無訟閱讀｜金融信貸消費中隱藏的刑事犯罪問題，你注意了嗎？

文/劉海濤 戴書暉 曹熙

本文由微信公眾號「金杜說法」授權無訟閱讀發布

近年來，互聯網金融發展迅猛，不單單是金融業利用「互聯網 」的介質飛速發展,各大電商也搭上互聯網金融的快車，比如淘寶推出的「花唄」、京東的「京東白條」、蘇寧的「任性付」等等，這些產品可以說在性質上都是消費金融產品。在這些產品推出的短短一年多的時間內，誠然是攻下了廣闊的消費金融市場，使得電商消費量上升、也使得消費者購買更便捷；但是不容忽視的是在這些消費產品推廣的過程中也出現了不少的問題，比如金融消費貸款的套現、金融消費信貸的被騙、消費者個人信息的泄露等等。本文試從「花唄」、「京東白條」、「任性付」的模式來討論個人金融消費信貸賬戶被冒用騙取消費金融貸款的行為在刑法上如何認定，如何通過刑事途徑來保護等問題。

一、電商產業消費金融產品的模式

電商產業推行消費金融產品的代表主要為以下三個：

電商巨頭在消費金融推進最早的應該算京東。在2014年2月「京東白條」正式對外公測，主要面向部分有公測資格的京東會員，支持3-24期分期付款，提供最長30天的免息期。

2014年12月，螞蟻金服的「花唄」開始公測，試運行階段放出的消費貸款額度不超過5000元，2015年4月正式上線後，在消費額度上進行了放寬，可根據用戶此前的購物消費金額，還與個人信用數據相關。

2015年5月29日，蘇寧消費金融公司正式開張，第一款產品「任性付」也在蘇寧易付寶錢包上線，宣告蘇寧涉足消費金融領域。

從上述代表性產品的分析，其共同的特徵主要體現在以下幾個方面：

1.申請方式：消費者在提供上述產品的平台進行申請，具體申請過程可能各個平台不同，但是都是需要填寫個人基本資料，獲得用戶名、密碼，各個平台再根據大數據審核（包括消費者以往在電商平台的消費記錄、購物評價等等），對該用戶進行評價授信額度。

2.貸款額度：都是小額貸款，「京東白條」最高額度是1.5萬元、「花唄」最高額度是5萬元、「任性付」最高額度是20萬元。

3.貸款用途：上述這些額度都是要用於購買各自電商平台或者與之有協議的商戶的商品。實際上就是為消費者先墊付購物款，消費者在一定期限內向貸款人還款的行為。

而三者之間的區別也是存在的，包括在透支消費額度、逾期費率、還款方式、還款日設定等方面[2]；但是這幾個區別是顯而易見的，最本質的區別是在於貸款方性質的不同：京東白條的貸款提供方是自有資金，屬於非金融機構提供的貸款；而花唄、任性付的貸款來源是金融機構貸款：花唄的資金來源是螞蟻微貸；任性付的資金來源是蘇寧消費金融公司提供的貸款，上述兩個公司均屬於持金融牌照的金融機構。

二、消費金融信貸產品中出現的刑事問題界定

消費者在上述三個消費金融產品推出的平台[4]上用實名認證產生用戶名及密碼，消費者在有需要時利用用戶名、密碼去相應平台進行申請消費貸款，再會產生後續授信、購物、還款的過程。目前實踐中發生的一個問題是——他人盜用消費者在各平台已有的用戶名及密碼，再冒用消費者的名義向平台申請上述消費金融信貸產品，在被授信後購物，而產生的貸款並無人歸還。

對於該行為如何評價，實踐中是有爭議的。

一種觀點認為，該行為系盜竊，因為行為人是通過盜竊消費者的用戶名及密碼進而竊取原本屬於實際用戶的財產，後續的行為實際是其對財產性利益變現的過程，其取財的關鍵行為是盜竊，就類似於盜竊不記名、不掛失的有價票證。被害人應該認定為系被竊的平台用戶，即各消費者。

另一種觀點認為，該行為系詐騙，因為行為人盜竊平台用戶的用戶名及密碼只是一個手段，後續冒用該用戶騙取平台信任誤以為申請貸款人是真實的用戶，進而獲取貸款併購物的行為才是取財的關鍵，被害人應該認定為系平台。

