从刑法角度分析窃取、收买、非法提供信用卡信息罪

　　 窃取、收买、非法提供信用卡信息罪是《刑法修正案(五)》增补的一项刑法罪名。信用卡信息是关系到信用卡安全的重要信息资料，它一旦被泄露，最直接的受害者就是信用卡用户，同时也威胁到金融机构的信用卡使用安全。因此窃取、收买、非法提供信用卡信息罪侵犯了信用卡用户的信用卡信息专属权和金融机构的信用卡信息管理制度。

　　 一、对本罪客观行为方式的认定

　　 本罪在客观方而表现为三种行为方式:即窃取、收买、或非法提供他人信用卡信息的行为，其中信用卡信息是这三种行为共同指向的对象。

　　 (一)如何理解信用卡信息

　　 信用卡信息即信用卡磁条上所承载的信息。对于信用卡信息资料具体包含的内容，20XX年中国人民银行颁布的《银行卡发卡行标识代码及卡号》和《银行卡磁条信息格式和使用规范》两项行业标准对其予以了明确规制，主要包括用卡人信息和发卡机构两方而的信息。具体包括:主账号、发卡机构标识代码、个人账户标识、校验位、个人标识代码等。其中个人标识代码(通俗称为密码)是持卡人最重要的信用卡信息，也是该类犯罪行为直接侵害的对象。

　　 对于信用卡信息，一些学者将其同于信用信息。我们认为两者并不等同，从金融学理论视角来看，信用是指能够兑现自己的承诺，取得他人信任的具有价值利益的评价。信用信息就是关于这种具有价值利益评价的信息，已包括信用主体在其社会活动中所产生的、与信用行为有关的记录，以及有关评价其信用价值的各项信息。如贷款买房，房主是否定期按照合同的约定向银行还款的行为及其评价，就是信用信息。而信用卡信息是指信用卡本身所承载的信息，不是持卡人因为使用信用卡而产生的交易信息(如消费、偿还信息等)。

　　 (二)对于实践中出现的利用虚假的银行客户服务套取持卡人的信用卡信息资料的，能否认为窃取

　　 近年来，出现了用虚假的银行客户服务套取持卡人的信用卡信息资料的行为。对此，如何进行认定，成为司法机关而临的一个难题。其实，该行为实际涉及到学界一直争论的一个问题:即骗取行为是否应纳入窃取的适用范畴。其中既有赞成者，也有反对者。我们认为要对窃取做出合理的解读，应从以下三个方而予以重点考察。

　　 首先，从两者字而含义来分析。骗取与窃取是目前司法实践中最常见的犯罪手法，其共同点是都属于财产型犯罪，主观上以非法占有他人财物为目的，客观上都侵害了公私财产的所有权。而最大的区别在于客观方而获取的方式不同。由于两者都包含有取，其挣诉点就聚焦在盗和骗的涵义上。无论从《说文解字》、《新华字典》还是《古汉语词典》等工具书来看，两者的字而含义都有较大区分，盗通常被解读为偷偷地将好东西占为己有，解释为用不合法的手段秘密地取得，则将它等同于偷。骗则是指采用虚构事实等手段，让当事人陷入错误认识。可见两者从涵义上有较大区分。

　　 其次，从刑法语境来分析。在司法实务中区分盗与骗的关键是被害人是否具有交出财物的实施行为或意思表示(暂且不论是否是基于真实意思支配下的积极身体动作)。在现实中，由于案件错综复杂，仅从表象中难以予以界分，必须结合具体实际，从主观目的、实施行为所引发的前因后果以及行为人非法占有财物时所起关键性作用的手段等因素中进行考量。我们不妨以诈骗罪和盗窃罪来做一个分析。从主观上来看，诈骗罪中的被骗人交付财物的实施行为是基于骗取人的言行，这两者之间具有因果关系。即骗取人是通过一定的言行让受骗人陷入错误认识，其结果是受骗人通过自身行为(意思)实现财物所有权的交付，没有骗取人骗的言行这个因，也就没有交付财物实施行为这个果(当然这种因果关系并非是必然因果关系)。而盗窃罪中行为人获得财物的关键性手段是单方的秘密获取，这种手法可理解为隐秘的、自认为不为被害人所知晓的方法。即便对方存在给的行为(如主人离开家时忘记锁门或忘记关窗，让盗窃者得以顺利盗窃。有人理解为忘记锁门或忘记关窗客观上实施了帮助行为，也是一种特殊的给)，但这种行为与诈骗罪中的行为不可相提并论。

