首页
□吴波 俞小海
随着我国经济社会的快速发展,各类信息的价值日益凸显。其中,信用卡信息安全对于维护金融秩序,保障人民群众的合法权益,具有重要意义。我国刑法对危害信用卡信息安全的行为作了明确规定。从广义层面来说,危害信用卡信息安全的犯罪行为既包括典型的针对信用卡信息资料的窃取、收买或者非法提供行为,也包括伪造、变造金融票证,信用卡诈骗,妨害信用卡管理以及侵犯公民个人信息(账号密码属于公民个人信息)等犯罪行为。从狭义层面来说,危害信用卡信息安全的犯罪行为仅指典型的针对信用卡信息资料的窃取、收买或者非法提供行为。对此,《刑法修正案(五)》增设了窃取、收买、非法提供信用卡信息罪。本罪构成要件较为简单,但司法适用上存在较多问题,有必要择其要点予以分析。
危害信用卡信息安全犯罪的客观行为方式
根据我国《刑法》第177条之一第2款,窃取、收买、非法提供信用卡信息罪的行为方式为窃取、收买、非法提供。关于本罪客观行为方式,我们认为有三个问题值得研究。
一是窃取行为的认定。
窃取,系由“窃”和“取”组成。“窃”指的是方式的秘密性。因此,这里的窃取实际上就相当于盗窃罪中的秘密窃取。那么,在所有者或保管者知情的情况下获取其信用卡信息的,能否认定为本罪中的窃取?最为典型的就是骗取信用卡信息行为。对此,主要有两种观点。一种观点认为,本罪中的“窃取”只能是秘密窃取。因为行为人如果是在被害人明知的情形下取得信用卡信息,被害人即可向银行等金融机构修改信用卡信息(如修改密码)甚至挂失信用卡而导致行为人窃取的信用卡信息没有任何价值。要使信用卡信息具有经济价值,行为人一般只能采用被害人不知情的秘密窃取手段。相反的观点则认为,这里的“窃取”,不仅包括在持卡人不知情的情况下秘密获取,也包括采用蒙蔽手段,让持卡人“自愿”透露有关信息资料。我们认为,应对本罪中的“窃取”作广义理解,将“骗取”纳入“窃取”之范围。首先,窃取信用卡信息行为的成立不应以信用卡信息是否具有经济价值而定。信用卡信息本身并无任何经济价值,刑法设立窃取、收买、非法提供信用卡信息罪的目的在于维护信用卡管理秩序,行为人窃取信用卡信息,只要在窃取当时足以伪造可进行交易的信用卡,或者足以使他人以信用卡持卡人名义进行交易,就已经侵犯了本罪法益,无需进一步判断是否对他人财产造成实际损失。其次,实践中确实存在公开获取被害人信用卡信息的情形。比如,在ATM机上安装吞卡装置并同时张贴假的客户服务电话,在客户求助时骗取持卡人信息;通过群发手机短信“提示”持卡人曾在异地消费,要求核实,当持卡人回电提出质疑时,便设法套其说出信用卡账号、密码等信息资料;等等。这些行为,就是在被害人知情的情况下通过欺骗的方式获取信用卡信息,显然是一种相对公开的方式。再次,骗取行为同样具有“窃取”之特征。通过骗取的形式让信用卡持有人“自愿”将信用卡信息资料告知行为人,尽管从形式上来看信用卡持有人是知悉的,但是其所知悉的仅仅是在认识错误的基础上将信用卡信息资料暂交行为人保管,而对于行为人骗取这一信息之后非法提供给他人从而盗取其财物这一真实目的,信用卡持卡人并不知悉。换言之,从本质上来说,行为人骗取信用卡信息资料的根本目的,依然是背着信用卡持卡人而实施,其对于信用卡持卡人而言,同样具有“窃取”的性质。
二是非法提供行为的认定。
