網絡釣魚型支付犯罪定性研究

□王 珂

（武昌理工學院，湖北 武漢 430074）

網絡支付作為一種先進的支付手段，基于其具有快捷性、效率高等優點，給消費者的生活帶來了極大的便利，因而，以網絡支付方式進行消費的民眾越來越多。然而，由于網絡支付具有與生俱來的風險性，不法犯罪人利用網絡支付的漏洞，不僅危害網絡安全，而且導致損害公私財產。伴隨著網絡金融與電子商務的飛速發展，通過釣魚網站實施犯罪的行為持續增多，釣魚網站成為個人信息泄露的重災區。網絡釣魚型支付犯罪，不僅呈上升趨勢，而且具有嚴重的社會危害性。針對網絡釣魚型支付犯罪如何認定，學界存在不同的觀點，本文通過對網絡釣魚型支付犯罪的認定問題進行研討，愿收到拋磚引玉之效。

一、網絡釣魚型支付犯罪之界定

（一）網絡釣魚型支付犯罪之網絡釣魚

何謂網絡釣魚？綜觀國內外學者們的觀點，各不相同，歸納起來，主要有以下幾種觀點：

從國內的研究看，有學者認為，網絡釣魚型支付犯罪是指網絡釣魚者通過偽造出一些以假亂真的網站并誘惑受害者根據指定方法操作的E-mail等方法，使得受害者自愿交出重要信息或被竊取重要信息（例如銀行賬戶密碼）的犯罪方式[1](p70)。

從國外的研究看，主要以美國與日本為例，美國反釣魚工作組（APWG）將網絡釣魚定義為一種利用社會工程學和計算機技術手段去盜竊用戶的個人身份資料和金融賬戶憑證等身份信息的在線竊取活動。美國司法部認為，網絡釣魚是指制造或使用與知名合法企業、金融機構或政府機關的電子郵件和網站相似的電子郵件和網站，誘騙網絡用戶透露他們的銀行和金融賬戶信息或其他個人信息比如用戶名和密碼[2](p40)。

日本警察廳則將網絡釣魚定義為，偽裝成銀行等企業的郵件，引導收件人訪問虛假的網頁，使其在該網頁上輸入個人的金融信息（信用卡號、ID、密碼等），非法獲取其個人的金融信息的行為。以該信息為基礎騙取金錢的手段被稱為網絡釣魚詐騙[3](p178)。

綜觀上述對網絡釣魚的定義，可以看出，國內學者對網絡釣魚行為方式的定義大體相同，但是具體行為性質的認定確有不同，有學者認為該行為具有詐騙性質，有學者則認為是屬于盜竊性質。

從國外的研究看，日本警察廳認為網絡釣魚的內涵僅僅是“非法獲取個人金融信息”，然而，美國APWG與司法部認為，網絡釣魚的內涵不僅包括非法獲取個人金融信息，而且還涵蓋非法獲取其他個人信息。另外，針對非法獲取個人信息的行為的性質問題，也有不同的觀點，美國APWG認為，此類行為屬于在線竊取活動，偏向于盜竊性質，但是，美國司法部認為此類行為是誘騙被害人提供信息，偏向于詐騙性質，此外，日本警察廳還進一步指出，非法獲取個人金融信息以后，使用非法獲取的個人金融信息的行為屬于詐騙。

那么，網絡釣魚究竟該如何定義？筆者認為，網絡釣魚與網絡支付有關，根據中國人民銀行制定的《非金融機構支付服務管理辦法》的規定，本辦法所稱網絡支付，是指依托公共網絡或專用網絡在收付款人之間轉移貨幣資金的行為，包括貨幣匯兌、互聯網支付、移動電話支付、固定電話支付、數字電視支付等。基于網絡釣魚屬于網絡支付犯罪，與網絡支付犯罪具有必然聯系，可以說是從屬關系，而且，網絡支付是一種轉移貨幣資金的金融行為，因此，網絡釣魚的內涵僅是非法獲取金融信息，不包括其他信息。然而，針對使用非法獲取金融信息行為性質的問題，由于情勢變更，難以預測，只能根據具體情況具體分析。基于上述理由，網絡釣魚是指利用社會工程學和計算機技術手段，非法獲取金融信息，并利用其侵犯公私財產，嚴重危害社會的行為。

