王晓晓

一、问题的提出

随着电商平台及商家营销资金投入的迅速增长,利用商家营销活动交易规则的漏洞,大量获取商家营销资金的“薅羊毛”行为开始出现。“薅羊毛”这一网络用语最初是指收集网络商家优惠信息占便宜,如今语义逐渐扩张为在网络空间以违背常理、道德或违法的方式获得某物或某种经济利益。(1)参见汝文慧:《隐喻视角下看网络词“薅羊毛”的衍生与发展》,载《文化创新比较研究》2023年第3期。最初进入刑法视野被评价的网络“薅羊毛”主要是电商平台刷单套现,即通过虚假交易或对商品虚假评价套取平台补贴或返利的行为。(2)参见钱日彤:《网络刷单套现的犯罪态势及其刑事规制路径》,载《江西警察学院学报》2020年第1期。对于此类行为,司法实践中多以诈骗罪(3)参见杭州市西湖区人民法院(2019)浙0106刑初349号刑事判决书。或侵犯公民个人信息罪(4)参见山东省青岛市黄岛区人民法院(2019)鲁0211刑初875号刑事判决书。等定罪处罚。

随着“数字中国”建设的深入推进,以互联网为基础的信息公共事业逐渐深度嵌入我国社会的基本结构,传统企业的生产经营也日渐网络化,数字经济新业态不断涌现。在这一时代背景下,越来越多利用信息网络提供服务的商户或企业成为了“薅羊毛”的对象,“薅羊毛”的行为类型愈加多元。厘清网络“薅羊毛”的行为类型与刑法规制范围,是明确我国数字经济刑法保障路径与限度亟待解决的现实问题。基于对实践中有关案例事实的归纳,可将网络“薅羊毛”行为分为利用计算机信息系统交易规则漏洞、利用计算机信息系统技术漏洞、利用商家错漏或利用平台不合理交易规则“薅羊毛”四种类型。鉴于后两种类型暂无适用刑法规制的先例,(5)参见澎湃新闻:《26元买4500斤脐橙?网红带上万粉丝“薅羊毛”,网友怒了》,https://m.thepaper.cn/baijiahao_4900294,最后访问日期:2023年6月28日;叶丹:《拼多多被频“炸店”,“仅退款”惹的祸?》,载《南方日报》2023年4月7日第AB03版。在确定评价方法后,本文拟立足于我国现行《刑法》,分别对前两种利用计算机信息系统漏洞“薅羊毛”的行为不法进行评价,并在穷尽刑法解释难以妥当定罪时,尝试探索刑事立法的完善进路。

二、评价方法:罪刑法定原则下的“创造性解释”

“利用计算机信息系统漏洞‘薅羊毛’”并不属于我国《刑法》直接规定的构成要件行为类型,但具备显著的法益侵害性。确定对此类似有处罚必要的新行为进行评价的方法,是明确将此类行为纳入《刑法》规制范围具体进路的前提。所谓“评价方法”包含了两个层面的含义:第一,对既有罪名进行解释以将此类行为纳入《刑法》规制范围的解释方法;第二,对解释论与立法论顺位的选择方法,即穷尽解释方法也难以适用既有罪名时,基于此类行为的处罚必要性,应选择突破罪刑法定原则对既有罪名进行类推解释,还是承认“意图性的法律空白”(6)参见[德]约翰内斯·韦塞尔斯:《德国刑法总论》,李昌珂译,法律出版社2008年版,第23页。的存在,留待刑事立法创设新罪名填补处罚漏洞。

对于刑法解释论的选择,本文基本赞同功能主义刑法解释论的立场,即信息网络时代的刑法解释应当具有更强的目的导向性、实质性、回应性和后果导向性。需要注意的是,即使采取功能主义的刑法解释方法,为了使行为受刑罚处罚的风险可被一般公民理解与识别,保障《刑法》作为行为规范的功能,不能仅要求解释结论符合合目的性与体系融贯性的要求,(7)参见劳东燕:《功能主义刑法解释的体系性控制》,载《清华法学》2020年第2期。还应充分尊重构成要件的明确性。例如,若将破坏生产经营罪的保护法益解释为普遍的生产经营的经济利益,仅以合目的性与体系融贯性标准考量,将“刷单炒信”解释为本罪规定的“其他方法”似无不妥。然而,我国《刑法》第276条在“其他方法”之前规定的是“毁坏机器、残害耕畜”,这限定了解释“其他方法”的语境。为保障本罪构成要件的明确性,应遵循同类解释的方法,选择“其他方法”在该语境下的语用意义,(8)参见魏东:《功能主义刑法解释论“问题性思考”命题检讨》,载《法学评论》2022年第2期。即“采用物理手段侵害生产经营的经济利益的方法”作为其解释结论。基于以上认识,将“刷单炒信”解释为破坏生产经营罪并不符合罪刑法定原则的要求。依据我国现行刑法,适用虚假广告罪与非法利用信息网络罪规制此类行为的结论更为妥当。(9)参见王华伟:《刷单炒信的刑法适用与解释理念》,载《中国刑事法杂志》2018年第6期。又如,在“李某等人破坏计算机信息系统案”(10)参见最高人民法院发布的第20批指导性案例104号。中,被告人“用棉纱堵塞采样器”的行为亦不符合“破坏计算机信息系统”的语用意义,即“采用技术手段破坏计算机信息系统的正常运行”,有类推解释之嫌。

