利用平台漏洞实施侵财行为的刑法定性

刘昱彤

（中国政法大学 刑事司法学院，北京 100088）

电商平台的兴起和发展在改变人们交易习惯的同时，也催生了寻找平台优惠漏洞，通过恶意注册、虚假交易等方式，赚取平台高额利益的“羊毛党”。由于网络平台营销方式的新颖性和犯罪行为手段的多样化，此类案件显现出不同于传统财产类犯罪的特征，利用网站漏洞取财的行为是构成盗窃罪还是诈骗罪的定性问题成为司法实务中的难点。

一、利用平台优惠漏洞侵财的行为方式

（一）“黑客族”——攻击平台防线获利

案例1：“拼多多”案

2019 年1 月20 日凌晨， 拼多多平台出现优惠券漏洞，用户可以随意领取“100 元无门槛优惠券”，引发大量网友“薅羊毛”。 拼多多称，该优惠券从未在任何线上入口中发布，只能从黑灰产团伙通过非正常途径生成的二维码扫码后获得，黑灰产团伙通过蓄养大量虚拟账号批量盗取该种优惠券，迅速兑现成可自动发货的话费和Q 币，造成平台损失近千万元。[1]

案例1 中的行为方式为：攻击平台漏洞使其产生优惠券——获得优惠券。盗取平台优惠券的行为完全违背了被害人的意志，构成盗窃罪，另外攻击平台漏洞的手段行为也可能涉及破坏计算机信息系统罪。

案例2：虚假充值游戏币案

杨某某系某网络游戏公司工作人员， 具有进入游戏系统后台的权限。 2013 年6 月杨某某发现该游戏充值平台在最后支付阶段存在漏洞， 缺少支付平台向游戏平台发送验证是否支付成功的程序， 于是自行编写程序， 多次发送虚假充值成功信息实施异常充值，获取游戏币。①参见北京市朝阳区人民法院（2014）朝刑初字第3017 号刑事判决书。

案例2 的行为方式为： 编写程序发送虚假充值成功信息——获得游戏币。该案例中，财产权利人设置的程序要求充值成功就支付游戏币。 行为人发送虚假信息，形式上满足了程序设置者的条件，因系统漏洞将虚假信息视为真实信息完成支付， 取得财产占有。

（二）漏研族——破译平台漏洞获利

案例3：店长盗充积分案

2015 年12 月， 江某在担任某商场专卖店店长时，偶然发现通过店内POS 机买单获得会员积分后退货，积分却不会扣减。根据商场会员积分规则，100分积分可抵作现金1 元。江某利用这一漏洞，反复先买后退获得大量积分，或自己消费，或兑换成抵用券后出售给他人，共往八张会员卡中盗充积分4713 余万分，折合人民币47 万余元。①参见浙江省杭州市拱墅区人民法院（2016）浙0105 刑初字第562 号刑事判决书。

案例3 的行为方式为： 交易后退货——利用漏洞获取积分。对该案的定性存在不同意见：认为成立诈骗罪的理由是行为人利用漏洞隐瞒真相， 使商场误认为存在真实交易转移积分； 认为成立盗窃罪的理由是行为人先买后退的行为称不上“隐瞒真相”，并且行为人与被害人之间不存在沟通交往， 商场只是按照规则发放积分，不存在处分意识，不成立诈骗罪。 此时商场按照规则处分积分的行为是否属于在错误认识支配下的处分行为，值得进一步思考。

案例4：天猫积分诈骗案

天猫积分规则为完成一单交易即可获得一定积分，100 积分可抵扣1 元现金。 会员在生日周购买商品即使退货生日积分也不必退还。2015 年10 月，陆某某利用天猫商城会员生日特权机制的漏洞， 购买多家店铺制作虚假商品链接， 大量购买未使用过的账号并将所有账号的生日更改为操作前后几天的日期以利用生日特权获得双倍积分， 而后指使员工实施大量虚假交易并退款退货，得到天猫赠送的积分，最后利用骗取的积分变现。

