更改支付密碼, 私密轉走支付寶賬號內資金的行為定性

來源：《中國檢察官》2017年第10期

文＊方宇/江蘇省常熟市人民檢察院黨組成員、副檢察長

一、基本案情

犯罪嫌疑人柳某某于2016年7月11日，通過其購買的1875807****移動電話號碼注冊支付寶并實名認證，設置登陸密碼后，柳某某發現該電話號碼曾綁定于被害人董某某的支付寶賬戶4********@qq.com，且該賬戶已綁定了被害人的招商銀行信用卡。后柳某某在支付密碼設置中采用了短信驗證+身份證號碼（犯罪嫌疑人本人身份證號碼）對被害人的支付寶密碼進行了重置，進而將被害人支付寶錢包內的現金人民幣168元錢款提出至其綁定的個人銀行卡，后又使用該支付寶綁定的被害人招商銀行信用卡消費使用人民幣3000元。

二、分歧意見

第一種觀點認為，本案犯罪嫌疑人采用更改被害人支付寶賬戶支付密碼，將被害人支付寶賬戶內錢款及綁定的銀行卡內資金秘密轉移占有/轉為己有，構成盜竊罪。

第二種觀點認為，本案犯罪嫌疑人假冒被害人身份、冒用被害人信用卡進行詐騙活動，分別符合詐騙和信用卡詐騙行為特征，但因未達追訴標準，故不構成犯罪。

三、評析意見

筆者贊同第二種觀點，理由如下：

（一）“支付寶”的性質界定

第一，“支付寶”系第三方支付平臺。支付寶（中國）網絡技術有限公司（簡稱“支付寶”）是一種第三方支付平臺，致力于提供簡單、安全快速的支付解決方案。支付寶與國內180多家銀行以及VISA、MasterCard國際組織等機構建立戰略合作關系。第三方支付是指具備一定實力和信譽保證的獨立機構采用與各大銀行簽約的方式，提供與銀行支付結算系統接口的交易支付平臺的網絡支付模式。

第二，第三方支付的應用原理。第三方支付在按支付程序分類中歸入與信用證結算、保函結算相同的分步支付方式。在實際操作過程中第三方機構可以是發行信用卡的銀行本身，在進行網絡支付時，信用卡號以及密碼的披露只在持卡人和銀行之間轉移，降低了應通過商家轉移而導致的風險。當第三方是除了銀行以外的具有良好信譽和技術支持能力的某個機構（就如“支付寶（中國）網絡技術有限公司”）時，支付也通過第三方在持卡人或者客戶和銀行之間進行。持卡人首先和第三方以替代銀行賬號的某種電子數據的形式傳遞賬戶信息，避免了持卡人將銀行信息直接透露給商家，另外也可以不必登錄網上銀行界面，而取而代之的是每次登陸時，都能看到相對熟悉和簡單的第三方機構的界面。第三方機構與各個銀行之間又簽訂有關協議，使得第三方機構與銀行可以進行數據交換和相關信息確認，第三方機構實現在持卡人或消費者與各個銀行，以及最終的收款人之間建立一個支付的流程。

第三，第三方支付（支付寶）的現實功能。支付寶解決了網銀支付的兩大問題，一是解決了絕大部分銀行并未開通網銀、手機版網銀移動支付服務的問題；二是解決了由于網銀是公共接口，使用時有頁面跳轉，伴隨網銀釣魚案件和支付成功率一般僅有65%左右的問題。而支付寶與銀行以為網絡支付量身定做了網銀服務這一快捷支付功能，主推支付功能，由銀行與支付寶直連，保障了支付的安全性和便捷性，其支付成功率達到了95%左右。用戶可以通過在銀行留下的聯系方式、銀行卡號、手機校驗碼等信息快速開通快捷支付服務，付款時輸入支付寶支付密碼即可實現付款功能。

第四，支付寶等第三方支付平臺納入了金融秩序監督。2011年5月26日，支付寶獲得中國人民銀行頒發的國內第一第《支付業務許可證》（“支付牌照”）。2017年1月13日，中國人民銀行發布了《中國人民銀行辦公廳關于實施支付機構客戶備付金集中存管有關事項的通知》，明確了第三方支付機構在交易過程中，產生的客戶備付金，今后將統一交存至指定賬戶，由央行監管，支付機構不管挪用占用客戶備付金。