对于解释论与立法论的顺位选择,我国司法实践存在着解释论优先的传统。这一选择取向无疑具备充分的实践基础与法理依据,(11)参见车浩:《立法论与解释论的顺位之争——以收买被拐卖的妇女罪为例》,载《现代法学》2023年第2期。但当司法人员已识别出解释论层面的努力已穷尽时,不应越俎代庖,借解释之名行立法之实。然而,司法人员认为某一行为具备处罚必要性,通过对既有罪名进行“创造性解释”,将该行为纳入既有罪名处罚范围的现象客观存在,其中不乏类推解释。(12)参见周光权:《刑法软性解释的限制与增设妨害业务罪》,载《中外法学》2019年第4期;周光权:《刑法“创造性解释”的司法现状与控制路径》,载《法商研究》2023年第1期。这样的做法,可以被视为我国“有法者以法行、无法者以类举”(13)王先谦:《荀子集解》,中华书局1988年版,第151页。这一具有长久适用历史的司法方法的延续。这一司法方法在我国古代刑法中的制度载体是“比附援引”,即在法律没有明文规定时,比照法典中“最类似”的其他条文适用。(14)参见刘昕杰、刘楷悦:《从比附援引到类推解释:传统司法方法的近代境遇——民国学者关于法律解释的一次争论》,载《法律方法》2015年第2期。我国刑法学者一般将类推解释视为“比附援引”的理论替身,将两者的内涵等同视之。(15)参见陈兴良:《罪刑法定原则的本土转换》,载《法学》2010年第1期。本文认为,不能简单地将“比附援引”等同于类推解释,因为两者面对的法条不同。我国古代刑法不具备当代刑事立法提炼、抽象的立法技术,更多的是针对具体事实情形的列举式规定,且多规定了确定的刑罚,“比附援引”作为一种解释方法,其核心工作是在提炼不同法条中规定的事实情形的相似性,(16)参见陈新宇:《从比附援引到罪刑法定:以规则的分析与案例的论证为中心》,北京大学出版社2007年版,第40-59页。这其实就蕴含了功能主义刑法解释的核心意涵。真正需要批判的,是“罪有正条”时,为了实现适用刑法处罚的目的强行“比附”,(17)参见李启成、李贵连:《帝制法治的两面——“断罪引律令”与比附援引制度的思想基础》,载《清华法学》2012年第6期。这属于司法者僭越行使了立法权限进行了刑事法续造,无疑不符合罪刑法定原则的要求。

基于以上认识,在承认“创造性解释”符合我国司法方法传统与当代实践需求的基础上,应当明确罪刑法定原则是刑法适用过程中解释论优先于立法论这一顺位选择不可逾越的边界。因此,对于利用计算机信息系统漏洞“薅羊毛”的行为,本文拟采用的评价方法为罪刑法定原则下的“创造性解释”,即首先立足我国《刑法》既有罪名对此类行为进行评价,对于穷尽解释方法也难以适用既有罪名的行为,则进一步探讨刑事立法的完善进路。

三、利用计算机信息系统交易规则漏洞“薅羊毛”的刑法评价

本文探讨的第一种行为类型,是利用平台、商家使用计算机信息系统开展业务时设置的交易规则中存在的漏洞“薅羊毛”。接下来拟围绕两个典型案例,展开对此类行为的刑法评价。

案例一:舒某在某电商平台上购买了一杯奶茶,发现买错后点击退款退货。由于该平台新推出的“买菜送货上门”功能初期存在漏洞,平台垫资购买了货物,在用户申请退款退货后,退款即刻到账,但并无工作人员上门收取退货。发现这一点后,舒某用同一身份信息先后注册了3个账号,在该平台购物64笔,购物后再虚构理由申请退款退货,退款金额约4.7万元。而到手的商品,则被舒某卖掉套现。警方以涉嫌诈骗罪为由,对舒某采取了刑事强制措施。(18)参见潇湘晨报:《钻平台漏洞退款不退货,男子“空手套白狼”结果被“套”》,https://baijiahao.baidu.com/s?id=1727619244380379872,最后访问日期:2023年6月29日。

案例二:樊某在一家网店下单两件衣服,选择申请退款后只给商家寄回了一件,却收到了全额退款。其后,樊某在多家电商平台疯狂购物,均采取“多买少退”的方式赚取商家货品,直至案发,涉案金额高达20余万元。目前,樊某因涉嫌诈骗罪被公安机关刑事拘留。(19)参见常德网警:《多买少退神操作!90后女网红被刑拘!涉案金额已达20余万元!》,https://baijiahao.baidu.com/s?id=1764110313974905662,最后访问日期:2023年6月29日。

在典型的利用平台“退款不退货”规则套取货品(20)参见广州市黄埔区人民法院(2016)粤0112刑初1195号刑事判决书。的案件中,平台的交易规则设置较为完备,货款均由平台先垫付,被告人以次品、假货替换正品退回后获得货款及货品,认定为诈骗罪并无疑问。但以上两案的案件事实则与之存在显著差异,两案中犯罪嫌疑人是否实施了虚构事实、隐瞒真相的欺骗行为首先便存在疑问。此外案例一中平台未及时派工作人员上门收取退货,案例二中商家未认真核实退货数量,被害平台及商家均存在一定程度的过失,导致设置的交易规则均存在漏洞,被告人利用交易规则的漏洞套取了货品。那么,两案中是否由被告人的行为导致被害平台及商家产生错误认识,进而处分了货品,便也不无疑问,有待进一步分析。

行为论的核心功能,在于从案件事实中选取值得刑法评价的行为,以及确定行为间的关联性。(21)参见李世阳:《刑法中行为论的新展开》,载《中国法学》2018年第2期。立足本文主张的意图行为论,即刑法评价的基础行为是行为人实现自我意图的身体举止,(22)参见敬力嘉:《作为行为不法类型的犯罪参与——兼论非法发布深度伪造信息的行为不法》,载《华东政法大学学报》2020年第6期。本文拟先厘定案例一、案例二待评价的行为事实。案例一中,犯罪嫌疑人舒某实施了“在电商平台购物后虚构理由申请退款退货”以及“将到手的商品转卖”两个行为;案例二中,犯罪嫌疑人樊某则实施了“在电商平台多买少退”一个行为。

