网络钓鱼型支付犯罪定性研究

□王 珂

（武昌理工学院，湖北 武汉 430074）

网络支付作为一种先进的支付手段，基于其具有快捷性、效率高等优点，给消费者的生活带来了极大的便利，因而，以网络支付方式进行消费的民众越来越多。然而，由于网络支付具有与生俱来的风险性，不法犯罪人利用网络支付的漏洞，不仅危害网络安全，而且导致损害公私财产。伴随着网络金融与电子商务的飞速发展，通过钓鱼网站实施犯罪的行为持续增多，钓鱼网站成为个人信息泄露的重灾区。网络钓鱼型支付犯罪，不仅呈上升趋势，而且具有严重的社会危害性。针对网络钓鱼型支付犯罪如何认定，学界存在不同的观点，本文通过对网络钓鱼型支付犯罪的认定问题进行研讨，愿收到抛砖引玉之效。

一、网络钓鱼型支付犯罪之界定

（一）网络钓鱼型支付犯罪之网络钓鱼

何谓网络钓鱼？综观国内外学者们的观点，各不相同，归纳起来，主要有以下几种观点：

从国内的研究看，有学者认为，网络钓鱼型支付犯罪是指网络钓鱼者通过伪造出一些以假乱真的网站并诱惑受害者根据指定方法操作的E-mail等方法，使得受害者自愿交出重要信息或被窃取重要信息（例如银行账户密码）的犯罪方式[1](p70)。

从国外的研究看，主要以美国与日本为例，美国反钓鱼工作组（APWG）将网络钓鱼定义为一种利用社会工程学和计算机技术手段去盗窃用户的个人身份资料和金融账户凭证等身份信息的在线窃取活动。美国司法部认为，网络钓鱼是指制造或使用与知名合法企业、金融机构或政府机关的电子邮件和网站相似的电子邮件和网站，诱骗网络用户透露他们的银行和金融账户信息或其他个人信息比如用户名和密码[2](p40)。

日本警察厅则将网络钓鱼定义为，伪装成银行等企业的邮件，引导收件人访问虚假的网页，使其在该网页上输入个人的金融信息（信用卡号、ID、密码等），非法获取其个人的金融信息的行为。以该信息为基础骗取金钱的手段被称为网络钓鱼诈骗[3](p178)。

综观上述对网络钓鱼的定义，可以看出，国内学者对网络钓鱼行为方式的定义大体相同，但是具体行为性质的认定确有不同，有学者认为该行为具有诈骗性质，有学者则认为是属于盗窃性质。

从国外的研究看，日本警察厅认为网络钓鱼的内涵仅仅是“非法获取个人金融信息”，然而，美国APWG与司法部认为，网络钓鱼的内涵不仅包括非法获取个人金融信息，而且还涵盖非法获取其他个人信息。另外，针对非法获取个人信息的行为的性质问题，也有不同的观点，美国APWG认为，此类行为属于在线窃取活动，偏向于盗窃性质，但是，美国司法部认为此类行为是诱骗被害人提供信息，偏向于诈骗性质，此外，日本警察厅还进一步指出，非法获取个人金融信息以后，使用非法获取的个人金融信息的行为属于诈骗。

那么，网络钓鱼究竟该如何定义？笔者认为，网络钓鱼与网络支付有关，根据中国人民银行制定的《非金融机构支付服务管理办法》的规定，本办法所称网络支付，是指依托公共网络或专用网络在收付款人之间转移货币资金的行为，包括货币汇兑、互联网支付、移动电话支付、固定电话支付、数字电视支付等。基于网络钓鱼属于网络支付犯罪，与网络支付犯罪具有必然联系，可以说是从属关系，而且，网络支付是一种转移货币资金的金融行为，因此，网络钓鱼的内涵仅是非法获取金融信息，不包括其他信息。然而，针对使用非法获取金融信息行为性质的问题，由于情势变更，难以预测，只能根据具体情况具体分析。基于上述理由，网络钓鱼是指利用社会工程学和计算机技术手段，非法获取金融信息，并利用其侵犯公私财产，严重危害社会的行为。

