2017年1月16日(利用支付宝漏洞窃取他人财产)
伴随着经济全球化和我国金融改革的进程高速发展,在作为信息时代中高科技产物的互联网日益深入地与金融服务相融合的背景下,产生了以阿里巴巴旗下业务代表的支付宝等为典型代表的通过网联对接而促成交易、具有中间信用担保功能的第三方支付1,这一使得社会生活十分富有科技化、便捷化、智能化的网络支付模式。
一、案情回顾
2017年1月16日,被告人胥某某在四川省叙永县被公安机关抓获。经查证,被告人胥某某曾是被害人严某公司员工并知晓知道其支付宝帐户和密码,离职后与被害人严某未产生任何经济纠纷。2016年11月22日14时许,因老婆生孩子要花钱,通过手机,被告人胥某某输入了被害人严某的支付宝账号、密码并回答了3个验证问题后,成功登陆了被害人严某的支付宝账户。
后其将账户绑定的工商银行信用卡内钱款分6次、每次10,000元,共六万元提现转至被害人严某支付宝“余额宝”,再将其中30,000元,分3次每次10,000元转入不知情的第三人“李满红”的支付宝帐户,剩余30,000元因额度限制被冻结,随之由第三人“李满红”通过微信、支付宝将该30,000元转入被告人胥某某的个人帐户,最终该款被被告人胥某某支出化用。
二、法院判决
被告人胥某某以非法占有为目的,秘密窃取他人财物且数额巨大,其行为已构成盗窃罪。判决被告人胥某某犯信用卡诈骗罪,判处有期徒刑2年,缓刑2年,罚金人民币2万元。
三、案情分析
本案中,被告人胥某某实施了私自登陆他人支付宝账户、私自将他人信用卡内钱款提现转移至支付宝“余额宝”、非法转移他人支付宝内钱款等系列行为。胥某某的行为成立盗窃罪。主要理由是胥某某以非法占有为目的,违背被害人意志,使用事先知道的被害人的支付宝账号及密码在自己的手机上登陆后,将被害人支付宝账户绑定的工商银行信用卡内的三万元钱款提现至被害人的支付宝“余额宝”后转到第三人“李满红”支付宝账户。
再由第三人“李满红”通过微信、支付宝将该钱款转入被告人胥某某的个人帐户等秘密窃取他人财物行为,其行为应当以《刑法》第264条盗窃罪追究其刑事责任。胥某某构成信用卡诈骗罪。核心依据是支付宝账户是以个人身份信息为识别手段,通过实名认证方式储存、记载着个人身份证号码等详细资料信息的移动支付账户。
胥某某通过事先取得的严某所持有的账号与密码在自己的手机登陆并操作严某账户,以此假借严某身份使支付宝公司产生误解,从而导致支付宝向关联银行卡所属银行发送流转资金的指令并最终将钱款转移。支付宝账号、密码与验证信息等属于信用卡资料,行为人通过这些信息在通讯终端上实施提现、转账等行为骗取赃款3万元,破坏了银行的信用卡管理秩序。
虽然从表面来看持卡人严某银行卡内的款项直接到了自己的支付宝账户中,遂即转入了他人账户,整个过程都在行为人胥某某的控制下,但是根据社会一般观念和交易习惯,持卡人严某在消费之前,银行卡账户中的钱款依然由其“占有”(就银行卡账户中的钱款对银行享有债权),而在转账消费并支付后钱款转而由他人占有,通过转账消费,行为人胥某某取代了持卡人严某对银行卡钱款所享有的债权。
本案认为,该案中,支付宝用户亦即持卡人严某不仅是最终的被害人,也是直接被害人。因为第三方支付背景下用户的财产损失后果亦应归结于被告人的行为。本案中犯罪行为径直侵犯了严某的财产权益,故其成为本案唯一的受害人。从本案被告人胥某某的非法行为本身来看,主观上具有将严某对银行债权的合法占有转化为自己的非法占有之意思,客观上利用支付宝非法转移了严某的银行债权,直接侵害的是严某而非支付宝公司或银行的财产权益。
面对冒用他人支付宝转移关联的信用卡里钱款的情况,可径行采取以下两种认定思路:若行为人采取窃取他人账户信息的方式转移他人账户关联银行卡内钱款时,违背受害者严某真实意愿,假借被害人严某支付宝账号和密码非法转移严某支付宝账户所绑定银行卡内钱款的行为,触犯了《刑法》第264条,构成盗窃罪。随着第三方支付平台持续成长增加,更多人民加入或享受快捷支付带来的便捷的同时亦会面临随之而来的个人信息泄露、涉及第三方支付平台犯罪等困扰。
因此,为了规制和预防该类案件,本文建议通过发布指导性案例进行司法指导、各级司法机关加强沟通反馈使得理论依据和实践指导相结合,以有效弥补法律在具体实践中具有滞后性的不足,以促进其与社会实际发展接轨;通过内外部对第三方支付平台的规制,约束规范第三方支付平台运行,加强第三方支付平台的法律责任;多途径提高公民个人信息安全风险防范意识,采取综合措施预防此类犯罪,加强侵害公民信息安全的监管治理力度。