也談《利用支付服務(wù)平臺漏洞套取銀行資金如何定性》

http://luxinlaw.blog.bokee.net    2016-9-12

                      也談《利用支付服務(wù)平臺漏洞套取銀行資金如何定性》
                                   肖佑良
 前言：該案系2016年7月28日《人民法院報》刊載的一個(gè)案例分析。原文觀(guān)點(diǎn)認為本案構成盜竊罪，這種觀(guān)點(diǎn)符合客觀(guān)事實(shí)嗎？
 案情簡(jiǎn)介：2012年11月26日，被告人李某以購買(mǎi)汽車(chē)為由向某商業(yè)銀行某支行申請開(kāi)辦一特種信用卡，并留存手機號碼，李某隨后成功激活該卡，規定限額為26萬(wàn)元。2013年3月3日7時(shí)許，李某注冊為某支付服務(wù)公司用戶(hù)，并于隨后利用該公司明確禁止的方式，即利用該特種信用卡對其他信用卡進(jìn)行轉賬還款成功。李某*終通過(guò)積極注冊600余個(gè)虛擬信用卡賬號，以逐步蠶食的方式秘密轉移商業(yè)銀行資金6038萬(wàn)余元至其持有的多個(gè)銀行卡上。其中有人民幣890萬(wàn)元在轉移到其卡上之前被支付服務(wù)公司攔截并凍結。李某將套取的資金用于銀行存款，購買(mǎi)轎車(chē)、房子，償還債務(wù)，個(gè)人消費等。案發(fā)后，支付服務(wù)公司賠付商業(yè)銀行人民幣60386465元，支付服務(wù)公司從公安機關(guān)領(lǐng)取涉案款物人民幣44780801.53元。
 一審法院經(jīng)審理后認為，被告人李某以非法占有為目的，秘密竊取他人財物共計60386465元，其中51486465元既遂，890萬(wàn)元未遂，數額特別巨大，其行為構成盜竊罪。該院以盜竊罪判處被告人李某無(wú)期徒刑，剝奪政治權利終身，并處沒(méi)收個(gè)人全部財產(chǎn)。
 李某不服上訴后，二審法院以李某及其家屬積極退贓，并得到被害方的諒解為由，以盜竊罪改判李某有期徒刑十五年，并處罰金100萬(wàn)元。
 意見(jiàn)分歧：李某的行為性質(zhì)，存在三種觀(guān)點(diǎn)：
 *種觀(guān)點(diǎn)認為，李某利用支付系統漏洞，以非法占有為目的，惡意透支6038萬(wàn)余元，其行為構成信用卡詐騙罪。
 第二種觀(guān)點(diǎn)認為，李某以非法占有為目的，違背商業(yè)銀行和支付服務(wù)公司的意志，在被害人不知情的情況下，秘密竊取被害人巨額資金，其行為構成盜竊罪。
 第三種觀(guān)點(diǎn)認為，李某的所有透支，都是經(jīng)過(guò)銀行同意的，在李某的信用卡賬戶(hù)中都是有記錄的，雙方成立債權債務(wù)關(guān)系，李某具有歸還透支款的法定義務(wù)。本案李某并沒(méi)有獲得不當得利。
 評析：原文的觀(guān)點(diǎn)認定事實(shí)存在問(wèn)題，法律適用跟著(zhù)存在問(wèn)題。筆者認為，前述三種意見(jiàn)中，唯有第三種意見(jiàn)與本案客觀(guān)事實(shí)相符合。
 要想準確把握本案的事實(shí)，必須具備基本的網(wǎng)絡(luò )知識。凡是專(zhuān)業(yè)領(lǐng)域中發(fā)生的案件，相關(guān)專(zhuān)業(yè)領(lǐng)域的基礎知識，是辦案人員準確認定案件事實(shí)的關(guān)鍵所在。如果不具備相關(guān)專(zhuān)業(yè)的基礎知識，辦案人員在認定案件事實(shí)過(guò)程中，極易將自己主觀(guān)臆測的部分內容摻入到案件事實(shí)中去，導致被認定的案件事實(shí)中，存在有主觀(guān)臆測的成分，定性就會(huì )偏離客觀(guān)實(shí)際。本案就是這種情形。