首先需要考察的,是舒某与樊某是否实施了欺骗行为。欺骗行为是诈骗罪成立的必要非充分条件,(23)参见徐凌波:《欺骗行为的体系位置与规范本质》,载《法学》2021年第4期。其本质是针对财产转移条件的信息支配,(24)参见蔡桂生:《诈骗罪中“被害人释义学”和信息支配之本质》,载《环球法律评论》2023年第3期。以导致他人陷入、维持(或强化)有关处分财产的认识错误为行为内容。(25)参见张明楷:《诈骗犯罪论》,法律出版社2021年版,第65-68页。案例一中,可能被视为欺骗行为的有舒某“虚构退款退货理由”,或舒某申请退款退货的行为本身。根据《消费者权益保护法》第25条以及《网络购买商品七日无理由退货暂行办法》的规定,除了明确规定属于例外的商品,消费者在电商平台网购的商品可适用7天无理由退货。在所购商品符合要求的前提下,消费者的申请理由不影响商家、平台退款退货的决定,只可能影响退货运费的分担(买家原因还是卖家原因)。而由于运费险的存在,这一潜在争议也极大程度得到消解。鉴于这里的“虚构”与平台退款退货的行为决策无关,不能将其视为诈骗罪中的欺骗行为。而对于舒某申请退款退货的行为本身,可能有观点会主张舒某存在虚假的退货意思,其申请行为应属对平台的欺骗。然而,在网购语境下,平台退款退货的行为决策与消费者退货意思真实与否也并无关联,将舒某的申请行为评价为诈骗罪中的欺骗行为并不妥当。案例二中,樊某并未采取以次品、假货替换正品或截留商品重要部件等行为导致商家产生处分商品的认识错误,而是直接少退,也难以将此评价为“虚构事实、隐瞒真相”的欺骗行为。

其次,两案中均是由于平台及商家的不谨慎导致设定的交易规则存在漏洞,形成了对商品处分条件的错误认识,且该错误认识并非舒某与樊某的行为所引起,平台及商家基于此错误认识进行了退款退货。尽管关于诈骗罪中被害人过失是否影响行为人诈骗罪成立存在争议,(26)同前注,蔡桂生文。但这里所谓的“被害人过失”,是指被害人因行为人实施欺骗行为产生有关处分财物的认识错误所存在的过失,不能涵盖两案中平台和商家的过失内容。从刑事政策的角度出发,平台及商家有谨慎设置退货审核与收取规则的义务,不能以顾客的诚实取代平台及商家的审慎义务。(27)同前注,张明楷书,第110-111页。因此,舒某与樊某不应构成诈骗罪。

两人的行为还可能涉嫌《刑法》第270条第1款规定的侵占罪,但在行为对象与构成要件行为两个方面都存在疑问。平台与商家退款之后,其与买家之间的买卖合同已解除,商品的所有权复归平台或商家,不属于“代为保管的他人财物”;平台与商家退款后未能取回商品的原因在于自身不谨慎导致的交易规则漏洞,而非舒某与樊某“拒不退还”。因此,两人的行为也不应构成侵占罪。既然两人的行为不符合我国现行《刑法》中的有关罪名,便不应对其施以刑罚,应当适用《民法典》第985-988条关于不当得利的规定,要求舒某与樊某返还其取得的利益。

四、利用计算机信息系统技术漏洞“薅羊毛”的刑法评价

本文探讨的第二种行为类型,是利用商家开展业务所使用的计算机信息系统存在的技术漏洞“薅羊毛”。所谓“羊毛”,既可以是实际利益,也可以是可得利益。(28)参见姚明斌:《〈合同法〉第113条第1款(违约损害的赔偿范围)评注》,载《法学家》2020年第3期。

(一)利用计算机信息系统技术漏洞获取实际利益的刑法评价

司法实践中,此类行为多体现为利用计算机信息系统技术漏洞获取兑换券、二维码(取餐码或验证码)。接下来拟围绕两个典型案例,展开对此类行为的刑法评价。

案例三:徐某为一名在校大学生,通过自动销售程序购买肯德基套餐兑换券之后,在多个客户端登录相同账号。使用一个客户端进行点餐操作至待支付状态,又在另一客户端上申请套餐兑换券退款。利用客户端之间数据不同步的漏洞,在点餐系统取消待支付订单后返还兑换券或确认支付获得取餐码,达成返券又退款,或用券又退款的目的,将取餐码低价出售,还将方法传授给他人,造成百胜公司(肯德基)损失20余万元。审判法院认为被告人退款返券的行为具有欺骗性,该行为导致机器背后的人产生错误认识并处分财产,进而造成被害人财产损失,符合诈骗罪的构成要件,以诈骗罪定罪处罚。(29)参见上海市徐汇区人民法院(2019)沪0104刑初1045号刑事判决书。

案例四:某滑雪教练薛某发现滑雪公司系统与美团APP之间存在结算漏洞,便先在美团购票之后退票,退票后仍保留购票二维码(验证码),继而销售购票二维码(验证码)牟利,审判法院认定被告人薛某的行为属于窃取滑雪公司的滑雪票,且数额特别巨大,以盗窃罪定罪处罚。(30)参见新疆维吾尔自治区乌鲁木齐市中级人民法院(2021)新01刑终12号刑事判决书。

关于此类行为的刑法定性,司法实践中主要存在诈骗罪与盗窃罪的争议。欲厘清其中迷思,需先确定待评价的行为事实。案例三中待评价的,是徐某利用肯德基点餐系统客户端数据不同步的漏洞“获取兑换券”“获取取餐码”与“出售取餐码”三个行为;案例四中待评价的,则是薛某利用滑雪公司售票系统与美团APP结算漏洞“获取购票二维码(验证码)”与“出售购票二维码(验证码)”两个行为。本文接下来拟结合案例三与案例四的具体案情,分别对两案中被告人的行为展开教义学评价。