（二）網絡釣魚型支付犯罪之類型

根據網絡釣魚的概念的界定，網絡釣魚與網絡支付犯罪密切相關，可以將網絡釣魚型支付犯罪分為以下類型：

首先，通過社會工程學的方法對網絡用戶實施犯罪行為，非法獲取網絡用戶金融信息，進而侵犯其財產。此類方法主要表現為網絡釣魚者向被害人主動發起攻擊，搜集被害人個人金融信息，進而非法獲取被害人財產。比如網絡釣魚者大量發送欺詐性電子郵件，以中獎、對賬、促銷等內容引誘被害人在郵件中填入金融賬號和密碼，或者引誘被害人登陸偽冒網站提交支付認證信息，進而非法獲取被害人財產。

其次，利用技術手段攻擊計算機或者網頁中的漏洞，影響其正常運行，再結合社會工程學的方法對網絡用戶實施犯罪。比如，網絡釣魚者利用黑客技術，修改用戶計算機中的HOST文件或DNS緩存，使用戶在訪問合法網站時自動進入網絡釣魚者的仿冒網頁，進而非法獲取被害人財產。

綜上所述，網絡釣魚型支付犯罪可以分為兩種行為，即網絡釣魚型支付犯罪本體行為與網絡釣魚型支付犯罪后續行為。網絡釣魚者通過各種手段、各種方式，非法獲取被害人的金融信息，這就是網絡釣魚型支付犯罪的本體行為；網絡釣魚者通過上述方式非法獲取被害人金融信息后，進而侵犯公私財產的行為，就是網絡釣魚型支付犯罪的后續行為。因此，對網絡釣魚型支付犯罪進行正確認定，應該從網絡釣魚型支付犯罪的本體行為與后續行為著手，分階段研究，進而一一破解。

二、網絡釣魚型支付犯罪之本體行為定性

網絡釣魚型支付犯罪的本體行為，具體表現為網絡釣魚者通過各種釣魚手段，非法獲取公民的金融信息。

（一）網絡釣魚型支付犯罪本體行為之定性爭議

針對網絡釣魚型支付犯罪本體行為，學界存在有破壞計算機信息系統說、非法制造注冊商標標識說、非法獲取公民個人信息說、妨害信用卡管理說。

1.破壞計算機信息系統說。有學者認為，利用技術手段攻擊計算機系統從而實施網絡釣魚的行為，已經成為計算機犯罪活動新的發展趨勢。網絡釣魚常見的行為方式就是篡改、刪除或植入部分數據影響合法網站的正常運行，從而竊取網絡用戶個人信息，符合破壞計算機信息系統罪的客觀特征[4](p57)。因而，主張網絡釣魚型支付犯罪應當成立破壞計算機信息系統罪。

2.非法制造注冊商標標識說。持該論的學者認為，如果網絡釣魚者進行網絡釣魚時偽造或者擅自制造了他人的注冊商標標識偽造網站或電子郵件或者其他網絡信息，達到情節嚴重，則可以以非法制造注冊商標標識罪論處[2](p42)。

3.非法獲取公民個人信息說。有學者認為，網絡釣魚行為符合非法獲取公民個人信息罪的構成要件。該學者指出，網絡釣魚者采取各種手段獲得的都是關于身份證號、銀行卡號和密碼等信息，完全符合該罪的犯罪對象要求；此外，在網絡釣魚行為中，釣魚者通常采取各種手段來欺騙網絡用戶，是一種網絡欺詐行為，欺騙了網絡用戶，使其自愿把自己的個人信息告訴釣魚者，符合非法獲取公民個人信息罪的客觀方面要求，而且，基于網絡釣魚者騙取網絡用戶的個人信息，導致網絡用戶受到損害，因而，成立非法獲取公民個人信息罪[5](p199)。

