张某在第三方支付机构开立账户(提供资金账户定罪)
张开骏
上海大学法学院副教授
主要项目
1.简介:涉及第三方支付和财产侵害的刑事案件及定性纠纷。
三。第三方支付侵犯财产罪构成要件的符合性判断和具体定性。
标签
关于侵犯第三方支付账户余额、绑定银行账户资金罪,刑法理论和实践中存在盗窃、诈骗、信用卡诈骗等争议。对此,需要解决以下关键事实和法律焦点:明确第三方支付的技术原理和法律关系;准确认定第三方支付侵犯财产罪涉及的被害人法益及其主体(刑事被害人);准确识别造成法益侵害的关键行为;解决争议最大的两个罪名(盗窃罪和诈骗罪)之间不可避免的机器系统程序能否被骗的问题。这几类涉及第三方支付、侵犯财产的犯罪,应该算是盗窃罪。主要原因是:刑事被害人是持有第三方支付账户的他人;造成财产损失的关键行为是行为人将第三方支付账户或银行账户的资金转移给用户以外的人,而不是获取支付账户和密码。且机器人工智能不能被骗,第三方支付机构和银行没有被骗,侵犯财产的行为不符合诈骗罪的标准结构;第三方支付账户信息不属于司法解释认定的“信用卡信息”。
1.简介:涉及第三方支付和财产侵害的刑事案件及定性纠纷。
支付手段的创新并不会孤立犯罪,相反,第三方支付的服务种类越多,其侵犯财产的犯罪种类就越多。限于篇幅,本文讨论的是侵犯第三方支付账户余额,绑定银行账户资金罪。这包括侵犯他人第三方支付账户余额;侵犯他人第三方支付账户绑定的银行卡内的资金;或者注册别人的第三方支付账户,绑定别人的银行卡,从而侵犯银行卡内的资金。这些涉及第三方支付、侵犯财产的犯罪比较常见,其定性差异相当大。其中,前两类侵犯财产案件的共同特征是行为人利用他人已有的第三方支付账户或绑定的银行卡实施财产侵犯。最后一种是行为人注册他人第三方支付账户,绑定他人银行卡实施财产侵害。这几年的判决很多。案例和定性差异总结如下。
侵犯他人第三方支付账户余额的案例及区别
人登录他人第三方支付账户,使用他人账户余额进行消费或转账,侵犯他人第三方支付账户余额。关于这类侵犯财产罪的性质,主流观点是盗窃罪,也有诈骗罪和信用卡诈骗罪的观点。
案例一:2016年1月2日,被告人赵某发现其女友王某的支付宝账户内有大量钱款。猜中支付密码后,他用手机登录王某的支付宝账户,分三次将支付宝账户内的10万元分别转入自己的支付宝账户和王金友的支付宝账户。杭州市下城区法院认定赵犯盗窃罪,判处有期徒刑3年,缓刑3年,并处罚金4000元。
案例二:被告人许使用单位配发的手机登录支付宝时,发现可以直接登录前同事马的支付宝账户。2015年3月12日,许利用在工作中获得的马某的支付宝密码,用上述手机分两次从支付宝账户向的中国银行账户转账人民币15000元,由提现后交给许。宁波海曙区法院认定许犯诈骗罪,判处有期徒刑七个月,缓刑一年,并处罚金3000元。二审裁定维持原判。
案例三:在与张交往过程中得知其身份信息、电话号码和银行卡号。2014年12月21日,吴某坦佩雷
人登录他人第三方支付账户,使用他人第三方支付绑定的银行卡,进行消费或转账,侵犯银行卡内的资金。这类侵犯财产罪的定性差异包括盗窃和信用卡诈骗。
案例五:2012年8月,被告人李乔购买了一个新的手机号,发现该手机号绑定了原用户姚某的支付宝和银行卡,后用该手机号重置了支付宝账户密码。截至同年9月10日,李乔使用姚某支付宝绑定的建设银行卡、招商银行卡,消费、转账共计14918.2元。上海市金山区法院认定李乔犯信用卡诈骗罪,判处有期徒刑7个月,并处罚金2万元。判决已经生效。
或者通过注册他人第三方支付账户、绑定他人银行卡非法套取钱款的案例和区别。
人注册或使用他人第三方支付账户,绑定他人银行卡,侵犯他人银行卡内资金。对于这种侵财型犯罪的性质,多数观点是信用卡诈骗罪,也有盗窃罪的观点。
案例六:被告人赵某某事先骗取范某的身份证和农行卡,以借用范某的手机为由操作其手机,将其微信账号与上述银行卡绑定,在其手机上以范某的名义注册了一个支付宝账号并绑定银行卡,然后将范某银行卡内的11000元分别转入范某的支付宝账户和微信钱包,再将上述款项转入其支付宝账户和微信钱包。一审法院以信用卡诈骗罪,判处赵有期徒刑8个月,并处罚金2万元。
要认定第三方支付侵财犯罪,首先要揭示此类案件的核心问题,围绕基本事实的前提和争论的焦点,在共同的层面上解决。然后,根据各种案件所涉及的具体争议罪名,围绕其法益和构成要件逐一进行学理解释和分析。
二、涉及第三方支付的侵犯财产罪的核心问题和法律焦点。
涉及第三方支付的侵犯财产罪的认定至少有以下几个核心问题和法律焦点,必须进行梳理和澄清。首先,明确第三方支付的技术原理和法律关系;二是准确认定第三方支付侵犯财产罪涉及的被害人法益及其主体(刑事被害人);第三,准确识别造成法益侵害的关键行为;四是解决在争议最大的两个罪名(盗窃罪和诈骗罪)之间,无法避免的机器系统程序能否被骗的问题。
第三方支付技术