对于本罪的“非法提供”,也是值得研究的问题。对此,学界主要存在两种观点,一种观点认为,非法提供的前提是信用卡信息资料的合法持有。另一种观点则将违反法律规定作为判定“非法提供”的一个前置性条件。对于这两种观点,我们均难以认同。首先,从实践来看,除了银行或者其他金融机构的工作人员,能够成为本罪主体的人更可能的是在特约商户和金融机构等特定人群中有工作之便的人员,但是,在上述合法主体之外,还存在通过窃取、收买方式获得信用卡信息进而提供给他人的行为主体,对于这些行为人而言,其对信用卡信息的持有,就不是合法的持有。其次,关于信用卡信息的使用、提供,更多的是由金融领域的部门规章予以规定,其与法律规定尚不完全相同,如果将违反法律规定作为“非法提供”的一个前置性条件,极有可能会因为无相关“法律规定”而无法认定“非法提供”行为,这显然会不当限缩本罪的惩处范围。我们认为,认定本罪“非法提供”的关键在于准确把握“非法”的含义。这里的非法,应理解为没有合法根据而持有他人的信用卡信息。理论上而言,这里的合法根据主要是指基于自有、授权而使用、持有,基于委托进行保管,等等。但现实中,制作信用卡的权限在于银行,这一阶段信用卡信息资料的持有、使用具有高度的专业性、特定性,只有银行等金融机构可以将信用卡信息资料提供给客户(具体表现为写入客户信用卡磁条)。为保证信用卡使用的安全,发卡银行会在信用卡上设置储存持卡人个人金融信息的磁条。信用卡磁条内的信息,一般记载持卡人在银行存款账户的号码和取款密码。从设置磁条密码的目的和技术要求看,磁条内信息只被持卡人自己掌握,因此,磁条内的信息具有证明持卡人身份和权利的作用,谁掌握这些信息,谁就可以被认为是权利人。若这些信息被伪造信用卡的人获取,伪造信用卡的人就可以把该信息拷入伪卡的磁条制成伪卡,从而,该伪造的信用卡就可以被当作真卡使用。换言之,只有银行和持卡人本人才是获知信用卡信息的合法主体。信用卡信息这种极具个人性、保密性的资料,决定了其他主体并不具有持有、使用信用卡信息资料的权限,从这个角度而言,对他人信用卡信息加以提供本身就是不法行为。
三是其他行为的认定。
关于本罪,我国刑法仅规定了窃取、收买、非法提供三种行为方式,对于以这三种行为之外(如夺取、劫取、敲诈、胁迫)的方式取得信用卡信息的,能否认定?对此,有人指出,列举式立法无法穷尽所有客观现象,将获取信用卡信息的方式仅限于窃取、收买和非法提供,与客观实际情况相悖,不利于充分打击本罪、有效保护信用卡信息资料的安全。于是建议将用“胁迫”等非法手段获取他人信用卡信息资料的行为和明知是他人的信用卡信息资料而予以“接受”的持有行为入罪,即将本罪的罪状由“窃取、收买或者非法提供他人信用卡信息资料的”修改为“非法获取、持有、提供他人信用卡信息资料的”。我们认为,根据罪刑法定原则,我国刑法规定的三种行为并不包括夺取、劫取、敲诈、胁迫等方式。但是,无法将夺取、劫取、敲诈、胁迫等行为解释为本罪的行为方式,并不意味着对通过这些行为取得他人信用卡信息的行为无法惩处,故并不一定要在立法上作出修改。尽管通过夺取、劫取、敲诈、胁迫等方式获取他人信用卡信息的行为并未获得立法上的独立评价,但始终处于伪造信用卡和使用伪造的信用卡进行诈骗的环节中,这决定了可以结合整个犯罪活动过程或从其获取他人信用卡信息的后续性行为来对以夺取、劫取、敲诈、胁迫等方式获取他人信用卡信息的行为作出相应评价(如伪造、变造金融票证罪,信用卡诈骗罪以及妨害信用卡管理罪等)。因此,即便不将夺取、劫取、敲诈、胁迫等行为纳入本罪客观行为,也不会放纵对这些行为的刑法评价,不致出现处罚上的漏洞。
危害信用卡信息安全犯罪的犯罪对象
根据我国《刑法》规定,本罪的犯罪对象为信用卡信息资料。我们认为,要准确界定作为本罪犯罪对象的信用卡信息资料,需要明确以下三组关系:
一是信用卡信息资料与金融领域行业标准。
关于信用卡信息资料的把握应与金融领域的行业标准和金融机构的专业认定保持一致。信用卡信息资料系信用卡领域的一个专业术语。根据2000年11月8日中国人民银行发布的《关于颁布〈银行卡发卡行标识代码及卡号〉和〈银行卡磁条信息格式和使用规范〉两项行业标准的通知》,信用卡信息主要包括五类: 主账号、发卡机构标识号码、个人账户标识、校验位、个人标识代码(也就是平常所说的密码)。该电子数据通常由发卡银行在发卡时使用专用设备写入信用卡磁条、磁芯中,作为POS机、ATM机等终端机识别用户是否合法的依据。没有这些信息,信用卡无法使用。