　　 最后，从司法实践来看，现实生活中犯罪手段千变万化，对于一个案件中欺诈手段和窃取手段相交织时如何定性，则容易造成混淆，实务中对此也颇有争论。如周某等窃取、收买、非法提供国外信用卡信息资料案。在该案中，丁某等3人相互配合，通过互联从庞某、梁某和其他人员处非法收买信用卡信息资料，当然应以收买、非法提供信用卡信息资料罪定罪。但是，在国外游戏站上使用这些信用卡信息，消费信用卡持卡人的资金向游戏账户充值，再将游戏账户出售获利的行为，如何认定呢?在我们看来，这实际是一种诈骗行为川。从主观上来看，丁某等人明知这些信用卡信息是非法获得的，而去消费他人信用卡并获利，具有典型的非法占有之目的;从客观方而来看，丁某等人采用虚构事实等手段，让购买者误认为其游戏账户的金额是其本人合法拥有的资金，从而实现套现获利的犯罪目的。由此看来，丁某的前行为构成窃取、收买、非法提供信用卡信息罪，而后行为又构成信用卡诈骗罪，那么最终该以何罪论处呢?存在疑问。我们在前而己做过论述:窃取、收买或非法提供他人信用卡信息罪的显著特征是窃取、收买、或非法提供他人信用卡信息资料行为之后，往往伴随而来的是不法分子将其用于其他犯罪，形成从窃取、收买或非法提供他人信用卡信息资料到制作假卡，再到运输、销售、使用伪造的信用卡进行诈骗犯罪环环相扣的犯罪锁链。有的甚至直接利用该信息资料进行诈骗，如冒用他人信用卡信息在上银行消费。由此看来，丁某等人的行为定为窃取、收买或非法提供他人信用卡信息罪既符合司法实际，也符合立法原意。同时我们需要强调的是:就本罪而言，现实生活中其表现形式是多种多样的。如无论是采用复制、抄录、照相、窥视等直接方式获取信用卡信息资料，还是使用望远镜偷窥、在ATM机上或者在P()S机上安装针孔摄像头偷录、有的甚至入侵信用卡发卡机构的信息资料数据库窃取，或者使用读卡机盗取等隐性方式，其目的都是非法占有他人信用卡信息资料，以获取非法之利益。

　　 由此看来，诈骗的本质在于虚构事实，隐瞒真相，使他人产生错误认识，自动的交付犯罪分子所要得到的财物。在刑法意义上窃与骗的最大区别就在于，是否让原来的主人基于错误认识自愿交付财物。因此在行为人利用虚假的客户服务套取持卡人的信用卡信息资料的时候，行为人显然是采取了虚构事实的方法，让他人自愿告诉了自己的信用卡信息资料，完全符合刑法中诈骗的特征。但从罪刑法定的角度来说，刑法并没有将此类由骗取信用卡信息资料的行为规定为犯罪，以此来依照窃取信用卡信息资料定罪，是会存在争议。当然这还需要刑法的立法者对此进行进一步完善。

　　 (三)非法提供行为的认定

　　 所谓非法提供他人信用卡信息资料，是指掌握、了解他人信用卡信息资料者在没有合法根据的情况下，将自己掌握、了解的他人信用卡信息传授给他人的行为。其表现形式一般认为有出售、交付、告知、赠予等。

