本文为作者向无讼阅读独家供稿,转载请标明作者和来源
目前,手机支付安全事件主要包括:手机短信和电话诈骗、信息泄露、恶意软件安装、病毒木马侵入、伪基站诈骗、二维码诈骗等手段与方式。而手机病毒的高隐蔽性特点,迅速成为犯罪分子的首选工具,根据腾讯手机管家监控的数据,2015年国内仅安卓用户的手机病毒感染人次就达到3.08亿人次,相比2014年增长56.5%,且增长趋势逐年扩大。针对新型犯罪手法的犯罪定性问题,以一案例抛砖引玉。
一、案例摘要:(2014)浙杭刑终字第781号
2013年3月至同年4月,被告人陈某先后纠集被告人孟某、李某、林某、梁某、严某等人,以淘宝卖家支付宝账户上的资金为作案目标,由被告人孟某负责制作木马病毒程序有偿提供给陈某,陈某指示被告人林某、梁某、李某随机联系淘宝卖家,虚构买家的身份诱骗对方使用手机接收并安装其发送的伪装成购买货物图片的木马病毒,截获并转移对方手机短信,从而获得对方的验证码,被告人陈某使用截获的验证码对淘宝卖家的支付宝账户进行密码重设等操控后,通过信用卡还款、转账、手机充值、qq币充值等方式盗走被害人账户及关联银行卡内资金,侵害商户十余家,非法获得40余万元。
该案是将手机木马病毒伪造成货物图片诱使接收方点击,从而获取接收方相关信息进而实施犯罪的典型案例。此类手法相类似的还有利于木马病毒伪装成二维码、钓鱼网站或虚假连接等。
二、犯罪模式介绍
犯罪人员通常某种障眼法将不同种类的木马病毒隐藏在网页、图片或虚假连接之中,然后以各种借口或名义诱骗相对人点击打开,从而将病毒植入相对人手机等电子移动终端中,从而犯罪行为人不仅可以侵入受害人通讯录,还可以直接访问该手机的内容,轻易获取绑定的银行账号等信息,甚至有些新型手机木马病毒程序可获得植入手机的“管理员权限”,几乎可以对受害人的手机做任何事情,包括拦截收发短信,使得短信验证码保护完全失效。因此,之后的转账行为就变得轻而易取,且在受害人毫不知情的情况下完成整个转账流程。但由于银行账号基本实名制且转账记录有痕化,因此犯罪分子通常并不是直接将受害人的钱款转账自己银行账户,而是跨区周转几个账号方才完成,甚至有的犯罪分子是将受害人的钱款转至游戏账号或其他账号,而后将获取的虚拟财产再转账获取现金,或者直接通过专业洗钱团伙对犯罪所得进行清洗。以上犯罪模式的隐蔽性和复杂性也正是该类案件难以破获的主要原因。
三、触犯罪名解析
根据犯罪行为分析,本案触犯罪名有:提供侵入、非法控制计算机信息系统的程序、工具罪(刑法第285条第3款),非法获取计算机信息系统数据、非法控制计算机信息系统罪(刑法第285条第2款),侵犯公民个人信息罪(刑法第253条之一),盗窃罪(刑法第264条)。
(一)孟某行为符合提供侵入、非法控制计算机信息系统的程序、工具罪
孟某制作手机木马病毒并有偿提供给他人的行为触犯刑法第258条第3款之规定,即提供专门用于侵入、非法控制计算机信息系统的程序、工具,或者明知他人实施侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具,情节严重的,应当定罪处罚。
第一,该罪名不要求行为人是否以牟利为目的,只要有提供行为即可,因此本案中孟某是否牟利在所不问。
第二,行为人对所提供工具或程序的性质和功能有明确认识,即具有侵入、控制他人计算机信息系统的功能,本案孟某作为具有计算机程序编程技能的专业人员,将自己制作的木马程序提供给陈某是客观事实。根据《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》第2条规定,此处的“程序、工具”是指具有避开或者突破计算机信息系统安全保护措施,未经授权或者超越授权获取计算机信息系统数据的功能的或具有避开或者突破计算机信息系统安全保护措施,未经授权或者超越授权对计算机信息系统实施控制的功能的或其他专门设计用于侵入、非法控制计算机信息系统、非法获取计算机信息系统数据的程序、工具。