（二）网络钓鱼型支付犯罪之类型

根据网络钓鱼的概念的界定，网络钓鱼与网络支付犯罪密切相关，可以将网络钓鱼型支付犯罪分为以下类型：

首先，通过社会工程学的方法对网络用户实施犯罪行为，非法获取网络用户金融信息，进而侵犯其财产。此类方法主要表现为网络钓鱼者向被害人主动发起攻击，搜集被害人个人金融信息，进而非法获取被害人财产。比如网络钓鱼者大量发送欺诈性电子邮件，以中奖、对账、促销等内容引诱被害人在邮件中填入金融账号和密码，或者引诱被害人登陆伪冒网站提交支付认证信息，进而非法获取被害人财产。

其次，利用技术手段攻击计算机或者网页中的漏洞，影响其正常运行，再结合社会工程学的方法对网络用户实施犯罪。比如，网络钓鱼者利用黑客技术，修改用户计算机中的HOST文件或DNS缓存，使用户在访问合法网站时自动进入网络钓鱼者的仿冒网页，进而非法获取被害人财产。

综上所述，网络钓鱼型支付犯罪可以分为两种行为，即网络钓鱼型支付犯罪本体行为与网络钓鱼型支付犯罪后续行为。网络钓鱼者通过各种手段、各种方式，非法获取被害人的金融信息，这就是网络钓鱼型支付犯罪的本体行为；网络钓鱼者通过上述方式非法获取被害人金融信息后，进而侵犯公私财产的行为，就是网络钓鱼型支付犯罪的后续行为。因此，对网络钓鱼型支付犯罪进行正确认定，应该从网络钓鱼型支付犯罪的本体行为与后续行为着手，分阶段研究，进而一一破解。

二、网络钓鱼型支付犯罪之本体行为定性

网络钓鱼型支付犯罪的本体行为，具体表现为网络钓鱼者通过各种钓鱼手段，非法获取公民的金融信息。

（一）网络钓鱼型支付犯罪本体行为之定性争议

针对网络钓鱼型支付犯罪本体行为，学界存在有破坏计算机信息系统说、非法制造注册商标标识说、非法获取公民个人信息说、妨害信用卡管理说。

1.破坏计算机信息系统说。有学者认为，利用技术手段攻击计算机系统从而实施网络钓鱼的行为，已经成为计算机犯罪活动新的发展趋势。网络钓鱼常见的行为方式就是篡改、删除或植入部分数据影响合法网站的正常运行，从而窃取网络用户个人信息，符合破坏计算机信息系统罪的客观特征[4](p57)。因而，主张网络钓鱼型支付犯罪应当成立破坏计算机信息系统罪。

2.非法制造注册商标标识说。持该论的学者认为，如果网络钓鱼者进行网络钓鱼时伪造或者擅自制造了他人的注册商标标识伪造网站或电子邮件或者其他网络信息，达到情节严重，则可以以非法制造注册商标标识罪论处[2](p42)。

3.非法获取公民个人信息说。有学者认为，网络钓鱼行为符合非法获取公民个人信息罪的构成要件。该学者指出，网络钓鱼者采取各种手段获得的都是关于身份证号、银行卡号和密码等信息，完全符合该罪的犯罪对象要求；此外，在网络钓鱼行为中，钓鱼者通常采取各种手段来欺骗网络用户，是一种网络欺诈行为，欺骗了网络用户，使其自愿把自己的个人信息告诉钓鱼者，符合非法获取公民个人信息罪的客观方面要求，而且，基于网络钓鱼者骗取网络用户的个人信息，导致网络用户受到损害，因而，成立非法获取公民个人信息罪[5](p199)。

