童云峰
(华东政法大学 法律学院,上海 200042)
2015年6月,犯罪嫌疑人于某某通过微信添加一位微信名称为“RoRo出云”的网友,该网友称,只要提供给其一个第三人的手机号、银行卡号、验证码以及于某某本人的微信号,便可将该第三人的银行卡内的钱取出。犯罪嫌疑人于某某想到自己之前曾经让同事高某某为其支付一笔网上购物,取得过高某某的银行卡号,遂将高某某的银行卡号、手机号以及于某某本人的微信账号提供给该网友。2015年6月26日下午,网友“RoRo出云”通知于某某索要验证码,于某某以忘记带电话为由,向高某某借手机打电话,然后回到自己的工作位岗上。网友“RoRo出云”将事先获得的高某某的银行卡添加到网友“RoRo出云”本人的微信账号上,输入提前设置好的支付密码,微信使用的财付通发送出验证码到绑定该银行卡的手机号上(即高某某本人)的手机号。高某某的手机收到验证码,于某某便将验证码通过自己的微信发给这位叫“RoRo出云”的网友。由此,网友“RoRo出云”将高某某的银行卡成功绑定在自己的微信账号上。后来于某某将手机还给高某某。2015年6月26日晚11时36分至27日凌晨0时17分,该网友分12次将被害人高某某银行卡内的12067元通过微信转账方式转到于某某的微信上以及另外两个“RoRo出云”本人的微信账号。事后犯罪嫌疑人于某某与“RoRo出云”将所得钱款平分。本案(下称于某某案)行为人实际是通过非法手段将他人的银行卡与自己的微信进行绑定,然后将银行卡内资金予以转移。于某某的行为构成盗窃罪?信用卡诈骗罪?对该类行为的刑法定性理论上存在极大争议,即转移他人与微信(或支付宝)等支付平台绑定的银行卡内资金的行为构成盗窃罪抑或信用卡诈骗罪,存在不同意见,需要从刑法教义学层面进行深层次分析。
转移支付平台资金行为,包括直接转移支付平台账户内的余额和转移与支付平台绑定的银行卡内金额两种模式。对于前者定性为盗窃罪在理论上和实践中没有太大争议,虽然账户内资金是委托给支付平台代为管理,更有甚者存在支付平台中还可获益(如余额宝),但是,无法改变该账户仍然归账户所有人直接和实际占有的基本属性。占有具有事实和规范的二重性,事实属性是指在认定占有的建立和存续时,作为必要条件的事实层面的控制力;规范属性包含两层含义:其一是以社会一般观念为内容的规范视角,是判断事实控制力有无时的观察工具;二是以法律、道德或社会习俗等为内容的规范性秩序,是确认占有归属时评判控制力的标准,占有的有无以事实控制力为必要条件。[1]规范属性的占有强调基于社会观念而产生的空间支配关系,侧重社会规范对财物所作的分配、空间禁忌理论以及刑法中的相对明确性原则。[2]因此,无论从占有的事实属性抑或是规范属性出发,转移他人支付平台内的资金实际上是直接侵犯了账户所有人的占有,完全符合盗窃罪的构成要件。但是,司法实践中对该类行为的认定上也出现了不同判决,如徐某使用原同事马某的手机,发现支付宝账户内有余额5万元,后通过各种手段先后转账3万元至自己的账户中,检察院以盗窃罪指控,一审法院认为徐某构成诈骗罪,检察院提出抗诉,二审法院维持原判。①实践中之所以出现另类判决,根源于对智能机器或智能程序能否成为适格处分主体存在认识偏差。盗窃罪和诈骗罪的核心区别在于是否具有处分行为,而支付平台内的金额始终都归属于所有人直接占有,支付平台没有被骗也不可能被骗,更遑论有处分行为。若构成诈骗罪,则得出该资金由所有人和支付平台两重占有的悖论,违背了占有的基本属性。