對於上述二種的觀點，我們均不完全認同，根據前述此類消費金融產品模式、性質分析，認為此種行為首先是詐騙類行為，但是每一種不同產品中的被害人並不相同、所涉罪名並不相同。具體分析如下：

（一）詐騙行為而非盜竊行為

1.從被害人的界定看，真正受損的是上述消費金融產品中的貸款人或者說是借款人。區分盜竊和詐騙的關鍵在於手段的不同，但是在上述行為中既有盜竊行為、又有騙取行為，該如何認定呢？回到最樸素的刑法理念——刑法是要保護被侵犯的利益的，任何一個犯罪行為都是有被侵害的客體的，在侵財類案件中必然都有被害人。在上述行為中，誰遭受了損失，是判斷行為性質的關鍵。被盜用戶名和密碼的平台用戶遭受了損失？不盡然。這些用戶被盜的是用戶名和密碼，這個用戶名和密碼與不記名、不掛失的有價票證不具有相似可比性。有價票證本身所蘊含的是其具有價值，行為人在竊取後即可使用變現。而這些被竊的用戶名其本身並不對應任何財產性利益，只是一個空殼；如果行為人不再使用該用戶名及密碼去申請金融消費貸款，則其對於行為人來說沒有任何財產性利益。而有價票證不因竊取者的不加使用而喪失其本身就內含的財產性利益，比如盜竊了不記名不掛失的購物卡，如果行為人不使用，則卡內本身所含有的購物對等價值仍然存在。所以就本文討論的盜竊平台客戶用戶名及密碼的行為，由於用戶名及密碼本身不包含任何財產性利益，故該失竊的平台用戶並沒有任何損失。

2.從行為本身來看，導致消費金融的借款人受損的直接行為是行為人冒用平台用戶的名義去向平台申請消費金融貸款，使得平台誤以為是真實用戶進行審核後借款，最終導致了損失的發生。正如前述，用戶名和密碼本身並不包含任何財產性利益，行為人利用的是該用戶名內所含有的信用信息，冒用該用戶向平台申請貸款，使平台陷入錯誤的認識，以為申請者就是真正的平台用戶，而對該用戶名下所具有的信用信息（如購物信息、評價信息等）進行評估，最終確定貸款額度，行為人在獲得該額度後再去購物，完成了整個詐騙的行為。

3.從所涉法律關係來看，真正損失在於貸款人所貸錢款被騙取，無人歸還。行為人（盜竊用戶名者）在盜用用戶名及密碼，冒用申請貸款得到同意後，其與貸款人之間是借貸關係。但是由於這些貸款只能用於指定的購物上，所以在行為人使用貸款去完成購物後，商戶的貨款實際已經由貸款人支付。在購物交易完成後，商戶和行為人之間的買賣關係已經結束（貨交錢結）；而平台只是一個中介的作用（貸款人委託平台進行產品推廣和審核），真正貸款人是螞蟻微貸、京東、蘇寧消費金融公司,行為人冒用的行為最終導致了上述貸款人所貸款項無人歸還。

綜上，「盜竊平台用戶的用戶名和密碼，再冒用申請金融消費貸款購物的行為」系詐騙行為，具體而言是行為人以非法佔有為目的，採用冒用平台用戶身份的手段申請消費金融貸款，利用了用戶所對應的信用信息，使得審核者誤以為是真實的平台用戶在申請貸款，而將錢款借給所謂的申請者（即行為人），而行為人則利用該用戶名對應的貸款額購物，貸款最終並無人歸還。

（二）被騙者性質不同，涉及的罪名不同

既然前述分析對於行為的整體性質界定為是詐騙行為，那麼所涉罪名是詐騙罪、合同詐騙罪還是貸款詐騙罪？

1.詐騙罪、合同詐騙罪和貸款詐騙罪三者之間是法條競合的關係，詐騙罪是種類罪名；合同詐騙罪相對於詐騙罪系特殊罪名，貸款詐騙罪相對於合同詐騙罪系特殊罪名。基本原則是特殊法優於普通法；但是貸款詐騙罪沒有單位犯罪，在貸款合同領域發生的單位犯罪以合同詐騙罪定罪量刑。

2.盜竊平台用戶的用戶名和密碼，在冒用申請金融消費貸款購物的行為中，如前所述，其所涉及的法律關係最終落腳點是行為人和貸款人之間的借貸合同關係，屬於經濟合同。以非法佔有為目的，冒用他人名義簽訂借款合同，騙取貸款人信任，獲取貸款並用於購物的行為，屬於典型的合同詐騙行為；在被騙金額達到數額較大時即構成合同詐騙罪。