 本案涉及到網(wǎng)絡(luò )金融。必須了解網(wǎng)絡(luò )的基本知識，那就是行為人所有的操作，都是按支付服務(wù)公司和商業(yè)銀行設定的程序進(jìn)行的。行為人的每一次操作的實(shí)質(zhì)，都是向支付服務(wù)公司或者商業(yè)銀行提出一個(gè)請求，請求從自己持有的特種信用卡中透支相應金額，用于歸還其他信用卡所欠款項，或者將透支款通過(guò)虛擬的信用卡卡號轉移到自己名下的信用卡內。特別要強調的是，行為人每一次操作，都只是一個(gè)請求。這種提出請求的行為，是不違反任何法律法規的，是合法的。行為人通過(guò)終端提出請求的行為，等同于甲方向乙方提出雙方簽訂合同的要約。并且，行為人所發(fā)出的要約，還是按照支付服務(wù)公司或者商業(yè)銀行設定的程序進(jìn)行的。支付服務(wù)公司或者商業(yè)銀行不可能設立違背自己意志的程序。即便支付服務(wù)公司和商業(yè)銀行系統存在程序上漏洞，也決不可能是違背自己意志的。因為，違背銀行意志的程序與符合銀行意志的程序，程序設計上是完全不同。除非程序設計人員有意破壞，否則不可能發(fā)生顛倒乾坤的事。值得注意的是，現代銀行都是電子銀行，實(shí)現了電子化。電子銀行都是自動(dòng)無(wú)人值守的，資金進(jìn)出銀行（例如存款取款轉賬等）并不需要有人干預，電子化的銀行自動(dòng)進(jìn)行操作。這就意味著(zhù)機器知道，就代表銀行知道。
 了解了前述網(wǎng)絡(luò )金融的相關(guān)基礎知識后，回頭再來(lái)審查本案的客觀(guān)事實(shí)。原來(lái)行為人申請的特種信用卡透支金額并沒(méi)有封頂，這是發(fā)卡銀行信用卡管理部門(mén)的一個(gè)重大疏忽和管理上的漏洞。如此一來(lái)，行為人這張特種信用卡可以無(wú)限透支，除非被商業(yè)銀行管理人員發(fā)現。由于本案行為人申請特種信用卡提交的資料是真實(shí)的，并不存在騙領(lǐng)信用卡的行為，所有的透支都是使用合法賬號和密碼進(jìn)行操作的。因此，所有的操作都是按銀行設定的程序進(jìn)行的。盡管行為人是惡意透支的，但是這種“惡意透支”與信用卡詐騙罪中的惡意透支不同，本案商業(yè)銀行系統并沒(méi)有實(shí)際限定行為人的透支額度，不存在超過(guò)規定的限額透支。再者，本案也不存在行為人經(jīng)發(fā)卡行催收后“超過(guò)3個(gè)月仍不歸還”的情形。因此，李某的行為不符合信用卡詐騙罪任何一種行為類(lèi)型，不構成信用卡詐騙罪。
 本案不構成盜竊罪。如前所述，行為人的操作都是通過(guò)支付服務(wù)公司或者商業(yè)銀行設定的程序進(jìn)行的，都只是提出一個(gè)請求。這種提出請求的行為，無(wú)論如何不可能違背支付公司或者商業(yè)銀行意志。事實(shí)上，原文所謂違背支付服務(wù)公司或者商業(yè)銀行意志的觀(guān)點(diǎn)，應是是主觀(guān)臆測出來(lái)的，沒(méi)有任何事實(shí)依據，與網(wǎng)絡(luò )常識相違背。問(wèn)題出在哪里？原來(lái)就是案件承辦人對案件事實(shí)的認定中，將個(gè)人主觀(guān)臆測的成分夾在案件事實(shí)中：
“整個(gè)過(guò)程，李某并沒(méi)有得到商業(yè)銀行和支付服務(wù)公司的允許和*。因為技術(shù)上的漏洞具有一定的隱蔽性，商業(yè)銀行和支付服務(wù)公司是在案發(fā)后通過(guò)電子對賬單、郵件等記錄才知道李某的套取資金行為，案發(fā)時(shí)商業(yè)銀行和支付服務(wù)公司均不知情。從李某在發(fā)現可以用信用卡還信用卡和可超出信用卡的限額還信用卡后，積極注冊600余個(gè)虛擬信用卡賬號，進(jìn)而以逐步蠶食的方式秘密轉移商業(yè)銀行資金6038萬(wàn)元等一系列行為可反映出李某主觀(guān)上自認為商業(yè)銀行和支付服務(wù)公司均未發(fā)覺(jué)其行為。綜上，李某的行為符合秘密竊取的條件?！?br> 上述論斷中，所謂商業(yè)銀行和支付服務(wù)公司均不知情的觀(guān)點(diǎn)，是不符合事實(shí)的。因為金融服務(wù)電子化后，支付服務(wù)公司或者商業(yè)銀行的電腦系統的所有操作，就是代表支付服務(wù)公司或者銀行的，支付服務(wù)公司或者商業(yè)銀行當然是知情的，操作程序就是這些單位設置的。況且，金融電子化之后，不需要有工作人員人工干預，機器知道，就代表支付服務(wù)公司或者商業(yè)銀行知道。所以，所謂“李某主觀(guān)上自認為商業(yè)銀行和支付服務(wù)公司均未發(fā)覺(jué)其行為。綜上，李某的行為符合秘密竊取的條件”之觀(guān)點(diǎn)，偏離了案件事實(shí)，是不符合實(shí)際的。
