【202504016】利用 AI 换脸技术盗刷他人医保个人账户资金行为的定性
文 / 赵文康;詹惟凯
【裁判要旨】以非法占有为目的,利用 AI 换脸技术破解被害人电子医保账户,冒充被害人身份盗刷被害人医保个人账户资金,应以盗窃罪定罪处罚。
□案号 一审:(2024)渝 0103 刑初 395 号
【案情】
公诉机关:重庆市渝中区人民检察院。
被告人:李某峰。
2023 年 3 月至 4 月间,被告人李某峰伙同、招揽余某、梁某卓、袁某鹏等人(均已另案处理),以医务人员为目标,非法获取某地区医务人员姓名、身份证号码、电话号码、照片等个人信息后,在某政务服务 APP,通过 AI 换脸技术破解人脸识别认证方式,注册他人电子医保账号,并获取他人电子医保账号生成的二维码,在四川、重庆等地药房购买名贵药品或者保健品后折价销售。李某峰等人累计盗刷他人医保账户资金共计 696317.6 元。李某峰于 2024 年 1 月 14 日被抓获归案,到案后如实供述上述犯罪事实,并自愿认罪认罚。
【审判】
重庆市渝中区人民法院认为,被告人李某峰伙同他人以非法占有为目的,秘密窃取他人价值 696317.6 元的财物,数额特别巨大,其行为已构成盗窃罪,故公诉机关的指控成立。鉴于被告人李某峰到案后如实供述自己的罪行,系坦白,依法可以从轻处罚;其自愿认罪认罚,依法可从宽处理。故公诉机关量刑建议适当,予以采纳。依照刑法第二百六十四条、第六十七条第三款、第四十七条、第五十二条、第六十四条和刑事诉讼法第十五条之规定,判决:一、被告人李某峰犯盗窃罪,判处有期徒刑 10 年,并处罚金 5 万元。二、责令被告人李某峰退赔各受害人相应经济损失。
一审判决作出后,被告人李某峰未上诉,检察院未抗诉,判决已发生法律效力。
【评析】
本案核心问题在于,破解他人电子医保账户后予以冒用,盗刷他人医保个人账户资金的,是否能以盗窃罪定罪处罚?对该问题的回答,牵扯到多个方面的子问题。其一,由于当前社保卡已加载了金融功能,那么其是否可以视作刑法中的信用卡?这关涉到本案的行为定性能否径直从信用卡犯罪入手。其二,诸如本案破解账户信息再予以冒用,进而盗刷的行为方式,其一般表现出“盗骗交织”的复杂特点,那么究竟是构成盗窃罪还是诈骗罪?其三,破解他人电子医保账户予以盗刷,可能会同时涉及侵犯公民个人信息罪、盗用身份证件罪,那么本案的罪数和科刑该如何厘清?只有对这些问题分别予以递进说明,才能对本案所涉行为的定性予以准确把握。
一、涉社保犯罪不宜被直接评价为信用卡犯罪
根据全国人大常委会 2004 年 12 月 29 日通过的《关于刑法有关信用卡规定的解释》,刑法规定的信用卡是指由商业银行或者其他金融机构发行的具有消费支付、信用贷款、转账结算、存取现金等全部功能或者部分功能的电子支付卡。而人力资源和社会保障部、中国人民银行于 2011 年联合颁发《关于社会保障卡加载金融功能的通知》(人社部发〔2011〕83 号,以下简称《通知》),决定给社保卡加载部分金融功能,使社保卡也具有了存取款、转账、银联消费等功能。如果基于社保卡所具有的与信用卡相似的金融功能,而认为社保卡可以视作信用卡,那么本案似乎就能够直接依据刑法第一百九十六条信用卡诈骗罪中冒用他人信用卡或盗窃信用卡并使用的条文而径直认定为信用卡诈骗罪或盗窃罪。
社保卡的发放主体是人力资源和社会保障部门,而不是银行等金融机构。所以,发放主体的不同从前提上就表明社保卡和信用卡不宜作等同理解。退一步讲,即使认为社保卡可以视作刑法中的信用卡,但要将涉社保卡犯罪依照信用卡犯罪的条款进行处理,也应当实质性地考察,对社保卡的不法使用是否的确利用了社保卡的金融功能从而侵犯了金融管理秩序。不管是从刑法第一百九十六条信用卡诈骗罪的体系位置,还是从设立该罪的立法目的来看,该罪出台的核心意义在于防止对金融机构的信誉和金融秩序造成严重破坏,进而维护社会主义市场经济体制的稳定。所以,如果利用社保卡实施的犯罪行为并没有利用相关的金融功能,就不能认为该行为同时指向了设立信用卡犯罪所旨在维护的金融秩序,其自然就不能按照信用卡犯罪的条款予以定性。应当认为,医保基金的使用功能和使用场域单一,其与金融功能无关。根据全国人大常委会《关于刑法第二百六十六条的解释》,以欺诈、伪造证明材料或者其他手段骗取养老、医疗、工伤、失业、生育等社会保险金或者其他社会保障待遇的,构成诈骗罪,而并没有往金融诈骗罪的方向进行理解,这也从侧面印证了这种认识。
