天尚研究 | 利用ATM机程序错误非法获取钱财行为不构成“盗窃罪” ——从“许霆”案谈起

近年来随着科技的发展，人工智能的广泛应用，在给人们带来方便、快捷的同时，也带来了一些新型的、复杂的、似是而非的违法犯罪手段。刑法作为最为严厉的社会法律规范，其权威性和天然的滞后性，使得在运用其对这些新型违法犯罪行为进行定义和规制时，在解释和适用上产生了一些困难。“许霆案”及其他类似的利用ATM及程序错误非法获取钱财的案件在理论和实务上所引起的争议即是如此。本文认为，根据《中华人民共和国刑法》第十三条对犯罪的定义，对于刑法规定的解释和适用，应当以目的解释为基础，结合体系解释等解释方法，秉持罪刑法定的原则，在现行刑法规定的体系下，利用ATM机程序错误非法获取钱财的行为不构成“盗窃罪”。

《中华人民共和国刑法》第十三条对犯罪的定义是这样规定的： “一切危害国家主权、领土完整和安全，分裂国家、颠覆人民民主专政的政权和推翻社会主义制度、破坏社会秩序和经济秩序，侵犯国有财产或者劳动群众集体所有的财产，侵犯公民私人所有的财产，侵犯公民的人身权利、民主权利和其他权利，以及其他危害社会的行为，依照法律应当受刑罚处罚的，都是犯罪，但是情节显著轻微危害不大的，不认为犯罪。”据此，一个行为被认定为犯罪需具备两个条件，一是具有社会危害性，即侵害了刑法所保护的法益；二是行为符合刑法中相应罪名犯罪构成的规定，按照罪刑法定原则，具有依照法律应受刑罚的可罚性。对利用ATM机程序错误非法获取钱财的行为是否应认定为犯罪、为何种犯罪、应当如何处罚也应当从这两个方面来分析论述。

“许霆案”及其他类似的利用ATM机程序错误非法获取钱财的案件判决认定上述行为构成“盗窃罪”，本文认为，基于刑法目的解释和体系解释等方法，利用ATM机程序错误非法获取钱财行为侵犯的首要法益不是银行的财产权，而是从属于市场经济活动秩序的金融活动秩序；且该行为客观方面不符合“盗窃罪”的行为模式特征，故此，该行为不构成刑法分则第五章“侵犯财产罪”中的“盗窃罪”。

一、利用ATM机程序错误非法获取钱财行为所侵害的首要法益是市场经济秩序中的金融活动秩序，不是银行的财产权利

1.刑法分则现有体系将通过金融活动非法获取钱财的行为纳入“破坏社会主义市场经济秩序罪”犯罪类型，而不是纳入“侵犯财产罪”犯罪类型，其立法目的和价值取向是为了保护市场经济秩序中正常的金融活动秩序。

由于金融活动的特殊性，对金融活动秩序的侵害通常也具有对财产权的侵害目的或侵害结果。刑法分则第三章“破坏社会主义市场经济秩序罪”第四节“破坏金融管理秩序罪”中，根据该节下罪名设置体系可知，刑法分则第三章第五节所保护的法益包括下列正常金融管理秩序：货币的发行、使用管理；金融机构的设立、准入管理；发行贷款、吸收存款管理；金融票证、信用卡管理；国家、公司债券发行管理；金融市场交易管理；金融机构及其工作人员的职务活动管理。本节罪名所规制的犯罪行为基本都具有侵犯财产权行为如盗窃、诈骗、非法占有的特征。

相应的，刑法分则第三章第五节将明确以非法占有为目的，在金融活动中通过诈骗手段获取财产的行为纳入“金融诈骗罪”相关罪名规制。本节罪名均要求“非法占有”的犯罪目的，即这些犯罪行为所侵害的法益均直接指向他人（包括金融机构及其他受害人）财产权，但在刑法保护首要法益的价值取向下，不将这些行为纳入“侵犯财产罪”的“诈骗罪”、而是纳入“金融诈骗罪”进行规制，是因为这些行为的社会危害性相较于对财产的侵害，更严重的是对金融活动秩序的侵害，因而也更需要刑法对此进行保护。而这样的判断和保护倾向，是符合市场经济活动规律和一般人的认知内容的。

当然，与金融活动无关，不是在金融活动环节中发生的对于金融机构财产权的侵害不属于破坏金融活动秩序犯罪。如潜入金融机构内盗窃财产，或不是在金融活动中骗取金融机构财产的（如骗缴水电费、物业费之类），这些行为侵害的法益仅为金融机构财产权，应成立侵犯财产罪中的盗窃罪、诈骗罪；再如以伪造、变造、作废的票据作为合同担保的，或者以空白支票支付货款的，所侵害的法益也不是金融活动秩序，而是正常的市场秩序，不成立票据诈骗罪，而是成立合同诈骗罪。