原理和法律关系犯罪是行为,无行为则无犯罪。行为类型的差异是界定财产犯罪的关键。第三方支付的技术原理(技术上的行为通道),客观上限制了涉第三方支付侵财的行为方式。只有厘清第三方支付的运作模式和操作流程(例如资金调拨和转移的路径)、第三方支付中各方法律关系等问题,才能有助于认定涉第三方支付侵财犯罪的被害法益和行为特征。
电子支付与现金支付相对应,落脚点是支付内容不同。前者体现为债权这一财产性利益的转移,后者是货币实物交付。电子支付是与网络支付基本相同的概念,“电子支付是指单位、个人直接或授权他人通过电子终端发出支付指令,实现货币支付与资金转移的行为。电子支付的类型按电子支付指令发起方式分为网上支付、电话支付、移动支付、销售点终端交易、自动柜员机交易和其他电子支付”。按照支付机构,包括银行等金融机构的电子支付和非金融机构(第三方支付)的电子支付,前者的业务笔数虽少,但总金额大得多。
第三方支付与直接支付、银行支付相对应,落脚点是支付路径不同。第三方支付是通过(从事资金移转、结算业务的)非金融机构进行资金转移的支付方式,常见的有支付宝、微信。直接支付是交易双方直接支付,不通过银行或第三方支付机构。银行支付是通过银行进行支付(例如网上银行、手机银行、ATM机)。可见,电子支付是网络时代的产物,但不一定通过第三方支付的途径。而第三方支付是电子支付,并且是网络大数据时代应运而生的新型电子支付方式。
用户可以在手机上操作第三方支付。例如,输入他人的支付宝账户,或者输入他人的姓名、银行卡号和选择开户银行,进行转账。支付宝、微信可以通过“发红包”实现资金转移,等等。当用户线下交易时,可以使用手机上的第三方支付软件扫码支付(例如支付宝提供即时到账服务),省却了使用现金的不便。因此,第三方支付起到了便捷支付的效果。手机可以随身携带和移动,故第三方支付也被称为移动支付。当用户网上交易时(例如,在淘宝网上购物),支付宝提供中介服务,有利于保证交易安全,促进和便利商品交易。
第三方支付时,线下交易与网上交易,以及使用第三方支付账户余额与使用绑定银行账户资金,尽管实质上都是使用用户所有资金所作的支付,但它们涉及的资金流转方式和民事法律关系各有不同。(1)线下交易,使用第三方支付账户余额支付时,表现为第三方支付机构作为名义人开设的银行账户资金,直接转账到收款人的第三方支付账户或银行账户。(2)线下交易,使用绑定银行账户资金支付时,表现为用户作为名义人开设的银行账户资金,直接转账到收款人的第三方支付账户或银行账户。(3)网上交易,使用第三方支付账户余额支付时,表现为第三方支付机构作为名义人开设的银行账户资金,先转移到第三方支付机构作为名义人开设的专设银行账户资金,待用户(买家)确认收货后,第三方支付机构再将该款项转账到收款人(卖家)的第三方支付账户或银行账户。(4)网上交易,使用绑定的银行账户资金支付时,表现为用户作为名义人开设的银行账户资金,先转移到第三方支付机构作为名义人开设的专设银行账户资金,待用户(买家)确认收货后,第三方支付机构再将该款项转账到收款人(卖家)的第三方支付账户或银行账户。
本文研讨的几类涉第三方支付侵财犯罪中,可能纳入视野的法律关系主体有以下几方:即行为人、持有第三方支付账户的他人、第三方支付机构和银行。根据现实案件分析,可能的侵财对象包括第三方支付账户余额、绑定银行卡内资金。
涉第三方支付侵财犯罪的被害法益和刑事被害人
犯罪的本质是法益侵害,无法益侵害或危险则无犯罪。被害人是被侵害法益的主体。只有准确认定侵财犯罪中的被害法益是什么,被害人是哪一方,进而判断是哪个关键行为导致该法益侵害,才能有助于判断犯罪性质。
刑法上的被害人(刑事被害人)认定有其内在要求,不完全等同于民法上的被害人(民事被害人)认定。刑事被害人的认定,与刑法中法益侵害结果的认定紧密相关。法益侵害要考虑刑法规范的保护目的,受制于具体犯罪的保护法益和构成要件。一般是犯罪行为所直接造成的结果或者行为间接造成但能够肯定刑法因果关系的结果,不包括其他的结果(间接结果或可能结果)。例如,行为人对某女子毁容,被害人不堪丑陋而自杀的,该故意伤害罪的法益侵害结果就是毁容鉴定的伤害结果,而不包括自杀死亡结果。再如,行为人盗窃某农户的一只母鸡,该盗窃罪的法益侵害结果就是这只鸡的财产损失结果,而不包括这只鸡能生蛋、蛋又能孵小鸡等结果。刑事被害人即为以上刑法规范限定的法益侵害结果的主体。他是行为所直接侵犯法益的主体(直接性),并非被害人挽回损失后最终承担民事赔偿责任的人。在介入了被害人或第三人的行为时,如果能够肯定刑法因果关系,则被害人或第三人造成的结果也可以归属于行为人,该法益侵害结果的主体也是刑事被害人。反之,如果不能肯定刑法因果关系,则被害人或第三人造成的结果不能归属于行为人,该侵害结果的法益主体就不是刑事被害人。例如,被害人遭窃后马上报警,及时追回了被盗财物的,不能否定其盗窃罪被害人地位,否则该案中就找不到刑事被害人了。又如,在行为人伪造了他人银行卡并取款时,他人及时对卡在自己手上、自己所处位置等进行拍照取证并报警的,可以避免财产损失,这也不能否定他人的刑事被害人地位。不能因银行会对他人理赔或者承担民事赔偿责任,就将银行作为伪造和使用银行卡犯罪行为的刑事被害人。