转移支付平台资金行为的主要争议在于转移与支付平台绑定的银行卡内资金行为的认定,对于该类行为的刑法定性争议,理论和实践中主要裹足于盗窃罪和信用卡诈骗罪之间。
持盗窃罪的学者认为,盗窃罪的客观行为表现为采取自认为没有被被害人发觉的方式秘密窃取财物。于某某伙同“RoRo出云”通过非法手段将高某某的银行卡与网友“RoRo出云”的微信号绑定,所有行为作为一个整体,都是在非法占有目的支配下实施,行为人事先将被害人的银行卡与自己的微信绑定,相当于得到他人财产的钥匙,再通过转账的方式将他人银行卡内资金移转至自己的账户,是以平和的手段非法获取他人财物,与偷配钥匙再入户盗窃并无二致。行为人意图以不被被害人发觉的手段,秘密地以转账形式将被害人银行卡内资金据为己有,其行为符合秘密窃取和主动获取的特征。[3]刑法理论一般认为,盗窃罪与诈骗罪的本质区别之一在于前者属于主动获取类犯罪,而后者属于被动交付类犯罪。易言之,当秘密窃性与欺骗性竞合时,行为的主动性和被动性将是区分盗窃罪与诈骗罪的关键。盗窃罪与诈骗罪的认定与其说是刑法规定问题,倒不如说是一个重要的刑法解释问题。[4]
从社会一般观念来看,在机器不能被骗的共识下,通过微信或支付宝转移与其绑定的银行卡内余额的行为不能定性为诈骗罪。信用卡诈骗罪与诈骗罪是特别法与普通法的关系,对机器使用信用卡行为不符合诈骗罪构成要件,因而更勿论信用卡诈骗罪。行为人通过非法手段用自己的微信绑定他人银行卡或者行为人直接窃取他人支付宝账户和密码后,只要输入支付密码即可轻易将银行卡内资金转移,从而侵犯了所有人对银行债权的占有,应当构成盗窃罪。[5]对此种观点,司法实践中一些判决也予以回应。如廖某捡到顾客何某遗忘的手机后发现该手机上有支付宝并绑定了一张银行卡,而且无需密码即可使用,于是使用该手机将银行卡内8000元转移到自己的支付宝账户内,法院判决廖某成立盗窃罪。②
有学者认为通过第三方支付平台冒用他人信用卡侵犯他人资金的行为,应当以信用卡诈骗罪定性。于某某案中,行为人是通过非法手段获取他人信用卡信息资料,并通过第三方支付平台等进行犯罪活动,经由第三方支付平台将被害人的银行卡与之绑定,从而以第三方支付平台为工具将银行卡内资金转移,其实质是通过第三方支付平台冒用他人信用卡实施犯罪,属于信用卡诈骗罪中“冒用他人信用卡”的行为,严重侵害国家正常金融管理秩序和他人所有权。如果以盗窃罪定性,将很难反应该类犯罪的本质属性和进行全面评价。[6]
也有学者认为,将第三方支付方式视为信用卡的一种新型支付方式不仅符合新事物的发展规律,也与法学基本原理不悖。由于电子商务的纵深发展,信用卡虚拟化已经成为趋势。实际上手机银行APP的出现已经使得转账、透支、支付等传统银行卡诸多功能无卡化,2017年4月27日,交通银行某负责人已经在银行系统内部提出“虚拟信用卡”概念。并进一步认为,新型支付方式下网络侵财行为不符合盗窃罪秘密窃取的行为特征,行为人利用微信并且输入密码对微信转账或与之绑定的银行卡资金转账,本质上是对微信公司或银行发出调拨指令,从这个角度而言,该类行为并不具备秘密性。由于新型支付方式均是在网络环境下运作,其运行原理和ATM机并无二致。易言之,新型支付平台的实质是具有识别功能并且能够替代人脑开展业务的“机器人”,其完全可以成为被骗的对象。对于新型支付方式下网络侵财犯罪中转移与第三方平台绑定的银行卡内资金的行为,应当认定为信用卡诈骗罪。[7]