首先,应考察两案中行为对象的规范性质。从两案判决书来看,判决涉及的行为对象,包括兑换券、取餐码、购票二维码均属数字化债权凭证。鉴于债权凭证是债权与物质载体(31)参见杜牧真:《论数字资产的财物属性》,载《东方法学》2022年第6期。的结合,债权凭证的物质载体本身能否直接体现其记载的债权价值,而无需其他行为(主要是欺诈行为)介入即能获取对债权的支配,(32)参见王莹:《论财产性利益可否成为盗窃罪行为对象——“介入行为标准”说之提倡》,载《政法论坛》2016年第4期;莫洪宪、尚勇:《作为盗窃罪行为对象的财产性利益分析——可支配标准的提倡》,载《法治论坛》2019年第1期。决定了两案进一步的分析方向。具体到两案判决书来看,案例三的判决书并未论及兑换券、取餐码的性质,仅笼统表述为财产或财物;案例四的判决书则引用了2013年最高人民法院、最高人民检察院《关于办理盗窃刑事案件适用法律若干问题的解释》(以下简称《盗窃解释》)第5条的规定,将购票二维码视为不记名、不挂失的有价支付凭证、有价证券、有价票证,以票面价格计算盗窃金额,均未具体明确涉案债权凭证的具体性质。

本文认为,案例三中的兑换券与案例四中的购票二维码属于有价票证,案例三中的取餐码则属于有价证券。尽管需通过经实名认证的账号才能下单购买,但三者使用时不记名、不挂失。与银行卡等记名支付凭证、借条等债权文书需要后续的权利行使行为才能支配其对应债权不同,占有了有体的兑换券、取餐凭证与门票即能实现对其对应债权的支配,应直接将其解释为有体财物。(33)同前注,张明楷书,第37-39页。而占有了它们的数字化载体,即相应的债权信息同样即能实现对其对应债权的支配,应将数字化的兑换券、取餐码与购票二维码解释为财物(无体物),而非财产性利益。学界在论及此类案件刑法定性时,多对行为对象语焉不详,或者直接将债权凭证置换为债权,并将其作为财产性利益展开进一步的论证,(34)参见郑洋:《预设同意型诈骗罪的理论阐释及实践展开》,载《政治与法律》2022年第6期。论证起点即存在错位。基于以上认识,主张两案中行为人利用计算机信息系统的技术漏洞凭空虚构了债权(35)参见刑事法判解:《来稿精选|王家伦:论“肯德基羊毛案”之罪名选择》,https://mp.weixin.qq.com/s/mS3XyxPfOSF0hOfa49nNlg,最后访问日期:2023年7月9日。的观点不值得采纳,因为两案中的三类债权凭证是已经真实产生了的,而凭证对应的债权与物质载体不可分离。以案例四中的滑雪门票购票二维码为例,将其与“赵某等盗窃案”(36)参见中华人民共和国最高人民法院刑事审判第一、二、三、四、五庭主办:《刑事审判参考》,法律出版社2018年版,第56-62页。中被告人通过侵入计算机信息系统修改的单张电子门票卡额定人数进行比较,就可以清晰地看到,前者是经过系统真实交易产生的数字化滑雪门票,后者的产生并非基于景区售票系统中的真实交易,而是真正由虚构产生的债权凭证,景区被侵犯的才是没有物质载体、作为财产性利益的债权。

其次,应考察两案中被告人的行为是否符合盗窃罪或诈骗罪的构成要件。基于上文对行为对象的界定,本文的探讨不涉及所谓“利益盗窃”,以及由此产生的有关盗窃罪构成要件类型的争议。(37)学界有关争议的梳理,参见王骏:《财产性利益盗窃的客观构造》,载《政治与法律》2021年第3期。因此,采纳盗窃罪与诈骗罪构成要件的传统区分标准,即被告人是未经被害人同意自行转移对财产的占有,还是由被害人基于错误认识处分财产并无障碍,下文拟分别对两案中被告人的行为展开评价。

鉴于案例三判决书的结论是徐某构成诈骗罪,本文拟先考察徐某的行为是否符合诈骗罪的构成要件。该案判决书认定该案构成诈骗罪的核心理由,在于徐某利用两客户端数据不同步的漏洞实施了欺骗行为,导致系统背后的百胜公司(肯德基)产生了错误认识,并基于错误认识处分了财物。支撑判决理由的法理依据在于将点餐系统视为百胜公司(肯德基)的“电子代理人”,徐某的行为不满足百胜公司(肯德基)在点餐系统中的“预设同意”(处分特定财物的验证条件),可视为欺骗了系统背后的该公司。以上观点存在两个层面的疑问:

第一,百胜公司(肯德基)在系统中“预设同意”的内容限于特定财物的处分,徐某利用系统技术漏洞获取了财物,说明百胜公司(肯德基)对于财物处分的验证条件(“预设同意”)没有设定完整,只能将徐某的行为解释为未获取“预设同意”,而不能将其解释为“欺骗”系统背后的公司令其产生了错误认识。因为一般而言,“主观认识”是自然人才能产生的心理现象,机器则否。(38)同前注,徐凌波文。能够客观化的是同意的内容,而非同意的过程。而从诈骗罪的构成要件来看,即使主张不要求诈骗罪被害人具备财物处分意识的观点,也要求被害人至少应具备与被告人“就财产决策事项加以沟通”的认识,(39)参见蔡桂生:《新型支付方式下诈骗与盗窃的界限》,载《法学》2018年第1期。这显然不包含在点餐系统的“预设同意”中。因此,所谓“认识错误客观化”(40)参见郑洋:《预设同意型诈骗罪的理论阐释及实践展开》,载《政治与法律》2022年第6期。的主张缺乏事实与规范基础。既然该案中的技术漏洞并非被害公司“预设同意”的客观表现,将徐某的行为解释为维持并利用认识错误的不作为诈骗也就不可行了。

