信用卡信息安全的刑法保護*——以竊取、收買、非法提供信用卡信息罪為例的分析

盧勤忠

我國信用卡犯罪罪名體系包括信用卡詐騙罪、妨害信用卡管理罪、偽造金融票證罪和竊取、收買、非法提供信用卡信息罪等罪，其中，竊取、收買、非法提供信用卡信息罪是2005年2月全國人大常委會通過的《中華人民共和國刑法修正案(五)》新增的罪名。這一罪名的增設，豐富和完善了我國信用卡犯罪的刑事立法，使得司法實踐中以信用卡信息為犯罪對象的行為受到了刑法處罰，有助于從源頭上遏制日益猖獗的信用卡詐騙犯罪活動。本文擬對該罪的相關問題進行剖析。

一、立法背景的介紹

信息是一種表現為信號、消息，能夠為接受者所感知和理解的情報或知識。個人信息作為信息資源的一部分，無疑具有極其特殊的地位，其往往附帶巨大的經濟價值，竊取、泄露和非法利用個人信息都會影響到公民的人身權利和財產安全、危害社會正常管理秩序。個人信息安全保護包括信用卡信息保護。在當代社會，信用卡為人們帶來了諸多便利，但有些人也以此作為犯罪手段或對象，竊取、收買、非法提供信用卡信息罪就是其中一種表現形式。一個完整的信用卡犯罪包括竊取、收買信用卡信息，制作假卡，運輸、銷售和使用假卡等流程。其中，竊取、收買、制作是初始環節，運輸、銷售是中間環節，使用是最終目的。在該犯罪流程中，我國1997年《刑法》只規定了最終環節和部分初始環節的行為為犯罪(即該法第177條規定的偽造、變造金融票證罪和第196條規定的信用卡詐騙罪)，缺乏對中間環節和最初環節的規制。如對于實踐中出現的竊取、收買、非法提供信用卡信息資料的行為并沒有直接規定為犯罪，使得對于信用卡犯罪不能從源頭上加以遏制。固然，對此類行為可以按照偽造金融票證罪或信用卡詐騙罪的共同犯罪來定罪量刑，但要證明共同犯罪就必須查明行為人非法獲取他人信用卡信息是要用于偽造銀行卡，或者非法提供他人信用卡信息者與偽造銀行卡者之間有共同犯罪的故意。這一點很難查證，致使許多犯罪分子逃避了應有的刑事制裁。在這種情勢下，司法機關和金融主管部門均建議《刑法》對這類犯罪作出明確、具體的規定。有鑒于此，2005年2月全國人大常委會通過了《中華人民共和國刑法修正案(五)》，規定在《刑法》第177條后增加一條、作為第177條之一，明確規定竊取、收買或者非法提供他人信用卡信息資料的行為為獨立的犯罪，銀行或者其他金融機構的工作人員利用職務上的便利犯此罪的，從重處罰，從而為打擊這類犯罪明確了法律依據。

二、構成要件的剖析

(一)竊取、收買、非法提供信用卡信息罪侵犯的客體和對象

1.本罪的客體

竊取、收買、非法提供信用卡信息罪侵犯的是復雜客體，包括他人的信用卡信息安全和國家有關信用卡信息的管理秩序。從持卡人角度看，信用卡信息安全是其首要的利益，這種信息一旦被竊取、收買、非法提供，其安全性就必然被侵犯。從國家角度看，國家已有相關法律、法規來規范信用卡信息管理，而竊取、收買、非法提供他人信用卡信息必然造成國家的這種管理秩序被破壞。

對于竊取、收買、非法提供信用卡信息罪侵犯的客體，理論上存在不同看法。如有學者認為，竊取、收買、非法提供他人信用卡信息資料的行為不僅嚴重侵犯了他人的信息資料安全，擾亂了國家對信用卡信息資料的管理秩序，同時還對銀行等金融機構的正常經營秩序造成了不良影響。①也有學者認為，本罪侵犯的客體為復雜客體，即持卡人的合法利益和金融機構的信譽。②筆者認為，上述兩種看法都不完全準確。前一種觀點認為竊取、收買、非法提供信用卡信息罪“侵犯了他人的信息資料安全和國家對信用卡信息資料的管理秩序”的說法過于籠統。因為我們在此討論的客體應該是指本罪所侵犯的直接客體，而直接客體應該成為區別此罪與他罪的一種特有客體。就本罪而言，其固然侵犯了他人的信息資料安全，但作為一種特別的對象，應該限于信用卡信息安全。從國家管理秩序的角度，本罪所直接侵犯的也僅限于有關信用卡信息的管理秩序，并不包括信用卡制作、發行、申領、使用的管理秩序(此屬于妨害信用卡管理罪和信用卡詐騙罪所侵犯的法益)。后一種觀點認為竊取、收買、非法提供信用卡信息罪侵犯的客體是“持卡人的合法利益和金融機構的信譽”的說法過于模糊。因為無論何種信用卡犯罪都會侵犯持卡人的合法利益，而此處的合法利益到底是何內容不甚明了。至于“金融機構的信譽”，其與本罪并無必然關聯。犯罪分子實施竊取、收買、非法提供信用卡信息的行為中，金融機構本身也成為受害者，只要這種犯罪得到懲處，則持卡人明白事實真相后，金融機構的信譽并不會受到影響。

