随着第三方支付的普及,窃取第三方支付平台(以下简称“平台”)已绑定银行卡内资金的侵财犯罪屡见不鲜。相较窃取平台账户资金,窃取已绑定银行卡内的资金往往金额更大,犯罪后果与危害性也更为严重。司法实践对该类犯罪的定性不尽相同,既有以盗窃罪认定,也有以信用卡诈骗罪处断。笔者认为,窃取平台已绑定银行卡内资金行为定性不能一概而论。对于获取他人支付密码后将已与平台绑定的银行卡内资金予以转移的行为,应认定为盗窃罪;而对于将他人银行卡与平台绑定后再转账获利的行为,应认定为信用卡诈骗罪。若行为人同时通过以上两种途径获利的,则应数罪并罚。
一、结合交易结构确定被害人是区分此罪与彼罪的前提
互联网金融较之传统金融具有更为复杂的产品设计,相关犯罪较之传统犯罪也显示出更强的隐蔽性。这类案件办理的重点在于厘清交易结构。在第三方支付相关案件中,对已绑定银行卡内资金的转移并非出于完全一致的授权操作,故不同情况下被害人也有所不同。
对于获取他人支付密码后将已与平台绑定的银行卡内资金予以转移的行为,用户是实质上的被害人。根据相关服务协议,平台绑卡为一次性授权,用户通过输入信息资料建立专属于该银行卡的快捷支付渠道。此后操作,包括转账、更改支付密码、消费等均默认为用户本人行为,平台与银行不再进行身份核实。这种接受指令即放款的模式是快捷支付交易结构的关键,在互联网金融中得到广泛应用。对此,刑法应秉持谦抑原则,不宜再将后续的身份识别责任强加于平台和银行。这时发生的银行卡内资金被非法转移实际上是基于“身份的默认”,平台或银行并未发生认识错误,不利后果应当由用户自己承担。
对于将他人银行卡与平台绑定后转账获利的行为,平台和银行是实质上的被害人。平台通过与银行签订代扣业务合作协议获取“类清算”权限,银行也由此获得了平台的互联网技术支持。从网络支付角度来看,平台与银行同为资产管理人,负有保证用户账户安全之责,这项责任的重心在于核实与其签订快捷支付协议的相对方身份。在绑定银行卡操作中,行为人冒用他人身份突破平台验证,使财产管理人发生认识错误向其交付用户账户资金。这里资金的非法转移与“身份验证”这一技术安全问题直接关联。因此,无论是平台还是银行,作为资产管理人都应承担因身份查验不实带来的不利后果。这种不利后果当然包括刑事上被害人身份的确认。
二、判断取财时起决定性作用的手段是案件定性的关键
司法实务中,涉第三方支付相关案件定性之所以屡生争议,主要在于行为人的手段往往既带有秘密窃取特征,也体现了隐瞒真相、虚构事实的性质。区分关键在于判断取财时起决定性作用的手段。
对于获取他人支付密码后将已与平台绑定的银行卡内资金予以转移的行为,取财的主要手段为秘密窃取,被害人没有处分财产的意识。该类案件中,绑定的银行卡内资金由行为人通过秘密转账的方式窃取,用户作为被害人并未察觉,更遑论“自愿”“主动”交付。此类案件可能涉及的移动设备、平台账户名、支付密码等,仅是行为人非法转移他人资金的工具和载体,行为人采用借、骗、拾、猜等各类方式获得取财工具,本质上是为盗窃创造条件或作为掩护。
对于将他人银行卡与平台绑定后转账获利的行为,取财的主要手段是诈骗,被害人系基于错误认识而“自愿”交付财物。这里涉及“机器能否陷入认识错误,成为诈骗罪对象”的问题。笔者认为,无论是网银系统,还是平台身份验证功能,均根据机构意志编写而成,系银行和平台等资产管理人意志的延伸。机器虽然不具备自然人一样的灵活性和敏感度,但其每条指令的发出都是个体意思表示的体现,为其所认可。合格的客户通过平台验证,双方签订的快捷支付协议是有效并受法律保护的。故不能作出“平台指令发出后没有出现风险即代表资产管理人意志,平台指令发出后产生危害后果就不是资产管理人意思表示”这样自相矛盾的结论。在该类犯罪中,既然平台通过了冒用他人身份的验证,只能认定平台和银行被欺骗。这里行为人取财的主要手段是虚构事实、隐瞒真相,冒充他人身份,使具有一定资金占用和控制权的资产管理人发生认识错误并交付财产。