因此本案盗刷医保基金的行为,就不能依据刑法第一百九十六条中冒用他人信用卡的条款认定为信用卡诈骗罪,也不能依据该条盗窃信用卡并使用的条款而径直认定为盗窃罪(即使本案最终定性为了盗窃罪)。如果相关行为只是利用了社保卡的金融功能,而无关医保基金,才具有以信用卡犯罪定性的可能。根据最高人民法院、最高人民检察院和公安部印发的《关于办理医保骗保刑事案件若干问题的指导意见》(法发〔2024〕6 号),使用他人医疗凭证冒名就医骗取医保的,是按普通诈骗罪而非信用卡诈骗罪定罪处罚,这也印证了上述结论。况且,本案实际上并未直接涉及社保卡,而只是涉及电子医保账户。电子医保账户内的款项只可以在定点医院、药店就医购药时付款使用,更加无涉金融功能,与信用卡犯罪无关。
值得注意的是,根据《通知》的相关规定,加载金融功能的社保卡的应用领域,包括基于金融功能的社保应用,具体指社会保险费缴纳、医疗费用等的报销返还、医疗费用即时结算后的费用支付等。那么,实践中很多盗刷医保或骗取医保的行为,或许总是会涉及金融功能的融入。但是,也不能据此直接得出构成信用卡犯罪的结论。一方面,医保基金专项专用,即使涉及金融功能,但也只能认为相应行为主要指向了社会保障体系的平稳运行,而不是泛化地指向了整个金融秩序,因此相应行为就不宜被评价为信用卡犯罪,在现行刑法并未专门规定社保骗保类犯罪的情形下,就只能按普通诈骗罪(或其他侵财犯罪)处理。另一方面,倘若认为相应行为的确既侵害了社保体系的平稳运行,也侵害了金融管理秩序,那么,在假定现行刑法专门规定了社保骗保类犯罪的情形下,或许可以按照竞合论,较为容易地在信用卡犯罪和社保类犯罪之间作出择一适用。而既然现行刑法并未专门设立社保类犯罪,那么基于“特别法条涵盖于一般法条中”的认识,直接以普通诈骗罪(或其他一般侵财犯罪)进行定性,才能对相应行为予以全面的评价。
二、破解电子医保账户予以盗刷的行为定性
AI 换脸的核心技术称作深度伪造(deepfake),是使用生成式对抗网络的机器学习模型,将图片或视频合并叠加到源图片或视频上,借助神经网络技术进行大样本学习,将个人的声音、面部表情及身体动作拼接合成虚假内容的人工智能技术,并被广泛使用于换脸、语音模拟、人脸合成、视频生成等场域。正是深度伪造的出现,使得篡改或生成高度逼真且难以甄别的音视频内容成为可能,观察者很难通过直观检查明辨真伪。由此,细究本案的行为方式,行为人利用 AI 换脸技术破解他人的电子医保账户后,再向第三方冒用,进而造成他人个人账户财产损失,不管是其利用的技术原理,还是后续的侵财方式,都以伪造、篡改、虚假、混淆为关键,从而带有强烈的欺骗色彩。因此,以本案为代表的犯罪手段,就明显带有“盗骗交织”的属性,这就需要进一步对诈骗和盗窃的区分进行厘清。
在典型的诈骗犯罪中,处分财产的人和被害人是合一的,即被害人自己基于他人的欺骗手段而陷入错误认识,从而处分自己财产造成损失。而本案中,药房基于 AI 技术所窃取的二维码,误认为对方是持卡人本人,错误地将款项予以了划扣,从而造成了并不在场的被害人财产损失,因而受骗人与被害人相互分离。由此,若本案涉及诈骗,那么主要体现的是三角诈骗的特征。在三角诈骗中,一般认为需要考察受骗人是否具有处分被害人财产的权限与地位,如果受骗人不具备这样的权限和地位,则不符合诈骗罪基于错误认识而处分财产的构成要件,因此受骗人就只能作为他人实施盗窃的“工具”。
