五名大学生“薅羊毛”获刑

企业系统漏洞不是违法“薅羊毛”免责事由

　　“薅羊毛”不是一个违法行为的必然代名词，但对于那些利用网络漏洞、入侵企业系统、隐瞒虚构真相的“薅羊毛”行为，应当严格限制和避免，其很容易违法甚至构成诈骗、非法破坏计算机系统罪等刑事犯罪。

　　近日，上海市徐汇区人民法院审理的一起大学生“薅羊毛”案件引发广泛关注。该案中，当事人徐某利用肯德基App客户端和微信客户端之间数据不同步的漏洞，骗取兑换券或取餐码，售予他人牟利，并将这一方法传授给同学。案发后，徐某等5人因犯诈骗罪、传授犯罪方法罪被判有期徒刑，并处罚金。

　　在互联网或者电子商务平台上，用户搜集各种商户优惠信息的“薅羊毛”行为普遍存在，而其中，也混杂着不少“不光彩”的“薅羊毛”手段，例如利用企业自身漏洞、商家的错误，或者入侵计算机系统等方式。有人看到了其中的“商机”，甚至组建专门的团队或公司收集类似信息。

　　值得关注的是，“薅羊毛”不是必然违法，但利用网络漏洞、入侵企业系统、隐瞒虚构真相的“薅羊毛”行为，确实存在很大法律风险，甚至构成刑事犯罪。

　　记者梳理相关案件文书发现，司法实践中，对于在网上非法利用系统漏洞“薅羊毛”的行为究竟应定为什么罪名，仍存在一定分歧。

　　利用数据不同步是“隐瞒真相”的一种方式

　　上述案件中，当事人徐某出生于1998年，是江苏某大学的学生。据媒体报道，2018年4月，他在使用肯德基客户端点餐时意外发现，客户端和微信小程序存在数据不同步的漏洞，并发现可以利用该漏洞骗取兑换券或取餐码。从当年4月起，徐某便开始做“副业”，将骗取的套餐产品通过线上软件低价出售给他人，从中获利。此外，他还将这一方法传授给了自己的同学丁某等4人，截至当年10月案发，徐某和丁某等人的行为造成百胜中国控股有限公司（百胜中国公司管理着旗下8000余家肯德基、必胜客等）损失超过20万元。

　　上海徐汇区法院最终认定徐某犯诈骗罪，判处有期徒刑2年，处罚金6000元；犯传授犯罪方法罪，判处有期徒刑10个月，决定执行有期徒刑2年6个月，并处罚金6000元。

　　丁某等4人也分别被判处有期徒刑2年至1年3个月，并处罚金1000元至4000元不等。

　　为什么被定性为诈骗罪？对此，徐汇区法院给出的解释是，各被告人通过发起虚假交易获取退券退款的行为，体现的是肯德基App客户端和肯德基微信客户端自助点餐系统这一“机器”背后的“人”基于数据不同步而发生错误认识，并在错误认识的基础上“自愿”进行财产处分，进而造成被害单位的财产损失，故各被告人的行为符合诈骗罪的构成要件。

　　因此，法院认定徐某等人明知肯德基App客户端和微信客户端自助点餐系统存在数据不同步的漏洞，仍以非法占有为目的，进行虚假交易，进而非法获取财物的行为构成诈骗罪。

　　根据《中华人民共和国刑法》第二百六十六条的规定，诈骗罪是指以非法占有为目的，用虚构事实或者隐瞒真相的方法，骗取数额较大的公私财物的行为。

　　北京师范大学互联网发展研究院院长助理、网络法治国际中心执行主任吴沈括认为，该案中5名大学生利用系统数据不同步骗取兑换券或取餐码，正是“隐瞒真相”的一种方式，且具有出售谋利的客观行为和主观动机，符合诈骗罪的构成要件。

　　“主要是因为他们利用系统的数据不同步来实施犯罪，并非系统本身发生的机械故障或者缺陷，该行为具备欺骗性，隐瞒已下单或者取消订单的事实，进而获利，因此被定为诈骗罪。”北京威律律师事务所律师姜彦杰表示。

　　事实上，这不是第一起因为利用系统漏洞“薅羊毛”被判刑的案例，甚至不是第一起大学生“薅羊毛”获刑的案例。例如在2018年宣判的一起案例，陕西一高校计算机专业的学生小刘利用自己的“专业技术”，发现浙江省杭州市某理财平台存在漏洞，从2017年7月份开始，与自己的网友小曹利用该漏洞非法获取30万元，小曹另外非法获取40余万元。两人最终均被判处10年以上有期徒刑。

　　诈骗罪还是盗窃罪？

　　值得关注的是，前述杭州市某理财平台案件中，检察官认为，小刘和小曹的行为，表面上只是修改了计算机的数据，但其实质是秘密窃取平台的财物，应该是盗窃行为。

　　同样是非法利用系统漏洞“薅羊毛”的案件，在罪名认定上会有不同吗？记者查询相关案例发现，司法实践中，同类案件确实有定性分歧。

　　例如，四川省古蔺县人民法院去年1月10日宣判的一起案件中，施某某发现两家酒企开展消费者扫码回馈现金、红包活动，且其红包链接较为简单，于是就找到潘某某破解二维码红包链接，以便领取红包。

