利用計算機信息系統漏洞“薅羊毛”的教義學分析

王曉曉

一、問題的提出

隨著電商平臺及商家營銷資金投入的迅速增長,利用商家營銷活動交易規則的漏洞,大量獲取商家營銷資金的“薅羊毛”行為開始出現?！稗堆蛎边@一網絡用語最初是指收集網絡商家優惠信息占便宜,如今語義逐漸擴張為在網絡空間以違背常理、道德或違法的方式獲得某物或某種經濟利益。(1)參見汝文慧:《隱喻視角下看網絡詞“薅羊毛”的衍生與發展》,載《文化創新比較研究》2023年第3期。最初進入刑法視野被評價的網絡“薅羊毛”主要是電商平臺刷單套現,即通過虛假交易或對商品虛假評價套取平臺補貼或返利的行為。(2)參見錢日彤:《網絡刷單套現的犯罪態勢及其刑事規制路徑》,載《江西警察學院學報》2020年第1期。對于此類行為,司法實踐中多以詐騙罪(3)參見杭州市西湖區人民法院(2019)浙0106刑初349號刑事判決書?；蚯址腹駛€人信息罪(4)參見山東省青島市黃島區人民法院(2019)魯0211刑初875號刑事判決書。等定罪處罰。

隨著“數字中國”建設的深入推進,以互聯網為基礎的信息公共事業逐漸深度嵌入我國社會的基本結構,傳統企業的生產經營也日漸網絡化,數字經濟新業態不斷涌現。在這一時代背景下,越來越多利用信息網絡提供服務的商戶或企業成為了“薅羊毛”的對象,“薅羊毛”的行為類型愈加多元。厘清網絡“薅羊毛”的行為類型與刑法規制范圍,是明確我國數字經濟刑法保障路徑與限度亟待解決的現實問題?；趯嵺`中有關案例事實的歸納,可將網絡“薅羊毛”行為分為利用計算機信息系統交易規則漏洞、利用計算機信息系統技術漏洞、利用商家錯漏或利用平臺不合理交易規則“薅羊毛”四種類型。鑒于后兩種類型暫無適用刑法規制的先例,(5)參見澎湃新聞:《26元買4500斤臍橙?網紅帶上萬粉絲“薅羊毛”,網友怒了》,https://m.thepaper.cn/baijiahao_4900294,最后訪問日期:2023年6月28日;葉丹:《拼多多被頻“炸店”,“僅退款”惹的禍?》,載《南方日報》2023年4月7日第AB03版。在確定評價方法后,本文擬立足于我國現行《刑法》,分別對前兩種利用計算機信息系統漏洞“薅羊毛”的行為不法進行評價,并在窮盡刑法解釋難以妥當定罪時,嘗試探索刑事立法的完善進路。

二、評價方法:罪刑法定原則下的“創造性解釋”

“利用計算機信息系統漏洞‘薅羊毛’”并不屬于我國《刑法》直接規定的構成要件行為類型,但具備顯著的法益侵害性。確定對此類似有處罰必要的新行為進行評價的方法,是明確將此類行為納入《刑法》規制范圍具體進路的前提。所謂“評價方法”包含了兩個層面的含義:第一,對既有罪名進行解釋以將此類行為納入《刑法》規制范圍的解釋方法;第二,對解釋論與立法論順位的選擇方法,即窮盡解釋方法也難以適用既有罪名時,基于此類行為的處罰必要性,應選擇突破罪刑法定原則對既有罪名進行類推解釋,還是承認“意圖性的法律空白”(6)參見[德]約翰內斯·韋塞爾斯:《德國刑法總論》,李昌珂譯,法律出版社2008年版,第23頁。的存在,留待刑事立法創設新罪名填補處罰漏洞。

對于刑法解釋論的選擇,本文基本贊同功能主義刑法解釋論的立場,即信息網絡時代的刑法解釋應當具有更強的目的導向性、實質性、回應性和后果導向性。需要注意的是,即使采取功能主義的刑法解釋方法,為了使行為受刑罰處罰的風險可被一般公民理解與識別,保障《刑法》作為行為規范的功能,不能僅要求解釋結論符合合目的性與體系融貫性的要求,(7)參見勞東燕:《功能主義刑法解釋的體系性控制》,載《清華法學》2020年第2期。還應充分尊重構成要件的明確性。例如,若將破壞生產經營罪的保護法益解釋為普遍的生產經營的經濟利益,僅以合目的性與體系融貫性標準考量,將“刷單炒信”解釋為本罪規定的“其他方法”似無不妥。然而,我國《刑法》第276條在“其他方法”之前規定的是“毀壞機器、殘害耕畜”,這限定了解釋“其他方法”的語境。為保障本罪構成要件的明確性,應遵循同類解釋的方法,選擇“其他方法”在該語境下的語用意義,(8)參見魏東:《功能主義刑法解釋論“問題性思考”命題檢討》,載《法學評論》2022年第2期。即“采用物理手段侵害生產經營的經濟利益的方法”作為其解釋結論?；谝陨险J識,將“刷單炒信”解釋為破壞生產經營罪并不符合罪刑法定原則的要求。依據我國現行刑法,適用虛假廣告罪與非法利用信息網絡罪規制此類行為的結論更為妥當。(9)參見王華偉:《刷單炒信的刑法適用與解釋理念》,載《中國刑事法雜志》2018年第6期。又如,在“李某等人破壞計算機信息系統案”(10)參見最高人民法院發布的第20批指導性案例104號。中,被告人“用棉紗堵塞采樣器”的行為亦不符合“破壞計算機信息系統”的語用意義,即“采用技術手段破壞計算機信息系統的正常運行”,有類推解釋之嫌。

