错误的行为常见于法律关系建立与确认给付对象这两个环节之中。例如，合同诈骗类犯罪就是犯罪人通过虚构事实、隐瞒真相的方式使得被害人与其建立了民事法律关系，被害人产生错误认识向犯罪人给付了财物。又如在被害人与他人建立合法的法律关系之后，犯罪人冒充合法的财物接收方，使得被害人产生错误认识向其给付财物。

那么犯罪人是否有可能单独在被害人进行给付的环节实施“虚构事实、隐瞒真相”的行为，从而使其产生错误认识而进行诈骗呢？在传统的支付过程中，确认给付对象与进行给付两个环节是紧密结合的。被害人的确认给付对象是取决于其认知，而进行给付则是一种单纯的行为，被害人往往在进行给付的过程中就确认了给付的对象。如果被害人在合法法律关系建立之后明确了给付对象，那么其对于整个支付的认识判断过程已经结束。如果被害人不存在认识错误的情况，那么犯罪人也就没有实施诈骗类侵财犯罪的可能。

而在第三方移动支付等新型支付方式中，对于给付对象的确认变得困难，相关侵财类犯罪的被害人没有辨识给付对象的期待可能性，从而使得犯罪人在确认给付对象的环节实施欺骗行为变得容易与隐蔽，而进行支付的环节变得独立。例如在通过手机扫二维码支付时，扫码人对于二维码的具体内容并无识别能力，其基于对商户放置二维码的权利外观信赖向其扫码并支付钱款。在第三方移动支付的过程中，被害人的确认给付对象与给付行为基本重合，但是在第三方移动支付中，确认给付对象的环节并没有消失，而是因为支付的便利性而被大大简化了。无论是在诱骗被害人点击虚假链接的犯罪中，还是在偷换二维码的案件中，从表面上看，犯罪人只是为被害人提供了虚假的支付通道，而事实上犯罪人也使得被害人对于给付对象产生了混淆，这样的混淆表现在犯罪人对于真实支付场景的模拟上。例如犯罪人会制作近似的网页或链接让被害人点击，或者商户经营场所内偷换掉真实的二维码。

三、第三方移动支付领域侵财犯罪中对于自愿交付的理解

对于侵财类案件究竟是定性为盗窃还是诈骗的关键在于，被害人是否自愿交付财物，这里的自愿有着两个层次的含义，首先是被害人对于财物有无处分的意思，其次是被害人对于财物的去向有无具体的认识。在传统的诈骗罪中，被害人对于财物的自愿交付不仅是对财物的自愿处分，同时对于财物的去向也有明确的认识。

但是在第三方移动支付等非面对面交付财物的领域，被害人的交付行为与传统侵财类犯罪交付财物的行为有很大的不同，由于网络非面对面的特性，被害人对于财物的去向的具体认识是模糊的，其在点击虚假的链接时已经有了处分财物的意思表示，但财物的去向不是其可以预测与掌控的。

从诈骗罪的特性出发，“虚构事实、隐瞒真相”的欺骗行为是诈骗罪的前提条件，被害人产生了错误认识是核心要件。但是被害人的错误认识并不需要达到对财物的去向也有具体认识的标准，只要有具体的处分意识既可。如果过分强调被害人对于财物的去向也要有具体的认识，事实上压缩了诈骗罪在非面对面的侵财类犯罪中的适用。试问如果被害人对于财物的去向有了具体的认识，那么他还会对于财物做出错误的处分意思表示吗？例如在较为常见的电信诈骗案件中，被害人本身就要向朋友正确的银行账户进行转账，此时正好收到了犯罪人发送的短信：“银行账号已更改，请向账号*******转账”，被害人误以为此条短信为朋友所发，向错误的账号进行了转账。这样的案件无论在理论还是实务中都是以诈骗进行定性，那么对于行为模式完全一致的第三方移动支付领域侵财犯罪以诈骗类犯罪定性也无问题。

四、涉第三方移动支付侵财犯罪的类型

从第三方支付侵财犯罪的行为方式出发，可分为犯罪人主动操作型与被害人主动操作型两种情况。刘宪权老师认为根据账户记录发生变动原因之不同，可将账户记录变动分为两种情况：其一，被害人自愿变动；其二，被害人非自愿变动。所谓被害人自愿变动，是指被害人在软件登录页面输入账号、密码，登录账户，实施转账、消费行为，以主动更改账户记录；所谓被害人非自愿变动，是指发生于账户内的转账、消费行为并非被害人本人所为，而是他人通过非法获取被害人账号、密码的方式冒充本人登录，或以凭借计算机技术非法侵人计算机信息系统的方式进入账户，违背被害人意志更改账户记录。由此，网络侵财犯罪的主要类型可大致分为被害人自愿变动账户记录与被害人非自愿变动账户记录两种。[3]笔者对于刘老师的这一分类方式表示赞同，但是要指出的是，涉第三方支付侵财类犯罪针对的财产本身就分为账户绑定的信用卡内的资金与第三方平台账户内的资金，仅用账户记录发生变动的原因不同来进行分类并不全面，相应的分类应当变更为犯罪人主动操作型与被害人主动操作型两种。前者应定性为信用卡诈骗罪，后者应定性为一般诈骗罪，以下拟根据两个案例来进行直观的说明。