司法实践中对该类行为以信用卡诈骗罪定性的判决也较为常见,如被告人李某购得一新手机号码,后来发现该号码的原所有人姚某将其与支付宝绑定,并和一张信用卡绑定。李某通过该手机号码对姚某支付宝账户的密码进行修改,后利用该支付宝对信用卡内钱款进行转账和消费,最终法院以信用卡诈骗罪定性。③
行为人转移他人与支付平台绑定的银行卡内资金行为包括两种行为类型:其一,被害人的银行卡和支付平台早已绑定,行为人通过各种手段获取他人支付平台的账号和密码,进而登录该账号,将与之绑定的银行卡内金额转移;其二,行为人通过各种非法手段将他人的银行卡与自己的支付平台绑定,然后通过自己的支付平台将他人银行卡内资金转移。显然,本文所讨论的于某某案属于第二种行为模式。笔者认为,以上两种行为模式并无本质差异,都是将他人银行卡内资金转移。区别仅在于转移手段和工具存在区别,前者是利用他人支付平台,后者是利用自己的支付平台。根据刑法的一般理论,行为的手段和工具并不会影响行为性质的认定,正如无论行为人是利用手枪杀人抑或是使用匕首杀人,并不会影响其杀人行为的属性。
对于该类行为被认定为盗窃罪的观点,笔者不能赞同。首先,行为人侵犯的银行卡内的金额,无论根据规范占有抑或事实占有理论,银行卡内的金额属于银行直接占有,这些金额也是银行行使贷款功能的源泉,被害人并未直接占有该金额。易言之,被害人通过让渡自己的占有以换取对银行的债权,被害人与占有人相分离,被害人的占有并未被侵害,受损的只是财产性利益。至于财产性利益能否成为盗窃罪的对象,理论上尚存在较大争议。[8]由于盗窃罪的核心构成要件是转移他人对财产的占有,而与支付平台绑定的银行卡内资金与ATM机内资金一样,由银行事实占有。[9]被害人的占有并未遭受实际侵害,银行的占有虽然被改变,但是,银行是在接到行为人转账指令后实施了“处分行为”,将银行卡内资金由银行占有转移给行为人占有。整个转账过程银行完全知晓,只不过转账程序和银行的处分行为,都被快捷支付方式予以简化,因而该类行为根本不具有“秘密性”。即使承认有些学者极力主张的“公开盗窃”,[10]盗窃与诈骗的另外一个重要区别在于盗窃只是积极获取型犯罪,而诈骗罪既包含积极获取行为又包含被害人的被动给付行为。从这一点看,转移与支付平台绑定的银行卡内资金应当更合乎后者。
其次,转移与支付平台绑定的银行卡内资金和直接转移支付平台内的资金存在本质区别。直接转移他人支付平台内的资金是直接侵犯账户所有人的占有,易言之,支付平台本身就像是一个“保险箱”或“皮夹子”,无论通过什么手段将他人“保险箱”或“皮夹子”打开进而直接将其内财物取走,显然都是侵犯了所有人的占有,若通过秘密窃取手段实施,则构成盗窃罪毫无疑问。行为人对于支付平台也不可能构成虚构事实,当行为人使用正确的用户名和密码,支付平台就必须按照当初的约定提供相应的服务,否则就会构成违约。至于指令发出者是否是账户所有者并不在支付平台的审核范围内,即只要行为人输入的用户名和密码正确,支付平台就必须按照指令完成任务,毫无选择的可能性。被害人更无处分行为与处分意识,非法侵入他人支付平台转移资金行为,不具备诈骗罪的基本属性。[11]转移与支付平台绑定的银行卡资金不可和直接转移支付平台内资金行为同类而语,前者涉及银行卡进而牵涉银行作为一方主体参与其中。银行卡内资金和支付平台内资金的转账手续也存在显著区别,转移支付平台内资金只要直接输入密码即可转账,但要转移与其绑定的银行卡内资金手续相对复杂一些,之前是需要使用手机银行或U盾,后来相关程序被快捷支付方式予以简化。虽然程序简化但其本质属性并无变化,无论是之前的手机银行抑或是现在的快捷支付方式,都包含银行对银行卡用户发出指令审核的旨趣。