　　 这里的掌握、了解他人信用卡信息资料的人，既包括合法掌握、了解他人信用卡信息资料的人。也包括非法掌握、了解他人信用卡信息资料的人。但是，前者提供以没有合法根据为前提，后者则只要提供就是非法提供。因为后者掌握、了解他人信用卡信息资料本身就没有合法根据，是非法的，对于所掌握、了解他人信用卡信息资料根本没有合法使用的前提，其任何使用都没有合法根据，是非法的。提供给他人作为使用的方式之一，自然是非法的。而前者存在合法提供的可能，如依法为配合司法侦查而提供。

　　 值得注意的是，法条对本罪的成立没有规定情节(如行为次数、信息量等)要求，但并不等于只要实施了本法条规定的行为就一律认定为犯罪。根据《刑法》第13条但书的规定，行为情节显著轻微危害不大的，不应当认为是犯罪。因此，本罪的成立应当有情节要求。最高人民检察院、公安部《关于公安机关管辖的刑事案件立案追诉标准的规定(二)》第31条规定，窃取、收买、非法提供他人信用卡信息资料，足以伪造可进行交易的信用卡，或者足以使他人以信用卡持卡人名义进行交易，涉及信用卡1张以上就应予以立案追诉。最高人民法院、最高人民检察院联合颁布《关于妨害信用卡管理刑事案件具体应用法律若干问题的解释》(20XX年12月16日)第3条规定，窃取、收买、非法提供他人信用卡信息资料的，足以伪造可进行交易的信用卡，或者足以使他人以信用卡持卡人名义进行交易，涉及信用卡1张以上不满5张的，以窃取、收买、非法提供他人信用卡信息资料罪定罪处罚曰。

　　 (四)只有窃取、收买他人信用卡信息资料的行为是否只能定为本罪

　　 就窃取、收买他人信用卡信息资料罪而言，该罪只针对窃取、收买他人信用卡信息资料的行为，而不涉及行为之目的。在司法实践中，如只有窃取、收买他人信用卡信息资料的行为，是否意味着只能定本罪呢?对此，学界有不同意见。我们认为如果能够证明行为人窃取、收买他人信用卡信息资料的目的是为了伪造信用卡，但伪造信用卡行为尚未着手，构成本罪与伪造金融票证罪(预备)的法条竞合，可以按法条竞合的处理规则定罪处罚。同理，如果能够证明行为人窃取、收买他人信用卡信息资料是为了实施信用卡诈骗行为，构成本罪与信用卡诈骗罪(预备)的法条竞合，可以按法条竞合的处理规则定罪处罚。对于窃取、收买他人信用卡信息资料的行为，而无法证实行为人的目的是伪造信用卡或者进行信用卡诈骗的，只能以该罪处罚。

　　 (五)采用侵占、抢夺、抢劫、毁坏等方式取得信用卡信息是否构成本罪?

　　 实践中，获取信用卡信息的渠道和方式较多，容易出现实施的手段、方式行为与侵害行为的交叉，为该罪的认定带来困惑。如有学者提出，行为人以欺骗、胁迫等手段非法获取或接受他人的信用卡信息资料的，该如何认定困。类似的还有采用侵占、抢夺、抢劫、毁坏等方式造成信用卡信息资料受到侵害的情形该如何认定?我们认为上述行为是否构成窃取、收买、非法提供信用卡信息罪，关键看其立法价值和客观要件。从该罪的设立来看，其价值考量点偏重于保护信用卡信息的不受侵害，即信用卡信息的专属权。而信用卡信息的保护需通过公权力设立程序和具体制度安排来实现对信用卡信息的专属保护，以确保个人信息的安全。而侵占、抢夺、抢劫、毁坏等方式不仅侵害了信用卡信息，危害到金融秩序，更重要的是其暴力行为的实施将侵害到持有人的人身和财产安全，构成对人身权和财产权的危害。从法益位阶构成来看，保障民众基本的人身权和财产权是立法的首先价值选择，而信用卡信息的专属保护权仅仅是财产权的下位权。可见，从立法价值取向来看，以侵占、抢夺、抢劫、毁坏等方式的获取的信用卡信息行为的认定，应偏重于侵占、抢夺、抢劫、毁坏等行为的评价，并以相应的罪名定罪。

