一审:上海市黄浦区人民法院(2022)沪0101刑初94号刑事判决(2022年11月15日)
二审:上海市第二中级人民法院(2023)沪02刑终48号刑事判决(2023年9月5日)
01.基本案情某航空服务有限公司(以下简称某公司)于2018年4月起与上海某企业发展有限公司(以下简称上海某公司)签订协议,由某公司提供机票预订服务等,将其系统嵌入上海某公司系统。上海某公司及其下属公司员工需要出差时应以员工OA账号和密码登录公司OA系统提交出差申请,经上级领导审批后通过某公司预订机票并由上海某公司支付票价、手续费等费用。被告人杨某原系上海某公司下属北京某置业有限公司投资发展部高级总监,其于2020年6月23日向单位提出离职,并于同月30日与单位解除劳动关系。杨某于次日即2020年7月1日在明知自己已无权通过公司OA系统预订由公司支付票款的机票的情况下,利用公司未及时关闭其系统使用权限的漏洞,并以离职前已审批通过的出差事项,私自登录公司系统,并成功预订11张机票。其中,1张机票于当日被杨某取消预订,2张价值3600余元的机票,被杨某于2020年10月使用。上海某公司因此向某公司支付了10张机票的票价款20310元及其他相关费用679元。
案发后,上海某公司通过某公司追回杨某未使用的机票退款16139元,杨某对其他票款作了相应退赔。
上海市黄浦区人民法院于2022年11月15日作出(2022)沪0101刑初94号刑事判决:被告人杨某犯诈骗罪,判处拘役六个月,并处罚金人民币5000元。一审宣判后,被告人杨某提出上诉。上海市第二中级人民法院于2023年9月5日作出(2023)沪02刑终48号刑事判决:一、撤销上海市黄浦区人民法院(2022)沪0101刑初94号刑事判决;二、上诉人杨某犯盗窃罪,判处拘役六个月,并处罚金人民币5000元。
02.争议焦点本案核心争议在于:利用权限漏洞非法占有财物的行为应认定为诈骗罪还是盗窃罪?
(一)诈骗罪与盗窃罪的构成要件差异
根据《刑法》第266条,诈骗罪的成立需满足“行为人实施欺骗行为→被害人陷入错误认识→基于错误认识处分财产→行为人取得财产”的逻辑链条。其中,“欺骗行为”与“错误认识”是构成该罪的关键。而盗窃罪(《刑法》第264条)的核心在于“秘密窃取”,即行为人以隐蔽手段转移他人财物占有,无需被害人参与意思表示。
(二)本案行为性质的争议点
1. 是否存在“欺骗行为”?
杨某未伪造审批流程或虚构出差事由,其利用的出差事项系离职前已通过审批,且登录系统时使用的是真实账户(权限未被关闭)。因此,其行为不涉及积极虚构事实或隐瞒真相,不符合诈骗罪的“欺骗”要件。
2. 公司是否基于“错误认识”处分财产?
上海某公司支付机票费用的依据是系统自动生成的订单,而非因杨某的误导产生错误认知。系统漏洞导致权限管理失当,属于公司内部管理问题,与杨某是否实施欺骗无直接关联。
03.法院裁判理由的规范解读二审法院改判盗窃罪的核心逻辑如下:
(一)行为手段符合“秘密窃取”
杨某在离职后明知无权使用系统,仍利用权限残留和审批漏洞预订机票。其行为具有隐蔽性:
1. 权限使用的隐蔽性:公司未察觉杨某离职后继续操作系统;
2. 财产转移的隐蔽性:机票费用由公司自动支付,杨某未与公司发生直接交互。
(二)系统漏洞不构成诈骗罪中的“欺骗”
法院强调,诈骗罪的欺骗行为需主动诱导被害人错误处分财产。本案中,系统漏洞系公司管理疏忽所致,杨某仅被动利用该漏洞,未实施积极欺骗。因此,其行为本质系“窃取”而非“骗取”。
(三)罪刑法定原则的严格适用
二审法院严格遵循构成要件符合性,避免将“利用漏洞”简单等同于“欺骗”,体现了对刑法谦抑性和明确性的尊重。
04.法律适用与裁判规则的启示(一)明确“利用漏洞”行为的定性规则
本案确立了以下裁判规则:行为人未实施欺骗手段,仅利用系统权限漏洞秘密转移财物的,应以盗窃罪论处。这一规则对网络时代类似案件(如利用未注销的支付账户、残留的数据库权限等)具有普适性。
(二)企业权限管理的警示意义
企业需完善员工离职流程,及时关闭系统权限,避免因管理疏漏引发财产损失。本案中,上海某公司若能及时回收权限,可完全避免损失发生。
(三)司法实践中罪名认定的精细化
法院在科技犯罪案件中,应深入分析行为手段与构成要件的对应关系,避免因行为表象相似而混淆罪名。
05.律师代理要点一、罪名定性:盗窃罪与诈骗罪的区分
· 行为手段的核心差异
盗窃罪(《刑法》第264条):关键在于“秘密窃取”,即行为人通过隐蔽手段转移财物占有,无需被害人参与意思表示。
诈骗罪(《刑法》第266条):需满足“欺骗行为→错误认识→财产处分”的因果关系链。
辩护方向:
杨某未伪造审批流程、虚构出差事由或使用虚假账户,其行为不涉及“欺骗”;
公司支付机票费用系系统自动处理,非基于错误认识,不符合诈骗罪构成要件。
· 利用权限漏洞的隐蔽性
杨某离职后通过残留权限秘密操作,公司未察觉其行为,符合“秘密窃取”特征。
关键证据:系统日志显示杨某未与公司人员交互,订单生成及支付均自动完成。
二、主观故意的证明与反驳
· 非法占有目的的认定
杨某明知已离职且无权使用系统,仍利用漏洞预订机票,主观上具有直接故意。
辩护策略:若存在对权限状态的认知争议(如误以为权限仍有效),可主张缺乏故意,但本案中杨某明确知晓离职事实,此点较难成立。
· 行为与结果的关联性
需证明杨某实际控制机票并意图占有(如使用2张机票、取消1张),结合退赔行为综合判断主观恶性。
06.结语杨某盗窃案通过二审改判,厘清了诈骗罪与盗窃罪的界限,强调了“秘密窃取”与“积极欺骗”的本质区别。在数字化管理普及的背景下,本案不仅为司法实践提供了明确指引,亦对企业风险防控提出了更高要求。法律在惩治犯罪的同时,亦通过裁判规则推动社会主体完善内部治理,实现法律效果与社会效果的统一。
