[ 肖佑良 ]——(2016-8-30) / 已閱6728次
也談《利用支付服務平臺漏洞套取銀行資金如何定性》
前言:該案系2016年7月28日《人民法院報》刊載的一個案例分析。原文觀點認為本案構成盜竊罪,這種觀點符合客觀事實嗎?
案情簡介:2012年11月26日,被告人李某以購買汽車為由向某商業銀行某支行申請開辦一特種信用卡,并留存手機號碼,李某隨后成功激活該卡,規定限額為26萬元。2013年3月3日7時許,李某注冊為某支付服務公司用戶,并于隨后利用該公司明確禁止的方式,即利用該特種信用卡對其他信用卡進行轉賬還款成功。李某最終通過積極注冊600余個虛擬信用卡賬號,以逐步蠶食的方式秘密轉移商業銀行資金6038萬余元至其持有的多個銀行卡上。其中有人民幣890萬元在轉移到其卡上之前被支付服務公司攔截并凍結。李某將套取的資金用于銀行存款,購買轎車、房子,償還債務,個人消費等。案發后,支付服務公司賠付商業銀行人民幣60386465元,支付服務公司從公安機關領取涉案款物人民幣44780801.53元。
一審法院經審理后認為,被告人李某以非法占有為目的,秘密竊取他人財物共計60386465元,其中51486465元既遂,890萬元未遂,數額特別巨大,其行為構成盜竊罪。該院以盜竊罪判處被告人李某無期徒刑,剝奪政治權利終身,并處沒收個人全部財產。
李某不服上訴后,二審法院以李某及其家屬積極退贓,并得到被害方的諒解為由,以盜竊罪改判李某有期徒刑十五年,并處罰金100萬元。
意見分歧:李某的行為性質,存在三種觀點:
第一種觀點認為,李某利用支付系統漏洞,以非法占有為目的,惡意透支6038萬余元,其行為構成信用卡詐騙罪。
第二種觀點認為,李某以非法占有為目的,違背商業銀行和支付服務公司的意志,在被害人不知情的情況下,秘密竊取被害人巨額資金,其行為構成盜竊罪。
第三種觀點認為,李某的所有透支,都是經過銀行同意的,在李某的信用卡賬戶中都是有記錄的,雙方成立債權債務關系,李某具有歸還透支款的法定義務。本案李某并沒有獲得不當得利。
評析:原文的觀點認定事實存在問題,法律適用跟著存在問題。筆者認為,前述三種意見中,唯有第三種意見與本案客觀事實相符合。
要想準確把握本案的事實,必須具備基本的網絡知識。凡是專業領域中發生的案件,相關專業領域的基礎知識,是辦案人員準確認定案件事實的關鍵所在。如果不具備相關專業的基礎知識,辦案人員在認定案件事實過程中,極易將自己主觀臆測的部分內容摻入到案件事實中去,導致被認定的案件事實中,存在有主觀臆測的成分,定性就會偏離客觀實際。本案就是這種情形。
本案涉及到網絡金融。必須了解網絡的基本知識,那就是行為人所有的操作,都是按支付服務公司和商業銀行設定的程序進行的。行為人的每一次操作的實質,都是向支付服務公司或者商業銀行提出一個請求,請求從自己持有的特種信用卡中透支相應金額,用于歸還其他信用卡所欠款項,或者將透支款通過虛擬的信用卡卡號轉移到自己名下的信用卡內。特別要強調的是,行為人每一次操作,都只是一個請求。這種提出請求的行為,是不違反任何法律法規的,是合法的。行為人通過終端提出請求的行為,等同于甲方向乙方提出雙方簽訂合同的要約。并且,行為人所發出的要約,還是按照支付服務公司或者商業銀行設定的程序進行的。支付服務公司或者商業銀行不可能設立違背自己意志的程序。即便支付服務公司和商業銀行系統存在程序上漏洞,也決不可能是違背自己意志的。因為,違背銀行意志的程序與符合銀行意志的程序,程序設計上是完全不同。除非程序設計人員有意破壞,否則不可能發生顛倒乾坤的事。值得注意的是,現代銀行都是電子銀行,實現了電子化。電子銀行都是自動無人值守的,資金進出銀行(例如存款取款轉賬等)并不需要有人干預,電子化的銀行自動進行操作。這就意味著機器知道,就代表銀行知道。
了解了前述網絡金融的相關基礎知識后,回頭再來審查本案的客觀事實。原來行為人申請的特種信用卡透支金額并沒有封頂,這是發卡銀行信用卡管理部門的一個重大疏忽和管理上的漏洞。如此一來,行為人這張特種信用卡可以無限透支,除非被商業銀行管理人員發現。由于本案行為人申請特種信用卡提交的資料是真實的,并不存在騙領信用卡的行為,所有的透支都是使用合法賬號和密碼進行操作的。因此,所有的操作都是按銀行設定的程序進行的。盡管行為人是惡意透支的,但是這種“惡意透支”與信用卡詐騙罪中的惡意透支不同,本案商業銀行系統并沒有實際限定行為人的透支額度,不存在超過規定的限額透支。再者,本案也不存在行為人經發卡行催收后“超過3個月仍不歸還”的情形。因此,李某的行為不符合信用卡詐騙罪任何一種行為類型,不構成信用卡詐騙罪。