　　 从客观要件的分析来看，采用侵占、抢夺、抢劫、毁坏等方式获取信用卡信息的行为不属于窃取、收买信用卡信息罪规制的情形，那是否属于非法提供信用卡信息罪呢?从非法提供的涵义来看，非法是指没有合法根据，如何理解没有合法根据，一般认为包括没有程序或实体法上的依据。那是否意味着侵占、抢夺、抢劫、毁坏等行为也应归属于没有合法根据的情形呢?我们认为侵占、抢夺、抢劫、毁坏等行为属于非法行为这是不争的事实，但要将其认定为非法提供信用卡信息罪，则值得商榷。从该罪的设置来看，非法提供前而有窃取、收买的情形，对非法提供的理解也应在质和量上与前而保持一致，以维护刑法设置的均衡性。窃取行为是指通过不合法的手段秘密地取得，其暴力指数几乎为零;收买行为是指利用财物、金钱或其他财产性利益交换他人占有的信用卡信息的行为，其暴力指数也是趋向于零。而侵占、抢夺、抢劫、毁坏等行为则属于典型的暴力型行为，其暴力指数趋向严重。如果将侵占、抢夺、抢劫、毁坏等行为归入非法提供的范畴，则在质和量上造成刑法设置的失衡，在理论上不仅涉嫌扩大解释，而且也会引发司法适用上的混乱。

　　 因此，我们认为采用侵占、抢夺、抢劫、毁坏等方式获取信用卡信息资料的行为应构成侵占罪、抢夺罪、抢劫罪和毁坏财物罪

　　 二、本罪的完成形态与未完成形态的分析

　　 窃取、收买他人信用卡信息资料的行为虽然规定在同一条款中，且统一为一个选择性罪名窃取、收买他人信用卡信息罪，但窃取、收买、非法提供三种行为是彼此独立的行为，且三种行为方式各具特点，无法用统一的标准区分该罪的既、未遂，应根据行为方式的不同而有所区别判断。具体而言:

　　 (一)窃取信用卡信息罪的既、未遂区分

　　 本罪属于窃取型犯罪，但与一般取财型犯罪不同。窃取他人信用卡信息资料的行为属于信息犯罪的范畴，作为犯罪对象的信用卡信息资料，持卡人的控制并不使银行和持卡人失去控制。这样，在窃取信用卡信息罪既、未遂的标准上，就不能采取传统的窃取型结果犯失控+控制的判断标准，来确定行为是否构成犯罪既遂。对于此类被害人不会失控的信息类犯罪，应当以行为人是否控制为犯罪是否既遂的标志。行为人只要己经实际控制、取得、占有了他人信用卡信息资料，就成立本罪的既遂，反之，则成立本罪的未遂。

　　 (二)收买信用卡信息罪的既、未遂区分

　　 收买他人信用卡信息资料类犯罪一般要经历一个物色对象协商洽谈交钱交付实际取得的过程，但是也会发生卖方交付信息后买方因为意志以外原因而未实际取得。如卖方短信发出后，买方因为手机损坏而未能收到。由于交钱一付钱是买卖行为的核心环节，而且收买人的目的是要卖方想自己支付，因此卖方完成交付就意味着完成了交易，也意味着买方的收买行为既遂。因此，收买信用卡信息罪应以卖方实际交付而不是收买人实际取得他人信用卡信息资料作为犯罪既、未遂的判断标准。