将李某峰利用 AI 换脸盗刷医保卡的行为定性为盗窃更为合理。首先,药房扣款的行为,本质是进行交易,并且其也以真实的、对等的商品进行了等价交换,因此从一般观念来讲,难以认为其是在实施针对被害人财产的某种处分行为。换言之,一方面,诈骗罪中的处分,应更多体现为财产的单向减损,而不是一种对等的价值交换;另一方面,就处分行为而言,也应认为是行为人(只不过说李某峰是在实施无权的、虚假的处分)而非药房在处分卡内的资金。其次,盗窃罪与诈骗罪在最终效果上都体现为被害人财产损失,因此,在行为定性上,就应以被害人为视角和中心来展开,着重考察被害人是基于错误认识处分了财产,还是基于某种趁其不备、违背其真实意志的方式被转移了财产。就此而言,作为中间环节的受骗人(即本案中的药房)的权限和地位,或许就并不具有决定性意义。不论中间人是否受骗,也不论其是否具有处分财产的权限和地位,只要受害人是被某种趁其不备、违背其真实意志的方式转移了财产,那么将相应行为评价为盗窃就是可行的,中间人在此无非就是实现盗窃的“工具”。
总之,区分盗窃和诈骗的关键,就是要看财产的转移是否得到了被害人的同意,而要判断占有转移是否得到了被害人同意,就要看被害人是否实施了财产处分行为,这是我国学界的通说观点,[1] 也是我国司法实践采取的立场。[2] 如果完全秉持行为人视角,从行为人立场出发看他采取了什么方式,那么在面临“盗骗交织”这种复杂情形时,不可避免会陷入自说自话的混乱局面,甚至可以说,由于行为人的行为性质究竟是盗窃还是诈骗本身就是一个待证结论,那么从行为人视角出发以他采取了什么手段为标准,就必然会陷入循环论证。[3] 破解个人医保账户予以冒用后,要通过各种方法非法获取被害人的个人医保账户资金,则行为人往往需要以某种隐秘的手段绕开被害人,在被害人不知情的情况下对其账户予以某种使用(比如本案中,在被害人未察觉的情况下进行秘密消费),从而以违背被害人意愿的方式转移账户内的资金,造成被害人财产损失。在这一过程中,被害人通常处于不知情的状态,财产损失并不是基于被害人陷入了某种错误认识进而处分了自己账户内的资金。由此,相应的行为模式就缺乏错误认识与处分行为这种诈骗罪中的核心构成要素,而更加贴近回避被害人参与或曰违背被害人意志的盗窃罪。
三、罪数问题
本案行为人在破解他人电子医保账户的过程中,非法获取了他人姓名、身份证号码、电话号码、照片等个人信息,因此应当同时构成侵犯公民个人信息罪。但是,之所以侵犯公民个人信息,是为了使后面的财产犯罪得以顺利实现,就此而言,侵犯公民个人信息(破解电子医保账户)是手段,后续的财产犯罪行为是目的,二者构成牵连关系。按照牵连犯择一重处的处理原则,只需以后续的盗窃罪评价即可,不另行单独构成侵犯公民个人信息罪。
此外,由于电子社保卡与实体社保卡――对应、唯一映射、状态相同、功能相通,而社会保障卡明确属于盗用身份证件罪中的可以用于证明身份的证件,所以,本案破解并盗用电子医保账户,可能同时涉及盗用身份证件罪。但是,就电子医保账户而言,不宜将其认定为该罪中的身份证件。根据全国人大法工委关于身份证件的解释,能够成为刑法中的身份证件,除了具有权威性、统一性,还要求持证人的广泛性,即发放数量大,具有较好的应用基础。[4] 而电子医保账户尚处于逐步普及阶段,未必能说已经具有了这种广泛性。此外,电子医保账户即使具有身份凭证的功能,其也仅限于在医疗单位内使用,用于查询医保、登记参保信息、报销支付费用等医保义务,其并不能像一般的身份证件那样广泛地用于日常生活的各个方面。再者,根据盗用身份证件罪的规定,实施该行为,同时构成其他犯罪的,依照处罚较重的规定定罪处罚。所以,即使认为本案同时涉及盗用身份证件罪,但最终定性上以盗窃罪论处也是完全合理的。