案例4 的行为方式为： 更改生日日期——获得会员生日特权——进行虚假交易退货获取积分。 利用平台生日优惠特权漏洞更改生日日期， 使平台误认为不具备积分获取条件的行为人有此资格而赠与其积分， 该行为能否被认定为诈骗罪中基于认识错误实施的处分行为，同样存在疑问。

案例5：打车刷单案

某打车平台规定司机可根据行程的长短获取补贴。 正常情况下乘客收到短信确认行程结束后支付车费。 2015 年9 月，某网约车平台司机董某等分别购买或借用他人身份信息申请乘客账号， 并同时扮演司机和乘客两个身份， 用该乘客账号向司机账号发送订单进行虚假交易， 并利用乘客账号随意延长行程获取补贴。[2]

案例5 的行为方式为： 同时注册为司机和乘客——虚假交易增加车费——获得车费和补贴。 该案的定性问题同样在于， 打车平台将虚假交易视为真实交易发放补贴的行为是否为处分行为。

二、利用平台优惠漏洞实施侵财犯罪的特殊性

关于盗窃罪与诈骗罪的区分，通说认为，二者都是侵犯财产类犯罪， 但盗窃罪是违反被害人意志取得财物的行为， 诈骗罪是基于被害人有瑕疵的意志取得财物的行为， 且欺骗行为与财产处分具有因果关系。 区分二者的关键是判断行为人是否实施了足以引起被害人产生认识错误处分财产的行为， 被害人是否是基于该认识错误对财产进行了处分。 利用平台漏洞实施的侵财犯罪与传统侵财犯罪相比，在行为人的行为方式和被害人的处分行为等方面存在差别，对传统刑法理论提出了挑战。

（一）行为方式

盗窃罪与诈骗罪的区别之一在于行为方式不同：诈骗罪要求行为人与被害人之间存在沟通交流，被害人是“自愿”将财物交付给行为人；盗窃罪则通常不需经过被害人的配合， 行为人可独立完成财产的转移。[3]网络平台中“羊毛党”实施的侵财犯罪中，双方的沟通交流过程往往被隐藏在系统的预设程序中，行为方式多样：如案例1 中，行为人直接通过攻击平台防线获利，相当于传统盗窃罪中的撬锁；案例2 通过编写程序进行虚假充值获利；案例3、案例4、案例5 中行为人通过寻找和破解平台优惠信息中的漏洞，通过虚假完成平台要求的任务刷单获利。这些区别于典型犯罪的行为方式， 使得盗窃罪与诈骗罪之间更加难以辨别。

（二）处分行为

传统盗窃罪与诈骗罪区别的关键， 学界普遍认为在于处分行为。 盗窃罪中行为人完全违背被害人的意志取得财物， 而诈骗罪中行为人是基于被害人的处分取得财物。 关于处分人在处分时处分意识的有无和内容学界存在分歧。 在针对网络平台实施的侵财行为中， 能否将网络平台的漏洞理解为陷入认识错误是对此类案件定性的关键。

通过网络平台的侵财犯罪本质仍是机器， 关于机器能否被骗存在不同观点： 主张机器不能被骗的观点主要包括两种： 一种观点认为机器不可能陷入认识错误，诈骗罪的欺骗的对象只能是自然人，从机器中获取财物只能构成盗窃罪。[4]另一种观点认为，机器不能被骗， 但是可以欺骗机器背后由于信赖机器代为实施处分行为的掌控者。[5]主张机器可以被骗的观点有：第一，机器实际是代替主人交付财物，能够被骗，其被骗行为能够转嫁给机器的主人。[6]第二，只有具有一定智能性的机器， 才能够成为诈骗罪的对象。 第三，能体现出权利人的意志，作为电子代理人的机器能够成为诈骗罪的对象。[7]

本文认为，无论机器能否能够被骗，侵财行为所最终指向的都是背后的自然人，但是只有能够传达财产权利人意志的机器才能被骗。仅仅设置了类似于密码箱的简单机械指令的系统无法完成传达财产权利人意志的功能，利用该机械漏洞实施的侵财犯罪不构成诈骗罪；而设置了一套具备完整业务逻辑程序的系统能够在交易阶段代表财产权利人的意志，利用该逻辑程序实施的侵财犯罪可以构成诈骗罪。