广义的财物包括狭义财物和财产性利益。在第三方支付中,始终是银行一方实际占有、管理现金。第三方支付机构发挥的是平台作用,所有的交易以银行为中心进行结算。在使用第三方支付账户余额进行支付时,第三方支付账户相当于蓄金池,账户余额相当于蓄金池中存放的金钱。用户的财产损益(增减),表象上是第三方支付账户余额的数额变化,本质上是付款人和收款人之间财产性利益的转移。在使用第三方支付账户绑定的银行账户资金进行支付时,表象上也是绑定银行账户资金的数额变化,本质上是付款人和收款人之间财产性利益的转移。尽管第三方支付时涉及付款人、收款人、第三方支付机构和银行的复杂流程和多重民事法律关系,但是只要付款人发起支付操作,就直接处分了个人财产,并实质上造成相应财产减少结果。
本文研讨的几类涉第三方支付侵财犯罪的刑事被害人,是持有第三方支付账户的他人。以支付宝为例,根据《支付宝安全保障规则》,未经用户授权被他人支出而导致的直接损失(支付宝账户余额、绑定银行账户资金等),用户可在180天内提交相关的申请材料和证明文件,向支付宝申请补偿(支付宝选择自行补偿或通过保险公司理赔的方式)。支付宝《快捷支付服务协议》第2.11条也规定,因不能归责于用户的原因,造成银行卡内资金通过快捷支付服务出现损失的,用户可向支付宝申请补偿。根据前文分析,即使支付宝事后给予补偿,也不能否认支付宝账户持有人为刑事被害人。况且,《支付宝安全保障规则》第三部分第4条之(3)明确规定,因他人的欺诈、胁迫等行为造成用户资金损失的,不在保障服务的保障范围内。另外,《支付宝服务协议》规定,支付宝收到用户关于其账户被冒用或盗用的通知后,未在合理时间内采取有效措施,导致用户损失扩大的,支付宝就扩大的损失部分承担责任,但对采取行动之前已执行的指令免于承担责任。这意味着,支付宝账户被冒用或盗用而遭受的直接财产损失,由用户承担。支付宝在合理时间内采取有效措施,仍无法避免的损失扩大,也由用户承担。
对于行为人通过他人第三方支付账户,使用他人已绑定银行卡资金进行消费的,有判决认定,银行按照指令支付,无须承担责任。但是,用户开通了短信通知,银行未履行短信通知义务,用户未能及时发现银行账户资金的异常变动,不能及时办理挂失止付,导致损失扩大,银行负有一定的责任。可见,只要银行按照协议约定正常履行资金拨付义务,就不承担责任,由用户承担财产损失。
涉第三方支付侵财犯罪的关键行为
当刑法学提出“盗骗交织”名称的案件现象时,就已经揭示一个道理,即案件中包含了骗的因素或者窃的因素时,不足以简单地定性为诈骗罪或盗窃罪。其中理由在于,盗窃罪和诈骗罪有着各自的行为构造,该行为构造要求定型的因果关系。盗窃罪是违背被害人意志,以平和手段将他人占有的财物转移给自己占有,它属于夺取型财产罪。而诈骗罪是行为人实施欺骗行为,使被害人陷入(或继续维持)认识错误,并基于认识错误而处分财产,行为人(或第三人)取得财产,被害人遭受财产损失,它属于交付型财产罪。在普通的两者间诈骗中,受骗人即被害人被骗。在三角诈骗中受骗人和被害人不是同一人,要求受骗人被骗。因此,不能因行为有骗的成分,从结果上看被害人遭受了财产损失,就想当然地认定为诈骗罪。反之亦然,不能因行为人采用了平和手段转移财产归属,就一概认定为盗窃罪。关键是要分析案件的行为构造上,有没有人被骗而产生错误认识,并基于错误认识而处分财产。例如,甲欺骗乙说,乙的家人在路口被车撞,乙急乱之下夺门而出,甲趁机入户取财的,就是个盗骗交织的案件。尽管甲有欺骗行为,乙信以为真,但甲真正侵财、使乙遭受财产损失的行为,是乘乙离开时入户取得财物的行为,之前甲骗乙只是为了入户取财服务,可以说是预备行为。况且,乙夺门而出,并不意味着将家中财物处分给甲,故缺少了基于认识错误而处分财产的要件,不符合诈骗罪的行为构造。甲只成立盗窃罪。正如最高人民法院指导案例27号的裁判理由所示,“对既采取秘密窃取手段又采取欺骗手段非法占有财物行为的定性,应从行为人采取主要手段和被害人有无处分财物意识方面区分盗窃与诈骗。如果行为人获取财物时起决定性作用的手段是秘密窃取,诈骗行为只是为盗窃创造条件或作掩护,被害人也没有‘自愿’交付财物的,就应当认定为盗窃;如果行为人获取财物时起决定性作用的手段是诈骗,被害人基于错误认识而‘自愿’交付财物,盗窃行为只是辅助手段的,就应当认定为诈骗”。综上分析,在涉第三方支付侵财犯罪中,准确认定行为人侵犯财产的关键行为(核心行为),判断其符合盗窃或诈骗等何罪的行为构造,至关重要。
