判决摘要

涉及盗窃支付宝账户财物的案件和涉及关联信用卡账户财物的案件，虽然行为都是暗中盗窃，但对象不同，涉案机构的分工和责任也不同，对案件的定性产生影响。盗窃支付宝账户财物和关联信用卡财物时，只需输入交易指令即可转移财物，应认定为盗窃；利用支付宝绑定未绑定的信用卡，再盗窃信用卡财物时，涉及银行的审核程序，应认定为信用卡诈骗。

□案号一审：（2017）浙0191刑一审第179号

案件

公诉机关：浙江省杭州经济技术开发区人民检察院。

被告人：王玉国。

法院查明：2016年11月17日，被告人王玉国利用杭州经济技术开发区朝阳轮胎7229宿舍楼内无人的情况，利用被害人杨勋涛留在宿舍的手机、信用卡、身份证，以杨勋涛名义注册支付宝账户，并绑定杨勋涛的三张信用卡，先后五次采用网上消费支付方式，侵吞款项共计人民币万元。

判断

杭州经济技术开发区人民法院认为，被告人王玉国利用他人信用卡，骗取他人巨额资金，其行为已构成信用卡诈骗罪，法院以信用卡诈骗罪判处被告人王玉国有期徒刑一年，并处罚金人民币二万元。

一审判决后，被告人没有上诉，检察院也没有抗诉，该判决已经发生法律效力。

评论

一、定性争议

对于本案的定性，公诉人认为，被告人获取被害人银行卡信息，通过支付宝转账，盗取卡内资金，属于冒用他人信用卡的行为，应当定性为信用卡诈骗罪。合议庭审理时，有部分人认为，本案从刑法角度上看，其实就是盗窃信用卡、使用信用卡的行为，应当定性为盗窃罪。

利用支付宝绑定银行卡盗取资金的行为是否应定性为信用卡诈骗或者盗窃，司法实践中确实存在不同意见。

在上海等地的司法实践中，持有窃取他人支付宝绑定的银行卡资金构成信用卡诈骗的观点，认为“如果有人未经允许重置他人支付宝密码，或者通过其他非法手段获取他人支付宝密码，那么就可以直接获取他人信用卡信息，进行网上消费、转账等行为。这种行为看似是一种通过窃取他人信用卡信息就可以非法占有他人财产的盗窃行为，但行为的本质是行为人窃取他人信用卡信息后，还需要利用持卡人身份向相关银行发出支付指令，银行收到指令后误认为是持卡人发出的指令，同意支付。显然，上述行为属于冒用他人信用卡进行无磁交易的诈骗行为，不仅侵犯了国家信用卡管理制度，也侵犯了其他侵犯人民的财产所有权，这与盗窃仅仅侵犯公私财产所有权有着本质的区别。”①

在浙江等地的司法实践中，采用非法手段窃取支付宝账户及关联信用卡资金的行为往往被认定为盗窃行为，认为“在重置淘宝卖家支付宝账户密码后，被害人账户及关联银行卡内的资金被取走。可见，在此过程中，被害人并非基于误解而自行处置自身财产，而是行为人通过木马病毒为媒介，暗中窃取被害人的支付宝账户信息及资金。因此，本案被告人的行为符合盗窃罪的构成要件，应认定为盗窃罪。”②

上述意见所描述的行为与本案类似，从行为结构上看，都具备获取支付宝控制权—绑定信用卡—窃取信用卡资金的特征，但在认知上得出的结论却有所不同，这到底有何不同呢？

首先，对是否存在处分行为存在不同观点。第一种观点认为，被告的行为实际上包括利用支付宝、银联关联交易协议、绑定银行卡以及通过支付宝从银行卡中划转资金等行为，都是向银行发出指令，银行根据指令进行支付行为。在此过程中，银行误认为是受害人发出指令，从而产生错误认识，并根据指令进行财产转移。被告的行为其实是对银行的欺骗，是一种冒充他人信用卡的行为，应当定性为信用卡诈骗。第二种观点认为，被告通过非法手段进入受害人的支付宝账户，无论是从支付宝账户中取钱，还是取走关联银行卡中的资金，受害人本人并没有基于错误而对自己财产进行处分，不存在处分行为。被告的行为只是在受害人不知情的情况下盗窃财产的行为，应当定性为盗窃。

