中汇理财网
www.zhonghuiwx.com

丢手机,引发奇葩金融保卫战?!

最近,一位信息安全从业者根据手机被盗后自己为保护金融安全而“战斗”的经历,写了一篇报道。文章揭露了犯罪集团精心设计的作案计划,以及隐藏于其后的巨大“冰山”——移动支付下,各个机构的“弱验证”业务链——这差点导致了作者巨大的金融损失。

作者在一遍遍的复盘事件始末后,分别对网络运营商、支付平台以及一些储存大量用户身份信息的机构提出了自己发现的问题,并对大众发出“重视金融信息安全”的呼吁。而本文在分析了报道中的一些细节后,想从专业出发,结合现行法律体系中,讨论该案中体现出的一些问题。由于案情复杂,可讨论的东西很多,本文分为上下两篇,上篇主要涉及对此类犯罪刑事如何打击,下篇则主要涉及民事。

案件经过

根据事主在文章中的自述,其于9月4日傍晚时分手机被盗,并由于未及时挂失手机,导致违法犯罪的人(后称行为人)有了可乘之机。

行为人先是利用短信验证码获取到身份证信息,并通过修改网络运营平台的密码防止事主挂失,进行解挂失。其后,行为人翻找手机中已存的金融app,由于有些app对于金融信息只需要短信或甚至不需要任何验证,就可以查询,由此拿到事主已绑定甚至未绑定的银行卡信息。

最后,行为人在许多提供支付业务的app上建立账户,进行绑卡消费;或是申请在线贷款,到账后通过购买虚拟卡充值、银联转账等多种方式将钱移走。

丢手机,引发奇葩金融保卫战?!

图片|金融信息被盗取

刑法定性

在本案中,行为人涉及的罪名包括盗窃罪、诈骗罪、非法获取计算机信息系统数据罪、破坏计算机信息系统罪、侵犯公民个人信息罪。

1、以是否通过冒用身份信息、实施需重新审核发还贷款的欺骗行为来骗取服务提供商支付货款,来划分本案中行为分别触犯盗窃罪与诈骗罪。

行为人侵害公私财产的行为分别涉及盗窃罪与诈骗罪。前者在本案中主要表现为行为人对事主原有的银行卡进行绑定消费或转账;后者表现为行为人冒用事主的身份信息,在借贷平台上创立账户并对贷款额套现。如此区分的原因如下。

(1)对于事主本就有的银行卡或是借贷平台信用额度,尽管行为人看似冒名使用了事主的身份,但实际上这还是相当于从事主的钱包中将原就有的钱偷走了,相应的支付机构只是按照正常的流程操作。

(2)对于重新审核创建账户,骗取消费贷的行为,a 行为人通过冒用身份的行为使得平台产生错误认识,b 平台依靠被冒用者的信用同意发放相应的贷款额度,c 行为人对于这笔财产性利益具有非法占有的目的。因此符合诈骗罪的构成要件。

丢手机,引发奇葩金融保卫战?!

图片|通过对机器人脸认证办理新账户

延伸拓展

当然,对于骗机器或说算法是否认定为诈骗,学界颇有争论,本案中倘若借贷平台的风控系统完全是算法设计后自主运行,就存在这一问题的讨论。笔者认为,这种情形下的机器应当可以被骗。

从理论上说,人工智能迅速发展,机器早已从以前的简单流程推进,跨域到了可以进行“深度学习”,拥有比人脑更强大的计算能力的时代。倘若刑法不应固守被“骗”的对象只能是自然人的观点,这在未来场景下可能面临诸多问题。

从实务上说,尽管小额借贷平台不能等同于发放信用卡,但由于其性质的相似性(都是基于信用给予的借贷额度),可以对两者法律适用进行类比。

对拾得信用卡并使用行为的刑法定性问题,最高检于2008年作出了批复10,认为不需要区分是针对机器或者人使用的情形,此类行为一律构成《刑法》第196条信用卡诈骗罪。此外, 2018年“两高”联合发布的《关于办理妨害信用卡管理刑事案件具体应用法律若干问题的解释》中,将通过窃取等非法手段取得他人信用卡资料后,在互联网等场所使用的行为,以《刑法》第196条信用卡诈骗罪追责。

2、以侵入计算机系统手段的破坏性,来划分本案中行为分别触犯非法获取计算机信息系统数据罪与破坏计算机信息系统罪。

(1)《刑法》二百八十五条第二款规定了非法侵入国防事务等领域以外的计算机信息系统,获取其中存储、处理和传输的数据,情节严重的应受何种处罚。

本案中,行为人通过所谓“正当手段”,大钻各个环节间的漏洞,从而盗取手机中存储的事主的金融信息,符合该罪的行为表现。与此同时,本罪入罪需要满足“情节严重”,手机被窃后黑色产业链造成的经济损失应当是达到了1万元以上的程度。

(2)《刑法》二百八十六条规定破坏计算机信息系统罪。本案中的行为表现为对手机原有的安全系统(华为锁屏)功能的破坏,进而导致事主财产损失,认定达到后果严重(2011年“两高”《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》)。

3、本案中,行为人还构成了《刑法》第二百五十三条之一侵犯公民个人信息罪的第三款。以窃取等方法获取公民个人信息(个人金融信息显然在此受保护),造成的经济损失满足情节严重的要求,符合构成要件。

丢手机,引发奇葩金融保卫战?!

图片|据事主自述,个人信息来自社保账户

如何处罚

正如前文分析的,本案中涉及的罪名较多,而且罪与罪之间不是单纯的并列,而是有的竞合,有的牵连。

具体来说,对于非法获取计算机信息系统数据罪、破坏计算机信息系统罪与侵犯公民个人信息罪,三者属于同一行为满足几个罪名的竞合关系,应当择一重处罚;对于盗窃、诈骗这两个财产犯罪,属于数罪,应当并罚;对于以上两者,属于牵连关系,而实务上既有择一重也有并罚的,本案中笔者认为应当并罚。

写在最后

今天对于这个案例的刑法分析就到这里,我们从《刑法》分则的第四、五、六章中分别找到了与行为相对应的罪名,并通过总则中刑罚适用的规定对此行为应受何种处罚进行了解读。

可以说,我国刑法的法网越织越密,犯罪者一旦被抓捕必将受到严厉的惩罚。

以上就是今天的分享,感恩读者!

(文章配图均来自事主在网络中发布的自述)


查看全文下载手机客户端阅读全文 >

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。