三、新型支付方式中盗窃罪与诈骗罪的区分

（一）判断被骗者的过错程度

有观点认为， 刑法之所以对诈骗罪做出轻于盗窃罪的处罚， 原因在于诈骗罪中包含了被害人的过错，应将被害人的过错纳入对处分意识的判断。通过机器取财的行为不能认为机器存在过错， 因此机器不能被骗。[8]

利用被害人对财产损失的过错对判断盗窃罪和诈骗罪有一定帮助，但是，在某些情况下，盗窃罪中的被害人同样存在过错， 并且过错程度超出了传统盗窃罪“疏于保管”的程度，丝毫不亚于诈骗罪中被害人因贪婪或轻信而产生的过错： 案例1 “拼多多案”中平台未设置基本的“防薅”手段如限制优惠券总数和优惠券适用场景等， 无疑在相当程度上助力了结果的发生；案例3“店长盗充积分案”中商场程序设置中退货不退积分的漏洞也是行为人盗取积分的重要因素。

另外， 通过机器漏洞取财的行为并不一定都应归结为机器的过错， 在一定情况下同样可以理解为被害人存在过错，成立诈骗罪：当财产权利人设置程序，将带有一定复杂性的工作交由机器处理，此时意味着财产权利人将自己的意志部分投射到机器上，如果由于财产权利人设置程序的失误或漏洞使机器根据此程序错误地处分财物， 则该处分行为中包含被害人的错误，可以认定为诈骗罪。 如案例5“打车刷单案” 中财产权利人设置的程序为根据行程长短发放补贴，平台的处分行为无疑是其意志的反应。

（二）区分管理系统和支付系统

有观点认为， 利用机器实施的侵财行为可以依据系统性质的不同加以定性： 侵入作为管理设备的计算机取财为盗窃罪， 而向作为支付设备的计算机输入虚假指令， 机器基于财产权利人的默认给付财物的行为可视为诈骗罪。[9]

本文认同根据系统的性质区分二者的方法，但是单纯按照管理系统和支付系统的区分也存在一定问题，一方面，目前大多数平台都兼具管理和支付功能， 另一方面， 积分和优惠券作为一种特殊财产形式， 对该类财物的发放的行为属于管理还是支付也不易认定。 案例1“拼多多案”中扫码取得优惠券的系统显然属于支付系统， 但是从本案的行为方式看却很难将其归为诈骗罪。 在利用网络平台漏洞的盗窃罪与诈骗罪中， 不能片面地将平台归类为两种系统加以区分，更为准确的方法是，判断行为人在侵财行为的实施过程中， 机器的行为是否能够代表财产权利人的意志。

（三）辨别财产权利人的终局意愿

有观点认为，网络平台中的盗窃与诈骗区分应探究财产权利人的终局意愿。 在盗窃行为中，财产权利人完全反对他人转移财产。网络支付平台的交易情境通常为：财产权利人设置条件，当行为人的行为符合财产权利人设置的条件时，行为人合法取得财物。 “机器被骗”只是表象，诈骗行为的本质发生于自然人之间，诈骗罪中“陷入认识错误”、“基于认识错误处分财产”的被害人是指网络平台背后的自然人。[10]该观点有一定道理，但是，如何判断“财产权利人的终局意愿”，如何判断财产权利人是否完全反对财产的转移？

财产权利人设置的条件不同， 行为形式上满足该条件并不能完全否认盗窃罪的成立。按照“财产权利人的终极意愿”区分盗窃罪和诈骗罪，存在以下问题：一方面，网络情境下财产权利人的终极意愿不易判断。 财产权利人的终极意愿可以理解为只需形式上满足平台设置者的支付条件即取得占有， 财产权利人并非完全反对他人转移占有。但是，也可以理解为平台设置者所设置的条件是必须真实充值成功方能取得占有， 完全反对他人虚假充值取得占有。 例如，在案例3“店长盗充积分案”中，财产权利人的意愿同样不易判断： 可以理解为先买后退的虚假买卖符合预设条件， 财产权利人并非完全反对积分的转移， 也可理解为行为人只有在真实交易的条件下方可获得积分， 财产权利人反对在此种情况下的财产转移。