對于解釋論與立法論的順位選擇,我國司法實踐存在著解釋論優先的傳統。這一選擇取向無疑具備充分的實踐基礎與法理依據,(11)參見車浩:《立法論與解釋論的順位之爭——以收買被拐賣的婦女罪為例》,載《現代法學》2023年第2期。但當司法人員已識別出解釋論層面的努力已窮盡時,不應越俎代庖,借解釋之名行立法之實。然而,司法人員認為某一行為具備處罰必要性,通過對既有罪名進行“創造性解釋”,將該行為納入既有罪名處罰范圍的現象客觀存在,其中不乏類推解釋。(12)參見周光權:《刑法軟性解釋的限制與增設妨害業務罪》,載《中外法學》2019年第4期;周光權:《刑法“創造性解釋”的司法現狀與控制路徑》,載《法商研究》2023年第1期。這樣的做法,可以被視為我國“有法者以法行、無法者以類舉”(13)王先謙:《荀子集解》,中華書局1988年版,第151頁。這一具有長久適用歷史的司法方法的延續。這一司法方法在我國古代刑法中的制度載體是“比附援引”,即在法律沒有明文規定時,比照法典中“最類似”的其他條文適用。(14)參見劉昕杰、劉楷悅:《從比附援引到類推解釋:傳統司法方法的近代境遇——民國學者關于法律解釋的一次爭論》,載《法律方法》2015年第2期。我國刑法學者一般將類推解釋視為“比附援引”的理論替身,將兩者的內涵等同視之。(15)參見陳興良:《罪刑法定原則的本土轉換》,載《法學》2010年第1期。本文認為,不能簡單地將“比附援引”等同于類推解釋,因為兩者面對的法條不同。我國古代刑法不具備當代刑事立法提煉、抽象的立法技術,更多的是針對具體事實情形的列舉式規定,且多規定了確定的刑罰,“比附援引”作為一種解釋方法,其核心工作是在提煉不同法條中規定的事實情形的相似性,(16)參見陳新宇:《從比附援引到罪刑法定:以規則的分析與案例的論證為中心》,北京大學出版社2007年版,第40-59頁。這其實就蘊含了功能主義刑法解釋的核心意涵。真正需要批判的,是“罪有正條”時,為了實現適用刑法處罰的目的強行“比附”,(17)參見李啟成、李貴連:《帝制法治的兩面——“斷罪引律令”與比附援引制度的思想基礎》,載《清華法學》2012年第6期。這屬于司法者僭越行使了立法權限進行了刑事法續造,無疑不符合罪刑法定原則的要求。

基于以上認識,在承認“創造性解釋”符合我國司法方法傳統與當代實踐需求的基礎上,應當明確罪刑法定原則是刑法適用過程中解釋論優先于立法論這一順位選擇不可逾越的邊界。因此,對于利用計算機信息系統漏洞“薅羊毛”的行為,本文擬采用的評價方法為罪刑法定原則下的“創造性解釋”,即首先立足我國《刑法》既有罪名對此類行為進行評價,對于窮盡解釋方法也難以適用既有罪名的行為,則進一步探討刑事立法的完善進路。

三、利用計算機信息系統交易規則漏洞“薅羊毛”的刑法評價

本文探討的第一種行為類型,是利用平臺、商家使用計算機信息系統開展業務時設置的交易規則中存在的漏洞“薅羊毛”。接下來擬圍繞兩個典型案例,展開對此類行為的刑法評價。

案例一:舒某在某電商平臺上購買了一杯奶茶,發現買錯后點擊退款退貨。由于該平臺新推出的“買菜送貨上門”功能初期存在漏洞,平臺墊資購買了貨物,在用戶申請退款退貨后,退款即刻到賬,但并無工作人員上門收取退貨。發現這一點后,舒某用同一身份信息先后注冊了3個賬號,在該平臺購物64筆,購物后再虛構理由申請退款退貨,退款金額約4.7萬元。而到手的商品,則被舒某賣掉套現。警方以涉嫌詐騙罪為由,對舒某采取了刑事強制措施。(18)參見瀟湘晨報:《鉆平臺漏洞退款不退貨,男子“空手套白狼”結果被“套”》,https://baijiahao.baidu.com/s?id=1727619244380379872,最后訪問日期:2023年6月29日。

案例二:樊某在一家網店下單兩件衣服,選擇申請退款后只給商家寄回了一件,卻收到了全額退款。其后,樊某在多家電商平臺瘋狂購物,均采取“多買少退”的方式賺取商家貨品,直至案發,涉案金額高達20余萬元。目前,樊某因涉嫌詐騙罪被公安機關刑事拘留。(19)參見常德網警:《多買少退神操作!90后女網紅被刑拘!涉案金額已達20余萬元!》,https://baijiahao.baidu.com/s?id=1764110313974905662,最后訪問日期:2023年6月29日。

在典型的利用平臺“退款不退貨”規則套取貨品(20)參見廣州市黃埔區人民法院(2016)粵0112刑初1195號刑事判決書。的案件中,平臺的交易規則設置較為完備,貨款均由平臺先墊付,被告人以次品、假貨替換正品退回后獲得貨款及貨品,認定為詐騙罪并無疑問。但以上兩案的案件事實則與之存在顯著差異,兩案中犯罪嫌疑人是否實施了虛構事實、隱瞞真相的欺騙行為首先便存在疑問。此外案例一中平臺未及時派工作人員上門收取退貨,案例二中商家未認真核實退貨數量,被害平臺及商家均存在一定程度的過失,導致設置的交易規則均存在漏洞,被告人利用交易規則的漏洞套取了貨品。那么,兩案中是否由被告人的行為導致被害平臺及商家產生錯誤認識,進而處分了貨品,便也不無疑問,有待進一步分析。

