浅谈《利用支付服务平台漏洞套取银行资金如何定性》

摘要：目前我国的互联网金融平台收到热捧，因其本身具备诸多优越性。随着支付平台的日益增多，诸多法律问题也开始显现出来。本文中笔者主要阐述了利用支付服务平台漏洞套取银行资金应当如何定性。

关键词：支付平台；套现；定性

中图分类号：TP3文献标识码：A文章编号：1671-864X（2016）10-0 119 -01

案情简介：2012年11月26日，被告人李某以购买汽车为由向某商业银行某支行申请开办一特种信用卡，并留存手机号码，李某随后成功激活该卡，规定限额为26万元。2013年3月3日7时许，李某注册为某支付服务公司用户，并于随后利用该公司明确禁止的方式，即利用该特种信用卡对其他信用卡进行转账还款成功。李某最终通过积极注册600余个虚拟信用卡账号，以逐步蚕食的方式秘密转移商业银行资金6038万余元至其持有的多个银行卡上。其中有人民币890万元在转移到其卡上之前被支付服务公司拦截并冻结。李某将套取的资金用于银行存款，购买轿车、房子，偿还债务，个人消费等。案发后，支付服务公司赔付商业银行人民币60386465元，支付服务公司从公安机关领取涉案款物人民币44780801.53元。

一审法院经审理后认为，被告人李某以非法占有为目的，秘密窃取他人财物共计60386465元，其中51486465元既遂，890万元未遂，数额特别巨大，其行为构成盗窃罪。该院以盗窃罪判处被告人李某无期徒刑，剥夺政治权利终身，并处没收个人全部财产。

李某不服上诉后，二审法院以李某及其家属积极退赃，并得到被害方的谅解为由，以盗窃罪改判李某有期徒刑十五年，并处罚金100万元。

意见分歧：李某的行为性质，存在三种观点：

第一种观点认为，李某利用支付系统漏洞，以非法占有为目的，恶意透支6038万余元，其行为构成信用卡诈骗罪。

第二种观点认为，李某以非法占有为目的，违背商业银行和支付服务公司的意志，在被害人不知情的情况下，秘密窃取被害人巨额资金，其行为构成盗窃罪。

第三种观点认为，李某的所有透支，都是经过银行同意的，在李某的信用卡账户中都是有记录的，双方成立债权债务关系，李某具有归还透支款的法定义务。本案李某并没有获得不当得利。

评析：原文的观点认定事实存在问题，法律适用跟着存在问题。笔者认为，前述三种意见中，唯有第三种意见与本案客观事实相符合。

要想准确把握本案的事实，必须具备基本的网络知识。凡是专业领域中发生的案件，相关专业领域的基础知识，是办案人员准确认定案件事实的关键所在。如果不具备相关专业的基础知识，办案人员在认定案件事实过程中，极易将自己主观臆测的部分内容掺入到案件事实中去，导致被认定的案件事实中，存在有主观臆测的成分，定性就会偏离客观实际。本案就是这种情形。

本案涉及到网络金融。必须了解网络的基本知识，那就是行为人所有的操作，都是按支付服务公司和商业银行设定的程序进行的。行为人的每一次操作的实质，都是向支付服务公司或者商业银行提出一个请求，请求从自己持有的特种信用卡中透支相应金额，用于归还其他信用卡所欠款项，或者将透支款通过虚拟的信用卡卡号转移到自己名下的信用卡内。特别要强调的是，行为人每一次操作，都只是一个请求。这种提出请求的行为，是不违反任何法律法规的，是合法的。行为人通过终端提出请求的行为，等同于甲方向乙方提出双方签订合同的要约。并且，行为人所发出的要约，还是按照支付服务公司或者商业银行设定的程序进行的。支付服务公司或者商业银行不可能设立违背自己意志的程序。即便支付服务公司和商业银行系统存在程序上漏洞，也决不可能是违背自己意志的。因为，违背银行意志的程序与符合银行意志的程序，程序设计上是完全不同。除非程序设计人员有意破坏，否则不可能发生颠倒乾坤的事。值得注意的是，现代银行都是电子银行，实现了电子化。电子银行都是自动无人值守的，资金进出银行（例如存款取款转账等）并不需要有人干预，电子化的银行自动进行操作。这就意味着机器知道，就代表银行知道。

了解了前述网络金融的相关基础知识后，回头再来审查本案的客观事实。原来行为人申请的特种信用卡透支金额并没有封顶，这是发卡银行信用卡管理部门的一个重大疏忽和管理上的漏洞。如此一来，行为人这张特种信用卡可以无限透支，除非被商业银行管理人员发现。由于本案行为人申请特种信用卡提交的资料是真实的，并不存在骗领信用卡的行为，所有的透支都是使用合法账号和密码进行操作的。因此，所有的操作都是按银行设定的程序进行的。尽管行为人是恶意透支的，但是这种“恶意透支”与信用卡诈骗罪中的恶意透支不同，本案商业银行系统并没有实际限定行为人的透支额度，不存在超过规定的限额透支。再者，本案也不存在行为人经发卡行催收后“超过3个月仍不归还”的情形。因此，李某的行为不符合信用卡诈骗罪任何一种行为类型，不构成信用卡诈骗罪。

本案不构成盗窃罪。如前所述，行为人的操作都是通过支付服务公司或者商业银行设定的程序进行的，都只是提出一个请求。这种提出请求的行为，无论如何不可能违背支付公司或者商业银行意志。事实上，原文所谓违背支付服务公司或者商业银行意志的观点，应是是主观臆测出来的，没有任何事实依据，与网络常识相违背。问题出在哪里？原来就是案件承办人对案件事实的认定中，将个人主观臆测的成分夹在案件事实中：

“整个过程，李某并没有得到商业银行和支付服务公司的允许和授权。因为技术上的漏洞具有一定的隐蔽性，商业银行和支付服务公司是在案发后通过电子对账单、邮件等记录才知道李某的套取资金行为，案发时商业银行和支付服务公司均不知情。从李某在发现可以用信用卡还信用卡和可超出信用卡的限额还信用卡后，积极注册600余个虚拟信用卡账号，进而以逐步蚕食的方式秘密转移商业银行资金6038万元等一系列行为可反映出李某主观上自认为商业银行和支付服务公司均未发觉其行为。综上，李某的行为符合秘密窃取的条件。”

上述论断中，所谓商业银行和支付服务公司均不知情的观点，是不符合事实的。因为金融服务电子化后，支付服务公司或者商业银行的电脑系统的所有操作，就是代表支付服务公司或者银行的，支付服务公司或者商业银行当然是知情的，操作程序就是这些单位设置的。况且，金融电子化之后，不需要有工作人员人工干预，机器知道，就代表支付服务公司或者商业银行知道。所以，所谓“李某主观上自认为商业银行和支付服务公司均未发觉其行为。综上，李某的行为符合秘密窃取的条件”之观点，偏离了案件事实，是不符合实际的。

作者简介：刘宇，沈阳师范大学法学院2013级在职法律硕士。