4.妨害信用卡管理說。持該論的學者認為，竊取他人信用卡賬號、密碼等信用卡資料，構成妨害信用卡管理罪[5](p199)。

（二）網絡釣魚型支付犯罪本體行為之認定

網絡釣魚型支付犯罪本體行為究竟該如何認定？上述學者的觀點各有不同，各自對立，導致對此類問題的認識陷入混亂，對上述論點進行評析，進而形成認定結論顯得尤為必要。

首先，網絡釣魚型支付犯罪的本體行為是否構成破壞計算機信息系統罪？根據刑法第286條的規定，破壞計算機信息系統罪的客觀方面要求“嚴重后果”，何謂“嚴重后果”？有學者認為，破壞計算機信息系統導致較大財產損失的；破壞計算機信息系統導致大規模供電、供水、電訊等中斷的；制作、傳播計算機病毒導致眾多計算機信息系統被破壞的；等等[6](p601)。就網絡釣魚型支付犯罪的本體行為而言，利用社會工程學和計算機技術手段，進而非法獲取金融信息，沒有后續行為。很難認定為“后果嚴重”，基于網絡釣魚型支付犯罪本體行為的目的而言，其目的是非法獲取金融信息，其實質是仿冒真正的網站誘導用戶，與制作、傳播計算機病毒有很大區別，不會造成計算機信息系統損壞，因而，不符合構成破壞計算機信息系統罪所要求的后果嚴重。此外，網絡釣魚型支付犯罪的本體行為不僅僅是通過計算機實施，還可以通過手機、數字電視等實施。因此，網絡釣魚型支付犯罪的本體行為不構成破壞計算機信息系統罪。

其次，網絡釣魚型支付犯罪的本體行為是否構成非法制造注冊商標標識罪？根據刑法第215條的規定，成立非法制造注冊商標標識罪要求“情節嚴重”。就網絡釣魚型支付犯罪而言，網絡釣魚者為了達到非法獲取網絡用戶金融信息的目的，用假冒網站或假冒電子郵件或者其他假冒網絡信息的方式誘導網絡用戶，在實施上述假冒行為的過程中，行為人必定會偽造或者擅自制造他人的商標標識。值得探討的是，如果網絡釣魚者非法制造的不是他人的注冊商標標識而是未注冊的商標標識，能否以該罪論處？顯然，回答是否定的。與此同時，如果網絡釣魚者非法制造了他人的注冊商標標識，沒有達到情節嚴重，也不能以本罪論處。此外，就網絡釣魚型支付犯罪的本體行為而言，行為人主觀上有非法獲取網絡用戶金融信息的目的，客觀上表現為利用網絡釣魚方式獲取網絡用戶金融信息的行為，根據刑法的主客觀統一原則，與非法制造注冊商標標識罪不符合，因而，也不能認定為非法制造注冊商標標識罪。

再次，網絡釣魚型支付犯罪的本體行為是否構成非法獲取公民個人信息罪？根據刑法第253條規定，成立本罪，要求情節嚴重。持該觀點的學者認為，網絡釣魚者采取各種手段獲得的都是關于身份證號、銀行卡號和密碼等信息，完全符合該罪的犯罪對象要求。這一論點有值得商榷之處，從犯罪對象上看，網絡釣魚型支付犯罪與非法獲取公民個人信息罪似乎有相同點，但是，也有重大區別，根據司法解釋，公民個人信息的內涵較廣，除了金融信息之外，還包括姓名、職業、職務、年齡、婚姻狀況、學歷、專業資格、工作經歷、家庭住址、電話號碼、指紋等能夠識別公民個人身份的信息?？梢?，非法獲取公民個人信息罪的犯罪對象較多，網絡釣魚型支付犯罪的犯罪對象比較單一，該學者籠統地認為兩者犯罪對象相符合，不夠準確，不符合定罪要求。從該罪的客觀方面看，何謂情節嚴重？上述學者認為，非法獲取公民個人信息罪中的情節嚴重表現為網絡釣魚者非法獲取的公民個人信息數量大、獲利較多、手段惡劣，對權利人的人身財產利益造成較大損害)[5](p199)。根據前文對網絡釣魚型支付犯罪對象的界定，網絡釣魚者單純地獲取網絡用戶金融信息，不去實施利用非法獲取的金融信息侵犯財產的行為，很難認定為行為人的行為屬于該罪所要求的情節嚴重。綜上所述，由于犯罪對象不同，進而揭示出犯罪客觀方面也不符合，因而，對于網絡釣魚型支付犯罪不能認定為非法獲取公民個人信息罪。