行為論的核心功能,在于從案件事實中選取值得刑法評價的行為,以及確定行為間的關聯性。(21)參見李世陽:《刑法中行為論的新展開》,載《中國法學》2018年第2期。立足本文主張的意圖行為論,即刑法評價的基礎行為是行為人實現自我意圖的身體舉止,(22)參見敬力嘉:《作為行為不法類型的犯罪參與——兼論非法發布深度偽造信息的行為不法》,載《華東政法大學學報》2020年第6期。本文擬先厘定案例一、案例二待評價的行為事實。案例一中,犯罪嫌疑人舒某實施了“在電商平臺購物后虛構理由申請退款退貨”以及“將到手的商品轉賣”兩個行為;案例二中,犯罪嫌疑人樊某則實施了“在電商平臺多買少退”一個行為。

首先需要考察的,是舒某與樊某是否實施了欺騙行為。欺騙行為是詐騙罪成立的必要非充分條件,(23)參見徐凌波:《欺騙行為的體系位置與規范本質》,載《法學》2021年第4期。其本質是針對財產轉移條件的信息支配,(24)參見蔡桂生:《詐騙罪中“被害人釋義學”和信息支配之本質》,載《環球法律評論》2023年第3期。以導致他人陷入、維持(或強化)有關處分財產的認識錯誤為行為內容。(25)參見張明楷:《詐騙犯罪論》,法律出版社2021年版,第65-68頁。案例一中,可能被視為欺騙行為的有舒某“虛構退款退貨理由”,或舒某申請退款退貨的行為本身。根據《消費者權益保護法》第25條以及《網絡購買商品七日無理由退貨暫行辦法》的規定,除了明確規定屬于例外的商品,消費者在電商平臺網購的商品可適用7天無理由退貨。在所購商品符合要求的前提下,消費者的申請理由不影響商家、平臺退款退貨的決定,只可能影響退貨運費的分擔(買家原因還是賣家原因)。而由于運費險的存在,這一潛在爭議也極大程度得到消解。鑒于這里的“虛構”與平臺退款退貨的行為決策無關,不能將其視為詐騙罪中的欺騙行為。而對于舒某申請退款退貨的行為本身,可能有觀點會主張舒某存在虛假的退貨意思,其申請行為應屬對平臺的欺騙。然而,在網購語境下,平臺退款退貨的行為決策與消費者退貨意思真實與否也并無關聯,將舒某的申請行為評價為詐騙罪中的欺騙行為并不妥當。案例二中,樊某并未采取以次品、假貨替換正品或截留商品重要部件等行為導致商家產生處分商品的認識錯誤,而是直接少退,也難以將此評價為“虛構事實、隱瞞真相”的欺騙行為。

其次,兩案中均是由于平臺及商家的不謹慎導致設定的交易規則存在漏洞,形成了對商品處分條件的錯誤認識,且該錯誤認識并非舒某與樊某的行為所引起,平臺及商家基于此錯誤認識進行了退款退貨。盡管關于詐騙罪中被害人過失是否影響行為人詐騙罪成立存在爭議,(26)同前注,蔡桂生文。但這里所謂的“被害人過失”,是指被害人因行為人實施欺騙行為產生有關處分財物的認識錯誤所存在的過失,不能涵蓋兩案中平臺和商家的過失內容。從刑事政策的角度出發,平臺及商家有謹慎設置退貨審核與收取規則的義務,不能以顧客的誠實取代平臺及商家的審慎義務。(27)同前注,張明楷書,第110-111頁。因此,舒某與樊某不應構成詐騙罪。

兩人的行為還可能涉嫌《刑法》第270條第1款規定的侵占罪,但在行為對象與構成要件行為兩個方面都存在疑問。平臺與商家退款之后,其與買家之間的買賣合同已解除,商品的所有權復歸平臺或商家,不屬于“代為保管的他人財物”;平臺與商家退款后未能取回商品的原因在于自身不謹慎導致的交易規則漏洞,而非舒某與樊某“拒不退還”。因此,兩人的行為也不應構成侵占罪。既然兩人的行為不符合我國現行《刑法》中的有關罪名,便不應對其施以刑罰,應當適用《民法典》第985-988條關于不當得利的規定,要求舒某與樊某返還其取得的利益。

四、利用計算機信息系統技術漏洞“薅羊毛”的刑法評價

本文探討的第二種行為類型,是利用商家開展業務所使用的計算機信息系統存在的技術漏洞“薅羊毛”。所謂“羊毛”,既可以是實際利益,也可以是可得利益。(28)參見姚明斌:《〈合同法〉第113條第1款(違約損害的賠償范圍)評注》,載《法學家》2020年第3期。

(一)利用計算機信息系統技術漏洞獲取實際利益的刑法評價

司法實踐中,此類行為多體現為利用計算機信息系統技術漏洞獲取兌換券、二維碼(取餐碼或驗證碼)。接下來擬圍繞兩個典型案例,展開對此類行為的刑法評價。

案例三:徐某為一名在校大學生,通過自動銷售程序購買肯德基套餐兌換券之后,在多個客戶端登錄相同賬號。使用一個客戶端進行點餐操作至待支付狀態,又在另一客戶端上申請套餐兌換券退款。利用客戶端之間數據不同步的漏洞,在點餐系統取消待支付訂單后返還兌換券或確認支付獲得取餐碼,達成返券又退款,或用券又退款的目的,將取餐碼低價出售,還將方法傳授給他人,造成百勝公司(肯德基)損失20余萬元。審判法院認為被告人退款返券的行為具有欺騙性,該行為導致機器背后的人產生錯誤認識并處分財產,進而造成被害人財產損失,符合詐騙罪的構成要件,以詐騙罪定罪處罰。(29)參見上海市徐匯區人民法院(2019)滬0104刑初1045號刑事判決書。