3.但是如前討論的三種消費金融信貸產品的最大差異在於，三者中「花唄」、「任性付」的貸款方均為持牌的金融機構；故其作為被詐騙的單位，在刑法中有專門的罪名與其相對應——貸款詐騙罪（以非法佔有為目的，詐騙銀行或者其他金融機構的貸款，數額較大的）。

綜上，上述三種消費金融信貸產品中，採用盜竊平台用戶的用戶名和密碼，再冒用申請金融消費貸款購物的行為，如果是京東白條上發生此類情形，則涉及合同詐騙罪；如果是花唄、任性付上發生此類情形，則涉及貸款詐騙罪；同時如果是單位騙取花唄、任性付的貸款，則涉及合同詐騙罪。

三、衍生問題的探討

（一）種類罪名和特殊罪名的選擇

詐騙罪、合同詐騙罪和貸款詐騙罪都是數額犯，都要達到數額較大的標準才可入罪，但各自「數額較大」的內涵卻不盡相同。以上海為例，詐騙罪的入罪起點是5000元、合同詐騙罪是2萬元（單位犯罪是10萬元）、貸款詐騙罪是5萬元[5]。如果沒有其他因素，僅因為數額的原因，是否在不能構成貸款詐騙罪時認定為合同詐騙罪？亦或是連合同詐騙罪的金額都不夠時，是否能夠認定為普通的詐騙罪？

有觀點認為，在不構成特殊罪名時，不可以退而求其次地認定為普通種類罪名。因為罪刑法定原則，既然具體罪名不符合法條規定，那麼就不應該納入刑法評價的範疇，不能為了構罪再去套用其他罪名。

我們認為，在法條競合時，僅因數額原因不能構成特殊罪名，條件滿足的話是可以構成種類罪名的。本文所討論的「盜竊平台用戶的用戶名和密碼，再冒用申請金融消費貸款購物的行為」，屬於同一行為觸犯多個罪名，而所觸犯的多個罪名之間屬於法條競合關係。如前文所述，該行為首先是一個詐騙行為，而因為其發生在經濟合同領域所以其又滿足合同詐騙的條件，當被騙方屬於金融機構時則又滿足貸款詐騙的條件。可見該行為觸犯的罪名之間屬於一種遞進關係，範圍在不斷縮小；反言之，構成其中最特殊罪名的情形下必然是以構成相對普通的種類罪名為前提的。所以，如果僅因詐騙數額的差別，在達不到特殊罪名的入罪數額標準時，是可以構成普通的種類罪，因為行為人的行為完全符合種類罪的構成要件，並不違反罪刑法定原則。

（二）涉及的其他罪名

1.手段行為的界定

實踐中，目前此類行為頻發；有的是通過侵入各平台的計算機系統，獲取大量平台消費者的用戶名及密碼，對於該行為如何評價？侵犯公民個人信息罪還是非法獲取計算機信息系統數據罪？

侵犯公民個人信息罪是指竊取或者以其他方法非法獲取公民個人信息、數量較大的行為。非法獲取計算機信息系統數據罪是指違反國家規定，侵入國家事務、國防建設、尖端科學技術領域以外的計算機信息系統或者採用其他技術手段，獲取該計算機信息系統內存儲、處理或者傳輸的數據，情節嚴重的行為。

看似「通過侵入各平台的計算機系統，獲取大量平台消費者的用戶名及密碼」的行為均符合上述兩個罪名，系想像競合犯，應從一重處斷；但是該二罪在量刑上是一樣的，均分兩個檔次「情節嚴重的，處三年以下有期徒刑或者拘役，並處或者單處罰金；情節特別嚴重的，處三年以上七年以下有期徒刑，並處罰金」，不存在孰重孰輕。在入罪標準上，侵犯公民個人信息罪並沒有明確的解釋「情節嚴重、情節特別嚴重」；與此同時，細觀「2011年8月1日最高人民法院、最高人民檢察院《關於辦理危害計算機信息系統安全刑事案件應用法律若干問題的解釋》」，明確「非法獲取計算機信息系統數據，獲取支付結算、證券交易、期貨交易等網路金融服務的身份認證信息10組以上的；或者獲取上述以外的身份認證信息500組以上的」均可以構成非法獲取計算機信息系統數據罪。由此可見，對於通過侵入計算機系統獲取身份認證信息是有明確與之對應的罪名的，是對該罪名更具體的整體評價。雖然身份認證信息系可以認定為公民個人信息，但是侵犯公民個人信息罪中的手段描述為「竊取或者非法獲取」，系概括描述；既然非法獲取計算機信息系統數據罪相應的追訴標準司法解釋對手段、信息等方面有細化明確規定，則應以非法獲取計算機信息系統數據罪界定該行為性質，更加準確、符合罪刑法定的原則。