三、对信用卡及信用卡信息资料的界定决定了刑法条款的适用
一是应明确信用卡的概念边界。全国人大常委会在立法解释中对信用卡作了扩大解释,信用卡的本质特征是由金融机构制发的电子支付卡。在利用平台支付密码对已绑定银行卡进行转账的行为中,行为人转移资金使用的是平台根据支付指令提供的快捷通道,这里金融机构发行的银行卡作为信用载体进行支付的功能并未得到体现。故“使用支付密码和平台通道进行银行账户快捷支付”与“盗窃信用卡并使用”具有不同的语义射程。对该类行为宜直接适用刑法第二百六十四条有关盗窃罪的规定,而非第一百九十六条第三款的规定。
二是应明确信用卡信息资料的本质特征。我国相关法律法规并未对信用卡信息资料作明确界定,但能为刑法所评价的信用卡信息资料应当具有识别用户的功能,即具有识持卡人身份和持卡权利等功能的核心信息,才能被认定为刑法意义上的“信用卡信息资料”。单一的支付密码既非附属于银行卡的信息资料,也不能完整展示持卡人的身份及其用卡权益,当然不属于信用卡信息资料。在先绑卡后转移资金的行为中,行为人需要提供他人身份证号、银行卡号、短信验证码、抑或银行卡密码等用于身份验证,这些个人信息资料的综合使用具有识别持卡人、标识个体特征的作用。行为人的行为属于“以其他非法方式获取他人信用卡信息资料,并通过互联网、通讯终端等使用”这一冒用型信用卡诈骗的情形。
四、涉第三方支付刑事案件办理应注重发挥司法办案的引领作用
互联网金融秩序需要刑事法治规范,同时刑事法治也应尊重金融自治。这种尊重在第三方支付案件中集中体现于两个方面。一是案件办理应体现对交易规则和交易习惯的尊重。商业活动遵循平等、自愿原则。在第三方支付中,无论是建立快捷支付通道,还是开展代扣业务合作,只要参与主体行为符合交易规则、达成合意,并遵守了行政监管规则,那么刑事司法介入就应慎重,尊重当事人对权利义务的约定。二是涉第三方支付案件办理应体现前瞻性,顺应互联网金融的发展趋势。随着人工智能、虚拟现实技术的成熟以及与现代金融的融合,未来金融活动中机构、个人意志很大程度上会依赖计算机语言的呈现和表达。司法关注的重点应逐渐从“机器能否被欺骗”向“机器执行指令体现了怎样的个体意志”上转移。
涉第三方支付刑事案件办理还应在公平的基础上体现对金融消费者权益的保护。银行和平台既是互联网金融服务的提供方,也承担了信用卡管理和维护网络安全之责。在信用卡诈骗案件中,强化机构的责任认定可以为刑事司法介入互联网金融活动提供新的视角。一是将银行和平台认定为信用卡诈骗罪的被害人,能够倒逼网络技术安全水平的提升。当前各大平台快捷支付验证设置过于简单,有的仅凭卡号、短信验证码就能通过身份核实。操作简易、犯罪成本低,易导致类似犯罪频现。而预设口令、语音或人脸识别、双重密码校验等现有安全技术并未被大量有效运用到身份验证中。因此,将银行和平台作为被害人承担犯罪造成的经济损失,有利于机构尽快改进技术,提升网络支付安全保障水平。二是能够切实保护金融消费者个体利益。第三方支付有小额、分散的特点,该类信用卡诈骗案中,被害人的损失常因被告人没有可供执行的财产而无法得到追偿。如果刑事上将没有明显过错、又处于相对弱势的用户认定为被害人,不仅会使其难以通过民事程序向银行和平台求偿,而且也会助长相关机构不分类别地将所有风险推诿给用户的现象发生。反之,则能够体现刑事司法对公序良俗的保护,避免缠访缠诉,维护社会稳定。
WorkPhone
WorkWechat
WorkQQ
成都市人民东路6号川航大厦