最后，網絡釣魚型支付犯罪的本體行為是否構成妨害信用卡管理罪？上述學者認為，竊取他人信用卡賬號、密碼等信用卡資料，構成妨害信用卡管理罪。根據刑法第177條之規定，妨害信用卡管理罪的客觀方面存在四種行為方式，這四種行為方式，可以單獨實施，也可以結合進行，但是只要采取其中一種方式實施的，即可構成妨害信用卡管理罪?？芍?，其行為對象針對的是信用卡，然而，不同的是，網絡釣魚型支付犯罪處于在網絡環境下，其本體行為表現為，利用網絡釣魚手段非法獲取網絡用戶金融信息，該金融信息是指網絡信用卡賬號、密碼等可以獲取資金的信息?？芍W絡釣魚型支付犯罪的行為對象是網絡信用卡信息，而不是信用卡。因此，與妨害信用卡管理罪不符，不能認定為妨害信用卡管理罪。

根據刑法的規定，竊取、收買或者非法提供他人信用卡信息資料是選擇行為，只要行為人實施其中之一即可。其中竊取是指以非法占有為目的，秘密盜取他人信用卡信息資料的行為。網絡釣魚者通過網絡釣魚手段，非法獲取網絡用戶的金融信息，其行為的本質就是竊取。事實上，大多數學者認為，網絡釣魚者實施網絡釣魚行為不是竊取，而是具有誘騙性質的欺詐，具體觀點前文已述。從刑法理論來看，竊取與騙取關鍵的界限是被害人是否基于錯誤的意識進行處分，也就是說，如果被害人沒有自愿處分意識，就是竊取，反之，被害人有自愿處分意識，就是騙取。比如，在網絡釣魚過程中，網絡釣魚者發送假冒網址誘騙網絡用戶登陸，網絡用戶登陸后，進一步要求網絡用戶輸入網絡信用卡賬戶和密碼，網絡釣魚者從中截取網絡信用卡賬戶和密碼。對于網絡釣魚者發送假冒網址誘騙網絡用戶登陸，可以理解為“欺詐”，理由是網絡用戶屬于自愿處分的行為；然而，對于網絡釣魚者從中截取網絡用戶信用卡賬戶和密碼的行為，應當認定為“竊取”，理由是網絡用戶不存在自愿處分個人信用卡信息的意識，網絡釣魚者之所以能夠獲取網絡用戶信用卡賬戶和密碼，是秘密竊取獲得的?；诰W絡釣魚型支付犯罪的行為對象是網絡信用卡信息，網絡釣魚者利用釣魚手段非法獲取網絡用戶信用卡信息本質上是竊取，主觀上網絡釣魚者有非法獲取網絡信用卡信息的意圖，因此，根據犯罪主客觀統一原理，網絡釣魚型支付犯罪的本體行為應當認定為竊取信用卡信息罪。

三、網絡釣魚型支付犯罪之后續行為定性

網絡釣魚型支付犯罪的后續行為是指網絡釣魚者利用網絡釣魚手段非法獲取金融信息之后，利用金融信息侵犯公私財產，危害社會的行為。此類行為具有刑事違法性、嚴重社會危害性。

（一）網絡釣魚型支付犯罪后續行為之定性爭議

網絡釣魚型支付犯罪后續行為該如何定性？學術界存在各種不同的觀點，歸納起來，主要有非法提供信用卡信息說、詐騙說與盜竊說。

1.非法提供信用卡信息說。持非法提供信用卡信息論的學者認為，網絡釣魚者通過各種手段獲取網絡用戶的各種信息，進而出售或非法提供給他人。這種出售或非法提供網絡用戶信用卡信息給他人的行為，屬于網絡釣魚型支付犯罪的后續行為，應當認定為非法提供信用卡信息罪[4](p58)。

2.盜竊說。有學者認為，網絡釣魚者利用非法獲取網絡用戶信用卡信息，從而提取用戶帳下資金的后續行為，因為缺乏網絡用戶的自愿處分財產的行為，不是詐騙行為，而應認定為盜竊行為。如果釣魚者竊取的資金數額較大的，或者多次竊取資金的，則可依照刑法第264條盜竊罪論處[5](p199)。