其次，对被害人的理解不同。第一种观点中，其实存在两个不同层次的被害人。第一个被害人是支付宝账户和银行账户的所有者，支付宝和银行卡都是他名下，账户里的资金是他个人的资产；第二个被害人是银行，银行在被告非法持有的密码的误导下处置了被害人的财物，理应控制第一被害人，银行是被骗方，也是被害人。第二种观点中，只有上述第一种意义上的被害人，被告盗窃的是被害人个人的财物，与银行无关，而且，处置被害人的是机具，而不是柜员，按照通行的刑法观点，机具不可能被骗。

第三，对被告人的主要行为，也存在不同观点。第一种观点认为，该行为的可罚性基础是被告人冒用被害人身份向银行发出财产处置指令，该行为的本质是冒用他人信用卡，主要行为是向银行发出指令。第二种观点认为，该行为的可罚性基础是被告人在被害人不知情的情况下，偷偷进入被害人的支付宝账户处置财产，该行为的本质是偷盗，主要行为是非法进入支付宝账户转移、处置财产。

最后，对行为的危害性，也有不同的看法。第一种观点认为，被告的行为不仅是对公私财产所有权的侵犯，而且对国家信用卡管理制度产生了影响，是对复杂客体的侵犯。第二种观点认为，被告的行为只是侵犯了公私财产所有权，无论是支付宝还是银行卡，其实都是个人财产，不涉及国家信用卡管理制度。

2. 信用卡诈骗与盗窃和使用信用卡的区别

理论上，一般认为刑法第196条第3款的规定（盗窃信用卡并使用的，属于盗窃罪）属于法律拟制，即盗窃信用卡与以其他非法手段取得信用卡其实并无本质区别，但由于立法技术问题而定性为盗窃罪。制定这一规定时，我国对信用卡的使用和管理与现在不同，按照这一规定处理，会导致法制不一致，但立法难以改变，因此后续的司法解释都试图限制这一规定的范围。 2009年，最高人民法院、最高人民检察院《关于办理妨害信用卡管理刑事案件具体应用法律若干问题的解释》规定：“窃取、收买、骗取或者以其他非法手段获取他人信用卡信息，并通过网络、通讯终端等方式使用的，属于使用他人信用卡，属于信用卡诈骗行为。”这一规定实际上将盗窃信用卡的范围限定在实体信用卡上，而问题的关键在于实体信用卡实际上也必须包含信用卡信息。在盗窃实体信用卡时，信用卡信息是不可避免的。

根据中国人民银行2000年11月10日发布的《银行卡磁条信息格式及使用规范》，信用卡信息是指记载在信用卡磁条磁轨上的客户信息，主要包括主帐号、发卡机构标识号、个人帐号标识、校验位、个人识别码等，这些信息均要求包含在磁轨信息中。根据《银行卡规范》，实际上银行卡上已经写明了发卡机构标识、发卡机构名称、卡号、主受理标识、有效（过期）日期、持卡人姓名、预印卡号前4位数字、CVN2验证码等信息。如果实体信用卡被盗，其实可以从卡面获取部分信用卡信息，这样就存在了竞争的局面。

随着社会的发展，便捷交易成为经济运行的趋势。在银行卡交易方面，支付宝、微信等绑定银行卡或银行卡闪付的交易平台的出现，使得无需输入银行卡密码即可进行交易。犯罪分子作案时，可能只需要银行卡的卡​​信息，而不必费尽心机去解开银行卡密码。相比于如今金融经济与科技的发展，20年前的立法技术已经落后于时代。对实体银行卡与信用卡信息的严格区分，还是会引发疑问——如果只看到受害人银行卡上的卡信息，却没有真正用手拿走，或者将卡拿走后记下卡信息再放回原处，被盗取的是实体信用卡本身，还是信用卡信息？这种形式上的区分，绝不是信用卡盗用罪与盗窃罪的核心区别。