對于竊取、收買、非法提供信用卡信息罪侵犯的客體，另須討論的一個問題是:本罪是否侵犯了公民的隱私權?筆者認為，侵犯個人信息和侵犯個人隱私并非同等概念，兩者有一定區別。個人隱私是指個人內心深處不愿意向外界透露的信息，這種信息一旦泄露就會給個人的聲譽造成一定影響。個人信息則不僅包括敏感的個人私密信息，還包括瑣碎的、可以公開的個人信息。③從內容上看，隱私權制度的重心在于防范個人秘密不被披露，而不在于保護對這種秘密的控制和利用。并非所有的個人信息資料都屬于個人隱私的范疇，有些信息資料是可以公開、而且必須公開的。④例如，個人姓名信息、身份證信息、電話號碼信息的搜集和公開涉及社會交往和公共管理需要，是必須在一定范圍內為特定人或者不特定人所知曉的。這些個人信息資料顯然難以歸入隱私權的范疇。個人隱私是個人信息的下位概念，是個人信息的一部分。就竊取、收買、非法提供信用卡信息罪而言，侵犯公民信用卡信息安全所造成的主要危害一般不是個人聲譽受到侵害，而是這種侵害所可能帶來的財產損失。正因為此，我國《刑法》將這種犯罪歸入侵犯金融管理秩序犯罪中，而不是作為一種侵犯人身權利的犯罪對待。

2.本罪的對象

竊取、收買、非法提供信用卡信息罪侵犯的對象是持卡人的信用卡信息資料。根據中國人民銀行2000年11月發布的《銀行卡磁條信息格式和使用規范》，信用卡信息主要包括:主賬號、發卡機構標識號碼、個人賬戶標識、校驗位、個人標識代碼(也就是平常所說的密碼)，這五類信息中個人標識代碼(密碼)是最為重要的信用卡信息資料。

對于本罪的對象，筆者認為，信用卡信息包括借記卡信息和貸記卡信息兩種，這里的信用卡與信用卡詐騙罪中的“信用卡”應作相同理解。根據2004年12月全國人大常委會通過的《關于〈中華人民共和國刑法〉有關信用卡規定的解釋》，《刑法》中的“信用卡”是指由商業銀行或其他金融機構發行的具有消費支付、信用貸款、轉賬結算、存取現金等全部功能或部分功能的電子支付卡。對于本罪對象中的信用卡信息資料是指所有與信用卡申領等有關的信息或信用卡上的信息，還是僅指信用卡磁條或芯片上的信息，法律未作更明確的規定。筆者認為，既然法律未作明確限定，持卡人信用卡上的所有信息都應該成為本罪侵犯的對象，而不僅限于信用卡磁條或芯片上的信息(雖然這是最核心信息)。當然，信用卡申領中的有些信息如身份信息、收入狀況、資信狀況等的泄露并不必然危及信用卡上的資金安全，因而不是本罪的侵犯對象。另外，信用卡信息不僅指本國人的信用卡信息，還應包括外國人的信用卡信息。如果通過互聯網等方式在本國竊取、收買、非法提供外國人的信用卡信息，也可構成本罪。

(二)竊取、收買、非法提供信用卡信息罪的客觀要件

根據《刑法》規定，竊取、收買、非法提供信用卡信息罪的行為方式包括竊取、收買和非法提供三種。所謂竊取，是指以秘密手段(偷窺、拍攝、復印、破解及高科技方式等)獲取他人信用卡信息資料的行為;收買，是指以金錢、物質或其他利益從有關人員(如銀行等金融機構的工作人員)手中換取他人信用卡信息資料的行為;非法提供，是指將通過非法或者合法手段獲取的他人信用卡信息資料轉讓(交付、告知、出售或用其他非法方式)給第三人的行為。本罪是選擇性罪名，實施竊取、收買、非法提供行為中的任何一種或兩種，或同時實施此三種行為都構成本罪，不數罪并罰。關于本罪的客觀要件，有以下問題值得討論。

1.“竊取”是否包括公開的方式?