案例四:某滑雪教練薛某發現滑雪公司系統與美團APP之間存在結算漏洞,便先在美團購票之后退票,退票后仍保留購票二維碼(驗證碼),繼而銷售購票二維碼(驗證碼)牟利,審判法院認定被告人薛某的行為屬于竊取滑雪公司的滑雪票,且數額特別巨大,以盜竊罪定罪處罰。(30)參見新疆維吾爾自治區烏魯木齊市中級人民法院(2021)新01刑終12號刑事判決書。

關于此類行為的刑法定性,司法實踐中主要存在詐騙罪與盜竊罪的爭議。欲厘清其中迷思,需先確定待評價的行為事實。案例三中待評價的,是徐某利用肯德基點餐系統客戶端數據不同步的漏洞“獲取兌換券”“獲取取餐碼”與“出售取餐碼”三個行為;案例四中待評價的,則是薛某利用滑雪公司售票系統與美團APP結算漏洞“獲取購票二維碼(驗證碼)”與“出售購票二維碼(驗證碼)”兩個行為。本文接下來擬結合案例三與案例四的具體案情,分別對兩案中被告人的行為展開教義學評價。

首先,應考察兩案中行為對象的規范性質。從兩案判決書來看,判決涉及的行為對象,包括兌換券、取餐碼、購票二維碼均屬數字化債權憑證。鑒于債權憑證是債權與物質載體(31)參見杜牧真:《論數字資產的財物屬性》,載《東方法學》2022年第6期。的結合,債權憑證的物質載體本身能否直接體現其記載的債權價值,而無需其他行為(主要是欺詐行為)介入即能獲取對債權的支配,(32)參見王瑩:《論財產性利益可否成為盜竊罪行為對象——“介入行為標準”說之提倡》,載《政法論壇》2016年第4期;莫洪憲、尚勇:《作為盜竊罪行為對象的財產性利益分析——可支配標準的提倡》,載《法治論壇》2019年第1期。決定了兩案進一步的分析方向。具體到兩案判決書來看,案例三的判決書并未論及兌換券、取餐碼的性質,僅籠統表述為財產或財物;案例四的判決書則引用了2013年最高人民法院、最高人民檢察院《關于辦理盜竊刑事案件適用法律若干問題的解釋》(以下簡稱《盜竊解釋》)第5條的規定,將購票二維碼視為不記名、不掛失的有價支付憑證、有價證券、有價票證,以票面價格計算盜竊金額,均未具體明確涉案債權憑證的具體性質。

本文認為,案例三中的兌換券與案例四中的購票二維碼屬于有價票證,案例三中的取餐碼則屬于有價證券。盡管需通過經實名認證的賬號才能下單購買,但三者使用時不記名、不掛失。與銀行卡等記名支付憑證、借條等債權文書需要后續的權利行使行為才能支配其對應債權不同,占有了有體的兌換券、取餐憑證與門票即能實現對其對應債權的支配,應直接將其解釋為有體財物。(33)同前注,張明楷書,第37-39頁。而占有了它們的數字化載體,即相應的債權信息同樣即能實現對其對應債權的支配,應將數字化的兌換券、取餐碼與購票二維碼解釋為財物(無體物),而非財產性利益。學界在論及此類案件刑法定性時,多對行為對象語焉不詳,或者直接將債權憑證置換為債權,并將其作為財產性利益展開進一步的論證,(34)參見鄭洋:《預設同意型詐騙罪的理論闡釋及實踐展開》,載《政治與法律》2022年第6期。論證起點即存在錯位?；谝陨险J識,主張兩案中行為人利用計算機信息系統的技術漏洞憑空虛構了債權(35)參見刑事法判解:《來稿精選|王家倫:論“肯德基羊毛案”之罪名選擇》,https://mp.weixin.qq.com/s/mS3XyxPfOSF0hOfa49nNlg,最后訪問日期:2023年7月9日。的觀點不值得采納,因為兩案中的三類債權憑證是已經真實產生了的,而憑證對應的債權與物質載體不可分離。以案例四中的滑雪門票購票二維碼為例,將其與“趙某等盜竊案”(36)參見中華人民共和國最高人民法院刑事審判第一、二、三、四、五庭主辦:《刑事審判參考》,法律出版社2018年版,第56-62頁。中被告人通過侵入計算機信息系統修改的單張電子門票卡額定人數進行比較,就可以清晰地看到,前者是經過系統真實交易產生的數字化滑雪門票,后者的產生并非基于景區售票系統中的真實交易,而是真正由虛構產生的債權憑證,景區被侵犯的才是沒有物質載體、作為財產性利益的債權。

其次,應考察兩案中被告人的行為是否符合盜竊罪或詐騙罪的構成要件?；谏衔膶π袨閷ο蟮慕缍?本文的探討不涉及所謂“利益盜竊”,以及由此產生的有關盜竊罪構成要件類型的爭議。(37)學界有關爭議的梳理,參見王駿:《財產性利益盜竊的客觀構造》,載《政治與法律》2021年第3期。因此,采納盜竊罪與詐騙罪構成要件的傳統區分標準,即被告人是未經被害人同意自行轉移對財產的占有,還是由被害人基于錯誤認識處分財產并無障礙,下文擬分別對兩案中被告人的行為展開評價。