例一：被告人徐某使用单位下发的工作手机时，发现该手机可以登陆其同事马某的支付宝账号，然后利用工作时获取的马某支付宝密码，使用该手机将被害人马某的支付宝账户内的15000元转到刘某的银行账户，刘某提现后交给了徐某。浙江省宁波市海曙区检察院以涉嫌盗窃罪对徐某提起公诉，海曙区法院判决被告人徐某犯诈骗罪，判处有期徒刑七个月，缓刑一年，并处罚金3000元。区检察院认为一审定罪错误，提起抗诉，二审法院维持了原判。①参见浙江省宁波市中级人民法院（2015）浙甬刑二终字第497号刑事判决书。

例二：被告人郑某骗取被害人金某195元后，获悉金某的建设银行网银账户内有305000余元存款且无每日支付限额，遂电话告知被告人臧某，预谋合伙作案。臧某赶至网吧后，以尚未看到金某付款成功的记录为由，发送给金某一个交易金额标注为1元而实际植入了支付305000元的计算机程序的虚假链接，谎称金某点击该1元支付链接后，其即可查看到付款成功的记录。金某在诱导下点击了该虚假链接，其建设银行网银账户中的305000元随即通过臧某预设的计算机程序，经上海快钱信息服务有限公司的平台支付到臧某提前在某信息科技有限公司注册的 “kissal23”账户中。臧某使用其中的116863元购买大量游戏点卡，并在其注册的淘宝网店上出售套现。②参见浙江省高级人民法院（2011）浙刑三终字第132号刑事裁定书（最高人民法院指导案例第27号）。

笔者认为在犯罪人主动操作的情况下，应当将犯罪人的行为定性为信用卡诈骗，如例一。而在被害人主动操作的情况下，应当将犯罪人的行为定性为一般诈骗，如例二。

首先在犯罪人主动操作账户变动的情况下，发生于账户内的转账、消费行为并非被害人本人所为，而是他人通过非法获取被害人账号、密码的方式冒充本人登录，或以凭借计算机技术非法侵人计算机信息系统的方式进入账户，违背被害人意志更改账户记录。2009年“两高”的相关司法解释明确规定冒用他人信用卡行为包含四种情形：（1）拾得他人信用卡并使用的；（2）骗取他人信用卡并使用的；（3）窃取、收买、骗取或者以其他非法方式获取他人信用卡信息资料，并通过互联网、通讯终端等使用的；（4）其他冒用他人信用卡的情形。因此，无论犯罪人使用何种方法获取了被害人第三方支付平台的使用权限均可认为是冒用他人信用卡的行为，并定性为信用卡诈骗。

其次在被害人主动操作账户变动的情况下，笔者认为此时应当定性为一般诈骗。在被害人主动操作账户变动的情况下，是由于犯罪人对于被害人实施了虚构事实、隐瞒真相的行为，导致被害人错误处分自己财物的行为。犯罪人实施犯罪行为指向被害人的财物，至于是否为信用卡内的财物并不在犯罪人的考虑范围之内。而信用卡诈骗罪，是指利用虚假的信用卡或其他与信用卡有关的方法，进行诈骗活动，数额较大的行为。在被害人主动操作账户变动的涉第三方移动支付侵财犯罪中，犯罪人并没有利用信用卡或其他与信用卡有关的方法实施诈骗，因此并不符合信用卡诈骗的构成要件，而应该定性为一般诈骗罪。

五、偷换二维码实施的侵财类犯罪行为定性

以下我们先来看一个有关偷换二维码实施侵财犯罪的典型案例：2017年2月至3月间，被告人邹某某先后到石狮市沃尔玛商场门口台湾脆皮玉米店、章鱼小丸子店、世茂摩天城商场可可柠檬奶茶店、石狮市湖东菜市场、长福菜市场、五星菜市场、洋下菜市场，以及晋江市青阳街道等地的店铺、摊位，乘无人注意之机，将上述店铺、摊位上的微信收款二维码掉换（覆盖）为自己的微信二维码，从而获取顾客通过微信扫描支付给上述商家的钱款。经查，被告人邹某某获取被害人郑某、王某1等人的钱款共计人民币6983.03元。①参见福建省石狮市人民法院（2017）闽0581刑初1070号刑事判决书。