第三方支付账户或银行账户相当于电子保险箱,账户的密码相当于电子保险箱的钥匙(账户资金是箱内的财产性利益,不是狭义财物)。在物理保险箱的情形中,行为人取得了保险箱的钥匙,尽管可以凭此打开保险箱,但并不代表实际打开和取得了保险箱内财物。只要行为人不用钥匙去开锁,开锁了不取箱内财物,那么他人就没有失去财物,没有遭到实际损失。假如行为人仅取得了保险箱的钥匙,不知道保险箱在何处或者保险箱尚在他人的控制下,那么行为人更不可能现实侵害到他人保险箱内的财物。同理,行为人获取了他人支付宝账户和密码,不等于已经实际占有和取得了他人账户财物。只要行为人不用支付宝账户和密码,登录他人支付宝账户,只要行为人在登录后不进行消费或转账操作,那么他人支付宝账户金钱就只处在被侵害的现实危险中,而没有遭受实际损失。由此分析可知,行为人获取了他人第三方支付账户和密码等信息,不等于他人第三方支付账户或绑定银行账户中的财产遭受损失。在涉第三方支付侵财犯罪中,造成财产损失的关键行为,是行为人将第三方支付账户或绑定银行账户的资金转移给用户以外之人的操作行为。该行为是涉第三方付支付侵财犯罪的实行行为,在此之前的获取第三方支付账户和密码(以及注册、绑定、登录账户)等行为,虽是整个侵财过程中必不可少的一环,但不是实际侵犯财产的行为,在性质上仅是预备行为。
涉第三方支付侵财犯罪是否存在机器系统程序被骗问题
关于涉第三方支付侵财犯罪的定性,有个重要观点是成立诈骗罪名。在刑法教义学上,诈骗罪、合同诈骗罪和金融诈骗罪(信用卡诈骗罪、贷款诈骗罪等)的成立,及其与盗窃罪相区别的一个关键点,是受骗人“被骗”发生认识错误而处分财产。由于第三方支付涉及手机软件操作,因此,不可避免地碰到一个横亘在前且争论已久的基础性问题,即机器、系统、程序等能否被骗。
机器能否被骗,国内外的学术争论已久。人们在这个问题上,可能存在认识论的立场分歧。我国司法实践中,由于受到“拾得他人信用卡并在自动柜员机(ATM机)上使用的行为,以信用卡诈骗罪追究刑事责任”司法解释(以下简称2008年《批复》)的影响,机器能够被骗的结论被司法机关普遍接受。但是,大陆法系和英美法系的理论和实务通说,是机器不能被骗。从诈骗的基本含义来看,受骗者只能是自然人。而且,我国也有司法解释规定等于认同了机器不能被骗。例如,“明知是非法制作的IC电话卡而使用或者购买并使用,造成电信资费损失数额较大的,应当依照刑法264条的规定,以盗窃罪追究刑事责任。”假如承认电话机可以被骗,该行为应以诈骗罪追究刑事责任,但是司法解释没有采取该观点。在实务界,也有观点将2008年《批复》规定理解为法律拟制,从而维护机器不能被骗的原理。
认识错误是指与客观真实不相符的观念,“能不能被骗”与“是否能够产生认识”“是否能够发生认识错误”紧密相关。只有人的大脑才有意识、观念,只有人能够产生认识,才会发生认识错误。机器系统程序没有意识,不能产生认识,不能发生认识错误,也就无所谓被骗的问题。凡是自动化的东西(机器、系统、程序等),皆属于物的范畴。操作过程一旦脱离人的个别判断和控制,就自动化运行的,不存在发生认识错误和被骗的问题。关于机器系统程序的运行及其与人的关系,要分别从“源头”和“过程”加以考察。尽管自动化的机器系统程序的设计、创造,融入了人的意识,体现了人的智慧,但是,它接受指令后不需要介入人的操作,在操作流程上可以脱离人的个别判断和控制。假如机器系统程序本身有错误故障,例如卡壳、死机等,这可以说设计、创造它时,人的科学水平不够高,技术不过硬。出现这种情况,即使说人有“认识错误”,也只是对自然规律的认识有偏差,而不是行为人的欺骗行为所致,作为源头的设计、创造者不可能被运行流程中的行为人欺骗。同样地,假如机器系统程序没有错误故障,但有被行为人恶意利用或从事违法犯罪的机会,例如支付宝账户被人冒用,蚂蚁花呗被人套现,美团被人恶意下单后退单等等,出现这种情况,既不能说机器系统程序被骗,也不存在人被骗的问题(无论是它的设计、创造者还是所有、使用者)。
我们可以假设一些事例作对比,来澄清人和物能否被骗的差别。在《西游记》中,孙悟空变身为二郎神到其庙宇吃喝,这无疑是诈骗,因为他欺骗二郎神的侍从,使其产生认识错误并处分了餐食财物。孙悟空变身为牛魔王,从铁扇公主处拿到了芭蕉扇,这也是诈骗,因为他欺骗铁扇公主,使其产生认识错误并处分了芭蕉扇这一宝物。与上例不同,假设甲养了一条看门狗,狗训练有素,很聪明,不准陌生人靠近家门。乙扮成甲,逃过狗的戒备,入户偷了东西,没人怀疑乙成立盗窃罪。理由在于,狗即使被乙“骗”了,也不是诈骗罪行为构造中的认识错误。有生命灵性、感官功能和活动自由的动物尚且不能被骗,机器系统程序更不应被认可被骗。例如,保险箱或智能门锁需要输入密码才能打开,行为人获取密码开锁,取得箱内财物或家中财物的,毫无疑问成立盗窃罪。理由是,密码锁不存在被骗的问题。也不能认为,密码开锁是人设定的设备程序,行为人欺骗了它背后的人。无论是密码锁还是背后的人,都没有发生认识错误。