第二,即使认可产生错误认识的过程能通过点餐系统客观化,所谓“电子代理人”的说法也不能明确机器背后到底是谁被骗了,也就是谁才是财物处分人。认可百胜公司(肯德基)的点餐系统被骗,则意味着认可点餐系统本身具有兑换券、取餐码的处分权限,百胜公司(肯德基)通过“预设同意”赋予了点餐系统这一处分权限。依据我国《民法典》第161-162条的规定,承认点餐系统属于百胜公司(肯德基)的“电子代理人”并无实质阻碍。然而鉴于只有通过法人内部有财物处分权限的自然人意思的沟通与协商才能形成单位意志,还需进一步追问的是,被骗的具体自然人是谁。(41)同前注,张明楷书,第133页。案例三中,对于徐某获取兑换券、取餐码的整个行为过程,无论是店员还是点餐系统背后负责审核的工作人员都并无任何认识,又何谈被骗呢?综上所述,认定该案构成诈骗罪的理据不足。

接下来,本文拟进一步判断徐某行为是否符合盗窃罪的构成要件,具体需评价该案中的两类债权凭证是否属于适格的盗窃罪行为对象,以及徐某是否实施了转移占有的构成要件行为。基于该案中的兑换券、取餐码属于无体财物的认识,承认该案中的百胜公司(肯德基)占有兑换券、取餐码,依据仍在于被害单位对相应债权凭证具备事实性的支配力,(42)参见车浩:《占有概念的二重性:事实与规范》,载《中外法学》2014年第5期。这一认识不会对占有概念进行过度规范化的扩张。因此,该案中的两类债权凭证是适格的盗窃罪行为对象。接下来需要判断的,是该案中的被告人是否实施了转移占有的构成要件行为。“计算机信息系统技术漏洞”的产生和运行原理,决定了徐某行为的具体构造。该案的判决书及部分学界观点区分了“故障”与“漏洞”,认为如“许霆案”(43)参见广东省高级人民法院(2008)粤高法刑一终字第170号刑事判决书。中的ATM机一般,已导致设定程序无法正常运行的,应属“故障”,如案例三中的肯德基点餐系统一般程序能够正常运行,但由于程序设计不周延导致出现违背设置者意愿的结果,则属“漏洞”。(44)参见刑事法判解:《来稿精选|徐澍:论“肯德基羊毛”案两判决书背后的盗骗之争》,https://mp.weixin.qq.com/s/Jx5Y7swIZ41VMj-uDws8Yw,最后访问日期:2023年7月10日。本文赞同以上区分,但对于“漏洞”具体的产生和运行原理,该案判决书并未提及。案例三中所谓“数据不同步”并不存在于“肯德基”微信小程序和APP客户端之间,而是存在于二者展示的前台数据之间。该案中二者存在的“漏洞”在于代码设计过于简单,在退还兑换券与兑换取餐码时均仅以未及时更新的前台数据为依据,不要求与二者指向或关联的同一后台数据库中的数据进行比对核验。(45)参见刑事法判解:《来稿精选|李耀:“程序漏洞”中“认识错误”的内容与边界》,https://mp.weixin.qq.com/s/MD28NpPKxY5tbAJ3lifVLA,最后访问日期:2023年7月11日。

从以上分析中可以看到,案例三中的“肯德基”点餐系统后台数据库,性质上不属于支付系统,而属于管理系统,(46)在“金某等信用卡盗窃、诈骗案”的裁判理由中,区分了作为支付设备和作为管理设备的计算机,认为前者的性质是电子代理人,后者的性质相当于电子仓库,本文赞同这一功能性区分。参见陈兴良、张军、胡云腾主编:《人民法院刑事指导案例裁判要旨通纂》,北京大学出版社2013年版,第787-788页。功能在于产生、储存与核验有关债权信息。与“邹某(偷换二维码)盗窃案”(47)参见福建省石狮市人民法院(2017)闽0581刑初1070号刑事判决书。判决书将收款码比作收银箱相比,该案中收款码及其背后的支付系统并不具备储存钱款或债权的功能,这一类比并不恰当,案例三中的后台数据库则的确相当于储存债权凭证的仓库。该案中的两个客户端相当于同一个仓库的两个不同出入口,被告人购买兑换券后,同时登陆两个客户端,从一个客户端下单至待支付,从另一个客户端对购买的兑换券退款,再取消前一个客户端订单(免费获取兑换券)或确认订单(免费)获取取餐码的行为,相当于合法获得兑换券后,从仓库的一个入口交还了兑换券,又未经允许从另一个出口拿出了兑换券或取餐码。“拿出”的具体方式是未获取百胜公司(肯德基)“预设同意”,利用点餐系统转移了对兑换券与取餐码的占有,但并未介入该公司的处分行为。因此,徐某的所谓“欺骗”行为只是用于掩盖其盗窃行为的手段,其转移债权凭证占有的行为符合盗窃罪的构成要件,出售取餐码的行为属于事后销赃,不做单独评价。