4.妨害信用卡管理说。持该论的学者认为，窃取他人信用卡账号、密码等信用卡资料，构成妨害信用卡管理罪[5](p199)。

（二）网络钓鱼型支付犯罪本体行为之认定

网络钓鱼型支付犯罪本体行为究竟该如何认定？上述学者的观点各有不同，各自对立，导致对此类问题的认识陷入混乱，对上述论点进行评析，进而形成认定结论显得尤为必要。

首先，网络钓鱼型支付犯罪的本体行为是否构成破坏计算机信息系统罪？根据刑法第286条的规定，破坏计算机信息系统罪的客观方面要求“严重后果”，何谓“严重后果”？有学者认为，破坏计算机信息系统导致较大财产损失的；破坏计算机信息系统导致大规模供电、供水、电讯等中断的；制作、传播计算机病毒导致众多计算机信息系统被破坏的；等等[6](p601)。就网络钓鱼型支付犯罪的本体行为而言，利用社会工程学和计算机技术手段，进而非法获取金融信息，没有后续行为。很难认定为“后果严重”，基于网络钓鱼型支付犯罪本体行为的目的而言，其目的是非法获取金融信息，其实质是仿冒真正的网站诱导用户，与制作、传播计算机病毒有很大区别，不会造成计算机信息系统损坏，因而，不符合构成破坏计算机信息系统罪所要求的后果严重。此外，网络钓鱼型支付犯罪的本体行为不仅仅是通过计算机实施，还可以通过手机、数字电视等实施。因此，网络钓鱼型支付犯罪的本体行为不构成破坏计算机信息系统罪。

其次，网络钓鱼型支付犯罪的本体行为是否构成非法制造注册商标标识罪？根据刑法第215条的规定，成立非法制造注册商标标识罪要求“情节严重”。就网络钓鱼型支付犯罪而言，网络钓鱼者为了达到非法获取网络用户金融信息的目的，用假冒网站或假冒电子邮件或者其他假冒网络信息的方式诱导网络用户，在实施上述假冒行为的过程中，行为人必定会伪造或者擅自制造他人的商标标识。值得探讨的是，如果网络钓鱼者非法制造的不是他人的注册商标标识而是未注册的商标标识，能否以该罪论处？显然，回答是否定的。与此同时，如果网络钓鱼者非法制造了他人的注册商标标识，没有达到情节严重，也不能以本罪论处。此外，就网络钓鱼型支付犯罪的本体行为而言，行为人主观上有非法获取网络用户金融信息的目的，客观上表现为利用网络钓鱼方式获取网络用户金融信息的行为，根据刑法的主客观统一原则，与非法制造注册商标标识罪不符合，因而，也不能认定为非法制造注册商标标识罪。

再次，网络钓鱼型支付犯罪的本体行为是否构成非法获取公民个人信息罪？根据刑法第253条规定，成立本罪，要求情节严重。持该观点的学者认为，网络钓鱼者采取各种手段获得的都是关于身份证号、银行卡号和密码等信息，完全符合该罪的犯罪对象要求。这一论点有值得商榷之处，从犯罪对象上看，网络钓鱼型支付犯罪与非法获取公民个人信息罪似乎有相同点，但是，也有重大区别，根据司法解释，公民个人信息的内涵较广，除了金融信息之外，还包括姓名、职业、职务、年龄、婚姻状况、学历、专业资格、工作经历、家庭住址、电话号码、指纹等能够识别公民个人身份的信息。可见，非法获取公民个人信息罪的犯罪对象较多，网络钓鱼型支付犯罪的犯罪对象比较单一，该学者笼统地认为两者犯罪对象相符合，不够准确，不符合定罪要求。从该罪的客观方面看，何谓情节严重？上述学者认为，非法获取公民个人信息罪中的情节严重表现为网络钓鱼者非法获取的公民个人信息数量大、获利较多、手段恶劣，对权利人的人身财产利益造成较大损害)[5](p199)。根据前文对网络钓鱼型支付犯罪对象的界定，网络钓鱼者单纯地获取网络用户金融信息，不去实施利用非法获取的金融信息侵犯财产的行为，很难认定为行为人的行为属于该罪所要求的情节严重。综上所述，由于犯罪对象不同，进而揭示出犯罪客观方面也不符合，因而，对于网络钓鱼型支付犯罪不能认定为非法获取公民个人信息罪。