有观点认为，“收款人是否进行身份核查、是否基于对持卡人身份的错误理解而处分财物，是信用卡欺诈与盗窃的核心区别”。③该观点立足于当前银行交易的工作流程和工作关系，认为“由于支付宝与银行卡的绑定关系，被告人未经允许擅自重置他人支付宝密码，或者通过其他非法手段获取他人支付宝密码，本质上是窃取他人信用卡信息。其使用支付宝进行消费或转账，最终支付宝以信用卡持卡人的身份向相关银行发出支付指令，银行收到指令后进行身份核查，误认为该指令由持卡人发出并同意支付”，因此属于信用卡欺诈。该观点切中问题本质，但对快捷支付交易流程的描述存在错误。

3.信用卡诈骗与盗刷信用卡的区别及在快捷支付中的运用

根据《银行卡业务管理办法》规定，“银行卡及其账户仅限经发卡银行认可的持卡人本人使用，不得出租、出借。”“发卡银行根据密码等电子信息为持卡人办理存款、取款、转账、结算等各类交易所生成的电子信息记录，是该项交易的有效凭证。”根据上述规定，持卡人掌握的密码是银行同意支付的主要依据，只要能正确输入银行卡密码，银行就会推定是持卡人的操作。

不管是面对ATM机还是银行柜台工作人员，能正确输入银行卡密码的人其实已经完成了获取卡内资金的全部程序。只有在有行政要求的情况下，银行才会对银行卡持卡人的身份信息进行核实。例如，根据2011年《中国人民银行关于进一步加强人民币银行结算账户开立、转账和取款业务管理的通知》规定，“银行在为个人存款人办理5万元以上的人民币单笔取款业务时，应核实存款人的有效身份证件”，即在金额较大的情况下，银行有义务核实取款人是否是存款人（银行卡持卡人）。其实就是变相规定取款人输入正确密码后，银行柜员才会按照流程进行下一步操作（交纳现金），与ATM机设定的取款流程并无二致。以取款手续是否由银行柜员办理来区分信用卡诈骗与信用卡盗窃、使用盗窃并不是本质意义，是否进行身份验证手续才是区分的关键。

在将支付宝等第三方支付机构与银行卡绑定过程中，银行需要进行身份验证。中国证监会、中国人民银行《关于加强商业银行与第三方支付机构合作管理的通知》第三条规定：“客户银行账户首次与第三方支付机构建立业务关系时，应当实行双重认证，即客户应同时通过第三方支付机构的认证和商业银行的客户身份认证。账户所在银行应通过实体网点、电子渠道或其他有效方式直接核实客户身份，明确双方的权利义务。”第四条规定：“商业银行通过电子渠道核实识别客户身份时，应当采用双（多）因素认证方式对客户身份进行认证。对不符合双（多）因素认证条件的客户，其任何账户不得与第三方支付机构建立业务关系。”上述规定表明，在客户银行账户首次与第三方支付机构建立业务关系时，发卡银行必须对客户身份进行认证。以中国工商银行为例。 《中国工商银行快捷支付服务协议》（以下简称《协议》）进一步明确，在开通快捷支付过程中，“甲方（指持卡人）同意使用签约过程中填写的要素包括但不限于姓名、银行卡号、手机号、身份证号、信用卡有效期等要素进行身份验证，并同意以指定的银行卡号与甲方在支付机构开通的指定会员账户建立合同关系。乙方（指银行）收到支付机构发送的上述信息后，将上述信息与甲方在乙方预留的客户信息进行比对验证，验证通过后，乙方将为甲方签约的银行开通快捷提现支付服务。”该条款表明，在开通快捷提现支付（指将银行卡绑定支付宝）过程中，银行使用持卡人的姓名、银行卡号、手机号、身份证号、信用卡有效期等要素进行身份验证，表明人与卡的关联关系受到审核。但银行对于使用他人身份绑定银行卡的行为已有所防范。上述《协议》规定：“甲方应确保用于快捷支付签约的银行卡为本人所有，并确保签约过程中提供的信息真实、准确、有效，确保支付行为合法，不侵犯任何第三方的合法权益。否则，乙方及持卡人因此遭受损失的，甲方应负责赔偿，并承担一切法律责任。”该条款表明，银行对持卡人因此遭受的损失不承担赔偿责任。银行虽然在身份审核过程中受到了欺骗，但并非真正意义上的受害者。