二是信用卡的核心信息与非核心信息。
对于信用卡信息资料的理解与认定,还需要准确区分核心信息与非核心信息。应该看到,与信用卡相关的信息种类多样,既包括写入信用卡磁条中的账号、密码等信息,也包括持卡人在办理信用卡时向银行所提供的姓名、身份证、工作单位、收入情况、联系方式、职业、家庭住址等信息。我们认为,从窃取、收买、非法提供信用卡信息资料的主要流向以及本罪的立法目的来看,本罪中的信用卡信息资料,只能是核心信息,而并不包括非核心信息。核心信息与非核心信息的判断主要有三点:第一,该信息是否直接与信用卡的使用有关,是否决定信用卡的消费、取现、透支等正常使用功能;第二,该信息资料的泄露是否会直接、紧迫影响到持卡人的利益;第三,该信息是否具有绝对的隐密性和排他性。显然,持卡人的姓名、身份证、工作单位、收入情况、联系方式、职业、家庭住址等信息仅与信用卡的申领有关,掌握这些信息,并不能决定对信用卡的使用,这类信息的泄露,也不会直接、紧迫威胁持卡人的利益。故这类信息属于非核心信息。与此相反,持卡人账号、密码等磁条信息系持卡人使用信用卡的唯一凭证,直接决定信用卡的正常使用,这些信息资料具有绝对的隐秘性和排他性,一旦泄露不仅会给持卡人和金融机构带来巨大的损失,而且会严重干扰正常的金融秩序,故这类信息系核心信息。
三是信用卡信息资料质的规定性与量的规定性。
刑法对本罪的成立未作任何情节、数量上的限制。由此,需要进一步讨论的问题是,窃取、收买、非法提供的信用卡信息资料,需要达到何种程度,才能构成犯罪?这便是信用卡信息资料质的规定性与量的规定性。为了将本罪限制在一个合理的范围内,我们认为,有必要从质与量两个维度对信用卡信息资料予以明确:第一,信用卡信息资料必须足以伪造可进行交易的信用卡,或者足以使他人以信用卡持卡人名义进行交易,这就要求信用卡信息资料是真实、有效、客观存在的。如果行为人窃取、收买、非法提供的他人信用卡信息是虚假的、无效的,则不可能威胁到持卡人的利益,对于金融管理秩序的危害亦不明显,故无需以本罪论处。这是信用卡信息资料质的规定性。第二,信用卡信息资料必须达到一定的数量要求。2009年12月3日最高人民法院、最高人民检察院《关于办理妨害信用卡管理刑事案件具体应用法律若干问题的解释》第3条从涉及信用卡的数量层面对本罪之成立作了规定。在此基础上需要进一步明确的是信用卡信息资料的数量,即具备多少信用卡信息资料,符合“足以伪造可进行交易的信用卡,或者足以使他人以信用卡持卡人名义进行交易”之条件?对此,我们认为,应根据信用卡是否启用而作出区别性认定。对于已经启用的信用卡,只要窃取、收买、非法提供了持卡人信用卡的磁条信息(主要是账号、密码),就已经“足以伪造可进行交易的信用卡,或者足以使他人以信用卡持卡人名义进行交易”;而对于尚未启用的信用卡,行为人伪造之后还需要进一步启用,才能实现其目的,由于启用信用卡需要验证身份、联系方式、住址等个人信息,故只有当行为人同时窃取、收买、非法提供了信用卡磁条信息和启用信用卡所必需的持卡人个人验证信息,才能视为其窃取、收买、非法提供的信用卡信息资料“足以伪造可进行交易的信用卡,或者足以使他人以信用卡持卡人名义进行交易”,从而达到了本罪信用卡信息资料量的规定性。
(作者简介:吴波,上海市人民检察院办公室主任,上海检察业务专家,法学博士;俞小海,上海市高级人民法院研究室法官助理,法学硕士。)
SourcePh" style="display:none">
放大
上一版
