【201829045】冒名注册支付宝账户并绑定信用卡套现的定性
文/张超

　　【裁判要旨】
　　盗窃支付宝账户内的财物及其绑定的信用卡账户内财物这一类案件，虽然行为方式上均表现为秘密窃取，但针对的对象不同，背后涉及的机构分工、责任分配也不相同，对案件的定性有影响。在盗窃支付宝账户及已经绑定的信用卡内财物时，仅需输入交易指令即可实现财产的转移，应认定为盗窃罪；在利用支付宝将未绑定的信用卡予以绑定继而窃取信用卡内财物时，涉及银行的审核程序，应认定为信用卡诈骗罪。
　　□案号：一审：(2017)浙0191刑初179号
　　【案情】
　　公诉机关：浙江省杭州经济技术开发区人民检察院。
　　被告人：王玉国。
　　法院审理查明：2016年11月17日，被告人王玉国在杭州经济技术开发区朝阳轮胎7229宿舍内，趁室内无人之机，利用被害人杨训涛放在宿舍内的手机、信用卡和身份证，冒用杨训涛的身份注册支付宝账户，并绑定杨训涛的三张信用卡，先后5次通过网上消费支付的手段，共计套取11500元。
　　【审判】
　　杭州经济技术开发区人民法院经审理认为，被告人王玉国冒用他人信用卡，骗取他人钱款，数额较大，其行为已构成信用卡诈骗罪。法院以信用卡诈骗罪判处被告人王玉国有期徒刑1年，并处罚金2万元。
　　一审宣判后，被告人未提出上诉，检察机关未抗诉，该判决已经发生法律效力。
　　【评析】
　　一、定性争议
　　关于本案的定性，公诉机关认为本案被告人获取被害人的银行卡信息后利用支付宝作为中转窃取卡内的钱款，系冒用他人信用卡的行为，应定性为信用卡诈骗罪。合议庭在合议时，有观点认为本案实际上是刑法中盗窃信用卡并使用的行为，应定性为盗窃罪。
　　利用支付宝绑定银行卡并窃取的行为应定性为信用卡诈骗还是盗窃，司法实践中也确实存在不同的观点。
　　在上海等地的司法实践中，持盗用他人支付宝绑定的银行卡资金构成信用卡诈骗罪观点，认为“未经许可重置他人支付宝密码，或者通过其他非法方式获取他人支付宝密码的，就可以直接获取他人信用卡信息资料，并可以进行网上消费和转账。这种行为，貌似窃取了他人信用卡信息资料，就可以非法占有他人财物的盗窃行为，但其行为实质是行为人窃取了他人信用卡信息资料之后，还需冒用持卡人身份向相关银行发出支付指令，银行在接到指令后，错误地认为系持卡人发出的指令而同意支付。显然，以上行为属于冒用他人信用卡、以无磁交易方式实施的诈骗行为，不仅侵害了国家对信用卡的管理制度，而且还侵害了他人的财产所有权，与仅仅侵害公私财产所有权的盗窃行为存在本质区别”。[1]
　　浙江等地的司法实践中，对利用非法手段将支付宝账户及绑定的关联信用卡的钱款窃取的行为多认定为盗窃罪，认为“对淘宝卖家的支付宝账户进行密码重设等操控后，从而取走被害人账户及关联银行卡内的资金。可见，在该过程中，被害人并没有基于错误的认识而处分自己的财物，而是行为人通过木马病毒这一介质来秘密地窃取被害人的支付宝账户信息及资金，因此，本案各被告人的行为符合盗窃罪的构成要件，应当认定为盗窃罪”。[2]
　　上述观点中所述行为与本案行为相似，在行为构造上都具有取得支付宝的控制权——绑定信用卡——窃取信用卡中的钱款特征，但在认识上却得出不同的结论，其区别在哪儿？
　　首先，对于是否存在处分行为的认识不同。第一种观点认为，被告人的行为实际上含有通过支付宝与银联的关联交易协议，绑定银行卡及通过支付宝转走银行卡内的钱，都向银行发出指令，银行是根据该指令作出的支付行为。在这一过程中，银行误以为发送指令的是被害人，从而产生错误认识，按照指令进行了财产的转移，被告人的行为实际上是对银行的欺骗，属于冒用他人信用卡的行为，应定性为信用卡诈骗。而第二种观点认为，被告人通过非法手段进入被害人的支付宝账户，无论是取走支付宝账户中的钱款还是关联银行卡内的资金，被害人本身并未基于错误而处分自己的财物，不存在处分行为，被告人的行为只是一种在被害人不知情的情况下窃取财物的行为，应定性为盗窃。