第五，支付寶與支付寶錢包。通常意義上的支付寶實際旗下有“支付寶”與“支付寶錢包”兩個獨立品牌，“支付寶”系源于淘寶網為保護消費者權益而產生的第三方支付平臺，使商家看不到客戶的信用卡信息，同時又避免了卡信息在網絡上多次公開傳輸而導致信用卡信息被竊；而“支付寶錢包”是移動支付平臺，內置理財所用的余額寶，還有還信用卡、轉賬、充話費、繳水電煤等功能。“支付寶錢包”集合了支付、錢包和理財的功能。因而“支付寶錢包”內資金與“支付寶”綁定銀行卡內資金性質存在區別。

綜上，筆者認為，作為第三方支付平臺的支付寶是納入金融監督，與銀行系統對接的金融支付輔助或替代工具。基于支付寶納入金融監管，不能簡單地認為利用“支付寶”等網絡支付平臺實施的侵財案件不具有對金融秩序的破壞，也基于支付寶獨有的應用原理、現實功能，不能簡單地認為網絡支付平臺支付密碼等信息，不屬于刑法規定的信用卡信息資料，而從技術角度而言，網絡平臺的支付密碼信息等應是平臺用戶基于綁定信用卡后衍生的信用卡信息資料。

（二）第三方支付平臺技術環境下的信用卡詐騙罪與盜竊罪、計算機信息系統類犯罪的關系解析

作為金融詐騙犯罪之一的信用卡詐騙罪具有如下幾個特征：

1.信用卡詐騙犯罪有其特殊的犯罪載體。不同于以盜竊、詐騙一般侵犯財產犯罪，金融詐騙罪有其特定的犯罪載體工具，如票據詐騙罪、金融憑證詐騙罪、信用證詐騙罪、有價證券詐騙罪以及信用卡詐騙罪，系以金融票據憑證、信用證、有價證券和信用卡為其犯罪載體，而一般的侵犯財產犯罪并不以上述特定載體工具為構成要件要素，因而，在對該類案件定性的考慮中，邏輯上還應當從有無特定的犯罪載體進行考量。

而在網絡平臺第三方支付技術環境下，也應當從違法犯罪行為實施所依托的犯罪載體角度出發考量。在通過支付寶違法使用信用卡時，應當從信用卡詐騙犯罪作為起點進行審查。認為行為人“更改了支付寶支付密碼后，取得了銀行卡的實際控制，在被害人采取應急措施之前，可以對銀行卡內的資金予取予求。此時，綁定的銀行卡內的資金對于犯罪嫌疑人來說是一個‘錢袋子’，銀行卡的相關屬性被無限弱化，僅是一個象征的程序。銀行卡只是被害人一種承載物，不能因為銀行卡的出現而適用刑法第一百九十六條第三款的規定，應直接使用刑法第二百六十四條的規定。”的觀點實屬不可取。銀行卡內的資金并不可能因支付設置方式改變而變為不是銀行卡內的資金。上文中在介紹支付寶應用原理和現實功能中提到，支付寶作為第三方支付是銀行網銀的替代（品），是支付結算方式的改變，并沒有改變所綁定的信用卡的基本性質，更不可能改變信用卡的功能。實質上，支付寶的出現是增加了信用卡的原有使用方式，也即是從原來的柜臺、ATM機、POS機、網銀、電話銀行等原先形式增加了支付寶這一支付平臺形式而已，支付寶將支付寶密碼與銀行卡密碼合二為一，只是簡化了使用流程，使用支付寶（綁定的銀行卡內資金）根本上還是在（直接）使用綁定的信用卡，無論如何也無法得出銀行卡的相關屬性被無限弱化，僅是一個象征的程序這一結論。

2.盜竊信用卡并使用與冒用他人信用卡的區分。最高人民法院、最高人民檢察院法釋[2009]19號《關于辦理妨害信用卡管理刑事案件具體應用法律若干問題的解釋》對“冒用他人信用卡”，規定了以下情形：（一）拾得他人信用卡并使用的；（二）騙取他人信用卡并使用的；（三）竊取、收買、騙取或者以其他非法方式獲取他人信用卡信息資料，并通過互聯網、通訊終端等使用的；（四）其他冒用他人信用卡的情形。在司法實踐對處理傳統的信用卡犯罪案件中，對冒用他人信用卡與盜竊信用卡并使用的區分界限是明晰的，但在以支付寶為代表的第三方支付平臺技術出現后，出現了認識變化和混亂。