鑒于案例三判決書的結論是徐某構成詐騙罪,本文擬先考察徐某的行為是否符合詐騙罪的構成要件。該案判決書認定該案構成詐騙罪的核心理由,在于徐某利用兩客戶端數據不同步的漏洞實施了欺騙行為,導致系統背后的百勝公司(肯德基)產生了錯誤認識,并基于錯誤認識處分了財物。支撐判決理由的法理依據在于將點餐系統視為百勝公司(肯德基)的“電子代理人”,徐某的行為不滿足百勝公司(肯德基)在點餐系統中的“預設同意”(處分特定財物的驗證條件),可視為欺騙了系統背后的該公司。以上觀點存在兩個層面的疑問:

第一,百勝公司(肯德基)在系統中“預設同意”的內容限于特定財物的處分,徐某利用系統技術漏洞獲取了財物,說明百勝公司(肯德基)對于財物處分的驗證條件(“預設同意”)沒有設定完整,只能將徐某的行為解釋為未獲取“預設同意”,而不能將其解釋為“欺騙”系統背后的公司令其產生了錯誤認識。因為一般而言,“主觀認識”是自然人才能產生的心理現象,機器則否。(38)同前注,徐凌波文。能夠客觀化的是同意的內容,而非同意的過程。而從詐騙罪的構成要件來看,即使主張不要求詐騙罪被害人具備財物處分意識的觀點,也要求被害人至少應具備與被告人“就財產決策事項加以溝通”的認識,(39)參見蔡桂生:《新型支付方式下詐騙與盜竊的界限》,載《法學》2018年第1期。這顯然不包含在點餐系統的“預設同意”中。因此,所謂“認識錯誤客觀化”(40)參見鄭洋:《預設同意型詐騙罪的理論闡釋及實踐展開》,載《政治與法律》2022年第6期。的主張缺乏事實與規范基礎。既然該案中的技術漏洞并非被害公司“預設同意”的客觀表現,將徐某的行為解釋為維持并利用認識錯誤的不作為詐騙也就不可行了。

第二,即使認可產生錯誤認識的過程能通過點餐系統客觀化,所謂“電子代理人”的說法也不能明確機器背后到底是誰被騙了,也就是誰才是財物處分人。認可百勝公司(肯德基)的點餐系統被騙,則意味著認可點餐系統本身具有兌換券、取餐碼的處分權限,百勝公司(肯德基)通過“預設同意”賦予了點餐系統這一處分權限。依據我國《民法典》第161-162條的規定,承認點餐系統屬于百勝公司(肯德基)的“電子代理人”并無實質阻礙。然而鑒于只有通過法人內部有財物處分權限的自然人意思的溝通與協商才能形成單位意志,還需進一步追問的是,被騙的具體自然人是誰。(41)同前注,張明楷書,第133頁。案例三中,對于徐某獲取兌換券、取餐碼的整個行為過程,無論是店員還是點餐系統背后負責審核的工作人員都并無任何認識,又何談被騙呢?綜上所述,認定該案構成詐騙罪的理據不足。

接下來,本文擬進一步判斷徐某行為是否符合盜竊罪的構成要件,具體需評價該案中的兩類債權憑證是否屬于適格的盜竊罪行為對象,以及徐某是否實施了轉移占有的構成要件行為?；谠摪钢械膬稉Q券、取餐碼屬于無體財物的認識,承認該案中的百勝公司(肯德基)占有兌換券、取餐碼,依據仍在于被害單位對相應債權憑證具備事實性的支配力,(42)參見車浩:《占有概念的二重性:事實與規范》,載《中外法學》2014年第5期。這一認識不會對占有概念進行過度規范化的擴張。因此,該案中的兩類債權憑證是適格的盜竊罪行為對象。接下來需要判斷的,是該案中的被告人是否實施了轉移占有的構成要件行為?！坝嬎銠C信息系統技術漏洞”的產生和運行原理,決定了徐某行為的具體構造。該案的判決書及部分學界觀點區分了“故障”與“漏洞”,認為如“許霆案”(43)參見廣東省高級人民法院(2008)粵高法刑一終字第170號刑事判決書。中的ATM機一般,已導致設定程序無法正常運行的,應屬“故障”,如案例三中的肯德基點餐系統一般程序能夠正常運行,但由于程序設計不周延導致出現違背設置者意愿的結果,則屬“漏洞”。(44)參見刑事法判解:《來稿精選|徐澍:論“肯德基羊毛”案兩判決書背后的盜騙之爭》,https://mp.weixin.qq.com/s/Jx5Y7swIZ41VMj-uDws8Yw,最后訪問日期:2023年7月10日。本文贊同以上區分,但對于“漏洞”具體的產生和運行原理,該案判決書并未提及。案例三中所謂“數據不同步”并不存在于“肯德基”微信小程序和APP客戶端之間,而是存在于二者展示的前臺數據之間。該案中二者存在的“漏洞”在于代碼設計過于簡單,在退還兌換券與兌換取餐碼時均僅以未及時更新的前臺數據為依據,不要求與二者指向或關聯的同一后臺數據庫中的數據進行比對核驗。(45)參見刑事法判解:《來稿精選|李耀:“程序漏洞”中“認識錯誤”的內容與邊界》,https://mp.weixin.qq.com/s/MD28NpPKxY5tbAJ3lifVLA,最后訪問日期:2023年7月11日。