這個問題可以聯系盜竊罪的行為方式來理解。刑法理論上一般認為，盜竊是指秘密竊取，但張明楷教授等學者提出了不同看法，認為盜竊不僅包括秘密竊取，還包括公開盜竊，只要行為人采用平和的方式，并且我國《刑法》關于盜竊罪的條文中只是規定“盜竊公私財物”，并未明確盜竊是“秘密竊取”，因此，公開盜竊也是盜竊。⑤刑法理論上一般認為，秘密竊取包括行為人采用秘密的方式或自認為是秘密的方式(如在公開場合)竊取。然而，發生爭議的是，行為人當著被害人的面公然拿走財物是否屬于盜竊?筆者認為，從我國《刑法》的規定來看，搶劫或搶奪罪都是采用非平和的手段實施的，并且搶奪罪必須具備“奪”的構成特征，“奪”是對被害人緊密占有物的暴力奪取，因此，當著被害人的面采用非暴力手段取得財物只能屬于盜竊。不過，對于竊取、收買、非法提供信用卡信息犯罪，筆者認為，所謂“竊取”只能是秘密竊取。因為行為人如果是在被害人明知的情形下取得信用卡信息，被害人即可向銀行等金融機構修改信用卡信息(如修改密碼)甚至掛失信用卡而導致行為人竊取的信用卡信息沒有任何價值。要使信用卡信息具有經濟價值，行為人一般只能采用被害人不知情的秘密竊取手段。

2.采用騙取、奪取、劫取、敲詐等方式取得信用卡信息是否構成本罪?

有學者認為，行為人以“欺騙、脅迫”等手段非法獲取或“接受”他人的信用卡信息資料的，目前并不能以犯罪論處。⑥筆者認為，根據我國《刑法》，竊取、收買、非法提供信用卡信息罪的行為方式只限于三種(竊取、收買、非法提供)，這三種行為方式其實可以分為兩類:取得和提供。在“取得”方式中，《刑法》只規定了“竊取”和“收買”，未規定其他類似方式，因此，行為人采用騙取、奪取、劫取、敲詐等方式取得信用卡信息不屬于本罪的行為方式。并且，如果行為人采用了這些方式，則被害人會在知曉自己的信息遭受侵害后及時采取補救措施而使信用卡信息作廢，因此，犯罪分子一般也不會采用這些方式來取得信用卡信息。即使犯罪分子采用了這些方式，其行為也不一定構成犯罪，因此，刑法沒必要將其納入處罰范圍。不過，在采用“騙取”方式時，被害人可能不會及時發覺被騙，從而不能及時采取補救措施。從取得方式看，“騙取”不屬于竊取或收買，但從提供方式看，行為人騙取被害人信用卡信息后需要出售或非法提供，筆者認為此時可按照非法提供信用卡信息罪處理。如果在互聯網上使用騙取的信用卡信息，還可以構成“冒用他人信用卡”的行為，對此后文予以具體分析。

3.“非法提供”的信用卡信息是否只限于行為人合法掌握的信息?

有學者認為，“非法提供”是指信用卡信息資料持有人將其知悉、管理、持有的信用卡信息資料以不合法的方式提供給他人。⑦也有學者認為，“非法提供”是指將合法掌握的他人信用卡信息，違反規定交付、出售、告知他人(如銀行工作人員將其了解的信用卡信息提供給他人)，即前提條件是行為人已合法掌握信用卡信息。⑧筆者認為，這種理解不完全符合法律原意。從司法實踐中通常發生的情形來看，有關信用卡信息的非法提供一般是“出售”，當然，不排除存在無償提供的可能。如果將“非法提供”理解為只能針對合法掌握的信息，就相當于將其理解為一種侵占的方式，而《刑法》并未作出這種限定。并且，一旦作上述狹義上的理解，將對以騙取或其他非法方式取得信用卡信息后又予以非法提供的行為無從處理，從而不利于懲治犯罪。《刑法》第253條規定了出售、非法提供公民個人信息罪，即“國家機關或者金融、電信、交通、教育、醫療等單位的工作人員，違反國家規定，將本單位在履行職責或者提供服務過程中獲得的公民個人信息，出售或者非法提供給他人，情節嚴重的，處三年以下有期徒刑或者拘役，并處或者單處罰金”，此罪中的“非法提供”就屬于將合法掌握的公民個人信息無償提供給他人。或許有人據此認為，非法提供他人信用卡信息罪中的非法提供也應作此理解。筆者認為，上述條文與非法提供信用卡信息罪的規定有所區別。對于非法提供公民個人信息罪，《刑法》明確規定了主體范圍(“國家機關或者金融、電信、交通、教育、醫療等單位的工作人員”)和其他行為條件(“違反國家規定，將本單位在履行職責或者提供服務過程中獲得的公民個人信息”)，而對非上述主體或不符合上述行為條件的行為不予處罰。但對于非法提供信用卡信息罪，《刑法》未作任何限定，我們就不能隨意作狹義理解。這也是同類解釋原理的必然結論。

4.本罪客觀方面是否必須具備情節、數量、后果等方面要求?