第三,计算机信息统的范围,根据该解释第11条规定,本解释所称“计算机信息系统”和“计算机系统”,是指具备自动处理数据功能的系统,包括计算机、网络设备、通信设备、自动化控制设备等。根据百度百科解释,智能手机,是指像个人电脑一样,具有独立的操作系统,独立的运行空间,可以由用户自行安装软件、游戏、导航等第三方服务商提供的程序,并可以通过移动通讯网络来实现无线网络接入手机类型的总称。而实践中智能手机取代PC已经是大势所趋,故智能手机也应属于该法条保护的范围。
第四,何为情节严重,根据该解释第3条第1款第1、3、5项规定,本案中孟某主观明知提供的手机木马病毒功能是专门非法获取智能手机中支付宝的支付结算账号和密码,同时还具有控制收发短信功能,并且可以多次使用,仍旧提供给陈某,并事实上造成陈某利用该木马病毒多次成功作案,孟某也因此获得了报酬,因此孟某行为应当属于情节严重。
(二)陈某行为符合非法获取计算机信息系统数据、非法控制计算机信息系统罪
本案中陈某在获取手机木马病毒后指使他人采取虚假购物的方式诱骗淘宝商家在手机上点击其伪装成图片的病毒程序,使病毒程序植入商家手机,进而实施了窃取商家支付宝账号密码行为,随后又实施了远程控制商家手机收发短信功能从而获取短信身份验证码的行为。陈某行为符合刑法第285条第2款之规定,即违反国家规定,侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统以外的计算机信息系统或者采用其他技术手段,获取该计算机信息系统中存储、处理或者传输的数据,或者对该计算机信息系统实施非法控制,情节严重的,应当定罪处罚。
第一,该款所指的“违反国家规定”是指全国人大常委会于2000年12月28日颁布的《关于维护互联网安全的决定》;国务院颁布的《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际联网管理暂行规定》、《计算机信息网络国际联网安全保护管理办法》、《商用密码管理条例》、《中华人民共和国电信条例》和《互联网信息服务管理办法》等,因此陈某上述行为已经违反了上述规定。
第二,侵入行为与获取、控制行为,该款中“侵入”是指违反上述规定的,行为人采取的一切不法手段从而进入他人计算机信息系统的客观行为。显然,孟某利用木马病毒植入他人手机的行为属于未经任何法律授权和他人同意的非法“侵入”行为。另外,法条中的“获取与控制”是指借助侵入和其他手段得以窃取计算机信息系统内相关数据信息,或者实施的其他控制计算机信息系统,破坏其正常工作的行为。有时“获取”需要以“控制”为前提,有时也可单个行为完成,二者并非完全隔离,而是存在部分并存情形。本案中陈某的行为既有获取支付宝账号密码的行为,又有拦截控制卖家手机收发短信身份验证码的行为。
第三,情节严重的标准,根据“计算机信息系统安全刑事案件解释”第1条第1款规定,其中获取支付结算等网络金融服务的身份认证信息十组以上的或违法所得五千元以上的或造成经济损失一万元以上的,应当定罪处罚。本案中陈某侵害对象和违法所得均已达到上述定罪标准。
(三)陈某盗取支付宝账号密码行为符合侵犯公民个人信息罪
本案中陈某等人通过木马病毒程序获取他人支付宝账号密码和短信验证码的行为,触犯了刑法第253条之一之规定。即窃取或者以其他方法非法获取公民个人信息的,应当定罪处罚。
第一,该条中的“违反国家规定”的范围是指所有国家层面的涉及公民个人信息管理方面的规定,本案中陈某所获商户账号信息显然没有法律依据且是违背商户意思的。
第二,该罪名行为方式包括出售行为、提供行为、窃取行为或其他非法手段获取公民个人信息行为,本案中陈某等人实施的主要是密码窃取商户支付宝账号密码行为。
第三,身份犯问题,本罪属于刑法理论上的不真正身份犯,有无工作单位均能构成该罪,有身份者是指利用实施该罪,属于加重处罚的一种情形,比如利用职务之便获取公民个人信息的,从重处罚,本案中陈某等人属于一般主体。
第四,该条中“公民”的范围,根据最高人民法院研究室观点,应当不限于中国公民,还包括在中国居住生活、工作、学习和旅游的外国公民。那么对于在中国境内的无国籍人士是否保护,本文认为也应当保护,及在我国关系范围内的所有自然人的一切合法个人信息都应当尊重并保护。