3.詐騙說。有學者則認為，網絡釣魚作為網絡支付詐騙犯罪形式中非常典型的一種犯罪形式，從本質上講，這是仿冒某些網站或電子郵件，然后對其中的程序代碼動手腳，將用戶誘騙至與正規網站外觀或網址相似的仿冒網站，欺詐性的獲取用戶私人信息的詐騙行為?？梢姡搶W者主張將網絡釣魚型支付犯罪認定為詐騙罪[7](p19)。

（二）網絡釣魚型支付犯罪后續行為之認定

網絡釣魚型支付犯罪后續行為該如何認定？上述觀點各有不同，導致對網絡釣魚型支付犯罪后續行為的認定產生混亂，為了澄清這種混亂，對上述觀點進行一一評析，進而，有利于形成認定結論。

首先，網絡釣魚型支付犯罪的后續行為不構成非法提供信用卡信息罪。持非法提供信用卡信息論的學者認為，網絡釣魚者通過各種手段獲取網絡用戶的各種信息，進而出售或非法提供給他人。這種出售或非法提供網絡用戶信用卡信息給他人的行為，屬于網絡釣魚型支付犯罪的后續行為，應當認定為非法提供信用卡信息罪。這種觀點值得商榷，網絡釣魚者將非法獲取的網絡用戶的信用卡信息提供給他人，不屬于網絡釣魚型支付犯罪的后續行為。網絡釣魚型支付犯罪的后續行為與本體行為具有緊密聯系，也可以說是邏輯上的聯系。本體行為表現為為網絡釣魚者利用網絡釣魚手段非法獲取網絡用戶的金融信息，后續行為表現為利用網絡用戶的金融信息獲取財產。根據這種聯系，可知，在本體行為中，網絡釣魚者侵犯的對象是網絡用戶的金融信息；在后續行為中，網絡釣魚者侵犯的對象是網絡用戶的財產。本體行為與后續行為具有同一性，所謂同一性，就是侵犯網絡用戶金融信息與網絡用戶財產的加害人同一，都是該網絡釣魚者。然而，持該論者的學者否定的這種聯系，因而，不能認定為非法提供信用卡罪。此外，網絡釣魚型支付犯罪的后續行為的法益是侵犯公私財產，非法提供信用卡罪的法益是破壞信用卡管理秩序，根據該學者的觀點定非法提供信用卡罪，就違反了犯罪構成理論中對犯罪客體要件的要求，具體來說，該罪的犯罪客體要求侵犯信用卡管理秩序，但是，網絡釣魚型支付犯罪的后續行為不存在該罪所要求的犯罪客體，因此，不能認定為非法提供信用卡罪。

其次，網絡釣魚型支付犯罪的后續行為是否構成詐騙罪？持詐騙論的學者認為，網絡釣魚者虛構可供交易而騙取網絡用戶主動支付的貨款的行為構成詐騙罪。這種觀點值得商榷，根據詐騙罪的行為構造：行為人實施詐術→被害人陷入錯誤→被害人基于錯誤的認識處分財產→行為人獲得財產→被害人喪失財產。可知，決定詐騙罪的關鍵因素是被害人是否基于錯誤的認識處分財產。比如，網絡釣魚者在淘寶網注冊虛假店鋪，以賣女裝為名，給網絡用戶發送虛假支付鏈接，網絡用戶接受并支付。對此，可以認定為詐騙性質，但不能認定為詐騙罪，主要理由：網絡釣魚者發送虛假支付鏈接，被害人以為是購買服裝的鏈接接受并進行付款，這表示被害人有處分意識。從被害人的角度來看，被害人的身份實際上是網絡購物的買家，為了能夠買到服裝，必須支付貨款，可見，被害人是基于錯誤的認識處分財產，其性質是詐騙。但是，從另一方面來看，在網絡支付環境中，雖然形式上沒有看到有信用卡在支付，但是，實質上確實有持卡人受到財產損失。比如，就上述案例而言，網絡釣魚者非法地獲取被害人的財物，侵犯被害人的財產，這種財產具體表現為被害人信用卡賬戶資金損失。因此，網絡釣魚者的行為是用無卡的方式獲取了被害人信用卡資金，屬于冒用他人信用卡的行為。網絡釣魚者通過釣魚手段獲取被害人信用卡信息，屬于非持卡人，非持卡人非法使用持卡人信用卡卡內資金，是冒用行為。通過客觀行為可知，網絡釣魚者明知自己不是持卡人，仍然進行非法使用，其目的就是非法占有持卡人信用卡卡內資金，因而，主觀上具有冒用他人信用卡的故意，根據主客觀統一定罪原則，網絡釣魚者的行為應當評價為信用卡詐騙罪。