行为人直接冒用他人银行卡对柜台工作人员使用或通过ATM机使用,抑或是通过快捷支付方式使用,都不能改变其冒用他人信用卡使用的行为属性。区别仅在于前者是通过人工识别方式审核,后两者为智能机器或智能程序审核(线上和线下的区别),无论具体是通过何种方式审核,都无法改变银行作为审核(处分)主体和被骗对象的本质,这也是一些学者研究方向偏离主题,一味纠缠于机器或智能程序能否被骗的根源。[12]即误解了信用卡诈骗罪的审核主体或被骗对象,将银行的审核方式或智能程序理解为被骗对象,可以说是路线的偏离,也达不到“曲线救国”的效果,只会陷入“循环论证”的死胡同。而直接转移支付平台资金行为,根本不存在审核问题,只要账户和密码正确即可进入支付平台将钱款转走,和只要有钥匙即可打开保险箱将财物拿走的行为并无实质区别。概言之,只要账户密码正确即可取走支付平台内钱款,支付平台不论取款人身份;但是支付平台账户和密码正确并不必然即可将与其绑定的银行卡内钱款转走,还必须要通过银行的审核,无论快捷方式如何简化,都无法抹杀其本身所应承担的审核义务,未来银行可通过指纹识别和人脸识别的方式来完善快捷支付和审核义务。
再次,盗窃罪属于主动获取型犯罪,其行为方式表现为行为人通过积极的手段来获取被害人的财物,并不包含行为人被动获取行为(即被害人处分行为)。而以诈骗罪为代表的诈骗类犯罪既包含行为人积极行为(虚构事实)又包含被动获取行为(即被害人处分行为)。因此,当窃取行为与欺骗行为混杂交织时,“被动获取”的有无即成为区分盗窃罪与诈骗罪的核心构成要件要素。转移与支付平台绑定的银行卡内钱款,行为人仅仅获取账号和密码以及直接发出转账指令后并不必然就可获取钱款,还必须要通过银行的审核后,银行才会将钱款处分给行为人。这种审核与处分行为在线下表现为柜台工作人员识别身份证、人脸和交钱,ATM机识别相关身份信息和吐钱;线上被快捷支付一步式简化,只要可以输入正确的快捷支付密码即可迅速完成审核并获取钱款。因此,转移与支付平台绑定的银行卡内资金行为具有主动获取和被动给付的双重属性,若被认定为盗窃罪难以做到对行为的全面评价。针对盗窃罪而言,实体财物盗窃的行为构造是拿走,而财产性利益盗窃的行为构造则是僭权。前者的表现方式是占有的破坏与新建,后者则是权利的消灭与再造。在利用信息网络非法获取财产性利益时,通常并不存在僭权行为,因而无法认定为盗窃。[13]
信用卡诈骗罪的基本行为方式包括:使用伪造的信用卡或者使用以虚假的身份证明骗领的信用卡;使用作废的信用卡;冒用他人信用卡;恶意透支。[14]笔者认为,转移他人与支付平台绑定的银行卡内资金的行为应当成立信用卡诈骗罪。
首先,该类行为完全符合“冒用他人信用卡”的情形。根据2009年“两高”发布的《关于办理妨害信用卡管理刑事案件具体应用法律若干问题的解释》第5条规定,《刑法》第一百九十六条所规定的“冒用他人信用卡”包括(一)拾得他人信用卡并使用的;(二)骗取他人信用卡并使用的;(三)窃取、收买、骗取或者以其他非法方式获取他人信用卡信息资料,并通过互联网、通讯终端使用的。行为人直接侵入他人微信、支付宝等支付平台将与之绑定的银行卡内资金转移或者使用自己的支付平台通过各种非法手段绑定到他人银行卡进而将银行卡内资金转移,其本质都是通过非法手段获取他人信用卡信息资料后予以使用的行为,完全符合司法解释第5条第(三)项的规定。使用信用卡侵财只有在一种情形下成立盗窃罪,即盗窃信用卡并使用的成立盗窃罪。