近年来人工智能受到热烈讨论。有人认为,随着人工智能技术进步,智能设备可能被赋予独立的法律地位,从权利客体(工具)进化为权利主体。从社会效果看,对智能设备欺骗与对人欺骗的差别逐渐缩小,从处理效果看,智能设备的财产处分意识和行为比人类更高效、安全。利用第三方支付非法取财的可以成立诈骗犯罪。本文认为,假如人工智能达到了能够“自主”分析、决策和选择的程度(而不是自动化流程),则可能会发生认识错误和被骗的问题。但是,这种假设是否有成为现实的一天,我们表示怀疑。首先,人工智能的技术能否达到这种程度,值得存疑。其次,即使将来技术上能够达成这种程度,伦理上也很难允许,即人类不应允许人工智能独立自主地决策和行动。况且,当下人工智能不具备以上能力,只处在弱人工智能的阶段。有人说,机器人AlphaGo战胜了世界围棋冠军,表明人工智能已经非常智慧,甚至某种程度上超越了人类,因此,它能够发生认识错误和被骗。只有透过表面现象,才能客观、全面地评价人工智能。诚然,围棋机器人可以夜以继日地模拟下棋,计算各种棋路的胜率,具备“再学习”能力,在这一点上人类的时间和精力无法企及,可以说它超越了人类。但是,围棋机器人的这种能力跟围棋规则有关,并且局限于该规则(即如何走棋)。它不可能超出这一范畴,例如,它不能创设围棋规则,更不会延伸学会下象棋、军棋等。围棋机器人的学习能力和智慧是机械的、教条的,具有严重局限的。这也是目前所有人工智能的共通特征。但是,人是具有意识、发散思维、灵动学习能力的生灵,有无比强大的主观能动性和创造性。职是之故,人类肯定是超越人工智能的存在。正是由于以上的本质性差异,只有人能够发生认识错误和被骗,人工智能不可能。
对于机器系统程序来说,符合预先设定的就遵照执行,不符合预先设定的就不予执行,就这么简单。这其中不存在认识判断和裁量,不可能发生认识错误或被骗。在人类发展史上,从古至今都有“将人物化”观念弊端以及对其矫正的思想变革,伴随着自动化和人工智能的发展,今后还要警惕“将物人化”的思想风险。“将人物化”是将人贬低到物的层次,“将物人化”是将物抬升到人的层次,它们的共同点是将人与物等量齐观,都侵害了人格尊严,不利于人类社会关系的理性建构。
综上分析,行为人利用机器系统程序侵犯财产,只要关键行为中不介入人的个别判断和控制,就不存在人发生认识错误和被骗的问题,因而,就不符合诈骗罪的规范构造。该情形是违反被害人意志,使用平和手段转移财产的行为,符合盗窃罪的本质。
三、涉第三方支付侵财犯罪事实的构成要件符合性判断和具体定性
侵犯他人第三方支付账户余额的分析定性
第三方支付账户余额的性质,以及使用第三方支付账户余额的操作流程,需要考察。《非银行支付机构网络支付业务管理办法》(以下称2015年《管理办法》)规定:“支付账户所记录的资金余额不同于客户本人的银行存款,不受《存款保险条例》保护,其实质为客户委托支付机构保管的、所有权归属于客户的预付价值。该预付价值对应的货币资金虽然属于客户,但不以客户本人名义存放在银行,而是以支付机构名义存放在银行,并且由支付机构向银行发起资金调拨指令。”支付宝公司(全称支付宝[中国]网络技术有限公司)遵照上述管理办法,在《支付宝服务协议》第“五(四)3”条款中对此作了明文规定。因此,使用第三方支付账户余额时,用户与银行不发生指令和资金的直接来往。
主张侵犯他人第三方支付账户余额成立诈骗罪的观点认为,被骗的不是机器,而是支付宝公司,作出财产处分的也是支付宝公司,被害人是支付宝账户持有人,因此,属于三角诈骗。凡是主张该行为成立诈骗犯罪的,只能用三角诈骗理论进行解释。例如,前文徐雅芳案的判决理由是,徐雅芳利用偶然获取的马某支付宝密码操作其支付宝账户转账,使支付宝公司陷入错误认识,误以为该操作是受用户马某委托从而支付款项,徐雅芳的行为符合诈骗罪构成要件。也有信用卡诈骗罪案例作了类似说理,认为作为支付设备的计算机是权利人的电子代理人,行为人输入信息或指令后,计算机根据逻辑条件“自愿”交出财物,可以看作是权利人的默认,欺骗的实际对象是权利人。因此,向计算机输入信息或指令获取财产的行为应定性为诈骗。理论上存在一种观点,认为机器是人的意思的延伸,非本人使用机器时,违背机器背后的人的意志,欺骗了机器背后的人。本文认为,这种观点不符合实际。一旦机器、系统、程序根据预先设定进行自动化操作,不再介入人的个别判断和操作时,背后的人对使用机器、系统、程序的人,就不存在认识问题,在技术上不需要认识,在协议或法律上也没有义务去识别使用者真实身份,既然如此,背后的人(或单位)怎么可能产生认识错误或者被骗呢?况且,背后的人用机器代替操作,就意味着符合机器系统程序的,就予以认可,符合他的意志。只要机器正常运行,就不能说违背了人的意志。
侵犯他人第三方支付账户余额的行为中,第三方支付机构没有被骗。以支付宝为例,《支付宝隐私权政策》规定,注册支付宝账户时,用户需提供手机号码或者电子邮箱作为账户登录名,提供身份基本信息,包括姓名、国籍、性别、职业、住址、联系方式以及有效身份证件的种类、号码和有效期限,并设置登录密码。注册成功后,用户可以选择密码登录、短信验证码登录、刷脸登录等方式登录支付宝账户。使用支付宝进行交易时,支付宝要对用户身份进行验证(此身份验证不同于申请注册时的身份基本信息验证)。支付宝提供多种身份验证方式,用户可以选择静态密码、数字证书、电子签名、一次性密码或生物特征信息完成验证。支付密码与登录密码不同。在技术层面上,一旦用户申请注册了第三方支付账户,并设置了相关的密码,那么在登录、使用过程中,第三方支付机构就只需验证账户和相关密码(登录密码、支付密码)的一致性,而不再进行身份基本信息验证,也不负有验证使用者身份基本信息的义务。账户和密码正确则执行支付,不正确则无法支付,不介入人的个别判断和操作,是自动化的流程。