根據《刑法》第177條第二款，竊取、收買、非法提供信用卡信息罪的構成要件中沒有情節、數量、后果等方面的要求。但根據相關司法解釋，構成本罪必須具備一定的入罪條件。2009年12月最高人民法院、最高人民檢察院《關于辦理妨害信用卡管理刑事案件具體應用法律若干問題的解釋》第三條規定，“竊取、收買、非法提供他人信用卡信息資料，足以偽造可進行交易的信用卡，或者足以使他人以信用卡持卡人名義進行交易，涉及信用卡1張以上不滿5張的”，以竊取、收買、非法提供信用卡信息罪定罪處罰。2012年5月最高人民檢察院、公安部《關于公安機關管轄的刑事案件立案追訴標準的規定(二)》也作了相同規定。因此，考察竊取、收買、非法提供信用卡信息罪的客觀要件時，要考慮本罪必須具備一定的限制條件。

(三)竊取、收買、非法提供信用卡信息罪的主體要件

本罪主體是一般主體，即年滿16周歲達到法定刑事責任年齡、具備刑事責任能力的人。本罪也可以由特殊主體即銀行或者其他金融機構的工作人員實施，特殊主體犯本罪的，從重處罰。單位不能成為本罪主體。不過，理論上對于單位實施的有關信用卡犯罪是否作為犯罪及如何處罰存在一定爭議。

根據我國《刑法》規定，單位可以構成偽造、變造金融票證罪的主體(該法第177條)，也可以構成出售、非法提供公民個人信息罪和非法獲取公民個人信息罪的主體(該法第253條)，但單位不能構成信用卡詐騙罪和竊取、收買、非法提供信用卡信息罪的主體。信用卡信息是公民個人信息中的一種特殊信息，《刑法》既然規定單位侵犯公民一般信息時可以構成犯罪主體，為何其侵犯特殊信息時反而不能構成犯罪主體?對此，我們能否采用法條反向適用的做法，在適用特殊法條不能認定犯罪時適用一般法條而以侵犯公民個人信息罪加以定罪處罰?這種法條反向適用在我國《刑法》中是客觀存在的，生產、銷售偽劣產品罪和瀆職罪就是適例:《刑法》第149條規定“生產、銷售本節第一百四十一條至第一百四十八條所列產品，不構成各該條規定的犯罪，但是銷售金額在五萬元以上的，依照本節第一百四十條的規定定罪處罰”;2013年1月9日起施行的最高人民法院、最高人民檢察院《關于辦理瀆職刑事案件適用法律若干問題的解釋(一)》第二條規定“國家機關工作人員實施濫用職權或者玩忽職守犯罪行為，觸犯刑法分則第九章第三百九十八條至第四百一十九條規定的，依照該規定定罪處罰”。筆者認為，上述兩個法條競合的反向適用事例不能完全適用于竊取、收買、非法提供信用卡信息罪和出售、非法提供公民個人信息罪與非法獲取公民個人信息罪之間。因為無論是生產、銷售偽劣產品罪的立法規定，還是瀆職罪的上述司法解釋，所針對的都是一般法條與特殊法條之間的包容競合關系，它們仍分別屬于該類犯罪之中(即所有犯罪屬于《刑法》的同一節(章)中)，而信用卡信息和一般個人信息雖也有特殊與一般的問題，但其間是交叉競合關系。即信用卡信息犯罪不僅侵犯公民個人信息安全，更侵犯了信用卡管理秩序，是一種金融犯罪。對于上述生產、銷售偽劣產品罪的立法規定，應理解為一種法律擬制而非注意規定。因此，對于單位實施的竊取、收買、非法提供信用卡信息的行為，不能按照單位出售、非法提供公民個人信息罪和非法獲取公民個人信息罪定罪處罰。

那么，對于單位實施的竊取、收買、非法提供信用卡信息罪行為能否按照個人犯罪的規定追究單位中直接責任人員的刑事責任?對此，學界主要有兩種觀點:一是“無罪說”，認為法無明文規定不為罪，《刑法》既然未規定單位竊取、收買、非法提供信用卡信息罪，則對于單位實施的此類行為只能按無罪處理。因為單位犯罪是由單位作為犯罪主體實施的《刑法》分則有明文規定的危害社會的行為，對單位中直接負責的主管人員和其他直接責任人員判處刑罰體現的是對單位整體所應負刑事責任的一種分擔。這說明在單位實施某一行為的場合，要追究有關直接責任人員的刑事責任，須以單位實施的行為已構成犯罪為前提。由此，在單位行為不構成犯罪的情況下對直接責任人員追究刑事責任，會導致犯罪與刑事責任之間的必然聯系發生斷裂，形成在沒有犯罪的情況下存在刑事責任的不合理現象，并且抹煞了單位行為與自然人個人行為的差別，將本來由單位意志支配的行為強行作為個人意志支配的行為對待。另一種觀點是“等同說”，認為對于單位實施的竊取、收買、非法提供信用卡信息罪的行為，可以按照個人竊取、收買、非法提供信用卡信息罪處理。⑨因為從我國刑法與法益侵害的關系的角度，站在刑法是對法益保護、犯罪是對法益侵害的立場上看，在《刑法》沒有規定單位可以構成犯罪主體的情況下，即使是單位集體實施的犯罪行為，也應追究主管人員和其他直接責任人員的刑事責任，不能以《刑法》規定的主體是自然人而實際主體是單位為由來否認行為人的責任。⑩筆者認為上述兩種觀點中，“無罪說”較為可取。理由是:

第一，在單位犯罪中，讓單位中實施了具體犯罪行為的直接責任人員承擔刑事責任違背罪責自負原則。在單位犯罪中，單位意志是一個整體，單位讓某一自然人去實施犯罪行為時，該自然人是代表單位而行為的，其行為是單位行為，如果法律對單位不予追究責任，則無論法律規定是否妥當，對直接責任人員都不應追究責任，正所謂“皮之不存，毛將焉附”。

第二，其他司法解釋的規定可以作為參照。如2001年1月最高人民法院印發的《全國法院審理金融犯罪案件工作座談會紀要》曾指出:“根據刑法第三十條和第一百九十三條的規定，單位不構成貸款詐騙罪。對于單位實施的貸款詐騙行為，不能以貸款詐騙罪定罪處罰，也不能以貸款詐騙罪追究直接負責的主管人員和其他直接責任人員的刑事責任。”根據此解釋，我們同樣有理由認為，對于單位實施的竊取、收買、非法提供信用卡信息罪行為，不能以個人竊取、收買、非法提供信用卡信息罪定罪處罰，也不能以竊取、收買、非法提供信用卡信息罪追究單位中直接責任人員的刑事責任。

第三，有關單位盜竊犯罪和單位詐騙犯罪的司法解釋不能作為對單位犯本罪的處理依據。不容否認，對于部分單位犯罪問題，曾有司法解釋規定可以直接追究有關直接責任人員的刑事責任。如1996年1月最高人民檢察院《關于單位盜竊行為如何處理問題的批復》曾規定:“單位組織實施犯罪，獲取財物歸單位所有，數額巨大、影響惡劣的，應對其直接負責的主管人員和其他直接責任人員按盜竊罪依法批捕、起訴。”1996年12月最高人民法院《關于審理詐騙案件具體應用法律的若干問題的解釋》第一條也規定:“單位直接負責的主管人員和其他直接責任人員以單位名義實施詐騙行為，詐騙所得歸單位所有，數額在5萬至10萬元以上的，應當依照《刑法》(指1979年《刑法》——作者注)第一百五十一條的規定追究上述人員的刑事責任;數額在20萬至30萬元以上的，依照《刑法》第一百五十二條的規定追究上述人員的刑事責任。”竊取、收買、非法提供信用卡信息罪中也存在“竊取”的行為方式，對此似乎理應按照上述關于單位盜竊犯罪的司法解釋處理，即可以追究單位中直接責任人員的刑事責任。但筆者認為，上述關于單位盜竊犯罪的司法解釋是針對財產犯罪而言的，盜竊罪侵犯的法益是他人的財產權，屬于自然犯，自然犯的特性是以個人犯罪為常見行為類型，所以，單位盜竊可以按照個人犯罪追究直接責任人員的刑事責任。而竊取信用卡信息犯罪侵犯的法益是信息安全和金融管理秩序，是一種金融犯罪，屬于法定犯，法定犯的特征是通常須以刑法的特別規定為依據，這也是刑法中法定犯通常可由單位構成的原因。由于存在法定犯與自然犯的區別，所以即使竊取、收買、非法提供信用卡信息犯罪采取了秘密竊取的行為方式，也不能追究單位中直接責任人員的刑事責任，如此才遵循了罪刑法定原則的要求。確實存在立法缺陷的情況下，只能完善立法，而不能對立法規定隨意作擴張解釋。

有不少學者建議立法應增設單位竊取、收買、非法提供信用卡信息罪，認為這是信用卡犯罪一體化的必然要求。[11]筆者認為，這種建議可供立法部門參考，但是否在《刑法》中增設這種單位犯罪，還須考慮刑事政策上打擊這種犯罪的需要。立法是對犯罪行為的類型化，一般是實踐中發生了社會危害比較嚴重的行為，才考慮由法律加以規制，即立法的規定要考慮某種行為發生的概率。如果某種行為只是偶爾發生，則囿于刑法本身的謙抑性原則，一般不將之作為犯罪處理。從目前實踐中發生的竊取、收買、非法提供信用卡信息犯罪來看，比較常見的還是自然人單獨或共同實施犯罪行為，犯罪人以單位形式或以單位名義實施這類犯罪的還比較少見。因此，目前在《刑法》中設立單位竊取、收買、非法提供信用卡信息罪恐怕只是一種理想化的建議。