最后，网络钓鱼型支付犯罪的本体行为是否构成妨害信用卡管理罪？上述学者认为，窃取他人信用卡账号、密码等信用卡资料，构成妨害信用卡管理罪。根据刑法第177条之规定，妨害信用卡管理罪的客观方面存在四种行为方式，这四种行为方式，可以单独实施，也可以结合进行，但是只要采取其中一种方式实施的，即可构成妨害信用卡管理罪。可知，其行为对象针对的是信用卡，然而，不同的是，网络钓鱼型支付犯罪处于在网络环境下，其本体行为表现为，利用网络钓鱼手段非法获取网络用户金融信息，该金融信息是指网络信用卡账号、密码等可以获取资金的信息。可知，网络钓鱼型支付犯罪的行为对象是网络信用卡信息，而不是信用卡。因此，与妨害信用卡管理罪不符，不能认定为妨害信用卡管理罪。

根据刑法的规定，窃取、收买或者非法提供他人信用卡信息资料是选择行为，只要行为人实施其中之一即可。其中窃取是指以非法占有为目的，秘密盗取他人信用卡信息资料的行为。网络钓鱼者通过网络钓鱼手段，非法获取网络用户的金融信息，其行为的本质就是窃取。事实上，大多数学者认为，网络钓鱼者实施网络钓鱼行为不是窃取，而是具有诱骗性质的欺诈，具体观点前文已述。从刑法理论来看，窃取与骗取关键的界限是被害人是否基于错误的意识进行处分，也就是说，如果被害人没有自愿处分意识，就是窃取，反之，被害人有自愿处分意识，就是骗取。比如，在网络钓鱼过程中，网络钓鱼者发送假冒网址诱骗网络用户登陆，网络用户登陆后，进一步要求网络用户输入网络信用卡账户和密码，网络钓鱼者从中截取网络信用卡账户和密码。对于网络钓鱼者发送假冒网址诱骗网络用户登陆，可以理解为“欺诈”，理由是网络用户属于自愿处分的行为；然而，对于网络钓鱼者从中截取网络用户信用卡账户和密码的行为，应当认定为“窃取”，理由是网络用户不存在自愿处分个人信用卡信息的意识，网络钓鱼者之所以能够获取网络用户信用卡账户和密码，是秘密窃取获得的。基于网络钓鱼型支付犯罪的行为对象是网络信用卡信息，网络钓鱼者利用钓鱼手段非法获取网络用户信用卡信息本质上是窃取，主观上网络钓鱼者有非法获取网络信用卡信息的意图，因此，根据犯罪主客观统一原理，网络钓鱼型支付犯罪的本体行为应当认定为窃取信用卡信息罪。

三、网络钓鱼型支付犯罪之后续行为定性

网络钓鱼型支付犯罪的后续行为是指网络钓鱼者利用网络钓鱼手段非法获取金融信息之后，利用金融信息侵犯公私财产，危害社会的行为。此类行为具有刑事违法性、严重社会危害性。

（一）网络钓鱼型支付犯罪后续行为之定性争议

网络钓鱼型支付犯罪后续行为该如何定性？学术界存在各种不同的观点，归纳起来，主要有非法提供信用卡信息说、诈骗说与盗窃说。

1.非法提供信用卡信息说。持非法提供信用卡信息论的学者认为，网络钓鱼者通过各种手段获取网络用户的各种信息，进而出售或非法提供给他人。这种出售或非法提供网络用户信用卡信息给他人的行为，属于网络钓鱼型支付犯罪的后续行为，应当认定为非法提供信用卡信息罪[4](p58)。

2.盗窃说。有学者认为，网络钓鱼者利用非法获取网络用户信用卡信息，从而提取用户帐下资金的后续行为，因为缺乏网络用户的自愿处分财产的行为，不是诈骗行为，而应认定为盗窃行为。如果钓鱼者窃取的资金数额较大的，或者多次窃取资金的，则可依照刑法第264条盗窃罪论处[5](p199)。

3.诈骗说。有学者则认为，网络钓鱼作为网络支付诈骗犯罪形式中非常典型的一种犯罪形式，从本质上讲，这是仿冒某些网站或电子邮件，然后对其中的程序代码动手脚，将用户诱骗至与正规网站外观或网址相似的仿冒网站，欺诈性的获取用户私人信息的诈骗行为。可见，该学者主张将网络钓鱼型支付犯罪认定为诈骗罪[7](p19)。