有学者认为,行为人尽管输入正确账号和密码,但并非用户本人,因此第三方支付被骗了。该观点将欺骗行为与对象被骗混为一谈了,两者在诈骗罪行为构造中属于不同环节。行为人冒充用户请求支付,可以说是实施了欺骗行为,但是不能代替得出第三方支付被骗的结论。第三方支付系统被赋予识别功能,仅限于识别传输数据和操作指令的完整性、一致性和不可抵赖性(形式、机械识别),符合要求的使用者就被视为用户本人。《支付宝服务协议》规定,使用身份要素进行的操作、发出的指令,视为用户本人做出。可见,第三方支付根本不具备认识使用者是否真实的用户本人的功能(实质、能动识别),不可能识别使用者的真实身份。第三方支付系统的识别能力仅限于此,也就不存在对使用者发生认识错误,或者被使用者欺骗的问题。换个角度来说,行为人以他人名义顺利地登录第三方支付账户并发出支付指令时,与其说第三方支付被骗了,不如说它在正确地执行操作。因此,行为人使用他人第三方支付账户和密码进行登录,然后使用第三方支付账户余额进行消费或转账的,没有人被骗,不符合诈骗罪的构成要件。
有的信用卡诈骗罪论者认为,盗窃罪和诈骗罪的本质区别在于,前者是“主动获取型”犯罪,后者是“被动交付型”犯罪。行为人向支付宝平台发送资金调拨指令,才能让支付宝平台将资金交付或转移至行为人处。新型支付方式下侵财行为不具有“主动获取”特征,不宜认定为盗窃罪。该观点值得商榷。区分盗窃罪和诈骗罪时,要理解“主动获取”“被动交付”的本来意蕴。“主动获取”本意是行为人实施行为,在完全违背被害人意志的情况下,取得其财物。“被动交付”本意是被害人或受骗人基于有瑕疵的意思(由于受骗、发生认识错误)而处分财物。因此,即便行为过程中表面地看被害人或受骗人有“交付”动作,但不是由于被骗而处分财物,那么仍不符合诈骗罪,而应归属于盗窃罪,这样才能实现定罪周延。如果认为被害人或受骗人形式上有“交付”动作,就一律否定盗窃罪,那么盗窃罪间接正犯就没有存在余地了。成立盗窃罪的间接正犯,就有被利用人“交付”或转移财物给行为人的情形。所以,盗窃罪行为过程中完全可能有人“交付”财物,关键在于判断该“交付”行为是否被害人或受骗人基于有瑕疵的意思(由于受骗、发生认识错误)而处分财物。行为人主动向支付宝平台发送资金调拨指令,是完全违背用户意志、取得其财物的关键行为,正符合盗窃罪“主动获取”的特征。
侵犯他人第三方支付账户余额的行为,不涉及信用卡,没有侵犯信用卡管理秩序和金融机构财产,不成立信用卡诈骗罪。第三方支付不同于信用卡。立法解释规定,“刑法规定的‘信用卡’,是指由商业银行或者其他金融机构发行的具有消费支付、信用贷款、转账结算、存取现金等全部功能或者部分功能的电子支付卡”。《非金融机构支付服务管理办法》(以下称2010年《管理办法》)将第三方支付机构定位为非金融机构。《支付宝服务协议》第3条规定,支付宝服务是支付宝公司向用户提供的非金融机构支付服务,是受用户委托代为收付款的资金转移服务。第三方支付的运作前提,是获得中国人民银行颁发的《支付业务许可证》,并且与金融机构签订合作协议。虽然支付宝具有一定的存款功能,但是支付宝公司的存款业务以银行为中心开展,它本身不能独立开展存款业务。可见,第三方支付与信用卡在发行主体、账户性质、功能、支付方式上均存在很大差异。他人第三方支付账户信息不属于司法解释认定的“信用卡信息资料”。信用卡信息资料应限于与信用卡相关的电子加密数据,而第三方支付不同于信用卡,它有独立的账户和密码。因此,第三方支付账户信息资料不同于银行卡信息资料。窃取他人第三方支付账户信息,不等于窃取他人信用卡信息资料。
侵犯他人第三方支付账户余额的行为,违背他人意志,采用平和手段转移他人财产性利益,成立盗窃罪。因为,行为人使用他人第三方支付账户余额,无论是消费或转账,都侵害了他人对财产性利益的占有(或享有、支配),并且转移到行为人占有或者由行为人直接加以利用。在此过程中,他人完全不知情,因而违背被害人意志。行为符合盗窃的构成要件和本质,具备违法性。行为人主观上具有非法占有他人账户余额的目的,存在犯罪故意,具备盗窃的有责性。
侵犯他人第三方支付账户所绑定银行卡内资金的分析定性
侵犯他人第三方支付账户所绑定银行卡内资金的行为,不存在他人、第三方支付机构和银行被骗的问题,他人也没有财产处分行为,因此,不成立诈骗犯罪。该行为违背他人意志,采用平和手段转移他人财产性利益,应该认定为盗窃罪。