(四)竊取、收買、非法提供信用卡信息罪的主觀要件

本罪在主觀方面表現為故意，即行為人明知自己竊取、收買、非法提供的是他人信用卡信息而仍予以竊取、收買、非法提供，但此處的“故意”并不要求行為人明知其行為是為他人進行偽造金融票證罪或信用卡詐騙而提供幫助或便利。有學者認為，行為人如果明知他人實施偽造信用卡犯罪而為其提供他人信用卡資料，應當以偽造金融票證罪的共犯論處。[12]筆者認為這種看法不夠全面。因為立法是基于免予查證主觀故意的困難而設立竊取、收買、非法提供信用卡信息罪的，無論行為人是否明知他人偽造信用卡，只要其故意竊取、收買信用卡信息資料或者非法提供給他人信用卡信息資料，就都直接按照本罪處理，即刑法已將部分偽造信用卡的共犯行為以本罪論處。這部分行為通常是片面共犯或未與制假者共謀卻主動幫助他人偽造信用卡而提供信用卡信息的情形。如果行為人與制假者共謀，或受制假者指使而竊取、收買、非法提供信用卡信息，則應該按照偽造金融票證罪的共同犯罪處理。

三、犯罪形態的認定

(一)竊取、收買、非法提供信用卡信息罪停止形態的標準

本罪屬于行為犯。行為犯的既遂以行為實施到一定程度(使客體受到現實侵害危險的程度)為標準。就竊取信用卡信息資料罪而言，行為人大多通過在ATM機、自助銀行的門禁系統、POS機上安裝讀卡器、微型MP4裝置、攝像頭的方法非法獲取信用卡信息資料。在上述犯罪手段中，是行為人一經安裝設備完畢即為既遂，還是安裝設備完畢并讀取到信息資料并被行為人掌握才為既遂?筆者認為，根據竊取、收買、非法提供信用卡信息罪的客觀行為特征和《刑法修正案(五)》增設該罪的目的，竊取、收買、非法提供信用卡信息資料的社會危害性體現在信息資料上，如果沒有銀行客戶的信息資料，就不能偽造信用卡，也無法實施信用卡詐騙犯罪。同樣，行為人在銀行或ATM機上安裝讀卡器和攝像頭并不是竊取信用卡信息資料罪既遂的關鍵。如果行為人在安裝設備時被他人發現，其行為就只能屬于秘密竊取行為的著手，屬于犯罪未遂;有關設備雖讀取到了他人信息資料但尚未被行為人掌握的，也只能屬于犯罪未遂;只有行為人實際掌握了他人信息資料，才可以作為本罪的既遂處理。就收買信用卡信息資料罪而言，并非行為人一實施收買行為即可認定為既遂。如行為人通過群發短信或在網絡上收購的方式收買信用卡信息，發出收購信息后未獲得任何信息資料的，可以未遂處理;最終獲取了信用卡信息資料的，才可以既遂論處。就非法提供信用卡信息資料罪而言，行為人僅僅向他人發出出售信息資料等信息而未出售或提供成功的，只能按照未遂處理;只有將信用卡信息資料實際出售或非法提供給他人的，才可以既遂論處。但無論是竊取、收買還是非法提供行為，只有該信用卡信息資料達到足以偽造可進行交易的信用卡或足以使他人以信用卡持卡人名義進行交易的程度，才能作為犯罪處理。如果未達到上述程度，就不能以犯罪論處，也就無須考察上述三種行為的停止形態問題。

(二)竊取、收買、非法提供信用卡信息罪罪數形態的確認

信用卡是否具有使用價值，最關鍵的因素是信用卡磁條或芯片上是否寫入了有關信息，只有寫入磁條或芯片信息的信用卡才能正常使用。犯罪分子只有通過不法手段取得信用卡信息資料，才能繼續實施偽造信用卡的行為，所以竊取、收買、非法提供信用卡信息罪與偽造金融票證罪之間不可避免地會涉及罪名適用和罪數判斷問題。實踐中，行為人為了偽造信用卡而實施竊取、收買、非法提供信用卡信息資料的行為，并在之后偽造了信用卡的，同時構成竊取、收買、非法提供信用卡信息罪和偽造金融票證罪，屬于牽連犯，應當從一重罪處斷——以偽造金融票證罪定罪。如果行為人先是非法獲取了他人的信用卡信息資料，然后偽造信用卡并實施信用卡詐騙行為的，同時構成竊取、收買、非法提供信用卡信息罪、偽造金融票證罪和信用卡詐騙罪，應按照牽連犯的處斷原則處理。在竊取、收買、非法提供信用卡信息罪的牽連犯認定中，有兩個疑難問題值得討論:

1.手段行為構成犯罪，目的行為因未達到數額標準而未構成犯罪，是否可以作為牽連犯?