鉴于案例四判决书的结论是薛某构成盗窃罪,本文拟从盗窃罪开始展开对该案的分析。该案中的“结算漏洞”具体为何,判决书未做说明。依据行为事实合理推断,滑雪公司售票系统与美团APP的后台数据库至少存在数据不同步。尽管购票二维码属于财物,但该案被告人在美团APP下单购买门票后合法获得了购票二维码及其复制品(48)在美团APP退票后保留购票二维码唯一可行的方式是退票前截屏,可以视为复制。的所有权,取消订单后仍保留购票二维码的行为也难以被视为转移购票二维码占有。只有转换视角,一体考查该案两个涉案行为,才能找到证成本案成立盗窃罪的论证方向。当薛某未经景区允许在退票后保留其复制的有效(49)薛某在美团APP退票后,美团APP已撤销购票二维码,但滑雪景区的系统中该购票二维码对应的债权信息依然存在,应当认为薛某复制的购票二维码真实有效,只是存在显著的权利瑕疵。购票二维码时,景区和薛某对购票二维码属于共同占有。(50)参见张明楷:《刑法学》(第6版),法律出版社2021年版,第1235页。薛某未经景区允许出售购票二维码的行为,侵害了景区对售票二维码的占有,应成立盗窃罪。薛某复制并保留购票二维码的行为,应视为盗窃行为的预备行为。

接下来,本文还需回应该案是否成立诈骗罪。薛某的行为结构与“邹某盗窃案”被告人偷换二维码的行为有相似之处,但也存在显著区别。“邹某盗窃案”中顾客支付扫的二维码是被偷换的,且商家与顾客对此事实均毫不知情,有讨论诈骗罪成立的空间。(51)有关争议,参见王华伟:《论网络盗窃中的规范占有》,载《国家检察官学院学报》2021年第6期。薛某则是自行复制购票二维码并销售,未与景区产生任何沟通或信息传递,难以认为景区被骗,基于错误认识处分了其对门票享有的债权。(52)参见蔡颖:《偷换二维码行为的刑法定性》,载《法学》2020年第1期。鉴于出售的购票二维码是有效的,尽管其存在显著的权利瑕疵,但售价是不合理低价(五折、六折),可以认为购买者据此知道其购买的购票二维码可能存在权利瑕疵,且即使薛某对购买者隐瞒了交易对象存在权利瑕疵的事实,鉴于交易的事实基础和对价客观存在,(53)参见何荣功:《民事欺诈与刑事诈骗的类型化区分》,载《交大法学》2023年第1期。购买者实现了“买到能够进入景区的有效门票”的目的,难以认为购买者基于薛某欺骗行为导致的错误认识处分了票款,造成自己或景区的财产损失。因此,该案不成立普通或(新)三角诈骗。

(二)利用计算机信息系统技术漏洞获取可得利益的刑法评价

司法实践中,此类行为多体现为利用计算机信息系统技术漏洞妨碍其他经营者合法提供的网络产品或服务正常运行。接下来拟围绕两个典型案例,展开对此类行为的刑法评价。

案例五:被告单位深圳市大展鸿途科技有限公司(以下简称鸿途公司)推出了“全能车”APP,该APP开发团队利用他人实名注册的手机号及打码平台的虚拟手机号,大量注册购买品牌共享单车年卡、月卡账号,建立品牌共享单车“卡池”。该APP注册用户扫描市面上主流品牌共享单车二维码后,APP将二维码、位置信息等发送至其后台服务器,与“卡池”中对应共享单车账号信息匹配,再利用非法破解获得的各品牌共享单车APP与服务器之间传输的数据包要素、编写规则等通信数据,组装、打包与各品牌共享单车后台服务器匹配的开锁数据,发送至相应品牌共享单车后台服务器骗取开锁指令,实现开锁。截至案发,该APP注册用户共计476万余人,收取会员费9320万余元。审判法院认为被告单位违反国家规定,对计算机信息系统中存储、处理的数据进行增加的操作,违法所得9320万余元,属于后果特别严重,构成破坏计算机信息系统罪。(54)参见上海市闵行区人民法院(2020)沪0112刑初821号刑事判决书。

案例六:一款名为大牛助手的APP,在不改变钉钉系统源代码的情况下,绕过了钉钉无限安全保镖模块,劫持了钉钉平行空间检测接口,当钉钉的平行空间检测接口需要获取设备信息时,大牛助手通过重放技术伪造虚假数据,直接向钉钉的平行空间检测接口传输虚假数据,帮用户实现远程打卡(伪造打卡记录),干扰钉钉系统的正常运行。两年内,该产品吸引用户10万人次,获利四五百万元。审判法院认为大牛助手APP属于破坏性程序,被告人开发者张某故意制作、传播该APP影响了钉钉系统的正常运行,后果特别严重,也应构成破坏计算机信息系统罪。(55)参见北京市海淀区人民法院(2020)京0108刑初450号刑事判决书。

基于本罪保护法益应为计算机信息系统正常运行状态(56)有关争议,参见阎二鹏:《干扰型破坏计算机信息系统罪的司法认定》,载《中国刑事法杂志》2022年第3期。的认识,本罪的法益侵害具体体现在对于计算机信息系统功能的破坏。以上两案中,鸿途公司与张某的行为是否侵害了本罪法益,不无疑问。即使如两案审判法院一般得出肯定的结论,鸿途公司与张某利用被害企业计算机信息系统的技术漏洞侵害其可得利益,即导致涉案品牌共享单车APP、钉钉系统的潜在用户数量及可能获得利润的减少,这是否已悄然置换了本罪法益侵害结果的内核,也有待厘清。本文拟拆分案例五、案例六待评价的行为事实,对此类利用计算机信息系统技术漏洞获取可得利益的行为展开刑法评价。