综上所述,本案被告人李某峰以非法占有为目的,破解被害人电子医保账户,冒充被害人身份盗刷被害人医保个人账户资金,其行为没有利用社保卡加载的金融功能,也不符合诈骗罪的犯罪构成,应属于秘密窃取他人财物,符合刑法第二百六十四条的规定,应当以盗窃罪定罪处罚。
四、法律应对新事物的引申思考
近年来,深度合成技术快速发展,在服务用户需求、改进用户体验的同时,也被某些不法分子用于制作、复制、发布、传播违法犯罪信息,诋毁、贬损他人名誉、荣誉,仿冒他人实施诈骗等犯罪活动,影响传播秩序和社会运转,损害社会公众合法权益,危害国家安全和社会稳定。因此,如果 AI 技术的发展和运用被不法滥用,那么本意是促进社会快速发展的新兴技术,也必定会伴随深远的不利影响。由此,本案作为打击滥用 AI 技术盗刷医保的实例,不仅是针对个案的惩处,也是促使我们深思在信息技术时代,如何在打击犯罪和社会治理上完善法律应对方案的引子。
本案至少在以下几个方面带来了进一步深入探讨的空间。第一是刑法适用方面。盗窃、诈骗、侵占、抢夺等侵犯财产犯罪,其各式各样界限模糊的行为模式,本身就在理论和实践上持续带来了此罪与彼罪的适用争议。而前文虽然说明了本案为何以盗窃罪定罪具有合理性,但信用卡诈骗罪的存在又似乎直接从立法层面肯定了三角诈骗是一种客观存在的犯罪形象,这也使得各种侵犯财产行为的界分(比如此处涉及的盗窃与诈骗的区分)将很可能继续在今后带来适用上的难题。在这样的背景下,一旦这些行为方式混杂着 AI 新型技术的渗入,就极有可能进一步打破目前针对各个财产犯罪行为模式所形成的既有解释论模型,这就迫使我们不得不持续对财产犯罪的解释结论进行反思与重构,以适应新技术带来的变革。
第二是犯罪预防和打击方面。本案所涉及的利用 AI 换脸盗刷医保卡,只是 AI 技术在具体个案层面的运用,随着 AI 技术的持续深入发展,诸如换脸等各种技术手段必将以更多更复杂的形式出现在公众的视野之中,并被某些不法分子以防不胜防的方式利用于财产犯罪之外的场景之中,比如窃取国家机密、军事机密、商业机密等,造成犯罪治理和预防上的困境。为此,就需要不断总结和发掘新型 AI 技术高频出现的应用场景,以及容易遭受以 AI 技术为手段载体的行为所侵害的公私利益,从而做好重点领域的犯罪预防工作,并以更具前瞻性的态度去深化和发展既有的理论成果和审判经验,以应对随时可能出现的新问题。
第三是社会治理层面。AI 技术的深度运用,除了会带来各种新型犯罪形式之外,也必定会带来其他社会问题,比如,其使得侵犯他人隐私与名誉、传播虚假信息更为轻易。所以,以 AI 换脸技术为代表的新兴技术不断涌现,就不光是刑法单个部门法所需要应对的现实难题,而是需要各个部门法作为整体法秩序协同发力的当代课题。而从更为本源的角度讲,要从源头上遏制住新兴 AI 技术所带来的潜藏风险,则必定需要加强服务提供者的信息安全主体责任,建立健全管理制度和技术保障措施,制定公开管理规则、平台公约,对使用者进行真实身份信息验证,加强深度合成内容管理。而随着电子支付、刷脸支付的不断普及,也更加需要强化对银行卡、社保卡等的身份验证系统和验证模式。这些都极大考验着社会各方面的治理能力,需要不断地完善和发展相应的制度规范。
【注释】
作者单位:重庆市渝中区人民法院
[1] 陈兴良主编:《刑法各论精释(上)》,人民法院出版社 2015 年版,第 447 页;张明楷:《刑法学(下)》(第 6 版),法律出版社 2021 年版,第 1307 页。
[2] 陈兴良、张军、胡云腾主编:《人民法院刑事指导案例裁判要旨通纂(下卷)》(第 2 版),北京大学出版社 2018 年版,第 1097 页、第 1114 页 ~ 第 1115 页。
[3] 王钢:“盗窃与诈骗的区分――围绕最高人民法院第 27 号指导性案例的展开”,载《政治与法律》2015 年第 4 期。
[4] 王爱立主编:《中华人民共和国刑法条文说明、立法理由及相关规定》,北京大学出版社 2021 年版,第 1055 页。