以蘇文江收買他人信用卡信息資料案為例分析:2009年3月初，蘇文江在福建省石獅市通過互聯網購買到楊先生的招商銀行信用卡(賬號為622588100641XXXX，開戶行為招商銀行北京分行大運村支行)信息資料。2009年3月8日，蘇文江利用上述資料開通了上述信用卡的電話支付功能，并以楊先生的名義用該卡通過網絡進行消費，造成楊先生損失人民幣1414.15元。2009年4月28日，蘇文江在福建省泉州市被抓獲。在該案審理中，辯護人提出被告人收買他人信用卡信息資料的行為是為了進行信用卡詐騙而實施的手段行為，與信用卡詐騙行為之間存在手段與目的的牽連關系，屬于牽連犯，按照牽連犯從一重罪處罰的原則，應將被告人的行為定性為信用卡詐騙，但由于涉案金額未達到信用卡詐騙罪的定罪標準(5000元)，故應宣告被告人無罪。法院審理后認為，被告人收買他人信用卡信息資料，其行為已構成收買信用卡信息罪。[13]

筆者認為，兩種行為僅僅存在牽連關系還不足以構成牽連犯。牽連犯的成立應以存在牽連關系的兩種行為均獨立構成犯罪為前提，即只有竊取、收買、非法提供信用卡信息行為與信用卡詐騙行為都達到犯罪的程度，才能以兩罪是牽連犯來看待。在本案中，由于詐騙涉案金額不足5000元，不能以信用卡詐騙罪定罪，故不構成牽連犯。收買他人信用卡信息資料雖可視為信用卡詐騙罪的預備行為，但我國《刑法》已將該行為規定為獨立犯罪，且在案證據證明被告人已借助其所購信用卡信息資料以信用卡持卡人的名義進行了交易，這完全符合相關司法解釋對收買信用卡信息罪的定罪處罰標準，故法院對上述無罪辯護意見不予采納的判決是合理的。

2.竊取他人信用卡信息資料，并通過互聯網加以使用，是否屬于牽連犯?

以鄔某竊取信用卡信息資料并冒用案為例分析:餐廳服務員鄔某在上網購物的過程中發現，購物網站只須確認客戶的信用卡號碼與身份證號碼即可完成交易，遂在替顧客用信用卡結賬之機，偷偷記下了兩名顧客的信用卡號碼及其身份證號碼，此后便以該兩名顧客的名義通過網絡購買了價值4萬余元的物品。被害人收到銀行寄來的對賬單時，方才發覺有不明消費。警方很快便將鄔某抓獲歸案。對于本案的定性和處理有不同意見。第一種觀點認為，鄔某的行為構成信用卡詐騙罪，因其以非法占有為目的冒用他人信用卡，符合信用卡詐騙罪的犯罪構成。第二種觀點認為，鄔某的行為構成竊取他人信用卡信息資料罪而不成立信用卡詐騙罪。因為信用卡詐騙罪的犯罪工具是信用卡這一實物，而信用卡賬號、密碼、持卡人的資料等無形信息資料雖以信用卡為物質載體，但畢竟不同于信用卡本身，根據罪刑法定原則，對冒用他人信用卡信息資料的犯罪行為不能認定為信用卡詐騙罪。第三種觀點認為，鄔某的行為構成竊取他人信用卡信息資料罪與信用卡詐騙罪的牽連犯，應依一重罪即信用卡詐騙罪處斷。[14]

筆者贊成第一種觀點。根據2009年12月最高人民法院、最高人民檢察院《關于辦理妨害信用卡管理刑事案件具體應用法律若干問題的解釋》第五條第三項之規定，竊取、收買、騙取或者以其他非法方式獲取他人信用卡信息資料，并通過互聯網絡、通訊終端等使用的，屬于《刑法》第196條第一款第三項所稱的“冒用他人信用卡”。該解釋并未將竊取他人信用卡信息資料并通過互聯網絡、通訊終端等使用的行為按照竊取他人信用卡信息資料罪與信用卡詐騙罪的牽連犯處理，這是互聯網絡上的信用卡冒用與一般實體上的信用卡冒用的顯著區別。筆者認為，行為人竊取他人信用卡信息資料后，只有在實體上偽造出信用卡并加以冒用的，才可以按照相應的牽連犯處理。由于在互聯網上無須使用實體意義上的信用卡，所以上述解釋將竊取他人信用卡信息資料的行為直接按照信用卡詐騙罪中的“冒用”行為加以處理。牽連犯雖然以一罪處斷，但實際上存在兩種獨立的犯罪行為，是實際的數罪。而竊取他人信用卡信息資料并通過互聯網絡、通訊終端等使用只存在一種行為，是單純的一罪，不屬于牽連犯。這是認定在互聯網上使用竊取的他人信用卡信息資料行為時必須注意的。前述第二種觀點認為“信用卡賬號、密碼、持卡人的資料等作為一種無形信息資料應與信用卡的物質載體加以區別”的看法，未認識到網絡上冒用的特殊性，以致得出“根據罪行法定原則，對冒用他人信用卡信息資料的犯罪行為”不能按照“信用卡詐騙罪”處理的結論，這顯然是不符合有關司法解釋的規定的。

(三)竊取、收買、非法提供信用卡信息罪共犯形態的處理

前文分析竊取、收買、非法提供信用卡信息罪的主觀要件時已提及，行為人與制假者事前共謀的，可以偽造金融票證罪共犯處理，如司法上難以查證行為人有幫助制假者的故意，則立法上可采用簡易原則，直接以竊取、收買、非法提供信用卡信息罪論處。這一點雖涉及共犯問題，但不再贅述。在此重點研究對向犯的共犯和單位幫助行為的定性兩個問題。

1.對向犯是否可以構成本罪共犯?