该条款规定在《刑法》第一百九十六条第3款,属于法律拟制规定。对于该拟制规定的适用要比较严格,必须是盗窃实体信用卡,并且冒用自己所盗窃的实体信用卡方能成立盗窃罪。对于通过微信等支付平台获取他人信用卡信息资料并使用该信息资料进行转账的行为,肯定不能适用该条款。其一,通过微信等支付平台获取他人的银行卡信息资料并非是“盗窃信用卡”。即使是通过盗窃的手段进入他人微信等支付平台账户内进而获取信用卡资料,也不存在“盗窃信用卡”,被害人的信用卡根本没有丢失,丢失的只是信用卡信息资料。何况,行为人获取信用卡信息资料的方式不局限于盗窃手段,行为人完全可能在被害人知晓或授权的情况下进入他人支付平台并获取其信用卡信息资料。其二,行为人冒用的是信用卡信息资料并非是信用卡本身。《刑法》第一百九十六条第3款作为拟制规定,必须要严格把控其适用范围,这是刑法对所有拟制规定的惯用态度。根据司法解释的规定可知,“冒用信用卡”包括冒用实体信用卡和冒用信用卡信息资料。但是,对“盗窃信用卡并使用”中的“使用”只能是使用实体信用卡。因为盗窃信用卡信息资料并使用适用司法解释第(三)项规定构成信用卡诈骗罪,故成立盗窃罪的盗窃信用卡并使用中的信用卡只能是实体卡,因此,盗窃实体卡之后使用的必然也是实体卡。如果将盗窃信用卡信息资料解释为信用卡,则就是撇弃司法解释第(三)项规定而强行适用第一百九十六条的拟制规定,实际上是类推解释,更是对罪刑法定原则的背离。因此,盗窃信用卡并使用只能针对柜台工作人员使用或ATM机上使用,利用新型支付方式或互联网使用的只能是信用卡信息资料。概言之,《刑法》第一百九十六条第3款“盗窃信用卡并使用”在线上没有适用空间。此外,行为人无论是直接侵入他人支付平台后获取银行卡信息资料抑或是通过自己的支付平台强行绑定他人银行卡获取银行卡信息资料,都属于以非法方法获取他人信用卡信息资料。行为人非法获取他人银行卡信息资料后通过微信、支付宝等快捷支付方式向银行发出转账指令,银行接到转账指令后即同意转账,这一过程经过科技化处理予以简化,但其基本属性并未变化。整个过程实际上就是:非法获取+使用=信用卡诈骗,完全符合司法解释第(三)项确定的基本模式。
其次,转移他人与支付平台绑定的银行卡内资金行为能否构成信用卡诈骗罪,无需讨论机器能否被骗问题。有学者认为,新型支付方式均是在网络环境下运作,其运作原理与ATM机并无二致,因而新型支付平台实质上是具有识别功能且能代替人脑开展业务的“机器人”,其同样也可以成为被欺骗的对象,新型支付平台在运作中体现的是设计者赋予的人脑功能,新型支付平台同样可以陷入认识错误。在网络移动支付环境下,冒用信用卡行为的对象是具有特定关系的金融账户,冒用的主要类型是冒用网络移动账户实施侵财,冒用的重要特征不是账户资金被盗,而是机器人被骗。[15]也有学者坚决反对机器能够被骗的论断,并提出三点理由:其一,从“诈骗”字面含义上解读,受骗人仅仅代指自然人,并不包含机器或智能程序;其二,如果认为计算机等机器也可能成为受骗人,则导致诈骗罪的固有结构丧失定型性;其三,机器具有人的诸多特征难以成立,将机器当作人看待既冲击许多传统观点,更会带来许多新的困惑。机器虽然不能被骗,但是机器背后的人可能受骗,机器不能被骗不妨碍信用卡诈骗罪的成立。在ATM机上恶意取款,是通过银行的电子营业员交付而取得现金的,不可能构成盗窃罪,而属于信用卡诈骗罪。[16]也有学者认为,机器不能被骗,非法使用信用卡(包含拾得的信用卡)在ATM机上取款的行为,构成盗窃罪;如果对柜台工作人员使用则成立信用卡诈骗罪。