從以上分析中可以看到,案例三中的“肯德基”點餐系統后臺數據庫,性質上不屬于支付系統,而屬于管理系統,(46)在“金某等信用卡盜竊、詐騙案”的裁判理由中,區分了作為支付設備和作為管理設備的計算機,認為前者的性質是電子代理人,后者的性質相當于電子倉庫,本文贊同這一功能性區分。參見陳興良、張軍、胡云騰主編:《人民法院刑事指導案例裁判要旨通纂》,北京大學出版社2013年版,第787-788頁。功能在于產生、儲存與核驗有關債權信息。與“鄒某(偷換二維碼)盜竊案”(47)參見福建省石獅市人民法院(2017)閩0581刑初1070號刑事判決書。判決書將收款碼比作收銀箱相比,該案中收款碼及其背后的支付系統并不具備儲存錢款或債權的功能,這一類比并不恰當,案例三中的后臺數據庫則的確相當于儲存債權憑證的倉庫。該案中的兩個客戶端相當于同一個倉庫的兩個不同出入口,被告人購買兌換券后,同時登陸兩個客戶端,從一個客戶端下單至待支付,從另一個客戶端對購買的兌換券退款,再取消前一個客戶端訂單(免費獲取兌換券)或確認訂單(免費)獲取取餐碼的行為,相當于合法獲得兌換券后,從倉庫的一個入口交還了兌換券,又未經允許從另一個出口拿出了兌換券或取餐碼?！澳贸觥钡木唧w方式是未獲取百勝公司(肯德基)“預設同意”,利用點餐系統轉移了對兌換券與取餐碼的占有,但并未介入該公司的處分行為。因此,徐某的所謂“欺騙”行為只是用于掩蓋其盜竊行為的手段,其轉移債權憑證占有的行為符合盜竊罪的構成要件,出售取餐碼的行為屬于事后銷贓,不做單獨評價。

鑒于案例四判決書的結論是薛某構成盜竊罪,本文擬從盜竊罪開始展開對該案的分析。該案中的“結算漏洞”具體為何,判決書未做說明。依據行為事實合理推斷,滑雪公司售票系統與美團APP的后臺數據庫至少存在數據不同步。盡管購票二維碼屬于財物,但該案被告人在美團APP下單購買門票后合法獲得了購票二維碼及其復制品(48)在美團APP退票后保留購票二維碼唯一可行的方式是退票前截屏,可以視為復制。的所有權,取消訂單后仍保留購票二維碼的行為也難以被視為轉移購票二維碼占有。只有轉換視角,一體考查該案兩個涉案行為,才能找到證成本案成立盜竊罪的論證方向。當薛某未經景區允許在退票后保留其復制的有效(49)薛某在美團APP退票后,美團APP已撤銷購票二維碼,但滑雪景區的系統中該購票二維碼對應的債權信息依然存在,應當認為薛某復制的購票二維碼真實有效,只是存在顯著的權利瑕疵。購票二維碼時,景區和薛某對購票二維碼屬于共同占有。(50)參見張明楷:《刑法學》(第6版),法律出版社2021年版,第1235頁。薛某未經景區允許出售購票二維碼的行為,侵害了景區對售票二維碼的占有,應成立盜竊罪。薛某復制并保留購票二維碼的行為,應視為盜竊行為的預備行為。

接下來,本文還需回應該案是否成立詐騙罪。薛某的行為結構與“鄒某盜竊案”被告人偷換二維碼的行為有相似之處,但也存在顯著區別?！班u某盜竊案”中顧客支付掃的二維碼是被偷換的,且商家與顧客對此事實均毫不知情,有討論詐騙罪成立的空間。(51)有關爭議,參見王華偉:《論網絡盜竊中的規范占有》,載《國家檢察官學院學報》2021年第6期。薛某則是自行復制購票二維碼并銷售,未與景區產生任何溝通或信息傳遞,難以認為景區被騙,基于錯誤認識處分了其對門票享有的債權。(52)參見蔡穎:《偷換二維碼行為的刑法定性》,載《法學》2020年第1期。鑒于出售的購票二維碼是有效的,盡管其存在顯著的權利瑕疵,但售價是不合理低價(五折、六折),可以認為購買者據此知道其購買的購票二維碼可能存在權利瑕疵,且即使薛某對購買者隱瞞了交易對象存在權利瑕疵的事實,鑒于交易的事實基礎和對價客觀存在,(53)參見何榮功:《民事欺詐與刑事詐騙的類型化區分》,載《交大法學》2023年第1期。購買者實現了“買到能夠進入景區的有效門票”的目的,難以認為購買者基于薛某欺騙行為導致的錯誤認識處分了票款,造成自己或景區的財產損失。因此,該案不成立普通或(新)三角詐騙。

(二)利用計算機信息系統技術漏洞獲取可得利益的刑法評價

司法實踐中,此類行為多體現為利用計算機信息系統技術漏洞妨礙其他經營者合法提供的網絡產品或服務正常運行。接下來擬圍繞兩個典型案例,展開對此類行為的刑法評價。

案例五:被告單位深圳市大展鴻途科技有限公司(以下簡稱鴻途公司)推出了“全能車”APP,該APP開發團隊利用他人實名注冊的手機號及打碼平臺的虛擬手機號,大量注冊購買品牌共享單車年卡、月卡賬號,建立品牌共享單車“卡池”。該APP注冊用戶掃描市面上主流品牌共享單車二維碼后,APP將二維碼、位置信息等發送至其后臺服務器,與“卡池”中對應共享單車賬號信息匹配,再利用非法破解獲得的各品牌共享單車APP與服務器之間傳輸的數據包要素、編寫規則等通信數據,組裝、打包與各品牌共享單車后臺服務器匹配的開鎖數據,發送至相應品牌共享單車后臺服務器騙取開鎖指令,實現開鎖。截至案發,該APP注冊用戶共計476萬余人,收取會員費9320萬余元。審判法院認為被告單位違反國家規定,對計算機信息系統中存儲、處理的數據進行增加的操作,違法所得9320萬余元,屬于后果特別嚴重,構成破壞計算機信息系統罪。(54)參見上海市閔行區人民法院(2020)滬0112刑初821號刑事判決書。