案例五中鸿途公司利用“全能车”APP实施了“批量注册品牌共享单车周卡、月卡”“用网络抓包、反编译等方式获取并破解共享品牌单车APP与后台服务器间传输的通信数据”以及“组装、打包开锁数据并发送至共享单车APP后台数据库获取开锁指令”三个行为,案例六中张某利用大牛助手APP实施了“伪造打卡设备定位数据”与“劫持钉钉平行空间检测接口向其传输虚假定位数据”两个行为。从判决书来看,两案审判法院分别适用了《刑法》第286条第2款与第3款,对鸿途公司与张某的行为定罪处罚。有观点认为,《刑法》第286条第2款的保护法益不是技术层面计算机信息系统的数据处理功能,而是其“重要使用功能”的正常运行状态,(57)参见王华伟:《破坏计算机信息系统罪的教义学反思与重构》,载《东南大学学报(哲学社会科学版)》2021年第6期。“李某等破坏计算机信息系统案”(58)参见最高人民检察院发布时第9批指导性案例第34号。(以下简称李某案)即体现了以上认识。以上论者所定义的“重要使用功能”,可涵盖李某案中购物网站系统的信誉评价功能、案例五中共享单车APP的用户认证功能以及案例六中钉钉系统的打卡记录功能。本文不赞同对本罪法益进行以上拓展,因为此类“重要使用功能”实质是被害企业利用计算机信息系统所能开展的业务,即被害企业的应用目标。若将“计算机信息系统功能”的概念与输入、处理、输出的技术功能(59)参见王景中、徐小青编:《计算机通信信息安全技术》,清华大学出版社2006年版,第5-6页。脱钩,锚定在利用计算机信息系统所能开展的业务,其范畴会随着计算机信息系统应用范围的日渐广泛而不断拓展,并无稳定内涵。基于以上认识,应将第286条第2款的行为对象限定为系统数据等核心数据,(60)参见俞小海:《破坏计算机信息系统罪之司法实践分析与规范含义重构》,载《交大法学》2015年第3期。将该款理解为对计算机信息系统技术层面数据处理功能正常运行的具体危险犯较为妥当。

案例五中,鸿途公司用“全能车”APP向共享单车后台数据库发送开锁数据,的确增加了共享单车企业服务器存储、处理的数据,但此类数据是“全能车”APP后台服务器程序利用共享单车APP用户认证系统存在的技术漏洞,获取开锁指令编写的技术规则后编写而成,并未对该系统数据处理功能的正常运行造成具体危险,因此不具备第286条第2款所要求的行为不法。此外,批量注册周卡、月卡并不违法,(61)参见陈兴良:《互联网帐号恶意注册黑色产业的刑法思考》,载《清华法学》2019年第6期。而通过网络抓包、反编译等方式获取并破解通信数据的行为则符合第285条第2款非法获取计算机信息系统数据罪的构成要件。但是,若一体考察鸿途公司利用“全能车”APP实施的三个行为,会发现“全能车”APP用户支付的会员费是为该APP提供的“共享共享单车周卡、月卡”服务所支付的对价,而不是非法获取计算机信息系统数据的“违法所得”。案例六中,若一体考察张某利用大牛助手APP实施的两个行为,除了涉嫌《刑法》第286条第3款,还可能涉嫌该条第1款规定的干扰型破坏计算机信息系统罪。根据2011年最高人民法院、最高人民检察院《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》第5条的规定,只有大牛助手APP能破坏计算机信息系统功能,才能将其评价为“计算机病毒等破坏程序”。基于上文对“计算机信息系统功能”的限定,该案判决书中所谓“钉钉服务器获取用户真实地理位置的功能”并非钉钉服务器技术层面的数据处理功能,而是阿里巴巴公司利用钉钉可以开展的业务(应用目标)。被“破坏”或者“干扰”的并非钉钉系统将用户端定位数据传输给后台服务器的功能,而是用户端输入给钉钉服务器定位数据的真实性。

经过以上分析可知,鸿途公司与张某行为的法益侵害性并不体现在对计算机信息系统正常运行状态的破坏,而是体现在利用计算机信息系统技术漏洞导致共享单车APP或钉钉软件潜在用户数量及可能获得利润的减少,不应适用有关计算机犯罪对妨害此类可得利益的行为定罪处罚。此类行为还可能涉嫌非法经营罪或破坏生产经营罪,但鉴于其并未违反国家规定,使用的也并非物理手段,依据我国现行刑法的规定,难以构成以上两罪。综上可知,适用盗窃罪可妥当评价利用计算机信息系统技术漏洞获取实际利益的行为不法,适用计算机犯罪及其它我国刑法现行罪名,则均无法妥当评价利用计算机信息系统技术漏洞获取可得利益的行为不法,属于前文指出的“意图性法律空白”。关于此类行为是否具备动用刑法处罚的必要性,若有,又应当如何完善刑事立法,下文将就此进一步展开探讨。

五、刑事立法的完善进路

(一)刑法处罚必要性的判断

面对利用计算机信息系统技术漏洞获取可得利益这一新行为,适用刑法对其处罚的必要性是立法者给既有罪名扩容(犯罪化)或增设新罪应当具备的正当理由。有关犯罪化的正当理由,学界已有非常丰富的研究。以下两点理由可转化为教义学层面对刑法处罚必要性的具体检验标准:第一,将某种行为犯罪化是否是对其可行的回应方法,这要求检验刑法是否保护此类行为侵犯的利益;第二,除了犯罪化之外是否已无替代措施,这要求检验适用《刑法》的前置法是否足以保护此类行为侵犯的利益。(62)R. A. Duff, The Realm of Criminal Law, Oxford University Press, 2018, p. 333; Herbert L. Packer, The Limits of the Criminal Sanction, Stanford University Press, 1968, pp. 250-260.