另一方面， 并不是所有财产权利人设置的程序都能体现其终局意愿。 案例2“虚假充值游戏币案”中平台设置者交给系统的任务是机械和简单的，即充值成功就支付游戏币。 在支付阶段发送虚假信息使系统误认为真实信息的行为， 虽然形式上符合平台预设的条件， 其复杂程度很难理解为能使网络平台背后的自然人陷入“认识错误”。 从社会一般观念来看，该行为本质上与盗窃行为更为相近，类似于盗窃保险箱内财物时， 由于机器故障使行为人输入的密码错误但仍可以打开保险箱取财的行为过程。

案例3 与案例4 同样是利用平台退货不退积分的漏洞以先买后退的形式取财，但案例3“店长盗增积分案”的行为方式为利用积分规则漏洞先买后退，退货不退积分是机器自身的漏洞， 这一规则无法代表被害人的意志，而反观案例4“天猫积分诈骗案”，财产权利人的意志为符合生日日期条件即拥有退货不退积分资格， 行为人的行为包含了以更改生日日期的方式使系统误认的阶段， 行为人利用了被害人投射到机器上的意志。

四、结论

尽管行为人利用平台优惠漏洞的行为表现多样， 但盗窃罪与诈骗罪的区分关键依然是判断行为人在处分意识支配之下处分行为的有无。 新型支付方式下， 有关机器能否被骗的讨论应专注于机器的行为能否表现出是使机器背后的自然人发生了“认识错误”。 而无论按照被害人过错、管理系统和支付系统还是财产权利人的终局意愿等方法判断， 结论都将归结为财产权利人是否将自己的意志投射到平台预设程序中， 系统按程序所做出的行为能否正确表达财产权利人的意志上。 平台的行为能否体现出财产权利人的意志， 可以从其行为是否具备一定智能性和逻辑性表现出来。

回到本文开始时提到的案例中，案例1“拼多多案”、案例2“虚假充值游戏币案”和案例3“店长盗增积分案”表面上行为方式全然不同，案例1 利用了平台未设置防范机制的漏洞， 案例2 利用的是平台支付程序中虚假充值可以伪装为真实充值的漏洞，案例3 利用的是商场退货后不退积分的漏洞， 但本质上都是利用了系统自身的机械漏洞取财， 没有涉及财产权利人的意志， 该类案件认定为盗窃罪较为合理。

案例4“天猫积分诈骗案”和案例5“打车刷单案”则利用了更为复杂的逻辑漏洞。案例4 中行为人更改生日日期使系统误认获得退货不退积分资格，进而通过大量虚假交易获得积分的行为利用的是平台预设优惠活动的失误。 案例5 中财产权利人设置的程序为形成了司机与乘客之间的打车交易即可根据乘车距离获得补贴，行为人“自买自卖”并延长乘车距离的行为使系统误认为该打车交易存在， 意味着该行为造成机器背后的自然人发生了 “认识错误”，构成诈骗罪。

本文认为， 可以从行为人利用平台漏洞的性质入手， 将行为人利用的平台漏洞分为系统机械漏洞和业务逻辑漏洞，当行为利用了系统的机械漏洞时，平台没有经过预设程序的分析思考阶段， 复杂程度较弱， 不能认为该程序代表财产权利人的意志并使平台背后的自然人发生了“认识错误”，因此成立盗窃罪； 而当行为利用财产权利人设置的业务逻辑漏洞造成该行为满足系统的业务逻辑条件时， 平台的行为是经过财产权利人预设程序的智能分析， 此时可以认为平台的行为能代表财产权利人的意志，发生了“认识错误”，成立诈骗罪。