中国网络视听大会13日在蓉启幕
丢手机,引发奇葩金融保卫战?!
这家互联网银行值得了解
“科创+金融”扮靓了深圳新名片
互联网加持,科技要赋能金融服务

丢手机,引发奇葩金融保卫战?!

2020-10-14 15:20 主页 来源:未知
丢手机,引发奇葩金融保卫战?!



击蓝字关注我们
 
 
最近,一位信息安全从业者根据手机被盗后自己为保护金融安全而“战斗”的经历,写了一篇报道。文章揭露了犯罪集团精心设计的作案计划,以及隐藏于其后的巨大“冰山”——移动支付下,各个机构的“弱验证”业务链——这差点导致了作者巨大的金融损失。
 
作者在一遍遍的复盘事件始末后,分别对网络运营商、支付平台以及一些储存大量用户身份信息的机构提出了自己发现的问题,并对大众发出“重视金融信息安全”的呼吁。而本文在分析了报道中的一些细节后,想从专业出发,结合现行法律体系中,讨论该案中体现出的一些问题。由于案情复杂,可讨论的东西很多,本文分为上下两篇,上篇主要涉及对此类犯罪刑事如何打击,下篇则主要涉及民事。
 
案件经过
 
根据事主在文章中的自述,其于9月4日傍晚时分手机被盗,并由于未及时挂失手机,导致违法犯罪的人(后称行为人)有了可乘之机。
 
行为人先是利用短信验证码获取到身份证信息,并通过修改网络运营平台的密码防止事主挂失,进行解挂失。其后,行为人翻找手机中已存的金融app,由于有些app对于金融信息只需要短信或甚至不需要任何验证,就可以查询,由此拿到事主已绑定甚至未绑定的银行卡信息。
 
最后,行为人在许多提供支付业务的app上建立账户,进行绑卡消费;或是申请在线贷款,到账后通过购买虚拟卡充值、银联转账等多种方式将钱移走。
 
 
图片|金融信息被盗取
 
刑法定性
 
在本案中,行为人涉及的罪名包括盗窃罪、诈骗罪、非法获取计算机信息系统数据罪、破坏计算机信息系统罪、侵犯公民个人信息罪。
 
1、以是否通过冒用身份信息、实施需重新审核发还贷款的欺骗行为来骗取服务提供商支付货款,来划分本案中行为分别触犯盗窃罪与诈骗罪。
 
行为人侵害公私财产的行为分别涉及盗窃罪与诈骗罪。前者在本案中主要表现为行为人对事主原有的银行卡进行绑定消费或转账;后者表现为行为人冒用事主的身份信息,在借贷平台上创立账户并对贷款额套现。如此区分的原因如下。
 
(1)对于事主本就有的银行卡或是借贷平台信用额度,尽管行为人看似冒名使用了事主的身份,但实际上这还是相当于从事主的钱包中将原就有的钱偷走了,相应的支付机构只是按照正常的流程操作。
 
(2)对于重新审核创建账户,骗取消费贷的行为,a 行为人通过冒用身份的行为使得平台产生错误认识,b 平台依靠被冒用者的信用同意发放相应的贷款额度,c 行为人对于这笔财产性利益具有非法占有的目的。因此符合诈骗罪的构成要件。
 
 
图片|通过对机器人脸认证办理新账户
 
延伸拓展
 
当然,对于骗机器或说算法是否认定为诈骗,学界颇有争论,本案中倘若借贷平台的风控系统完全是算法设计后自主运行,就存在这一问题的讨论。笔者认为,这种情形下的机器应当可以被骗。
 
从理论上说,人工智能迅速发展,机器早已从以前的简单流程推进,跨域到了可以进行“深度学习”,拥有比人脑更强大的计算能力的时代。倘若刑法不应固守被“骗”的对象只能是自然人的观点,这在未来场景下可能面临诸多问题。
 
从实务上说,尽管小额借贷平台不能等同于发放信用卡,但由于其性质的相似性(都是基于信用给予的借贷额度),可以对两者法律适用进行类比。
 
对拾得信用卡并使用行为的刑法定性问题,最高检于2008年作出了批复10,认为不需要区分是针对机器或者人使用的情形,此类行为一律构成《刑法》第196条信用卡诈骗罪。此外, 2018年“两高”联合发布的《关于办理妨害信用卡管理刑事案件具体应用法律若干问题的解释》中,将通过窃取等非法手段取得他人信用卡资料后,在互联网等场所使用的行为,以《刑法》第196条信用卡诈骗罪追责。
 
2、以侵入计算机系统手段的破坏性,来划分本案中行为分别触犯非法获取计算机信息系统数据罪与破坏计算机信息系统罪。
 
(1)《刑法》二百八十五条第二款规定了非法侵入国防事务等领域以外的计算机信息系统,获取其中存储、处理和传输的数据,情节严重的应受何种处罚。
 
本案中,行为人通过所谓“正当手段”,大钻各个环节间的漏洞,从而盗取手机中存储的事主的金融信息,符合该罪的行为表现。与此同时,本罪入罪需要满足“情节严重”,手机被窃后黑色产业链造成的经济损失应当是达到了1万元以上的程度。
 
(2)《刑法》二百八十六条规定破坏计算机信息系统罪。本案中的行为表现为对手机原有的安全系统(华为锁屏)功能的破坏,进而导致事主财产损失,认定达到后果严重(2011年“两高”《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》)。
 
3、本案中,行为人还构成了《刑法》第二百五十三条之一侵犯公民个人信息罪的第三款。以窃取等方法获取公民个人信息(个人金融信息显然在此受保护),造成的经济损失满足情节严重的要求,符合构成要件。