首先，刑法第一百九十六條第三款“盜竊信用卡并使用”中的信用卡是否應當僅指真實有效的實體信用卡？如果在網絡支付技術尚未出現或成熟推廣的時候，我們有此認識還情有可原，但在以支付寶為代表的網絡支付成為主流后，對“信用卡”的認定顯然不能再以實體卡為限了。“支付寶錢包”為代表的手機移動支付，正是解放了實體信用卡的傳統使用形式，通過智能手機程序與信用卡技術綁定結合，只需一部手機打開一個程序界面就可以完成了之前將錢包內的實體信用卡在POS機上刷卡使用的形式，因而盜竊被害人電子設備后使用該電子設備內網絡支付平臺綁定的銀行卡也應當認定為盜竊罪。

其次，信用卡信息資料能否包括網絡支付平臺的支付密碼等信息？信用卡實體卡本身僅是一張卡片，實施信用卡詐騙犯罪本質上還是利用了信用卡所承載的信息所實施的犯罪，信用卡信息資料是一組有關發卡行代碼、持卡人賬號、密碼、校驗碼等內容的加密電子數據，通常由發卡行在發卡時使用專用設備寫入信用卡的磁條或芯片中，作為POS機、ATM機等終端機具識別合法用戶的依據。作為信用卡信息里至關重要的支付密碼顯然是信用卡信息。但在信用卡綁定了網絡支付平臺后，信用卡本身的支付密碼由網絡支付密碼所替代。事實上，以支付寶為例，通過電子設備登錄網絡支付平臺賬戶后根本無需再通過輸入網絡支付平臺綁定信用卡的密碼或銀行驗證碼進行操作，甚至在限額以下可以免密支付。如果將支付密碼視為是保險鎖，那么在網絡支付平臺技術條件下，平臺支付密碼替代信用卡支付密碼使用，完全可以視為二者的合二為一，等同視之。再如信用卡本身未設密碼，或使用免密支付形式時，根本不存在密碼使用需要，因而“通過輸入網絡支付平臺密碼獲取該平臺綁定信用卡內資金的，定盜竊罪；通過輸入網絡支付平臺綁定信用卡的密碼或銀行驗證碼，獲取信用卡內資金的，定信用卡詐騙罪”的區分方式是對第三方支付結算方式技術實質的一種誤讀。

3.盜竊信用卡并使用與竊取、收買、騙取或者以其他非法方式獲取他人信用卡信息資料，并通過互聯網、通訊終端等使用的認定區別。有觀點認為，“刑法第196條第3款明確規定，盜竊信用卡并使用的，以盜竊罪定罪處罰。刑法該條款的規定明顯具有法律擬制的特征”。“盜竊信用卡是指行為人采用不為持卡人發現的秘密手段竊取他人信用卡的行為，盜竊的對象必須是真實有效的信用卡。”在《<關于辦理妨害信用卡管理刑事案件具體應用法律若干問題的解釋>理解與適用》一文認為，由于通過網上銀行、電話銀行等方式進行信用卡交易時，銀行交易系統是通過對信用卡信息資料的識別來確定持卡人身份的，所以竊取、收買、騙取或者以其他非法方式獲取他人信用卡信息資料，并通過互聯網、通訊終端等使用的行為具有“冒用他人信用卡”的性質。由此可見，只有在實施盜竊獲取信用卡后并使用的行為才可認定為盜竊罪，除此之外的情形，即使是竊取信用卡信息資料的，也只能認定為信用卡詐騙罪。

4.與利用計算機信息系統實施相關犯罪的競合。竊取、收買、騙取或者以其他非法方式獲取他人信用卡信息資料，極有可有系以非法侵入、控制計算機信息系統、非法獲取計算機信息系統數據為手段，因此應當依照刑法第二百八十七條的規定，對利用計算機實施金融詐騙、盜竊等犯罪的，依照有關規定定罪處罰，在行為不構成金融詐騙、盜竊等犯罪時，可考慮適用利用計算機信息系統犯罪。