案例六:一款名為大牛助手的APP,在不改變釘釘系統源代碼的情況下,繞過了釘釘無限安全保鏢模塊,劫持了釘釘平行空間檢測接口,當釘釘的平行空間檢測接口需要獲取設備信息時,大牛助手通過重放技術偽造虛假數據,直接向釘釘的平行空間檢測接口傳輸虛假數據,幫用戶實現遠程打卡(偽造打卡記錄),干擾釘釘系統的正常運行。兩年內,該產品吸引用戶10萬人次,獲利四五百萬元。審判法院認為大牛助手APP屬于破壞性程序,被告人開發者張某故意制作、傳播該APP影響了釘釘系統的正常運行,后果特別嚴重,也應構成破壞計算機信息系統罪。(55)參見北京市海淀區人民法院(2020)京0108刑初450號刑事判決書。

基于本罪保護法益應為計算機信息系統正常運行狀態(56)有關爭議,參見閻二鵬:《干擾型破壞計算機信息系統罪的司法認定》,載《中國刑事法雜志》2022年第3期。的認識,本罪的法益侵害具體體現在對于計算機信息系統功能的破壞。以上兩案中,鴻途公司與張某的行為是否侵害了本罪法益,不無疑問。即使如兩案審判法院一般得出肯定的結論,鴻途公司與張某利用被害企業計算機信息系統的技術漏洞侵害其可得利益,即導致涉案品牌共享單車APP、釘釘系統的潛在用戶數量及可能獲得利潤的減少,這是否已悄然置換了本罪法益侵害結果的內核,也有待厘清。本文擬拆分案例五、案例六待評價的行為事實,對此類利用計算機信息系統技術漏洞獲取可得利益的行為展開刑法評價。

案例五中鴻途公司利用“全能車”APP實施了“批量注冊品牌共享單車周卡、月卡”“用網絡抓包、反編譯等方式獲取并破解共享品牌單車APP與后臺服務器間傳輸的通信數據”以及“組裝、打包開鎖數據并發送至共享單車APP后臺數據庫獲取開鎖指令”三個行為,案例六中張某利用大牛助手APP實施了“偽造打卡設備定位數據”與“劫持釘釘平行空間檢測接口向其傳輸虛假定位數據”兩個行為。從判決書來看,兩案審判法院分別適用了《刑法》第286條第2款與第3款,對鴻途公司與張某的行為定罪處罰。有觀點認為,《刑法》第286條第2款的保護法益不是技術層面計算機信息系統的數據處理功能,而是其“重要使用功能”的正常運行狀態,(57)參見王華偉:《破壞計算機信息系統罪的教義學反思與重構》,載《東南大學學報(哲學社會科學版)》2021年第6期?！袄钅车绕茐挠嬎銠C信息系統案”(58)參見最高人民檢察院發布時第9批指導性案例第34號。(以下簡稱李某案)即體現了以上認識。以上論者所定義的“重要使用功能”,可涵蓋李某案中購物網站系統的信譽評價功能、案例五中共享單車APP的用戶認證功能以及案例六中釘釘系統的打卡記錄功能。本文不贊同對本罪法益進行以上拓展,因為此類“重要使用功能”實質是被害企業利用計算機信息系統所能開展的業務,即被害企業的應用目標。若將“計算機信息系統功能”的概念與輸入、處理、輸出的技術功能(59)參見王景中、徐小青編:《計算機通信信息安全技術》,清華大學出版社2006年版,第5-6頁。脫鉤,錨定在利用計算機信息系統所能開展的業務,其范疇會隨著計算機信息系統應用范圍的日漸廣泛而不斷拓展,并無穩定內涵?；谝陨险J識,應將第286條第2款的行為對象限定為系統數據等核心數據,(60)參見俞小海:《破壞計算機信息系統罪之司法實踐分析與規范含義重構》,載《交大法學》2015年第3期。將該款理解為對計算機信息系統技術層面數據處理功能正常運行的具體危險犯較為妥當。

案例五中,鴻途公司用“全能車”APP向共享單車后臺數據庫發送開鎖數據,的確增加了共享單車企業服務器存儲、處理的數據,但此類數據是“全能車”APP后臺服務器程序利用共享單車APP用戶認證系統存在的技術漏洞,獲取開鎖指令編寫的技術規則后編寫而成,并未對該系統數據處理功能的正常運行造成具體危險,因此不具備第286條第2款所要求的行為不法。此外,批量注冊周卡、月卡并不違法,(61)參見陳興良:《互聯網帳號惡意注冊黑色產業的刑法思考》,載《清華法學》2019年第6期。而通過網絡抓包、反編譯等方式獲取并破解通信數據的行為則符合第285條第2款非法獲取計算機信息系統數據罪的構成要件。但是,若一體考察鴻途公司利用“全能車”APP實施的三個行為,會發現“全能車”APP用戶支付的會員費是為該APP提供的“共享共享單車周卡、月卡”服務所支付的對價,而不是非法獲取計算機信息系統數據的“違法所得”。案例六中,若一體考察張某利用大牛助手APP實施的兩個行為,除了涉嫌《刑法》第286條第3款,還可能涉嫌該條第1款規定的干擾型破壞計算機信息系統罪。根據2011年最高人民法院、最高人民檢察院《關于辦理危害計算機信息系統安全刑事案件應用法律若干問題的解釋》第5條的規定,只有大牛助手APP能破壞計算機信息系統功能,才能將其評價為“計算機病毒等破壞程序”?；谏衔膶Α坝嬎銠C信息系統功能”的限定,該案判決書中所謂“釘釘服務器獲取用戶真實地理位置的功能”并非釘釘服務器技術層面的數據處理功能,而是阿里巴巴公司利用釘釘可以開展的業務(應用目標)。被“破壞”或者“干擾”的并非釘釘系統將用戶端定位數據傳輸給后臺服務器的功能,而是用戶端輸入給釘釘服務器定位數據的真實性。