但绑定后，情况就不同了。将支付宝账户绑定信用卡时，其实并不需要输入信用卡密码，只需要输入支付房间账户的交易密码，就可以取用卡内资金。根据上述《协议》，“快捷支付合同签订成功后，即视为甲方授权乙方按照支付机构的交易指令从签约银行卡中扣划资金。届时甲方不得以未在交易单据上签字、签字不一致、非按照本人意愿交易、未验证银行卡支付密码、未验证银行卡支付盾等理由要求乙方退款或承担其他责任。”即绑定银行卡后，持卡人在支付宝账户中的交易指令可直接从银行卡中扣款，无需经过签名、核对银行卡密码等程序——银行不再核实人卡是否一致、指令是否为持卡人本人作出，持卡人对“发出的指令”不承担任何责任。“运营方对发出的指令的真实性、有效性承担全部责任”且“发出的指令不可撤回或撤销。一旦支付宝根据指令委托银行或第三方从银行卡中扣款给收款人，运营方不得以该交易非其本人意愿或其他任何原因要求支付宝退款或承担其他责任。”在此过程中，根据支付宝《快捷支付服务协议》的规定，运营方“对使用本服务过程中发出的指令的真实性、有效性承担全部责任”。如果“与银行卡或支付宝账户相关的所有信息和设备”丢失或泄露，“无论发卡银行和/或支付宝是否通知，因您原因造成的损失均由您自行承担。”事实上，支付宝并不审查发出指令的人是否是账户所有者，唯一的验证手段就是发出的交易密码是否正确。

根据以上分析，在受害人绑定银行卡的情况下，行为人窃取受害人的支付宝账户密码，再通过支付宝交易密码对银行卡进行处置和转帐，银行不进行身份验证，无疑属于盗窃行为。这里需要注意的是，这一过程并不涉及通过网络、通讯终端等方式窃取信用卡信息并加以利用，因为对于行为人而言，甚至无法看到受害人的信用卡账户全貌（只能看到后四位数字），又如何窃取信用卡信息呢？而且，行为人的主观意图是窃取银行卡内的财物，至于信用卡账号、发卡机构等信息，对于行为人而言毫无意义，无论从主观还是客观上都不符合信用卡诈骗罪的构成要件。因此，这种情况只是单纯的盗窃行为，与窃取支付宝账户内的财物无异。

本案中，受害人并未注册支付宝账户，被告在获取受害人手机、身份证、银行卡后，采用隐秘手段以受害人名义注册支付宝账户并绑定银行卡，规避银行卡密码，从而获取银行卡内的财产。在此过程中，被告先是在受害人不知情的情况下以受害人名义注册支付宝账户，其实这种行为与盗用信用卡、有密码的卡无异，由于支付宝账户内没有受害人的财产，受害人无法遭受损失。但被告通过支付宝绑定银行卡，对银行而言是一种欺骗手段，在银行进行身份验证时，被告利用受害人身份，通过银行身份验证流程，使银行误认为受害人的操作与支付宝账户挂钩，其实是被告欺骗他人获取卡内金额。总之，在此过程中，银行的“骗取”是非法获取受害人财产的主要行为，因此应认定为信用卡诈骗。

笔记

①罗凯娟、舒平峰：“窃取他人支付宝绑定的银行卡资金构成信用卡诈骗罪”，《人民司法》2016年第35期。

②管博：“陈伟明、孟欣等盗窃案——利用手机木马程序获取他人支付宝账户信息及资金的定罪量刑”，载案例指导2015年第4期。

③朱宏伟：“信用卡冒用罪与盗窃罪的区分”，人民司法，2016年第35期。