   綜上，筆者認為，在對以“支付寶”等網絡支付平臺中綁定的信用卡作為載體工具所實施的犯罪認定時，依然要依照相關司法解釋的規定理解適用。從區分角度而言，只有行為人是通過盜竊行為非法占有被害人安裝有支付寶等網絡支付平臺軟件并綁定信用卡的電子設備后并使用的行為才可評價為盜竊罪；通過收買、騙取或者以其他非法方式獲取被害人裝有網絡支付平臺軟件并綁定信用卡的電子設備，或者通過竊取、收買、騙取或者以其他非法方式獲取他人信用卡信息資料后登陸被害人綁定信用卡的網絡支付平臺后使用信用卡的行為，仍屬信用卡詐騙。

（三）本案的定性分析

首先，本案犯罪嫌疑人獲取被害人支付寶賬戶信息不具有非法性。本案犯罪嫌疑人將其1875807****移動電話號碼用于注冊支付寶并實名認證，設置登陸密碼后，發現該電話號碼綁定于被害人支付寶賬戶且已綁定了招商銀行信用卡。此種情形的出現源系支付寶系統一個手機號可綁定六個賬號而出現的技術漏洞，犯罪嫌疑人系新手機號的使用者，其用該手機號重新注冊支付寶后發現與之原先關聯的賬號信息互通，其進入原賬號系統純屬偶然，因而其獲取被害人支付寶賬戶信息的行為不應被評價為非法。

由于犯罪嫌疑人進入原賬號系統不具有非法性，故在其合法進入該賬號后所獲得的綁定信用卡就有如拾得信用卡，既非騙取更非秘密竊取，同樣不具有非法性。

其次，本案犯罪嫌疑人支付密碼設置行為系冒用信用卡行為中的冒用行為。犯罪嫌疑人在支付密碼設置中采用了短信驗證+身份證號碼/的方式進行了修改，且這身份證號碼系其本人身份證號碼，支付寶系統按其程序驗證通過了其使用資格，由此，可以認為犯罪嫌疑人向支付寶系統發送了支付寶系統認可的信息后，支付寶系統陷于錯誤認識，錯誤認定犯罪嫌疑人系合法使用人進而授以其使用的資格與權力，該行為可認為是后續使用行為之前的假冒行為。這一步驟相當于實踐中的猜配密碼的行為，使銀行卡系統誤認為持卡人系合法所有者而授予其使用權利。

本案犯罪嫌疑人通過支付密碼設置后獲取支付寶錢包內的行為可認為系詐騙行為。由于支付寶錢包內的錢款不屬于銀行卡內資金，故無法構成信用卡詐騙。但由于犯罪嫌疑人輸入了支付寶認可的信息后，虛構了其為支付寶錢包內錢款的合法用戶身份并進而讓支付寶誤以為轉賬行為是真實用戶的意思表示，使支付寶錯誤支配處置了合法用戶的財產，符合詐騙罪的特征。

再次，本案犯罪嫌疑人的行為不符合盜竊罪的特征。盜竊罪是行為人以秘密手段將被害人占有控制的財產非法轉移占有的行為。詐騙犯罪是以虛構事實，隱瞞真相的手段，使被害人交付其控制占有的財產或使被騙者處分被害人的財產使被害人損失的行為。本案中，被害人在支付寶錢包的資金是由支付寶平臺系統保管的資金，綁定的信用卡中可使用的資金本質上是其使用的資金額度，犯罪嫌疑人所實施的行為是向支付寶錢包內資金的保管者、與綁定信用卡相關聯的第三方支付平臺的“支付寶”發出了使之以為其系合法使用者的指令后，“支付寶”作出錯誤認識而交付其被害人的財產，犯罪嫌疑人未以秘密手段實施轉移被害人財產的行為，故不成立盜竊罪。

最后，本案不宜合并評價為普通詐騙罪。盡管本案犯罪嫌疑人的涉案金額未達到詐騙罪的追訴標準，但基于詐騙罪與信用卡詐騙罪系普通犯與特別犯的關系，是否可以合并認定為詐騙罪存在爭議。筆者認為，詐騙罪與信用卡詐騙罪系普通與特別犯的關系，在詐騙罪法律條文中明確“本法另有規定的，依照規定”，本著罪刑法定原則，符合特別犯行為的應當以特別犯論處，而不應再以普通犯進行類推認定，故不可合并計算認定。

綜上分析，筆者認為本案犯罪嫌疑人柳某某的行為不構成犯罪。