（二）网络钓鱼型支付犯罪后续行为之认定

网络钓鱼型支付犯罪后续行为该如何认定？上述观点各有不同，导致对网络钓鱼型支付犯罪后续行为的认定产生混乱，为了澄清这种混乱，对上述观点进行一一评析，进而，有利于形成认定结论。

首先，网络钓鱼型支付犯罪的后续行为不构成非法提供信用卡信息罪。持非法提供信用卡信息论的学者认为，网络钓鱼者通过各种手段获取网络用户的各种信息，进而出售或非法提供给他人。这种出售或非法提供网络用户信用卡信息给他人的行为，属于网络钓鱼型支付犯罪的后续行为，应当认定为非法提供信用卡信息罪。这种观点值得商榷，网络钓鱼者将非法获取的网络用户的信用卡信息提供给他人，不属于网络钓鱼型支付犯罪的后续行为。网络钓鱼型支付犯罪的后续行为与本体行为具有紧密联系，也可以说是逻辑上的联系。本体行为表现为为网络钓鱼者利用网络钓鱼手段非法获取网络用户的金融信息，后续行为表现为利用网络用户的金融信息获取财产。根据这种联系，可知，在本体行为中，网络钓鱼者侵犯的对象是网络用户的金融信息；在后续行为中，网络钓鱼者侵犯的对象是网络用户的财产。本体行为与后续行为具有同一性，所谓同一性，就是侵犯网络用户金融信息与网络用户财产的加害人同一，都是该网络钓鱼者。然而，持该论者的学者否定的这种联系，因而，不能认定为非法提供信用卡罪。此外，网络钓鱼型支付犯罪的后续行为的法益是侵犯公私财产，非法提供信用卡罪的法益是破坏信用卡管理秩序，根据该学者的观点定非法提供信用卡罪，就违反了犯罪构成理论中对犯罪客体要件的要求，具体来说，该罪的犯罪客体要求侵犯信用卡管理秩序，但是，网络钓鱼型支付犯罪的后续行为不存在该罪所要求的犯罪客体，因此，不能认定为非法提供信用卡罪。

其次，网络钓鱼型支付犯罪的后续行为是否构成诈骗罪？持诈骗论的学者认为，网络钓鱼者虚构可供交易而骗取网络用户主动支付的货款的行为构成诈骗罪。这种观点值得商榷，根据诈骗罪的行为构造：行为人实施诈术→被害人陷入错误→被害人基于错误的认识处分财产→行为人获得财产→被害人丧失财产。可知，决定诈骗罪的关键因素是被害人是否基于错误的认识处分财产。比如，网络钓鱼者在淘宝网注册虚假店铺，以卖女装为名，给网络用户发送虚假支付链接，网络用户接受并支付。对此，可以认定为诈骗性质，但不能认定为诈骗罪，主要理由：网络钓鱼者发送虚假支付链接，被害人以为是购买服装的链接接受并进行付款，这表示被害人有处分意识。从被害人的角度来看，被害人的身份实际上是网络购物的买家，为了能够买到服装，必须支付货款，可见，被害人是基于错误的认识处分财产，其性质是诈骗。但是，从另一方面来看，在网络支付环境中，虽然形式上没有看到有信用卡在支付，但是，实质上确实有持卡人受到财产损失。比如，就上述案例而言，网络钓鱼者非法地获取被害人的财物，侵犯被害人的财产，这种财产具体表现为被害人信用卡账户资金损失。因此，网络钓鱼者的行为是用无卡的方式获取了被害人信用卡资金，属于冒用他人信用卡的行为。网络钓鱼者通过钓鱼手段获取被害人信用卡信息，属于非持卡人，非持卡人非法使用持卡人信用卡卡内资金，是冒用行为。通过客观行为可知，网络钓鱼者明知自己不是持卡人，仍然进行非法使用，其目的就是非法占有持卡人信用卡卡内资金，因而，主观上具有冒用他人信用卡的故意，根据主客观统一定罪原则，网络钓鱼者的行为应当评价为信用卡诈骗罪。