　　其次，对于被害人的理解不同。第一种观点中实际上存在两个不同层面上的被害人，第一个被害人是支付宝账户和银行账户的所有人，无论是支付宝还是银行卡均在其名下，账户内的资金是其个人的资产；第二个被害人是银行，银行在被告人非法持有的第一个被害人才应掌控的口令的误导下，将财产进行了处分，是被欺骗的一方，也是被害人。第二种观点中只有前述第一个意义上的被害人，被告人盗窃的是其个人的财产，与银行无关，而且银行处分该财产的是机器而非柜员，根据通行的刑法学观点，机器是不可能被骗的。
　　再次，对被告人的主行为认识不同。第一种观点认为，行为可罚性的依据在于被告人冒用被害人的身份向银行发出财产处分的指令，行为的实质在于冒用他人信用卡，主行为在于向银行发出指令。第二种观点认为，行为的可罚性在于被告人在被害人未知情的情况下，秘密进入其支付宝账户内实施财产处分行为，行为的实质在于秘密窃取，主行为在于非法进入支付宝账户转移、处分财产。
　　最后，对行为的危害性认识不同。第一种观点，被告人的行为不仅是对公私财产所有权的侵犯，而且对国家对信用卡的管理制度也造成了冲击，是对复杂客体的侵犯。第二种观点认为，被告人的行为侵犯的只有公私财产所有权，不管是支付宝还是银行卡，实际上里面都是个人的财产，不涉及国家对信用卡的管理制度。
　　二、信用卡诈骗与盗窃信用卡并使用的区分
　　理论上一般认为，刑法第一百九十六条第三款的规定(盗窃信用卡并使用的定盗窃罪)属于法律拟制，也即在盗窃信用卡和以其他非法方式获取信用卡的问题上，实际上并没有本质的不同，但因立法技术的问题，将其划为盗窃罪的范畴内。该条文设置时，国家信用卡使用和管理与现在有所不同，按照这一规定处理会导致法律体系的不统一，但立法的改变难度较大，所以后续的司法解释尽量将该规定的范围进行限缩。2009年最高人民法院、最高人民检察院《关于办理妨害信用卡管理刑事案件具体应用法律若干问题的解释》规定，“窃取、收买、骗取或者以其他非法方式获取他人信用卡信息资料，并通过互联网、通讯终端等使用的”，属于冒用他人信用卡，定信用卡诈骗罪。该规定实际上是将窃取信用卡的范围仅仅限于实体信用卡，而问题的关键是，实体信用卡实际上也必然载有信用卡信息，在盗窃实体信用卡时，不可避免地会盗窃信用卡信息。根据中国人民银行2000年11月10日发布的《银行卡磁条信息格式和使用规范》的规定，信用卡信息资料，是指信用卡磁条的磁道上所记载的有关客户信息，主要包括主账号、发卡机构标识号码、个人账户标识、校验位、个人标识代码，这些信息都要求包含在磁道信息中。而根据《银行卡卡片规范》，实际上发卡机构标识、发卡机构名称、卡号、受理主标识、有效(失效)日期、持卡人姓名、预印卡号的前4位数字以及CVN2验证码等内容已经在银行卡卡面载明——如果盗窃了实体信用卡，实际上部分信用卡信息也能从卡面获得。这样就存在一种竞合的情形。
　　随着社会的发展，便捷性交易已经成为经济运行的趋势，在银行卡交易方面，支付宝、微信等交易平台绑定银行卡或者银行卡闪付的出现使得并不需要输入银行卡密码就可以进行交易，犯罪分子在实施犯罪行为时所需要的可能仅仅是银行卡的卡面信息，而不必费尽心思去破解银行卡密码。与现今的金融经济和科技的发展相比，20年前的立法技术已经落后于时代，严守实体银行卡还是信用卡信息的界分方式，还是会产生疑问——如果仅仅是看到被害人银行卡上的卡面信息，并未实际用手去拿，或者拿走卡记下卡面信息就放回原处，是盗窃实体信用卡本身还是信用卡信息？这种形式上的区别绝不是冒用型信用卡诈骗罪与盗窃罪的核心区别。