2.整體行為的界定

(1)牽連犯問題

行為人的手段行為構成非法獲取計算機信息系統數據罪，而目的行為是利用獲取的用戶名及密碼去騙取貸款，如前述構成詐騙類犯罪。對於此種手段行為和目的行為分別構罪時，是否可以認定為兩者之間具有牽連關係，構成牽連犯，從一重處斷？

誠然，「通過侵入各平台的計算機系統，獲取大量平台消費者的用戶名及密碼」和「冒用平台用戶的身份，使用竊取來的用戶名和密碼騙取貸款」兩個行為之間是手段和目的的關係；但兩者僅因此就可以認定為系牽連關係嗎？不然，刑法上的牽連關係並不意味著兩個行為之間只要具有手段和目的關係即可，這樣會無限擴大牽連犯的適用，放縱犯罪。比如購買槍支再去殺人，雖然系手段行為和目的行為，但是實踐中對於此是數罪併罰；而為了詐騙而又偽造公司印章，卻構成牽連犯，從一重處斷。原因就在於，刑法意義上的牽連關係應當具有通常性。具體說來，只有某種手段通常用於實施某種犯罪，或者某種原因行為通常導致某種結果行為的，才能認定為牽連犯。[6]刑法上的牽連犯要求兩個罪名在客觀行為的構成上需要有重合或者相似之處，也即數個罪名之間是否包含相同要素。偽造公司印章罪和詐騙罪之間在客觀行為上都有騙的成分；但是非法買賣槍支罪和故意殺人罪之間在客觀行為上沒有任何重合或者相似之處，不能認定為牽連關係一罪處罰，而是數罪處罰。同理，非法獲取計算機信息系統數據罪和詐騙罪之間在客觀行為上也沒有重合或者相似之處，應該以兩罪來評價兩個行為，數罪併罰。

(2)與《刑法》第二百八十七條的區別

《刑法》第二百八十七條規定:利用計算機實施金融詐騙、盜竊、貪污、挪用公款、竊取國家秘密或者其他犯罪的，依照本法有關規定定罪處罰。

據此，是否就可以認為本文所討論的情形也適用上述規定？即只認定詐騙類犯罪中的一個罪名？我們認為本文所討論的情形並不屬於上述規定中「利用計算機實施其他犯罪」。規定中的「利用計算機」是指將計算機僅僅作為實施其他犯罪的一個媒介，其單單利用計算機的行為是不產生社會危害性的，故需要以其後續的其他犯罪行為來評價；而本文所討論的情形中不單單是將計算機作為一個媒介，更重要的是通過使用計算機入侵到平台的系統竊取相關信息後，再冒用信息騙取貸款的行為。正如前述，其手段行為已經構成一個犯罪行為（非法獲取計算機信息系統數據罪），已經產生社會危害性，可以進行獨立的刑事評價。

（三）互聯網消費金融信貸產品中個人信息的保護

本文所討論的金融信貸產品屬於互聯網金融的一種，當前互聯網金融如火如荼地發展著，個人信息保護是互聯網金融發展的重要基礎之一。近年來，小規模的個人信息泄漏、買賣事件頻生。從單一事件而言，小規模的個人信息泄漏違反了商業道德；如果上升到戰略高度，大規模的個人信息泄漏可能會危及國家安全。

「通過侵入各平台的計算機系統，獲取大量平台消費者的用戶名及密碼」後再「冒用平台用戶的身份，使用竊取來的用戶名和密碼騙取貸款」的行為，是平台對個人信息保護不利的體現。

在大數據時代，互聯網金融飛速發展，在帶來高效的同時，也給個人信息帶來泄露的風險。所以，一方面數據控制者要符合個人信息保護、個人權利保護的監管要求；另一方面在技術上能切實做到對所擁有的個人信息進行防禦侵犯的保護措施。

實習編輯/王林