　　潘某某制作了一个专门的破解软件。之后施某某利用该软件大量盗刷红包，并将部分链接发送给被告人高某等人领取。

　　施某某通过该手段，盗窃红包10余万元，潘某某亦通过红包链接领取红包2万余元。

　　法院审理后认为，3名被告人实施盗窃手段与传统盗窃有所区别，被告人通过软件在互联网上操作，获得红包二维码链接，以此将受害者的财物窃取，最终认定3人以非法占有为目的，多次通过盗刷红包的方式秘密盗窃他人财物，其行为构成盗窃罪。

　　《中国审判》杂志2020年第15期刊载的《网络“薅羊毛”行为的法律探析》一文中，作者北京市海淀区人民法院法官助理秦鹏博也以此案为例谈到了“薅羊毛”类案件的定罪问题。

　　他认为，由非法软件生成的链接使受害企业误以为3名被告人中奖，进而通过微信公众号向其发放红包，在这样的逻辑下，3名被告人的行为更符合诈骗罪的构成要件。盗窃罪与诈骗罪的主要不同即在于，盗窃是行为人违反被害人的意志而转移财产，而诈骗则是受骗者基于有瑕疵的自由意志而主动处分财产。在机器人“预设指令—作出行为”的算法模式下，施某某等3人的行为使后台机器误以为达到了预设指令的条件，从而引发自动发放红包的操作。因此，机器人是否具有意志，是判定机器人可否被骗的前提，而这一判定，在人工智能时代是个仍需讨论的重要问题。

　　吴沈括也认为，就本质上来讲，诈骗罪和盗窃罪的区别应当在于被害人或第三人是否陷于错误认识主动处分财产，如果是在错误认识的情况下主动处分了财产，则应当为诈骗罪，否则可能成立盗窃罪。

　　“就利用系统漏洞‘薅羊毛’的行为而言，实质上是受害者或受害单位出于错误认识的情况下主动交付的财产，应当认定为诈骗而非盗窃。”吴沈括表示。

　　姜彦杰则表示，目前此类案件定罪争议越来越小，司法实践中应逐步明确诈骗罪的认定。

　　系统漏洞不应成为免责事由

　　在此类案件中，还有一个值得关注的问题是，既然当事人利用的都是系统漏洞或者企业自己的失误，而不是破坏系统，那么企业或者平台自身有没有责任？一旦相关“薅羊毛”行为被认定违法，能否减轻或者免除“薅羊毛”者的责任？

　　对此，吴沈括认为，企业自身的系统漏洞或失误不是行为人犯罪的必然理由，因此不应当成为一种减免责任的事由。

　　虽然刑法中存在“期待可能性理论”，认为在某种特殊情况下，由于不可抗力或其他原因而无法期待行为人做出适法行为。此时，即便行为人犯罪了，也不具备刑事苛责性。但司法实践中以“期待可能性”为由出罪的情况少之又少。因此，企业自身的系统漏洞或失误很难成为一种减责甚至免责事由。

　　姜彦杰认为，当下很多企业在营销优惠活动中故意设置“BUG价”或其他“漏洞”营销方式，消费者难以辨别，这种情况对于“羊毛党”消费者不应当苛责更多的责任义务。同时，企业对于自身过错也应当承担自甘经营责任，但这不应当是非消费型“羊毛党”违法行为减责的理由。

　　“需要强调的是，‘薅羊毛’不是一个违法行为的必然代名词，是一种群众对社会现象的形象比喻。具体而言，‘薅羊毛’包括多种形式，其中不乏商家通过一些营销手段故意吸引大众，从而达到宣传扩大销售量的效果。”吴沈括表示。

　　因此，在他看来，对于“薅羊毛”行为是否违法，得具体情况具体分析。当然，对于那些利用网络漏洞、入侵企业系统、隐瞒虚构真相的“薅羊毛”行为，应当严格限制和避免。

　　姜彦杰表示，消费者个人的非营利偶发“薅羊毛”行为，往往可以在民事法律关系中评价，特别是在一些营销活动中系统或规制漏洞导致的消费者自利行为并不必然违法，但基于诚实信用原则，不应提倡或支持。但是如果以非法营利为目的的机构或团队专门进行“薅羊毛”行为或其他非消费型“薅羊毛”行为，其法律风险将是极大的。

　　此外，当下还有一个值得关注的现象是，很多人看到了“薅羊毛”中的商机，成立了团队或者公司专门在网上搜集寻找优惠折扣信息，再通过群组等方式告知给普通消费者。

　　对于这种游走在合法与非法之间的灰色产业链，吴沈括认为，这是一种暂时性的畸形模式，趋利性是其最大的内在动力。他建议，应当加快立法进程，通过出台司法解释等方式，明确其合法性或非法性，从而充分发挥法律的指引和规范作用。