　　有观点认为，“付款一方是否进行了身份审核，是否基于对用卡人身份的错误认识处分了财产，是冒用型信用卡诈骗与盗窃罪的一个核心区分。”[3]该观点基于当下银行交易的工作流程和工作关系，认为“由于支付宝与银行卡之间的绑定关系，被告人未经许可重置他人支付宝密码，或者通过其他非法方式获取他人支付宝密码的，本质即是窃取了他人信用卡信息资料，其利用该支付宝消费或转账，最终是由支付宝以信用卡持卡人身份向相关银行发出了支付指令。银行在接到指令后，进行了身份审核，错误地认为系持卡人发出指令而予以同意支付”，故属于冒用型信用卡诈骗。该观点切中了问题实质，但对于快捷支付的交易过程描述有误。
　　三、快捷支付下信用卡诈骗与盗窃信用卡并使用的界分
　　根据《银行卡业务管理办法》的规定，“银行卡及其账户只限经发卡银行批准的持卡人本人使用，不得出租和转借。”“发卡银行依据密码等电子信息为持卡人办理的存取款、转账结算等各类交易所产生的电子信息记录，均为该项交易的有效凭据。”根据上述规定，持卡人所掌控的密码是银行同意支付的主要依据，只要是能够正确输入银行卡的密码，银行就默认是持卡人的操作。
　　无论是面对ATM机还是银行柜台工作人员，能够正确输入银行卡密码的人，实际上都已经完成了获取卡内资金的全部手续，只是在有行政要求的情况下，银行才会核实银行卡持卡人的身份信息。例如，根据2011年《中国人民银行关于进一步加强人民币银行结算账户开立、转账、现金支取业务管理的通知》规定，“为个人存款人办理人民币单笔5万元以上现金支取业务的，银行应核对存款人的有效身份证件”，也就是说在相对大额的情况下，银行才具有核对取款人是否存款人(银行卡持卡人)的义务，实际上变相规定了银行柜员在取款人输入正确密码的情况下就会按照流程进行下一步(交付支付现金)的操作，与ATM机设定的取款程序并无不同。以是否经过银行柜员办理取款手续来区分构成信用卡诈骗或盗窃信用卡并使用型盗窃，并不具有本质的意义，是否经过身份审核程序才是区分的关键。
　　在支付宝等第三方支付机构与银行卡绑定过程中，银行是需要进行身份审核的。中国证监会、中国人民银行《关于加强商业银行与第三方支付机构合作业务管理的通知》三条规定：“客户银行账户与第三方支付机构首次建立业务关联时，应经双重认证，即客户在通过第三方支付机构认证同时，还需通过商业银行的客户身份鉴别。账户所在银行应通过物理网点、电子渠道或其他有效方式直接验证客户身份，明确双方权利与义务。”第四条规定：“商业银行通过电子渠道验证和辨别客户身份，应采用双(多)因素验证方式对客户身份进行鉴别，对不具备双(多)因素认证条件的客户，其任何账户不得与第三方支付机构建立业务关联。”上述规定表明，发卡行在客户的银行账户与第三方支付机构首次建立业务关联时对客户进行身份鉴别是有强制性要求的。以工商银行为例，《中国工商银行快捷支付业务服务协议》(以下简称《协议》)进一步明确，在开通快捷支付过程中，“甲方(指的是持卡人)同意将签约过程中所填写的包括但不限于姓名、银行卡号、手机号码、身份证件号码、信用卡有效期等要素用于身份验证，并同意将指定银行卡号与甲方在支付机构开立的指定会员账号建立签约关系。乙方(指的是银行)收到支付机构发送的上述信息后，将上述信息与甲方在乙方预留的客户信息进行对比验证，验证通过后，乙方为甲方签约银行开通快捷支付业务。”该规定表明在开通快捷支付(指的是支付宝绑定银行卡)过程中，银行对持卡人的姓名、银行卡号、手机号码、身份证件号码、信用卡有效期等要素用于身份验证，表明对人和卡之间的关联性是有审核的。但银行对于冒用他人的身份绑定银行卡的情况是有预防的，上述《协议》规定：“甲方应确保用于快捷支付签约的银行卡为本人所有，保证在签约过程中提供的信息真实、准确、有效，确保支付行为合法并未侵犯任何第三方合法权益，否则因此造成乙方及持卡人损失的，由甲方负责赔偿并承担全部法律责任。”该规定表明银行对于持卡人遭受的损失并不承担赔偿责任，银行虽然在身份审核时被骗，但并非实质意义上的被害人。