也有观点认为,需要区分从绑定银行卡转移资金的方式。从绑定银行卡直接转出资金的,“重置支付宝支付密码的行为就是非法获取他人信用卡信息资料的行为”,符合“冒用他人信用卡”的司法解释,成立信用卡诈骗罪。从绑定银行卡先转移资金到被害人支付宝账户再转出的,将资金转至支付宝账户的前行为,没有实现被害人财物的转移占有,只是为从支付宝账户转出资金的后行为提供了便利,而后行为在机器不能被骗的前提下,应认定为盗窃罪。该观点注意到了从绑定银行卡转移资金的不同方式,得出从绑定银行卡先转移资金到被害人支付宝账户再转出的成立盗窃罪,本文对其分析思路和结论表示认同。虽然资金从绑定银行卡账户转移到支付宝账户时,法律关系有所不同,前者用户是存款名义人,后者支付宝公司是存款名义人,即用户的资金属性由银行的存款债权转变为了支付宝公司保管的预付价值,但该笔资金归属于用户这一点没有发生变化,只不过从银行账户转移到了支付宝账户(这在支付宝服务中被称作充值),因此,用户此时并没有遭受财产损失。实际导致用户财产损失的,是行为人将用户支付宝账户余额转出的行为,其犯罪定性如同前部分论述那样,成立盗窃罪。该观点认为从绑定银行卡直接转出资金的成立信用卡诈骗罪,值得商榷。
侵犯他人第三方支付账户所绑定银行卡内资金的行为成立信用卡诈骗罪的观点,不能被赞同。理由是:
第一,该行为不符合2009年《解释》第5条。用户已将第三方支付绑定银行卡的情况下,行为人只需使用预先设置的支付密码或者重置支付密码,进行支付操作即可,而不需要获取他人信用卡信息资料,申请绑定银行卡。如前文所述,第三方支付不同于信用卡,第三方支付账户和密码信息不属于信用卡信息资料。因此,窃取他人第三方支付账户信息,不等于窃取信用卡信息资料。支付宝对绑定银行卡的相关信息进行了隐藏保护设置,登录他人支付宝,只能看到绑定银行卡的开户行和卡号后四位数。因此,即使行为人窃取了他人支付宝账户信息,也无从窃取他人信用卡信息资料。其四,获取他人银行卡支付密码,也难以被评价为获取他人信用卡信息资料。信用卡信息资料应为信用卡账户的必要信息,包括开户类型、账号、密码、消费记录以及办理信用卡所需的基本身份信息等加密电子数据。由于行为人只实施了支付操作行为,而没有实施非法获取他人信用卡信息资料的行为,所以,该行为不符合司法解释规定。
第二,该行为没有侵害信用卡诈骗罪的法益。信用卡诈骗罪属于第三章破坏社会主义市场经济秩序罪的第五节金融诈骗罪,根据体系解释,本罪主要法益是银行的信用卡管理秩序。第三方支付和信用卡支付存在差异,由于第三方支付平台的介入,支付过程中如果第三方支付账户余额是足额的,用户可以选择使用账户余额支付或者使用绑定银行卡支付。一旦用户选择了使用绑定银行卡支付,此后用户便不直接跟银行联系,有关调拨资金指令由第三方支付机构发出,而不是用户本人。银行根据事先签订的授权协议,按照调拨资金指令执行支付。由于银行正常履行业务,银行的信用卡管理秩序并未受到妨害。
第三,不存在银行被骗问题。第三方支付与银行的关系,以及使用绑定银行卡内资金的操作流程,需要考察。根据2015年《管理规定》,第三方支付机构向用户银行发送支付指令,扣划银行账户资金的,应当事先或在首笔交易时自主识别用户身份并分别取得用户和银行的协议授权,同意其向银行账户发起支付指令扣划资金。银行应当事先或在首笔交易时自主识别用户身份并与其直接签订授权协议,明确约定扣款适用范围和交易验证方式。使用银行卡内资金进行第三方支付时,需要先将支付宝账户和银行卡绑定。用户办理绑定时,银行需要进行相关信息认证。用户在第三方支付账户的操作界面,输入银行卡号和银行发送的动态校验码等信息,即可完成绑定。此后,用户使用绑定银行卡内资金时,由第三方支付机构向银行发送调拨资金指令进行支付,银行只需要识别调拨资金指令正确与否,由于这是自动化过程,不存在人的个别判断和操作,因而不存在银行被骗问题。由于用户办理绑定时,已经输入过银行卡相关信息进行认证,因此绑定完成后,通过第三方支付使用绑定银行卡内资金时,银行不再验证用户的身份基本信息。向第三方支付机构发起支付者的真实身份(即谁在使用第三方支付平台),银行无法识别,也没有义务识别。在这一流程中,绑定银行直接与第三方支付机构联系,不与用户直接联系。因此,也谈不上银行被行为人欺骗问题。只要使用者输入正确的支付密码,银行就会听从调拨资金指令进行支付,这是遵守协议约定的、正确的处分行为,而非基于错误认识的处分行为。综上,侵犯他人第三方支付账户已绑定银行卡内资金的行为,银行没有被骗。这就否定了以银行被骗为前提的信用卡诈骗罪。
第四,该行为认定为信用卡诈骗罪,不利于罪刑均衡。根据刑法规定和司法解释,在是否成立犯罪的标准上,诈骗类犯罪的入罪门槛高于盗窃罪,例如,信用卡诈骗罪“数额较大”的标准是“5000元以上不满5万元”,盗窃罪“数额较大”的标准是“1000元至3000元以上”,都成立犯罪、造成同等财产损失的情况下,诈骗犯罪的量刑轻于盗窃罪。侵犯他人第三方支付账户余额的行为,主流观点是盗窃罪,如果侵犯他人第三方支付账户所绑定银行卡内资金的行为认定为信用卡诈骗罪,则会导致罪刑失衡。例如,A私自转出他人支付宝账户余额3000元,以盗窃罪追究刑事责任。B从他人支付宝账户所绑定银行卡转出资金4000元,尚未达到信用卡诈骗罪的入罪标准,不能追责。但是,B造成的财产损失明显更大,行为情节也更重,反而不能追究其刑事责任,这显然欠妥。如果两类侵财犯罪都认定为盗窃罪,则可以避免罪刑失衡的缺陷。