[17]笔者认为,对于冒用信用卡行为能否构成信用卡诈骗罪毫无必要讨论机器能否被骗。第一,如果认为机器不能被骗,则对机器冒用信用卡成立盗窃罪,对柜台工作人员冒用构成信用卡诈骗罪。易言之,在否定说的视域里,行为对象属于犯罪构成必备要件,行为对象悄然成为区分罪与非罪的核心要素。这种观点实际上混淆了处分主体和审核方式,无论银行是通过柜台工作人员审核信用卡信息,还是通过ATM机审核信用卡信息,抑或是通过快捷支付方式审核银行卡信息,该行为的处分主体都是银行,银行柜台工作人员、ATM机和快捷支付方式都没有处分权限和处分主体资格。第二,无论肯定机器能够被骗的观点(肯定说)抑或否定机器能够被骗的观点(否定说),其最终得出的结论都是对罪刑法定原则的违背。根据刑法规制来看,冒用信用卡的行为都是成立信用卡诈骗罪,只有盗窃信用卡并冒用的才成立盗窃罪。按照否定说的观点,只有对柜台工作人员冒用信用卡和盗窃信用卡并对机器(或智能程序)使用才能与刑法相重合,其它处理结论都是违背罪刑法定原则。按照肯定说的观点,无论机器还是新型支付智能程序都可以被骗,则所有冒用信用卡的行为都成立信用卡诈骗罪。这种观点的最终结论必然是将“信用卡信息资料”解释为“信用卡”,盗窃信用卡并使用也成立信用卡诈骗罪,进而批判《刑法》第一百九十六条第3款的规制存在漏洞。因此,无论肯定说还是否定说都没有立足于实然和刑法教义学立场,已然是解释者在操立法者的心,对解决司法实践中的现实问题并无益处。
此外,在信用卡诈骗罪中,实际受害人和处分主体相分离,属于三角诈骗的一种类型。何谓三角诈骗,一般诈骗行为只有行为人和被害人,被害人既是处分主体又是受害主体,三角诈骗是受害主体与处分主体相分离,处分主体基于被骗处分了自己占有(或辅助占有)的他人财物,导致被害人受损的行为。三角诈骗是德国、日本等国刑法理论和审判实践普遍使用的概念,但我国刑法没有明确规定,理论上也没有广泛认同。传统类型的三角诈骗表现为,具有处分权限的受骗人基于认识错误处分被害人(第三者)的财产,因而使被害人遭受财产损失。诉讼诈骗是传统类型三角诈骗的典型,在诉讼诈骗中,处分行为人是法官而不是被害人;不应当认为诉讼诈骗中的被害人是处分行为人、法官只是单纯的受骗人。[18]笔者认为,信用卡诈骗罪也属于三角诈骗的一种类型。无论是在柜台上冒用信用卡或在ATM机上冒用信用卡,抑或在支付平台上冒用信用卡,有处分权的主体都是银行,银行是作为一个整体而具有处分权,不能将单个工作人员或机器、智能程序认定为处分主体,否则陷入机器能否被骗的陷阱。具体到本文讨论的于某某案中,行为人于某某和网友“RoRo出云”串通,获取被害人银行卡信息,并将银行卡绑定在网友“RoRo出云”的微信上,进而向银行发出转账指令,银行陷入认识错误,通过快捷支付方式予以转账。在整个过程中,银行自愿处分占有,银行没有任何损失,被害人高某某反而丧失了自己的债权。处分主体基于自己被骗处分了自己占有的他人财物,最终造成被害人受损,完全符合三角诈骗的基本模型。
综上所述,笔者认为,转移他人与支付平台绑定的信用卡内资金行为完全符合信用卡诈骗罪的构成,以盗窃罪定性无论在理论上抑或是实践中都将存在诸多问题。因此,对于某某案以信用卡诈骗罪更符合刑法规制和审判实践。
注释:
①参见宁波市中级人民法院(2015)浙甬刑二终字第497号。
②参见佛山市中级人民法院(2015)佛中法刑二终字第100号。
③参见金山区人民法院(2013)金刑初字第52号。