　　但在绑定之后，情况又有所不同。在支付宝账户绑定信用卡的情况下，实际上并不需要输入信用卡的密码，只需要输入支付宝账户的交易密码就可以获取卡内资金。根据上述《协议》，“快捷支付签约成功后，即视为甲方授权乙方按照支付机构的交易指令从签约银行卡上主导划扣资金。届时甲方不应以未在交易单据中签名、签名不符、非本人意愿交易、未验证银行卡支付密码、未验证银行卡支付盾等原因要求乙方退款或承担其他责任。”即绑定银行卡之后，持卡人在支付宝账户中的交易指令可以直接从银行卡中划扣资金，不需要签名、验证银行卡密码等手续一一银行不再验证是否人卡一致或者指令是否持卡人本人所为，而且持卡人对“发出的指令的真实性及有效性承担全部责任”“发出的指令不可撤回或撤销，支付宝一旦根据指令委托银行或第三方从银行卡中划扣资金给收款人，不应以非本人意愿交易或其他任何原因要求支付宝退款或承担其他责任。”在这一过程中，根据支付宝《快捷支付服务相关协议》的规定，操作人“对使用本服务过程中发出指令的真实性及有效性承担全部责任”，如遗失或泄露“与银行卡或与支付宝账户有关的一切信息和设备”“无论是否通知发卡行及/或支付宝，因您的原因所致损失需由您自行承担”。实际上支付宝也不对发出指令人是否账户的所有人进行审核，发出的指令——交易密码是否正确是唯一的验证手段。
　　根据上述分析，在被害人自己已经绑定银行卡的情况下，行为人窃取被害人的支付宝账户密码之后，通过支付宝交易密码从银行卡中处分、转移资金的，银行并未进行身份鉴别，认定为盗窃是没有疑义的。这里需要注意的是，这一过程中并不涉及窃取信用卡信息资料并通过互联网、通讯终端等使用的情况，因为对于行为人来说，连被害人的信用卡账户都看不全(只能看到后四位数字)，何来窃取信用卡信息？而且行为人的主观意图乃是窃取银行卡中的财产，至于信用卡的账号、发卡机构等信息对行为人并无意义，无论主观和客观都不符合冒用型信用卡诈骗。所以，这种情形只是单纯的盗窃行为，与盗窃支付宝账户中的财产并无不同。
　　本案中，被害人并未注册支付宝账户，被告人在获取被害人的手机、身份证和银行卡后，采用秘密手段，以被害人的名义注册支付宝账户，并绑定银行卡以规避银行卡密码，以此套取银行卡内的财产。在这一过程中，被告人先是在被害人不知情的情况下，冒用其名义注册了支付宝账户，实际上该行为与盗窃信用卡、有密码的卡券效果上一致，因支付宝账户中并没有被害人的财产，被害人并不能因此产生损失，但被告人通过支付宝绑定银行卡，对于银行而言是采取欺骗手段，在银行进行身份审核时冒用被害人的身份，骗过银行的身份鉴别过程，从而使银行误以为被害人本人的操作而将卡内金额与支付宝账户挂钩，实际上被告人就是变相骗取了另一把获取卡内金额的钥匙。简而言之，在这一过程中，对于银行一方的“骗”是非法获取被害人财产的主行为，故应认定为信用卡诈骗罪。
　　（作者单位：浙江省杭州经济技术开发区人民法院）
　　[1]罗开卷、舒平锋：“盗用他人支付宝绑定的银行卡内资金构成信用卡诈骗罪”，载《人民司法》2016年第35期。
　　[2]管波：“陈卫明、孟鑫等盗窃案——使用手机木马程序盗取他人支付宝账户信息及资金行为的定罪量刑”，载《案例指导》2015年第4期。
　　[3]朱宏伟：“冒用型信用卡诈骗罪与盗窃罪的区分”，载《人民司法》2016年第35期。