具体来看,尽管适用“实际损失”的计算方法计算案例五、案例六涉及可得利益(潜在用户数量及因此可能获得的利润)的损失存在困难,但并不妨碍将此类利益视为我国《反不正当竞争法》所保护的经营者的竞争利益,(63)参见王艳芳:《〈反不正当竞争法〉在互联网不正当竞争案件中的适用》,载《法律适用》2014年第7期。《反不正当竞争法》是保护此类竞争利益的专门法。通过《刑法》第221条损害商业信誉、商品声誉罪,第222条虚假广告罪,以及第276条破坏生产经营罪等有关罪名,此类竞争利益已成为我国《刑法》所保护的法益。案例五中鸿途公司的利用计算机信息系统技术漏洞“共享共享单车周卡、月卡”的行为,与“爱奇艺公司诉刀锋公司不正当竞争纠纷案”(64)参见北京市海淀区人民法院(2020)京0108民初2920号民事判决书;北京知识产权法院(2021)京73民终3599号民事判决书。中刀锋公司创建平台提供爱奇艺会员账号租借服务的行为构造近乎一致。二者行为的区别在于,鸿途公司采取了技术手段,可以无需如该案判决一般援引《反不正当竞争法》第2条的原则性规定,而是可援引该法第12条第2款第4项以及《禁止网络不正当竞争行为规定(公开征求意见稿)》(以下简称《网络不正当竞争规定》)第22条第2款第4项的规定,认定鸿途公司的行为构成不正当竞争。对于案例六中张某的行为,也可援引以上规定认定其构成不正当竞争。

依据《反不正当竞争法》第31条的规定,违反本法规定,构成犯罪的,依法追究刑事责任。欲将已纳入该法规制的不正当竞争行为犯罪化,需厘清其与《刑法》规范目的(保护法益)的区别。尽管两法均保护竞争机制(秩序)、经营者竞争利益与消费者利益,但前者通过直接保护竞争机制(秩序)间接保护私主体利益,侵犯竞争机制(秩序)的承担行政责任,侵犯私主体利益的承担民事侵权责任。(65)参见宋亚辉:《论反不正当竞争法的一般分析框架》,载《中外法学》2023年第4期。《刑法》则不同,基于明确性原则的要求,要求对竞争机制(秩序)这一集体法益的保护应服务于私主体利益的保护,二者属于表里关系,对集体法益的侵害才是具体可衡量的。(66)参见龙俊:《论体系解释下商业诋毁的法律认定——基于反不正当竞争法和刑法的双重视角》,载《经济法论丛》2019年第2期。如此,才能准确划定二者的功能界限。基于以上认识,鉴于司法实践中网络不正当竞争所造成可得利益损失的认定与赔偿都极为困难,(67)参见最高人民法院(2013)民三终字第5号民事判决书。《反不正当竞争法》第24条设定的行政处罚与此类行为对市场竞争机制(秩序)造成的损害也并不合比例,需要《刑法》为此类利益提供底线保障。

(二)刑事立法完善的路径选择

上文已证成适用《刑法》处罚利用计算机信息系统技术漏洞获取可得利益的必要性,最后还需厘清应选择何种立法路径:是通过给既有罪名扩容还是增设新罪,以实现对刑事立法的完善。

若选择给既有罪名扩容,可能的选项有修正扩张破坏生产经营罪或破坏计算机信息系统罪。基于破坏生产经营罪作为财产犯罪的定位,即使将其保护法益扩张至整体财产法益,(68)参见李世阳:《互联网时代破坏生产经营罪的新解释——以南京“反向炒信案”为素材》,载《华东政法大学学报》2018年第1期。也难以涵盖此类行为所侵犯的竞争利益。若将该罪调整至《刑法》分则第三章(经济犯罪),(69)参见孙道萃:《网络不正当竞争犯罪立法:反思与应答》,载《四川师范大学学报(社会科学版)》2023年第4期。则会导致该罪原本对财产法益的保护存在缺失。若将破坏计算机信息系统罪的保护法益拓展至包括网络运行安全,其中包括通信网络安全,(70)参见李源粒:《破坏计算机信息系统罪“网络化”转型中的规范结构透视》,载《法学论坛》2019年第2期。则将此类行为纳入该罪规制范围似乎并无疑问。然而,侵犯通信网络安全只是此类行为的手段,侵犯竞争利益才是目的,适用该罪规制此类行为依然会导致该罪失去可罚性的实质边界。基于以上认识,修正两罪并非将此类行为犯罪化的可行路径。

若选择增设新罪,可能的选项有增设(利用计算机信息系统)妨害业务罪(71)参见周光权:《刑法软性解释的限制与增设妨害业务罪》,载《中外法学》2019年第4期。或网络不正当竞争罪。(72)同前注,孙道萃文。前者的构成要件明确性存在较大缺陷,且缺乏前置法指引,规范目的不够清晰具体。(73)参见张明楷:《妨害业务行为的刑法规制》,载《法学杂志》2014年第7期。后一建议以《反不正当竞争法》第12条为蓝本,罪名的构成要件明确性与规范目的相较于前者有较大改善。但在罪名表述上无需画蛇添足,可参考《反不正当竞争法》第12条的表述,辅以“情节严重”的要求即可,且需考虑与其它不正当竞争犯罪的罪刑设定保持协调,刑罚设置不能过重。具体而言,本文赞同在《刑法》分则第三章增设第231条之一网络不正当竞争罪的立法建议,但认为条文应表述为:“违反国家规定,经营者利用技术手段妨碍、破坏其它经营者合法提供的网络产品或服务的正常运行,扰乱市场竞争秩序,情节严重的,处五年以下有期徒刑或拘役,并处罚金;单位犯前款罪的,对单位判处罚金,并对直接负责的主管人员和其他直接责任人员,依照前款的规定处罚,并根据本法的从业禁止规定处罚。”对于“情节严重”的判断标准,可参考《网络不正当竞争规定》第22条第2款的规定,对有关数额与情节标准展开进一步研究,以实现对网络不正当竞争违法与犯罪的实质、准确区分。