再次，網絡釣魚型支付犯罪的后續行為是否構成盜竊罪？持盜竊論的學者認為，網絡釣魚者利用非法獲取網絡用戶信用卡信息，從而提取用戶帳下資金的后續行為，因為缺乏網絡用戶的自愿處分財產的行為，不是詐騙行為，而應認定為盜竊行為。這種觀點有失偏頗，可以分問題看，根據前文所述詐騙罪的構造，詐騙罪與盜竊罪最關鍵的區別在于網絡用戶是否基于錯誤的認識處分財產，如果網絡用戶基于錯誤的認識處分財產，就是詐騙；反之，如果網絡用戶沒有處分意識，就是盜竊。針對前文所述的案例，網絡釣魚者的行為具有詐騙性質，因此，不是所有的網絡釣魚型支付犯罪后續行為都應該認定為盜竊罪，有些情況下，網絡釣魚者是可以成立信用卡詐騙罪。同樣的原理，有些情況下，網絡釣魚型支付犯罪后續行為也可以認定為盜竊罪。比如，在淘寶網購物的過程中，網絡釣魚者給網絡用戶發送一個植入木馬程序的支付鏈接，要求網絡用戶支付運費10元，網絡用戶為了收到商品就點擊該鏈接，導致損失10 010元。針對被害人損失10 000元這一部分，可以認定為盜竊罪。根據盜竊罪與詐騙罪區分原理，從被害人的處分意識看，被害人對運費10元有處分意識，但是，對其中多出的10 000元沒有處分意識?；诒缓θ藳]有處分意識，就網絡釣魚者利用網絡釣魚手段，非法獲取被害人財物，屬于秘密竊取，是對被害人信用卡卡內資金的秘密竊取，因此，網絡釣魚者的行為成立盜竊罪。

基于網絡釣魚型支付犯罪的復雜性，網絡釣魚型支付犯罪的定性問題，不能一概而論，要分問題看，具體問題具體分析。對于網絡釣魚型支付犯罪的本體行為，具體表現為網絡釣魚者通過各種釣魚手段，非法獲取公民的個人金融信息?？梢哉J定為竊取信用卡信息罪。針對網絡釣魚的后續行為，具體表現方式非常復雜，前文已述，不再贅述?？梢苑謫栴}看，有些情況可以認定為信用卡詐騙罪，有些情況可以認定為盜竊罪。

就網絡釣魚型支付犯罪的本體行為與后續行為的關系而言，如果本體行為是手段行為，后續行為是目的行為，此種關系就是牽連關系，應擇一重罪處斷，應定信用卡詐騙罪；如果本體行為與后續行為沒有聯系，或者網絡釣魚者僅僅實施本體行為，應定竊取信用卡信息罪；如果本體行為與后續行為存在聯系，但不是牽連關系。比如，網絡用戶沒有自愿處分財產的意識，網絡釣魚者是通過秘密竊取的方式非法使用被害人金融信息，導致被害人喪失財產，數額較大或者多次竊取被害人資金的，可以依照刑法第264條，以盜竊罪論處。

四、結語

對于網絡釣魚型支付犯罪的認定不能一概而論，應當具體問題具體分析。根據其行為不同，可以分為網絡釣魚型支付犯罪本體行為與網絡釣魚型支付犯罪后續行為。關于網絡釣魚型支付犯罪的本體行為的認定，學界存在各種不同的觀點，筆者認為，網絡釣魚型支付犯罪的本體行為不能成立破壞計算機信息系統罪，也不能成立非法獲取公民個人信息罪，也不構成妨害信用卡管理罪，其行為本質是通過網絡釣魚手段，非法獲取公民的個人金融信息，應當成立竊取信用卡信息罪。關于網絡釣魚型支付犯罪的后續行為的認定，應當分問題看，如果網絡釣魚型支付犯罪的本體行為與后續行為存在牽連關系，應當成立信用卡詐騙罪，如果本體行為與后續行為不是牽連關系，應當評價為盜竊罪，如果本體行為與后續行為沒有聯系，應當成立竊取信用卡信息罪。