　　 (三)非法提供信用卡信息罪的既、未遂区分

　　 将非法提供行为单独规定为犯罪的，刑法中还涉及两个罪名，即《刑法》第111条为境外非法提供军事秘密、情报罪和《刑法》第143条第2款为境外非法提供军事秘密罪。这三个罪名都是信息类犯罪，因此，在犯罪既、未遂的判断上具有一定可比}h}。但是关于为境外非法提供军事秘密、情报罪和为境外非法提供军事秘密罪系结果犯还是行为犯的问题在理论上存在争议，关于既、未遂的判断标准也很难达成共识。我们认为，非法提供是针对提供者而不是接受者，应当以提供者的行为完成与否为既、未遂的判断标准。因此，行为人只要完成了供给行为就成立犯罪既遂。

　　 三、与相关犯罪的界分

　　 (一)非法提供信用卡信息罪与出售、非法提供公民个人信息罪的区别

　　 出售、非法提供公民个人信息罪是《刑法修正案(七)》新增罪名，其条文表述为:国家机关或金融、电信、交通、教育、医疗等单位的工作人员，违反国家规定，将本单位在履行职责或者提供服务过程中所获得的公民个人信息出售或者非法提供给他人，情节严重的行为。而窃取、收买、非法提供信用卡信息罪是选择性罪名，具体包括窃取信用卡信息罪、收买信用卡信息罪和非法提供信用卡信息罪。

　　 非法提供信用卡信息罪与出售、非法提供公民个人信息罪在三个方而易发生混淆。一是信用卡信息中也有公民个人信息;二是非法提供信用卡信息罪中的非法提供方式可以包括出售、非法提供公民个人信息罪中的出售、非法提供三是行为主体也可能相同(如金融机构的工作人员)。

　　 个人信息是广义的概念，它包括涉及个人的所有信息。出售、非法提供公民个人信息罪中的个人信息则范围要小，是特指所有受法律保护的个人信息，信用卡信息范围更小，虽然也是受法律保护的个人信息，但是仅指在信用卡中的个人信息。二罪的区分主要从犯罪对象即信息进行细分把握。

　　 1.在信息内容不重叠的情况下，从信息的存在方式区分。信息内容不重叠是指出售、非法提供的公民个人信息，与信用卡中的个人信息内容不同。在此种情况下，如果存在于信用卡中的个人信息，按非法提供信用卡信息罪定罪;如果存在于信用卡以外的个人信息，按出售、非法提供公民个人信息罪定罪。

　　 2.在信息内容重叠的情况下，根据法条关系区分。信息内容重叠是指出售、非法提供的公民个人信息，与信用卡中的个人信息内容相同。在此种J隋况下，构成二罪的法条竞合关系。根据特殊优于普通法原则，按非法提供信用卡信息罪定罪。

　　 (二)窃取信用卡信息罪与非法侵入计算机信息系统罪的界分

　　 根据《刑法》第285条第1款规定，非法侵入计算机信息系统罪，是指违反国家规定，侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的行为。

　　 窃取、收买、非法提供信用卡信息罪是选择性质罪名，还可能存在独立的窃取信用卡信息罪。在运用黑客手段侵入计算机信息系统窃取信用卡信息时，也可能发生侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统窃取信用卡信息的情况。在此种情况下，会产生窃取信用卡信息罪与非法侵入计算机信息系统罪的区别问题。其区别在于被侵入的计算机应用系统的性质:如果是侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统获得信用卡信息，构成非法侵入计算机信息系统罪与窃取信用卡信息罪的法条竞合犯罪，可以按法定竞合的处理规则定罪处罚;如果是侵入非国家事务、国防建设、尖端科学技术领域的计算机信息系统(如信用卡信息存储系统)而获得信用卡信息，则构成窃取信用卡信息罪。