“這好比商業(yè)銀行將巨額資金存放于某虛擬倉庫，商業(yè)銀行將保管權限交支付服務(wù)公司，而商業(yè)銀行由于支付服務(wù)公司疏忽大意未上鎖，李某發(fā)現后主動(dòng)進(jìn)入該倉庫將巨額資金取出，*終存入自己的倉庫并上鎖。李某侵害了商業(yè)銀行的資金所有權?！?br> 本案沒(méi)有真正意義上的程序漏洞存在，原文標題就是不符合客觀(guān)事實(shí)的。此處認為商業(yè)銀行將巨額資金存放于某虛擬倉庫，商業(yè)銀行將保管權限交支付服務(wù)公司等觀(guān)點(diǎn)，完全是不切實(shí)際的，商業(yè)銀行根本不可能將巨額資金保管權限交給支付服公司。這純粹是主觀(guān)臆測出來(lái)。本案問(wèn)題出在商業(yè)銀行給行為人發(fā)放特種信用卡時(shí)，沒(méi)有對行為人持有的這張特種信用卡設定限額，結果導致此張卡具有無(wú)限透支的特性。所謂的系統漏洞就是商業(yè)銀行沒(méi)有限定李某所持信用卡的限額而己。整個(gè)支付服務(wù)系統和商業(yè)銀行系統的運行，都是正常的。本案沒(méi)有任何證據證明支付服務(wù)公司的支付平臺系統存在任何漏洞，也沒(méi)有任何證據證明商業(yè)銀行電腦系統存在漏洞。本案*終未歸還的損失，都由支付服務(wù)公司承擔，也是極不公平的，因為問(wèn)題出在商業(yè)銀行沒(méi)有對特種信用卡設限額。之所以出現這種局面，是因為相比之下支付服務(wù)公司是弱勢的。
 所謂倉庫未上鎖，行為人進(jìn)入倉庫將財物取出的提法，完全是主觀(guān)臆測出來(lái)的。如果這種比方符合實(shí)際，當然是盜竊無(wú)疑。然而，事實(shí)并非如此，行為人根本沒(méi)有進(jìn)入倉庫的任何可能性。實(shí)際是行為人提出一個(gè)請求之后，是代表商業(yè)銀行意志的銀行電腦系統接受了這個(gè)請求，然后主動(dòng)把銀行資金交出的，根本不是行為人進(jìn)入倉庫將銀行資金取出的。從這里可以看出，辦案人員存在知識上的缺陷時(shí)，他們（包括刑法學(xué)家也是一樣的）往往從自己熟悉的經(jīng)驗出發(fā)，想當然地以自己熟悉的經(jīng)驗替代案件事實(shí)中自己知識面欠缺的部分。本案承辦人對于商業(yè)銀行資金是如何轉移到了行為人手里的，不了解不掌握。然而，這個(gè)不了解不掌握的部分事實(shí)，對于辦案是必不可少的。于是，接下來(lái)就發(fā)生了想當然，以此來(lái)彌補自己知識面的不足，盜竊的定性就成立了。許霆案亦是一樣的，認為成立盜竊罪的那些法學(xué)家，無(wú)不是這樣認定盜竊罪的。必須再次強調，行為人不管使用何種終端的進(jìn)行操作，都不是發(fā)出一條商業(yè)銀行電腦系統或者支付服務(wù)公司電腦系統必須執行的指令，而只是一個(gè)請求。不是指令，只是請求，兩者的性質(zhì)是完全不同的。指令，機器必須執行；請求，機器必須根據設定的程序與規則進(jìn)行處理，其中集中體現自己的意志，不會(huì )違背自己意志。因此，通過(guò)終端發(fā)出請求成立盜竊罪的觀(guān)點(diǎn)，不過(guò)是主觀(guān)臆測的產(chǎn)物，不具有現實(shí)可能性。
 綜上，本案行為人利用自己所持有的特種信用卡無(wú)規定限額的特性，連續進(jìn)行信用卡惡意透支。惡意透支的每一筆款項都在其信用卡賬戶(hù)中有記錄的，故商業(yè)銀行每次被透支都是知情的，是誰(shuí)透支，透支多少金額，透支時(shí)間等等，都是一清二楚的，且每次透支請求，都是經(jīng)過(guò)商業(yè)銀行同意才發(fā)放的。也就是說(shuō)，每筆款項的發(fā)放，都是經(jīng)過(guò)銀行同意的。銀行由于自身原因而錯誤發(fā)放的銀行資金，行為人與銀行之間成立債務(wù)債權關(guān)系，行為人具有歸還透支款的義務(wù)。因此，本案這種惡意透支行為，是不符合惡意透支的構成要件，不成立信用卡詐騙犯罪。故本案雙方只成立債權債務(wù)關(guān)系。李某也不是獲得不當得利。故*、二種意見(jiàn)都是不符合實(shí)際的，只有第三種意見(jiàn)是妥當的。

 作者單位：湖南省城步苗族自治縣人民檢察院