再次，网络钓鱼型支付犯罪的后续行为是否构成盗窃罪？持盗窃论的学者认为，网络钓鱼者利用非法获取网络用户信用卡信息，从而提取用户帐下资金的后续行为，因为缺乏网络用户的自愿处分财产的行为，不是诈骗行为，而应认定为盗窃行为。这种观点有失偏颇，可以分问题看，根据前文所述诈骗罪的构造，诈骗罪与盗窃罪最关键的区别在于网络用户是否基于错误的认识处分财产，如果网络用户基于错误的认识处分财产，就是诈骗；反之，如果网络用户没有处分意识，就是盗窃。针对前文所述的案例，网络钓鱼者的行为具有诈骗性质，因此，不是所有的网络钓鱼型支付犯罪后续行为都应该认定为盗窃罪，有些情况下，网络钓鱼者是可以成立信用卡诈骗罪。同样的原理，有些情况下，网络钓鱼型支付犯罪后续行为也可以认定为盗窃罪。比如，在淘宝网购物的过程中，网络钓鱼者给网络用户发送一个植入木马程序的支付链接，要求网络用户支付运费10元，网络用户为了收到商品就点击该链接，导致损失10 010元。针对被害人损失10 000元这一部分，可以认定为盗窃罪。根据盗窃罪与诈骗罪区分原理，从被害人的处分意识看，被害人对运费10元有处分意识，但是，对其中多出的10 000元没有处分意识。基于被害人没有处分意识，就网络钓鱼者利用网络钓鱼手段，非法获取被害人财物，属于秘密窃取，是对被害人信用卡卡内资金的秘密窃取，因此，网络钓鱼者的行为成立盗窃罪。

基于网络钓鱼型支付犯罪的复杂性，网络钓鱼型支付犯罪的定性问题，不能一概而论，要分问题看，具体问题具体分析。对于网络钓鱼型支付犯罪的本体行为，具体表现为网络钓鱼者通过各种钓鱼手段，非法获取公民的个人金融信息。可以认定为窃取信用卡信息罪。针对网络钓鱼的后续行为，具体表现方式非常复杂，前文已述，不再赘述。可以分问题看，有些情况可以认定为信用卡诈骗罪，有些情况可以认定为盗窃罪。

就网络钓鱼型支付犯罪的本体行为与后续行为的关系而言，如果本体行为是手段行为，后续行为是目的行为，此种关系就是牵连关系，应择一重罪处断，应定信用卡诈骗罪；如果本体行为与后续行为没有联系，或者网络钓鱼者仅仅实施本体行为，应定窃取信用卡信息罪；如果本体行为与后续行为存在联系，但不是牵连关系。比如，网络用户没有自愿处分财产的意识，网络钓鱼者是通过秘密窃取的方式非法使用被害人金融信息，导致被害人丧失财产，数额较大或者多次窃取被害人资金的，可以依照刑法第264条，以盗窃罪论处。

四、结语

对于网络钓鱼型支付犯罪的认定不能一概而论，应当具体问题具体分析。根据其行为不同，可以分为网络钓鱼型支付犯罪本体行为与网络钓鱼型支付犯罪后续行为。关于网络钓鱼型支付犯罪的本体行为的认定，学界存在各种不同的观点，笔者认为，网络钓鱼型支付犯罪的本体行为不能成立破坏计算机信息系统罪，也不能成立非法获取公民个人信息罪，也不构成妨害信用卡管理罪，其行为本质是通过网络钓鱼手段，非法获取公民的个人金融信息，应当成立窃取信用卡信息罪。关于网络钓鱼型支付犯罪的后续行为的认定，应当分问题看，如果网络钓鱼型支付犯罪的本体行为与后续行为存在牵连关系，应当成立信用卡诈骗罪，如果本体行为与后续行为不是牵连关系，应当评价为盗窃罪，如果本体行为与后续行为没有联系，应当成立窃取信用卡信息罪。