本案不構成盜竊罪。如前所述,行為人的操作都是通過支付服務公司或者商業銀行設定的程序進行的,都只是提出一個請求。這種提出請求的行為,無論如何不可能違背支付公司或者商業銀行意志。事實上,原文所謂違背支付服務公司或者商業銀行意志的觀點,應是是主觀臆測出來的,沒有任何事實依據,與網絡常識相違背。問題出在哪里?原來就是案件承辦人對案件事實的認定中,將個人主觀臆測的成分夾在案件事實中:
“整個過程,李某并沒有得到商業銀行和支付服務公司的允許和授權。因為技術上的漏洞具有一定的隱蔽性,商業銀行和支付服務公司是在案發后通過電子對賬單、郵件等記錄才知道李某的套取資金行為,案發時商業銀行和支付服務公司均不知情。從李某在發現可以用信用卡還信用卡和可超出信用卡的限額還信用卡后,積極注冊600余個虛擬信用卡賬號,進而以逐步蠶食的方式秘密轉移商業銀行資金6038萬元等一系列行為可反映出李某主觀上自認為商業銀行和支付服務公司均未發覺其行為。綜上,李某的行為符合秘密竊取的條件。”
上述論斷中,所謂商業銀行和支付服務公司均不知情的觀點,是不符合事實的。因為金融服務電子化后,支付服務公司或者商業銀行的電腦系統的所有操作,就是代表支付服務公司或者銀行的,支付服務公司或者商業銀行當然是知情的,操作程序就是這些單位設置的。況且,金融電子化之后,不需要有工作人員人工干預,機器知道,就代表支付服務公司或者商業銀行知道。所以,所謂“李某主觀上自認為商業銀行和支付服務公司均未發覺其行為。綜上,李某的行為符合秘密竊取的條件”之觀點,偏離了案件事實,是不符合實際的。
“這好比商業銀行將巨額資金存放于某虛擬倉庫,商業銀行將保管權限交支付服務公司,而商業銀行由于支付服務公司疏忽大意未上鎖,李某發現后主動進入該倉庫將巨額資金取出,最終存入自己的倉庫并上鎖。李某侵害了商業銀行的資金所有權。”
本案沒有真正意義上的程序漏洞存在,原文標題就是不符合客觀事實的。此處認為商業銀行將巨額資金存放于某虛擬倉庫,商業銀行將保管權限交支付服務公司等觀點,完全是不切實際的,商業銀行根本不可能將巨額資金保管權限交給支付服公司。這純粹是主觀臆測出來。本案問題出在商業銀行給行為人發放特種信用卡時,沒有對行為人持有的這張特種信用卡設定限額,結果導致此張卡具有無限透支的特性。所謂的系統漏洞就是商業銀行沒有限定李某所持信用卡的限額而己。整個支付服務系統和商業銀行系統的運行,都是正常的。本案沒有任何證據證明支付服務公司的支付平臺系統存在任何漏洞,也沒有任何證據證明商業銀行電腦系統存在漏洞。本案最終未歸還的損失,都由支付服務公司承擔,也是極不公平的,因為問題出在商業銀行沒有對特種信用卡設限額。之所以出現這種局面,是因為相比之下支付服務公司是弱勢的。
所謂倉庫未上鎖,行為人進入倉庫將財物取出的提法,完全是主觀臆測出來的。如果這種比方符合實際,當然是盜竊無疑。然而,事實并非如此,行為人根本沒有進入倉庫的任何可能性。實際是行為人提出一個請求之后,是代表商業銀行意志的銀行電腦系統接受了這個請求,然后主動把銀行資金交出的,根本不是行為人進入倉庫將銀行資金取出的。從這里可以看出,辦案人員存在知識上的缺陷時,他們(包括刑法學家也是一樣的)往往從自己熟悉的經驗出發,想當然地以自己熟悉的經驗替代案件事實中自己知識面欠缺的部分。本案承辦人對于商業銀行資金是如何轉移到了行為人手里的,不了解不掌握。然而,這個不了解不掌握的部分事實,對于辦案是必不可少的。于是,接下來就發生了想當然,以此來彌補自己知識面的不足,盜竊的定性就成立了。許霆案亦是一樣的,認為成立盜竊罪的那些法學家,無不是這樣認定盜竊罪的。必須再次強調,行為人不管使用何種終端的進行操作,都不是發出一條商業銀行電腦系統或者支付服務公司電腦系統必須執行的指令,而只是一個請求。不是指令,只是請求,兩者的性質是完全不同的。指令,機器必須執行;請求,機器必須根據設定的程序與規則進行處理,其中集中體現自己的意志,不會違背自己意志。因此,通過終端發出請求成立盜竊罪的觀點,不過是主觀臆測的產物,不具有現實可能性。
綜上,本案行為人利用自己所持有的特種信用卡無規定限額的特性,連續進行信用卡惡意透支。惡意透支的每一筆款項都在其信用卡賬戶中有記錄的,故商業銀行每次被透支都是知情的,是誰透支,透支多少金額,透支時間等等,都是一清二楚的,且每次透支請求,都是經過商業銀行同意才發放的。也就是說,每筆款項的發放,都是經過銀行同意的。銀行由于自身原因而錯誤發放的銀行資金,行為人與銀行之間成立債務債權關系,行為人具有歸還透支款的義務。因此,本案這種惡意透支行為,是不符合惡意透支的構成要件,不成立信用卡詐騙犯罪。故本案雙方只成立債權債務關系。李某也不是獲得不當得利。故第一、二種意見都是不符合實際的,只有第三種意見是妥當的。
作者單位:湖南省城步苗族自治縣人民檢察院 肖佑良