2.利用ATM机程序错误非法获取钱财的行为所侵害的首要法益是金融活动秩序，从刑法的保护目的出发，如入罪应将其纳入刑法分则第三章中破坏金融秩序罪名体系中进行规制。

ATM机作为一种人工智能机器，在电力的驱动下按照预先设定的程序工作，包括接受和支付货币、根据权利人输出指令和实际情况完成账户变动记载，代表银行与权利人订立和履行存款、取款或代为付款合同等，并在权利人账户内实时变更金额等工作内容。行为人与ATM机的交互活动就是与银行订立、履行金融合同的金融活动。与其他金融活动一样，应当遵守和维护正常金融活动秩序，遵循守法、守约和诚实信用的活动准则。具体而言，行为人应当在权利范围内，通过银行审核程序、按照与银行约定的行为模式、在约定限额内存、取款和付款；正常情况下，ATM机应当在完成对使用人是实际权利人的审核后，（通常情况下，是通过账户与密码对应一致完成审核义务），按照银行预设程序，根据使用人的指令在约定限额内完成存款、取款和代为付款的行为，并按照实际情况在账户内实时记载债权债务变动内容和结果。

从常理可知，ATM机作为人工智能机器，必然具有发生故障和错误的概率，并且随着使用的增加，故障和错误出现的频率会更高，故如许霆案这样的类似情况在国内外都有发生，且多次发生。而金融机构尤其是银行在现代社会经济发展中起着重要的资源配置和优化的作用，银行发挥作用、维持社会和经济稳定的一个重要基础就是其信用功能。相较于保护银行的财产权，对正常金融活动的稳定秩序的保护是更重要而紧迫的；并且按照现行刑法对罪名体系的分类逻辑，刑法分则将贷款诈骗罪、信用卡诈骗罪等特别纳入破坏市场经济秩序罪中的金融诈骗罪予以认定和规制，从保护首要法益的目的和任务出发，也应当将利用ATM机错误程序非法获取钱财的行为纳入破坏市场经济秩序-侵犯金融活动秩序罪中予以规制。

二.利用ATM机程序错误非法获取钱财行为在客观方面不符合盗窃罪客观构成要件

盗窃罪在客观方面的基本特征是“秘密窃取”，即财产占有转移时，财产权人对该占有转移过程和行为是不清楚、不知晓的；因而财产的占有转移是违背受害人意志的，这也是盗窃与诈骗行为手段的区别。

“许霆案”法院所作出的（2008）粤高法刑一终字第170号判决认为：“本案中，柜员机只是银行用于经营、报关资金的智能工具，当柜员机出现故障时，已不能正确执行和代表银行的意志。……虽然许霆持有的是其本人的银行卡，柜员机旁亦有监控录像，这些都只是使银行时候能够查明许霆的身份，但不足阻使银行能够当场发觉并制止许霆的恶意取款行为，所以许霆的行为具有私密性特征”；“其恶意取款的行为之所以能够实现，是因为柜员机出现了异常，不能正确执行银行的指令，所导致出现的不如实扣账等故障情况违背了银行的真实意思，故许霆非法占有银行资金的行为显然违背了银行的意志……”。另一类似案件惠州“许霆案”所作出的（2014）惠阳法刑二初字第83号判决也认为：“本案中，被告人利用机器故障，通过存款方式占有银行资金时，银行并不知晓其非法占有的目的，也不知道存款最后被非法占有的情况，及构成秘密窃取。身份的公开性并不能否定其行为的秘密性……”

如按照上述判决的逻辑，诈骗罪就没有存在的空间。行为人行使“盗窃”和“诈骗”的行为手段时，均追求占有转移时的非法性不被受害人察觉，其行为实质上均违背受害人意志。不同的是，“盗窃”手段还追求“财产占有转移的状态”不被察觉，而“诈骗”行为表面上是符合受害人意志的。

利用ATM机程序错误非法获取钱财行为人是以公开的、通过ATM机与银行进行信息交互的形式转移了货币的占有，ATM机代理银行与行为人就货币占有转移的意思表示进行信息交互并向银行进行信息传输，正常程序下，行为人按照预设流程发出指令并完成的行为，视为银行即时知晓并同意，ATM机在错误程序指引下代理银行交付给行为人货币，该财产转移的状态是通过程序设置应当视为银行可知并已知；ATM机的交付货币的行为同样是根据银行的预设程序作出，不是在通过程序以外的其他手段而转移了货币的占有，（在“许霆案”中，证据显示是银行程序升级过程中所产生的错误设置），没有违背财产权人的所预设的程序，即表面上符合银行的意志。这很难说是秘密窃取，不符合“盗窃”行为的基本特征。

