利用银行系统漏洞获得财物行为辨析

对于疑难复杂案件，要运用“三个善于”的方法论，从事实认定、法律适用、政策把握三个方面逐层递进审查判断。

行为实质

利用银行系统漏洞获得财物的行为，首先要分析涉案银行交易系统的运行机理，从纷繁复杂的案件事实中准确把握实质关系。客户透过计算机交易系统与银行开展交易活动，可以解构为客户——计算机系统——银行三个主体，银行透过计算机系统与客户发生关系，连接三者的则是双方通过协议确立的交易规则，计算机系统的行为本质上就是银行的行为。正常情形下，银行与客户都遵循协议确立的规则行事，计算机系统所表现出的银行意志等同于银行真实意志。

由于计算机交易系统与系统控制者两个主体的存在，会因各种原因产生计算机交易系统表现意志与控制者真实意志背离的情形。一是因客户行为导致意志的背离。比如，司法实践中行为人冒用他人互联网支付账户的情形，支付平台并不同意与冒用者进行交易，但因系统本身的局限性无法有效辨识实际交易主体，将冒用者误认为本人交易，这也是评价行为人是否构成犯罪、构成何种犯罪的关键行为。至于因支付账户背后所连接的资金来源，并非区分犯罪类型的关键，实践中根据支付账户连接的资金来源区分罪名实则是将简单问题复杂化。从交易本质来看，无论资金来源于何处，登录支付账户后的交易行为均是基于互联网支付机构于与其他机构及客户签订的系列规则所自动产生，交易行为发动的原因只有一个，即互联网支付机构错误地将冒充他人登陆者视为支付账户持有者本人，从而基于规则发起了向不同资金端主体的交易指令。二是计算机系统自身产生漏洞，导致与控制者真实意志相背离。此种漏洞实际上超出了协议约定的范围，对于客户利用意志背离所造成的漏洞谋取利益如何评价，是本案的基础问题。

法律适用

本案的争议主要在诈骗罪、盗窃罪与侵占罪之间。

（一）不构成诈骗罪

诈骗系以欺骗手段使对方陷入错误认识而处分财物的行为，本案中的机器漏洞系自身因素产生，并非基于客户行为产生，无法将内部之间的意志背离解释为因欺诈行为陷入错误认识，因此不存在构成诈骗罪的基础。但需要注意的是，机器是否能够被骗不是推翻诈骗罪的理由。机器能否被骗本身是一个伪命题，从前述交易关系的分析中就可以看出，机器本身并无意志，而是基于规则体现银行的意志，不能因行为透过机器而发生就认为机器产生自主意志，无论是机器表现的银行意志还是银行真实意志，本质上都是银行意志的体现。

（二）不构成盗窃罪，拒不退还的可以构成侵占罪

对于利用漏洞违背银行真实意志的行为，是否以盗窃罪处罚，或者以其他罪名处罚，需要结合各罪的立法目的对法律条文作进一步解释，也就是从法律条文中领会法治精神。

本案涉及复杂的刑民交叉关系。需要指出的是，司法实践中有一种似是而非的观点，认为民事纠纷与刑事犯罪是排斥关系，只要通过民事救济手段能够解决，便不构成犯罪，造成了区分民事纠纷与刑事犯罪界限的诸多困扰。实际上，民事纠纷与刑事犯罪之间，只有在不具有民事违法性的情形下才是相互排斥的，在具有民事违法性的情形下两者是包含关系。如果行为本身在民法上系合法行为，从法秩序统一性原理出发，就不具备判断刑事违法性的基础。如果行为本身具有民事违法性，则可以进一步判断是否具有刑事违法性，此种情形下认定犯罪，本质上还是判断行为是否符合刑法规定的构成要件并具有追诉必要性，构成犯罪本身并不排斥双方民事上的权利义务关系。

本案是否构成盗窃罪或者其他犯罪，首先，从民法上考察客户行为是否具有民事违法性，可以从两个方面进行考察：一是对于系统漏洞行为是否有明确约定，如果双方对系统漏洞中的交易行为作出有利于客户的约定，则不能归责于客户。二是系统漏洞形成过程中是否双方存在过错问题。如果过错责任主要在银行，则也不能过度苛责于客户。本案中，双方协议明确约定利用系统漏洞的交易无效，且反复利用漏洞谋取明显不属于自身的财产性利益，对于后果具有明显过错。因此，客户具有民法上的不法性，具备进一步判断是否构成犯罪的基础。

其次，在刑事违法性的考察上，需要对刑法有关规定进行体系化的思考。本案中获取利益的行为违背银行的真实意志，但该行为是基于系统自身原因产生的错误意志表达，与盗窃罪在行为手段上存在质的差异。《刑法》第270条规定了侵占罪，包括“将代为保管的他人财物非法占为己有，数额较大，拒不退还”和“将他人的遗忘物或者埋藏物非法占为己有，数额较大，拒不交出”两种类型，均体现了对于取得财物不具有主动特征情形的宽容立场，与盗窃、诈骗等主动去的财物的行为有本质差异，但也并不完全排斥刑事追究，在拒不退还、交出的情形下仍构成侵占罪这一自诉犯罪。本案财产性利益的取得，本质上是系统漏洞自动产生，并非客户基于自身行为主动获取，属于民法上的不当得利行为。《民法典》规定得利人没有法律根据取得不当利益的，受损失的人可以请求得利人返还取得的利益。在对拾得遗失物的处理上，明确规定拾得人在遗失物送交有关部门前，有关部门在遗失物被领取前，应当妥善保管遗失物。对于因银行系统漏洞产生的虚拟财物（财产性利益），无论从法律规定还是双方协议约定，均不得擅自处置，而因妥善保管，拒不退还的，符合侵占罪的构成要件。本案中客户没有拒不退还的行为，不构成侵占罪。

在法理情的有机统一中实现公平正义，基础是符合法理。符合法理的结论在绝大多数情况下自然符合情理，能够体现公平正义。通过对本案的分析，可以看到刑法、民法对于不当得利、盗窃、诈骗、侵占案件中各方利益的妥善安排。当然，随着人工智能时代的到来，因人工智能系统自身漏洞产生后果的责任分配问题日益凸显。恶意利用漏洞非法牟利的行为，并非天然不具有归责性，尤其是在人工智能日益普及，诚信意识、规则意识不得强化的社会背景下，恶意利用漏洞侵害他人合法权益并不是当然被认为是值得包容、同情甚至鼓励的行为，人民群众的正义观也会随着时代发展变化而发生变化。如何妥当处置恶意利用漏洞行为，实则有待在今后的立法、司法中进一步研究完善。