從司法實踐來看，行為人給他人提供信用卡信息資料后，接收者通常將資料用于制作假卡或者實施信用卡詐騙。顯然，對于這些接收者，可以偽造金融票證罪或信用卡詐騙罪定罪處罰。但如果接收者并非制假者或詐騙者，其又明知提供者是犯罪人時，是判其無罪還是以獲取、收買、非法提供信用卡信息罪共犯處理?筆者認為，要根據其犯罪的主觀內容而定。根據我國《刑法》，有些犯罪的對向犯(如受賄和行賄，拐賣婦女、兒童罪和收買被拐賣的婦女、兒童罪)是可以按照不同罪名處理的，當然也有些是將兩種對向行為規定在同一罪名之中(如買賣槍支、彈藥、爆炸物罪，但“買”和“賣”仍是兩種不同行為);有些罪名只處罰一方而不處罰對向犯，如《刑法》中只有販賣毒品罪而無購買毒品罪。但即使是只處罰一方的對向犯，在特殊情況下，仍然可以作為另一方的共同犯罪處理。如根據我國《刑法》，構成挪用公款罪者往往是具體挪用人而非實際使用人，但這并不表明實際使用人完全不可能構成挪用公款罪的共犯。1998年4月最高人民法院《關于審理挪用公款案件具體應用法律若干問題的解釋》第八條規定，挪用公款給他人使用，使用人與挪用人共謀，指使或者參與策劃取得挪用款的，以挪用公款罪的共犯定罪處罰。同樣，對于獲取、收買、非法提供信用卡信息罪，接收者與提供者共謀、指使或參與策劃取得信用卡信息資料的，在不構成偽造金融票證罪或信用卡詐騙罪時，完全可以按照竊取、收買、非法提供信用卡信息罪的共犯論處。接收者并未與提供者共謀、指使或參與策劃取得信用卡信息資料，但其又明知提供者是竊取、收買、非法提供信用卡信息罪的犯罪人時，當然還可以窩藏、包庇罪定罪處罰。

2.單位幫助自然人實施竊取、收買、非法提供信用卡信息罪是否可以構成共犯?

筆者認為，這種情況下單位因主體不適格而無法構成本罪共犯。同理，單位中的直接責任人員不能與單位外的自然人構成本罪共犯。理由仍然是，單位中直接責任人員的歸責須以單位作為犯罪主體為前提。但是，單位中的直接責任人員如果并未以單位名義實施本罪而完全是以個人名義實施的，則其當然可以與單位外的自然人構成本罪共犯。

注釋

①⑧[12]《淺論竊取、收買、非法提供信用卡信息罪的司法認定——從一個案例談開去》，上海市松江區人民法院網，http://www.sjfy.gov.cn/Infor.aspx?aid=213＆tid=19，2010—04—09.②利子平、樊宏濤:《竊取、收買、非法提供他人信用卡信息資料罪芻議》，《河北法學》2005年第11期。③沈旸、雷子君:《個人信息刑法保護機制的構建》，《中國檢察官》2009年第8期。④王利明:《“個人信息資料權”是一項獨立權利》，《北京日報》2012年7月9日。⑤張明楷:《刑法學(第二版)》，法律出版社，2003年，第768頁。⑥劉杰:《竊取、收買、非法提供信用卡信息資料罪及其立法完善》，《行政與法》2005年第11期。⑦趙力華:《刑法對檔案保護的新進展》，《中國檔案》2007年第5期。⑨參見王志祥、楊卉青:《信用卡詐騙罪若干問題研究》，趙秉志主編《新千年刑法熱點問題研究與適用(下)》，中國檢察出版社，2001年，第1394頁。由于研究深度問題，目前學界并無專門針對單位實施的竊取、收買、非法提供信用卡信息罪行為能否按照個人犯罪處理的爭議，但類似情形的爭議較多，筆者在此予以借用，作為文中所提爭議觀點的參考。⑩張明楷:《新刑法與法益侵害說》，法苑精萃編委會編《中國刑法學精萃》，機械工業出版社，2002年，第136頁;黎宏:《單位刑事責任論》，清華大學出版社，2001年，第283頁。[11]張婷:《論我國信用卡犯罪的罪名體系》，中國政法大學2012年碩士學位論文，第31頁。[13]張鵬:《收買信用卡信息獲罪》，《人民法院報》2010年6月8日。[14]彭德才:《冒用他人信用卡信息網上消費支付行為的認定》，《中國信用卡》2006年第22期。