第五,关于“公民个人信息”的范围,应当包括公民的个人基本信息和财产信息及隐私信息,比如各类账号密码等。
第六,关于本条中“情节严重”的标准,尚没有具体明文规定,但结合立法精神与司法实践,关于情节严重的标准一般应当从非法获取公民个人信息的目的、犯罪手段、犯罪后果、信息的用途、获取的数量及获取的次数等方面进行综合判断与把握。例如,①利用获取的信息用于违法犯罪活动的;②给公民造成较大经济损失或恶劣影响的;③严重干扰被害人的正常生活或严重影响被害人名誉的;④非法获取公民个人信息收到恶劣的;⑤利用所获信息从中获利,数额较大的;⑥获取信息数量较大或获取信息次数较多的。本案中陈某等人获取公民信息目的是为盗窃钱财的违法犯罪目的,且造成受害人数多、损失大,应当属于情节严重。
(四)陈某窃取支付宝内金钱的行为符合盗窃罪
本案中陈某等人使用手机木马病毒非法获取淘宝卖家支付宝密码账号后,又通过该病毒程序非法拦截卖家身份短信验证码等方式,违背被害人意思,非法转移并占有被害人支付宝账户内的金钱,其行为触犯了刑法第264条之规定。由于该条文属简单罪状,根据刑法理论,该罪构罪要件如下。
第一,该罪需要以非法占有为目的。所谓“不法”是指对财物的占有状态没有法律基础,属于非法占有,具有不正当性。“占有”就是对物的实际控制和掌握,是指主体对物基于占有的意思进行实际控制的事实或状态。非法占有的目的既包括使行为人自己不法占有的目的,也包括使第三者(包括单位)不法占有的目的。陈某等人通过各种手段盗窃他人财物的非法占有目的显而易见。
第二,行为手段多种多样,通常指犯罪行为人采用窃取手段,未经被害人同意而非法转移占有的行为均可构成盗窃行为,本案中陈某使用病毒获取受害人账号,而后有拦截被害人转账短信验证码信息,手段秘密且非法。
第三,定罪标准。该盗窃法条有一个数额犯加四个行为犯组成五种定罪类型,分别为盗窃数额较大、多次盗窃、入户盗窃、携带凶器盗窃、扒窃。本案中陈某等人的犯罪数额已经符合定罪处罚标准。
四、构罪与定性
本案中有多个实行行为,同一主体多种法益受到侵害,根据刑法理论数个行为、数个法益、数个构成要件,理应数罪并罚,仔细分析如此理解并不妥当。
首先,提供侵入、非法控制计算机信息系统的程序、工具罪属于刑法理论上的帮助行为正犯化,本属于共同犯罪中的帮助行为被刑法明确规定为一种独立的罪名,故孟某构成此罪已然确定,不在讨论。
其次,陈某等人实施的非法获取计算机信息系统数据罪与侵犯公民个人信息罪属于一行为侵害两个不同法益(前者法益为社会管理秩序,后者法益为公民人身权利),即想象竞合犯,处罚原则为从一重,但恰巧两罪的法定刑也是相同的,思前想后,唯有依据犯罪行为特征表现符合趋向性、犯罪目的、犯罪对象本质特征等来确定如何适用,结合本案此处“账号密码”在形式上虽属于数据信息,但其本质是公民信息,是一种权利行使的代表,犯罪行为人所要得到的不是一组数据,而是账号密码所代表的金钱,因此本文认为该行为更符合侵犯公民个人信息罪。
最后,非法控制计算机信息系统行为、侵犯公民个人信息行为和盗窃财产行为如何认定,是一罪还是数罪并罚呢?三个行为、三个法益、同一受害人,针对此种情形,我们更应当考虑行为的目的性,从刑法理论牵连犯入手,从手段与目的、原因与结果着眼,因本案中陈某等人以非法占有为目的,先实施隐瞒真相和捏造事实使木马病毒植入被害人手机的行为,而后通过前手段行为获取受害人支付宝账号和密码,后又利用木马病毒拦截被害人转账短信验证码的方式实施窃取支付宝账号内金钱的目的行为,整体符合犯罪理论牵连犯的规定,即获取账户密码行为和非法控制计算机信息系统行为均为最终盗窃财物目的行为的手段行为。根据牵连犯刑法理论,对于牵连犯除刑法有明文规定数罪并罚外,原则上从一重定罪处罚,因非法控制计算机信息系统罪和侵犯公民个人信息罪法定刑相同,最高刑均为7年有期徒刑,而盗窃罪最高法定刑为无期徒刑,因此本案应当以盗窃罪定罪处罚。
编排/卢明亮
责编/张洁 微信号:zhengbeiqing0726