文/新浪財經意見領袖專欄作家 肖颯
最近,一位信息安全從業者根據手機被盜后自己為保護金融安全而“戰斗”的經歷�����,寫了一篇報道����。文章揭露了犯罪集團精心設計的作案計劃,以及隱藏于其后的巨大“冰山”——移動支付下���,各個機構的“弱驗證”業務鏈——這差點導致了作者巨大的金融損失�����。
作者在一遍遍的復盤事件始末后����,分別對網絡運營商����、支付平臺以及一些儲存大量用戶身份信息的機構提出了自己發現的問題,并對大眾發出“重視金融信息安全”的呼吁。而本文在分析了報道中的一些細節后�,想從專業出發�,結合現行法律體系中����,討論該案中體現出的一些問題。由于案情復雜,可討論的東西很多��,本文分為上下兩篇���,上篇主要涉及對此類犯罪刑事如何打擊���,下篇則主要涉及民事���。
案件經過
根據事主在文章中的自述,其于9月4日傍晚時分手機被盜,并由于未及時掛失手機����,導致違法犯罪的人(后稱行為人)有了可乘之機����。
行為人先是利用短信驗證碼獲取到身份證信息�����,并通過修改網絡運營平臺的密碼防止事主掛失,進行解掛失。其后�,行為人翻找手機中已存的金融app�,由于有些app對于金融信息只需要短信或甚至不需要任何驗證��,就可以查詢�����,由此拿到事主已綁定甚至未綁定的銀行卡信息。
最后,行為人在許多提供支付業務的app上建立賬戶��,進行綁卡消費�����;或是申請在線貸款��,到賬后通過購買虛擬卡充值、銀聯轉賬等多種方式將錢移走�����。
圖片|金融信息被盜取
刑法定性
在本案中�,行為人涉及的罪名包括盜竊罪、詐騙罪��、非法獲取計算機信息系統數據罪�、破壞計算機信息系統罪、侵犯公民個人信息罪���。
1、以是否通過冒用身份信息、實施需重新審核發還貸款的欺騙行為來騙取服務提供商支付貨款,來劃分本案中行為分別觸犯盜竊罪與詐騙罪���。
行為人侵害公私財產的行為分別涉及盜竊罪與詐騙罪。前者在本案中主要表現為行為人對事主原有的銀行卡進行綁定消費或轉賬;后者表現為行為人冒用事主的身份信息����,在借貸平臺上創立賬戶并對貸款額套現。如此區分的原因如下�。
(1)對于事主本就有的銀行卡或是借貸平臺信用額度��,盡管行為人看似冒名使用了事主的身份,但實際上這還是相當于從事主的錢包中將原就有的錢偷走了���,相應的支付機構只是按照正常的流程操作。
(2)對于重新審核創建賬戶�����,騙取消費貸的行為�,a 行為人通過冒用身份的行為使得平臺產生錯誤認識,b 平臺依靠被冒用者的信用同意發放相應的貸款額度�,c 行為人對于這筆財產性利益具有非法占有的目的�����。因此符合詐騙罪的構成要件。
圖片|通過對機器人臉認證辦理新賬戶
延伸拓展
當然�����,對于騙機器或說算法是否認定為詐騙��,學界頗有爭論��,本案中倘若借貸平臺的風控系統完全是算法設計后自主運行,就存在這一問題的討論����。筆者認為�����,這種情形下的機器應當可以被騙��。
從理論上說�,人工智能迅速發展,機器早已從以前的簡單流程推進�,跨域到了可以進行“深度學習”�,擁有比人腦更強大的計算能力的時代�。倘若刑法不應固守被“騙”的對象只能是自然人的觀點,這在未來場景下可能面臨諸多問題��。
從實務上說����,盡管小額借貸平臺不能等同于發放信用卡,但由于其性質的相似性(都是基于信用給予的借貸額度)����,可以對兩者法律適用進行類比���。
對拾得信用卡并使用行為的刑法定性問題�����,最高檢于2008年作出了批復10,認為不需要區分是針對機器或者人使用的情形,此類行為一律構成《刑法》第196條信用卡詐騙罪��。此外�, 2018年“兩高”聯合發布的《關于辦理妨害信用卡管理刑事案件具體應用法律若干問題的解釋》中,將通過竊取等非法手段取得他人信用卡資料后,在互聯網等場所使用的行為,以《刑法》第196條信用卡詐騙罪追責��。
2����、以侵入計算機系統手段的破壞性,來劃分本案中行為分別觸犯非法獲取計算機信息系統數據罪與破壞計算機信息系統罪�����。
(1)《刑法》二百八十五條第二款規定了非法侵入國防事務等領域以外的計算機信息系統�����,獲取其中存儲、處理和傳輸的數據,情節嚴重的應受何種處罰。
本案中,行為人通過所謂“正當手段”��,大鉆各個環節間的漏洞����,從而盜取手機中存儲的事主的金融信息,符合該罪的行為表現。與此同時�����,本罪入罪需要滿足“情節嚴重”�,手機被竊后黑色產業鏈造成的經濟損失應當是達到了1萬元以上的程度。
(2)《刑法》二百八十六條規定破壞計算機信息系統罪�。本案中的行為表現為對手機原有的安全系統(華為鎖屏)功能的破壞���,進而導致事主財產損失�,認定達到后果嚴重(2011年“兩高”《關于辦理危害計算機信息系統安全刑事案件應用法律若干問題的解釋》)���。
3���、本案中�����,行為人還構成了《刑法》第二百五十三條之一侵犯公民個人信息罪的第三款����。以竊取等方法獲取公民個人信息(個人金融信息顯然在此受保護)�����,造成的經濟損失滿足情節嚴重的要求,符合構成要件�����。
圖片|據事主自述��,個人信息來自社保賬戶
如何處罰
正如前文分析的���,本案中涉及的罪名較多�,而且罪與罪之間不是單純的并列,而是有的競合��,有的牽連���。
具體來說����,對于非法獲取計算機信息系統數據罪、破壞計算機信息系統罪與侵犯公民個人信息罪,三者屬于同一行為滿足幾個罪名的競合關系,應當擇一重處罰;對于盜竊、詐騙這兩個財產犯罪��,屬于數罪�,應當并罰;對于以上兩者,屬于牽連關系����,而實務上既有擇一重也有并罰的���,本案中筆者認為應當并罰���。
寫在最后
今天對于這個案例的刑法分析就到這里���,我們從《刑法》分則的第四���、五、六章中分別找到了與行為相對應的罪名����,并通過總則中刑罰適用的規定對此行為應受何種處罰進行了解讀��。
可以說,我國刑法的法網越織越密�����,犯罪者一旦被抓捕必將受到嚴厲的懲罰��。
以上就是今天的分享���,感恩讀者����!
(文章配圖均來自事主在網絡中發布的自述)
�����、
(本文作者介紹:北京大成律師事務所執業律師�,兼任北京市網貸協會法律顧問�,主要從事互聯網金融法律工作。)