第五,该行为认定为信用卡诈骗罪,会产生处罚漏洞。假设某地盗窃罪数额较大的标准是3000元,行为人侵犯他人第三方支付账户余额2000元,又侵犯该账户已绑定银行卡资金2000元。如今关于前行为定性的主流观点是盗窃罪,如果后行为认定为信用卡诈骗罪,则两罪都不成立。妥当处理是,将侵犯他人第三方支付账户绑定银行卡资金行为定性为盗窃,这样行为人盗窃数额合计达到4000元,可以追究盗窃罪刑事责任,从而弥补处罚漏洞。
注册他人第三方支付账户并绑定他人银行卡非法取财的分析定性
注册第三方支付账户,绑定银行卡,进行消费或转账的操作流程,需要考察。在注册、绑定型侵财行为中,行为人往往先通过窃取、骗取等非法手段,获取他人的身份信息、手机号码和银行卡信息资料,注册他人支付宝等第三方支付账户,然后绑定他人银行卡,或者使用他人已有的支付宝账户,与他人银行卡绑定,进而获取他人银行卡内资金进行消费或转账。行为人登录他人第三方支付账户后,输入要添加的银行卡卡号,利用该银行卡开户行所预留手机号码接收用于绑定的短信校验码,输入校验码即可完成绑定银行卡操作。《关于加强商业银行与第三方支付机构合作业务管理的通知》规定,用户银行账户与第三方支付机构首次建立业务关联时,应经双重认证,即用户在通过第三方支付机构认证同时,还需通过商业银行的用户身份鉴别。银行已按照前述要求在业务关联时进行了相关信息验证,确保用户身份真实可靠,在交易时可以无需再次验证。
信用卡诈骗罪与诈骗罪是不同罪名,它们的构成要素当然有所不同,但如果由此认为信用卡诈骗罪不需要像诈骗罪那样要求有人被骗,则不能被赞同。既肯定机器和第三方支付平台不能被骗,又得出通过第三方支付侵犯银行卡资金行为成立信用卡诈骗罪的结论,这是自相矛盾的。定罪量刑固然要遵循罪刑法定原则,但以刑法和司法解释对“冒用他人信用卡”规定作为理由,得出尽管没有人被骗也可以成立信用卡诈骗罪,这其实是对该规定的形式解释,而未能阐释该规定的合理性,导致该规定沦为了缺乏实质根据的特别规定。德国、瑞士、日本、韩国等认为机器不能被骗,由于盗窃对象限于财产性利益以外的财物,为了规制使用计算机取得财产性利益的行为,避免产生处罚漏洞,刑法特设了计算机诈骗罪。但是,我国刑法没有规定计算机诈骗罪。财产罪的财物对象是广义的,包括了财产性利益。利用机器系统程序侵犯财产性利益的,可由盗窃罪规制。因此,可以坚持机器不能被骗的原理,又不至于产生处罚漏洞。这样,无论是普通诈骗罪还是信用卡诈骗等特殊诈骗罪,都可以作统一解释,限于针对自然人欺骗才成立,而没必要将信用卡诈骗罪等当作“机器不能被骗”的特别规定。刑法之所以在诈骗罪之外,设立各种金融诈骗罪名和合同诈骗罪,主要是考虑后者不仅侵犯了财产,而且危害金融管理秩序、扰乱市场秩序,从而在分则章节体系上作了不同安排。恰如盗窃罪和盗伐林木罪、贪污罪和职务侵占罪等由于法益不完全相同,从而在章节体系上作了不同安排。综上,主张机器和第三方支付平台不能被骗,又认为信用卡诈骗罪不同于诈骗罪,得出通过第三方支付侵财成立信用卡诈骗罪结论,在论证逻辑和结论上存在很大缺陷。
有学者不赞成司法解释观点,认为窃取他人信用卡信息资料后使用的,属于“盗窃信用卡并使用”,应当认定为盗窃罪。该观点将窃取信用卡信息资料实质解释为盗窃信用卡,适用依据是第196条第3款。没有区分是否通过第三方支付平台使用的情境,也未回答窃取以外非法手段(收买、骗取或其他)获取信用卡信息资料并使用的犯罪定性。
本文主张该类侵财行为成立盗窃罪。如果“窃取或者以其他方法非法获取公民个人信息的”,符合第253条之一的第3款,成立侵犯公民个人信息罪,宜与盗窃罪并罚。
结语
本文研讨了侵犯他人第三方支付账户余额或者绑定银行账户资金,注册或使用第三方支付账户申请绑定银行卡非法取财的犯罪定性,得出了成立盗窃罪的结论。现实生活中,有些涉第三方支付侵财案件事实复杂,需要联系前行为,综合认定罪名或罪数。
2019年1月,被告人刘某等四人将周某强行带到某宾馆房间关押两天,对周某殴打、强迫下跪,致其软组织损伤、口鼻流血,构成轻微伤。期间,刘某逼迫周某解除手机密码,强行从周某支付宝账户转走1000元,事后四名被告人将钱瓜分。在本案中,四名被告人实施拘禁和暴力行为在先,刘某逼迫被害人打开支付宝账户并强行转账,是以胁迫手段取财的行为,符合抢劫罪的构成要件,应认定为抢劫罪。
2016年8月,张女士散步时遗失手机,该手机未设置解屏锁,手机上的支付宝软件是自动登录设置,且支付宝“当面付”是免密扫码支付。徐某拾到手机后,在超市、便利店使用“当面付”进行购物,合计消费2900余元。在本案中,除非登录支付宝账户进行消费或转账,支付宝账户或绑定银行账户资金就不会受损。徐某占有张女士手机尽管可以随时登录其支付宝账户进行消费,但是资金在账户中,张女士可以立即挂失止付,因而张女士实际控制着账户资金。可见,徐某占有手机,不等于占有张女士支付宝账户余额或绑定银行账户资金。徐某占有手机和侵犯账户资金是两个行为,应该分开认定。拾到手机涉嫌侵占,使用支付宝“当面付”的性质是盗窃。应根据侵占罪和盗窃罪的各自追诉标准,决定是否成立该两罪以及是否进行两罪并罚。