需要说明的是，张明楷教授认为机器不能被骗，只有银行工作人员才能被骗，因而在这种情况下只能成立盗窃罪。然而，ATM机和银行工作人员一样，都是按照银行所预设的流程工作，虽然工作流程并不完全一致，但银行工作人员不能随意变更预设的工作流程。以冒用他人信用卡的信用卡诈骗罪为例，ATM机完成账户、密码一致审核流程即完成对持卡人身份的审核，银行工作人员按照预设流程完成身份证明、账户、密码等形式审核即完成了对持卡人身份审核的义务，这两种工作流程的性质和意义是一样的。冒用人在ATM机上操作时，所欺骗的不是ATM机，而是银行的审核程序；冒用人在柜台上操作时，其冒用行为欺骗的也不是银行工作人员的意志，而是柜台工作的审核程序，即利用审核程序按照目前技术手段不能达到的审核标准要求或设计漏洞，假作符合金融活动秩序对于持卡人身份、活动方式、权限等要求，实施非法获取财产之行为。两者的行为性质、侵害法益都是一致的，不能因操作对象的不同而对同样的行为性质作出不同的认定。

另一方面，如果将利用ATM机程序错误非法获取钱财的行为认定为盗窃罪，也会导致明显的不公平的责任分配。如认定此行为为盗窃罪，刑法着重保护的法益是金融机构财产权。行为人是侵害人，金融机构永远是被害人，即使金融机构对ATM机程序错误具有故意或过失的，也不需承担责任。在某些特殊情况，如取款人在取款时发现ATM机程序故障，取款后银行卡内扣除的金额小于实际取款的金额，取款人取出其实际银行卡限额内的金额后离开，按照一般人认知：ATM机的程序错误不是由取款人造成的，取款人没有告知银行的义务，事实上形成了金融混乱的风险，但由于刑法所保护的是财产权，即使在银行具有故意或过失的情形下对其也无从追责。这客观上加重了行为人的责任、不当地减轻了银行的责任，造成事实和法律上的不公平。

三、根据罪刑法定原则，由于刑法分则在“破坏社会主义市场经济秩序罪”中对于利用ATM机程序错误非法获取钱财的行为没有规定，即使该行为具有相当的社会危害性，具有实质的可罚性，也不能对之定罪量刑

根据《刑法》第十三条规定，一个行为被认定为犯罪应当满足两个条件，一是具有社会危害性，即具有实质的可罚性；二是刑法对该行为具有明确的定罪量刑规定，即具有形式的应受刑罚处罚性。

上文论述了利用ATM及程序错误非法获取钱财行为因侵害了金融活动秩序，具有社会危害性，因而具有实质的可罚性。然而在刑法分则第三章“破坏社会主义市场经济秩序罪”中第四节“破坏金融管理秩序罪”和第五节“金融诈骗罪”中均没有规定相应的罪名，且该行为从侵害法益、行为客观方面要件上也不同于侵犯财产罪的盗窃罪、诈骗罪，在没有法律拟制规定的前提下，不能直接沿用盗窃罪、诈骗罪的规定对其定罪量刑。

从危害结果和客观要件来看，利用ATM机程序错误非法获取钱财的行为实质上与恶意透支型的“信用卡诈骗罪”具有类似之处：都具有非法占有目的；客观方面都是利用银行预设的、表面合法的金融活动程序和方式达到非法获取钱财的目的，因而其行为主观恶性和危害性都明显区别于其他金融诈骗行为。“许霆案”和“惠州‘许霆案’”判决虽都认为行为构成盗窃罪，但在量刑上未按照“盗窃罪”的量刑情节确定宣判刑，反而其量刑结果更符合“信用卡诈骗罪”的量刑情况：

如许霆案涉罪金额17万余元，以“盗窃罪”入刑，且未退缴非法收入，属 “数额特别巨大”，应处十年以上有期徒刑或无期徒刑；相应金额在以恶意透支型的“信用卡诈骗罪”中，量刑为五年以上十年以下有期徒刑，而该案判决宣告有期徒刑五年。惠州“许霆案”，行为人许某水，涉案金额9万余元，判决前全额归还，判决认定构成“盗窃罪”，涉案金额量刑基准刑应为七至十年，退赔不是法定从轻情节；相应金额在恶意透支型的“信用卡诈骗罪”中，基准刑为五年以下有期徒刑，且可以从轻处罚，而该案判决宣告三年有期徒刑缓刑三年。

虽然上述判决从“罚当其罪”的量刑平衡原则上看具有一定的合理性，但罪刑法定原则排斥类推解释和适用，这样的判决违背了罪刑法定的原则。从维护刑法权威性和保护人权的立场，对于一种行为，即使具有严重的社会危害性，在没有刑法规定的情况下，不能对之定罪量刑；从有责性来看，由于刑法未对该行为有明确的定性和引导，不能期待行为人作出正确的选择，因而也不能对行为人进行追责。刑法在对侵害金融活动秩序的行为进行规制立法时，未设想到因人工智能程序漏洞或程序错误而导致的金融活动风险，系属立法上的漏洞，也是由于立法的滞后性而导致的，这当然也是正常的。然而在立法尚未补缺时对相关行为不进行违反刑法的评价，这同样体现一种价值取向，更是对刑法权威性的维护。从规制犯罪的角度，应当由立法机关完善立法，而不是由司法机关勉强司法，此方是对法律的尊重和对法治的践行。