对偷换二维码案的处理，存在四种意见：第一种意见认为，被告人的行为构成盗窃罪。主要理由是：其一，顾客基于信赖原则支付了货款，双方权利义务结清，无论发生任何事均与顾客无关，商户才是被害人。其二，被告人事先用自己的二维码替换商户的收款二维码，商户对此并无认知，此举与在商户的钱柜下面挖个洞让所收款项掉到洞下行为人自己的袋子没有本质区别。因此，商户对款项失去也毫无感知。第二种意见认为，被告人的行为是普通的诈骗行为，构成诈骗罪。顾客基于错误认识，处分了本应该给商户的款项并最终失去该款项，符合诈骗罪的构成要件，应当认定为诈骗罪。第三种意见认为，被告人的行为是“双向诈骗”，构成诈骗罪。理由是款项未进入商户账户，商户从未对款项拥有占有权，顾客基于错误认识而处分款项，商户又基于错误认识处分了货物，构成“双向诈骗”。第四种意见认为，被告人的行为是三角诈骗行为，构成诈骗罪。[4]

偷换二维码实施犯罪属于本文之前所说的被害人主动操作型的涉第三方平台侵财类犯罪，但是其中又有一个特殊之处即商户的存在是否构成三角诈骗的问题。偷换二维码实施犯罪的行为实际上是不符合传统的三角诈骗的定义，对财物的处分事实上是财物所有人作出的，而不是有权第三人作出的。张明楷老师认为这是一种新类型的三角诈骗，其认为：“受骗人具有向被害人转移（处分）财产的义务，并且以履行义务为目的，按照被害人指示的方式或者以法律、交易习惯认可的方式（转移）处分自己的财产，虽然存在认识错误却不存在民法 上的过错，但被害人没有获得财产，并且丧失了要求受骗人再次（转移）处分自己财产的民事权利。”[5]但是张明楷老师也认为如果商户仍对顾客享有货款请求权，则意味着顾客是被害人，仅成立两者间的诈骗。我们可以发现此时将偷换二维码的行为定性为三角诈骗实质上是虚构了一种情况，即商户对于犯罪人偷换二维码的行为始终没有发现，并交付了商品。在这种情况下商户实际上发生了损失，如果将其定性为两者间的诈骗，则实际遭受损失的商户的利益则无法得到保障，因此引入了三角诈骗的概念，以确保商户的利益。

但是实际上偷换二维码类犯罪还有可能出现另一种情况，也就是商户当时就发现了顾客是在犯罪人偷换的二维码上完成扫码支付，同时拒绝交付商品，我们就无法将其认为是三角诈骗而仅仅是二者间的诈骗。此时就会出现一个问题，即如果顾客通过对犯罪人偷换的二维码进行扫码，已经将财物转移到了犯罪人的账户，此时如果不论商户是否交付商品，实际上两者间的诈骗已经既遂了，那么是否还有必要根据第三人（商户）的交付商品行为，对于已经既遂的诈骗重新一次进行评价，而将其认定为三角诈骗？

一般认为，诈骗罪中的素材的同一性，是指被告人得到的财产与被害人损失的财产具有同一性，或者说，被害人的损失与被告人的取得必须是一种表里关系或者对应关系。[6]在此种情况下，犯罪人得到的是顾客信用卡中的数字化财物，如果简单的将犯罪人与顾客定义为一般诈骗中的两方并无不妥。而对于“偷换二维码案件”持三角诈骗观点的学者的出发点为在犯罪人的诈骗行为中，实际受到损失的可能是交付了商品的商户，如果商户丧失了要求受骗人再次（转移）处分自己财产的民事权利，那么其民事权利如何能够得到保障的问题。

笔者认为刑法解决的是对于犯罪行为法律评价的问题，在“偷换二维码”案件中，当顾客的钱款通过错误的二维码转入犯罪人处时，诈骗已经既遂。无论将犯罪人的行为定性为两者间的诈骗还是三角诈骗对于其犯罪行为的评价并无影响。而商户基于错误认识将商品交与顾客是一个民事行为，其中的商户与顾客之间过错问题还需要通过民事法律进行评判。虽然这一行为的起因是犯罪人的行为，但却未必要纳入刑事评价的范畴，对于商户的利益完全可以通过民事诉讼来进行救济。