　　 (三)该罪与妨害信用卡管理罪的界分

　　 对于妨害信用卡管理罪的内涵，学界有不同表述。我们比较赞同以下定义:明知是伪造的信用卡而持有、运输，或者明知是伪造的空白信用卡而持有、运输，数量较大;非法持有他人信用卡，数量较大;使用虚假的身份证明骗领信用卡;出售、购买、为他人提供伪造的信用卡或者以虚假的身份证明骗领的信用卡，妨害信用卡管理的行为。从两罪的出处来看，都是《刑法修正案(五)》增补的罪名。鉴于两者在犯罪构成上有交叉的内容，在司法实践中易产生适用上的混乱，因而有必要加以界分。从一般意义上讲，窃取、收买、非法提供信用卡信息资料罪也是妨害信用卡管理罪，两者具有逻辑上的属种关系。但从刑法的意义上讲窃取、收买、非法提供信用卡信息资料罪与妨害信用卡管理罪各有特指，两者具有逻辑上的并列关系，因此有必要借助构成要件理论予以界分。其区别点主要表现在:1.犯罪对象存在差异。本罪的犯罪对象一般解读为信用卡信息资料，而妨害信用卡管理罪侵害的是信用卡本身。2.行为方式存在区别。本罪表现为窃取、收买或者非法提供他人信用卡信息资料的行为;而后罪则表现为:明知是伪造的信用卡而持有、运输，或者明知是伪造的空白信用卡而持有、运输，数量较大;非法持有他人信用卡，数量较大;使用虚假的身份证明骗领信用卡;出售、购买、为他人提供伪造的信用卡或者以虚假的身份证明骗领的信用卡。

　　 (四)该罪与非法获取计算机信息系统数据罪的界分

　　 非法获取计算机信息系统数据罪是《刑法修正案(七)》增补的新罪名。学界将其涵义界定为违反国家规定，侵入国家事务、国防建设、尖端科学技术领域以外的计算机信息系统或者采用其他技术手段，获取该计算机信息系统中存储、处理或者传输的数据，情节严重的行为。由于两者在构成要件上存在交叉，会在理论探讨和司法认定上出现混乱，有必要对两者予以界分。1.从犯罪主体来看，窃取、收买、非法提供信用卡信息罪是一般主体，凡已满16周岁、具有刑事责任能力的自然人均可成为本罪的主体，但单位不构成本罪。而非法获取计算机信息系统数据罪的犯罪主体也是一般主体，但在司法实践中，该行为主体大多表现为具有较高的电脑水平和络技术，对计算机信息系统和计算机络能熟练操作的自然人。因此，与前者相比，非法获取计算机信息系统数据罪的犯罪主体范围更为狭窄，人员更为特殊。2.从犯罪的主观方而来看，窃取、收买、非法提供信用卡信息罪一般包括直接故意与间接故意，窃取、收买信用卡信息罪主观上只能是直接故意，而非法提供信用卡信息罪除了具有直接故意外，还存在间接故意的可能。而非法获取计算机信息系统数据罪的主观方而则表现为直接故意，即行为人对侵入计算机信息系统或以其他技术手段获取数据的行为是违法的认识是清楚的，仍故意为之。3.从犯罪的客体来看，窃取、收买、非法提供信用卡信息罪侵犯的是双重客体，即信用卡用户对信用卡信息的专属权和信用卡信息管理制度;而非法获取计算机信息系统数据罪侵害的是计算机信息系统的安全。犯罪对象仅限于使用中的计算机信息系统中存储、处理、传输的数据，不包括脱离计算机信息系统存放的计算机数据。这里的数据，不限于计算机系统数据和应用程序，还包括权利人存放在计算机信息系统中的各种个人信息。因此，信用卡信息可能储存在计算机系统中，被非法侵入行为所获取。换句话说，信用卡信息与计算机信息系统数据存在交集。4.从行为的情节是不是严重来看，窃取、收买、非法提供信用卡信息罪没有情节严重的入罪要求，而非法获取计算机信息系统数据罪则有情节严重的特别强调。5.犯罪行为不相同。前罪客观上表现为窃取、收买和非法提供，后者表现为非法控制计算机信息系统的行为。

从刑法角度分析窃取、收买、非法提供信用卡信息罪