經過以上分析可知,鴻途公司與張某行為的法益侵害性并不體現在對計算機信息系統正常運行狀態的破壞,而是體現在利用計算機信息系統技術漏洞導致共享單車APP或釘釘軟件潛在用戶數量及可能獲得利潤的減少,不應適用有關計算機犯罪對妨害此類可得利益的行為定罪處罰。此類行為還可能涉嫌非法經營罪或破壞生產經營罪,但鑒于其并未違反國家規定,使用的也并非物理手段,依據我國現行刑法的規定,難以構成以上兩罪。綜上可知,適用盜竊罪可妥當評價利用計算機信息系統技術漏洞獲取實際利益的行為不法,適用計算機犯罪及其它我國刑法現行罪名,則均無法妥當評價利用計算機信息系統技術漏洞獲取可得利益的行為不法,屬于前文指出的“意圖性法律空白”。關于此類行為是否具備動用刑法處罰的必要性,若有,又應當如何完善刑事立法,下文將就此進一步展開探討。

五、刑事立法的完善進路

(一)刑法處罰必要性的判斷

面對利用計算機信息系統技術漏洞獲取可得利益這一新行為,適用刑法對其處罰的必要性是立法者給既有罪名擴容(犯罪化)或增設新罪應當具備的正當理由。有關犯罪化的正當理由,學界已有非常豐富的研究。以下兩點理由可轉化為教義學層面對刑法處罰必要性的具體檢驗標準:第一,將某種行為犯罪化是否是對其可行的回應方法,這要求檢驗刑法是否保護此類行為侵犯的利益;第二,除了犯罪化之外是否已無替代措施,這要求檢驗適用《刑法》的前置法是否足以保護此類行為侵犯的利益。(62)R. A. Duff, The Realm of Criminal Law, Oxford University Press, 2018, p. 333; Herbert L. Packer, The Limits of the Criminal Sanction, Stanford University Press, 1968, pp. 250-260.

具體來看,盡管適用“實際損失”的計算方法計算案例五、案例六涉及可得利益(潛在用戶數量及因此可能獲得的利潤)的損失存在困難,但并不妨礙將此類利益視為我國《反不正當競爭法》所保護的經營者的競爭利益,(63)參見王艷芳:《〈反不正當競爭法〉在互聯網不正當競爭案件中的適用》,載《法律適用》2014年第7期?！斗床徽敻偁幏ā肥潜Ｗo此類競爭利益的專門法。通過《刑法》第221條損害商業信譽、商品聲譽罪,第222條虛假廣告罪,以及第276條破壞生產經營罪等有關罪名,此類競爭利益已成為我國《刑法》所保護的法益。案例五中鴻途公司的利用計算機信息系統技術漏洞“共享共享單車周卡、月卡”的行為,與“愛奇藝公司訴刀鋒公司不正當競爭糾紛案”(64)參見北京市海淀區人民法院(2020)京0108民初2920號民事判決書;北京知識產權法院(2021)京73民終3599號民事判決書。中刀鋒公司創建平臺提供愛奇藝會員賬號租借服務的行為構造近乎一致。二者行為的區別在于,鴻途公司采取了技術手段,可以無需如該案判決一般援引《反不正當競爭法》第2條的原則性規定,而是可援引該法第12條第2款第4項以及《禁止網絡不正當競爭行為規定(公開征求意見稿)》(以下簡稱《網絡不正當競爭規定》)第22條第2款第4項的規定,認定鴻途公司的行為構成不正當競爭。對于案例六中張某的行為,也可援引以上規定認定其構成不正當競爭。

依據《反不正當競爭法》第31條的規定,違反本法規定,構成犯罪的,依法追究刑事責任。欲將已納入該法規制的不正當競爭行為犯罪化,需厘清其與《刑法》規范目的(保護法益)的區別。盡管兩法均保護競爭機制(秩序)、經營者競爭利益與消費者利益,但前者通過直接保護競爭機制(秩序)間接保護私主體利益,侵犯競爭機制(秩序)的承擔行政責任,侵犯私主體利益的承擔民事侵權責任。(65)參見宋亞輝:《論反不正當競爭法的一般分析框架》,載《中外法學》2023年第4期?！缎谭ā穭t不同,基于明確性原則的要求,要求對競爭機制(秩序)這一集體法益的保護應服務于私主體利益的保護,二者屬于表里關系,對集體法益的侵害才是具體可衡量的。(66)參見龍俊:《論體系解釋下商業詆毀的法律認定——基于反不正當競爭法和刑法的雙重視角》,載《經濟法論叢》2019年第2期。如此,才能準確劃定二者的功能界限?；谝陨险J識,鑒于司法實踐中網絡不正當競爭所造成可得利益損失的認定與賠償都極為困難,(67)參見最高人民法院(2013)民三終字第5號民事判決書?！斗床徽敻偁幏ā返?4條設定的行政處罰與此類行為對市場競爭機制(秩序)造成的損害也并不合比例,需要《刑法》為此類利益提供底線保障。

(二)刑事立法完善的路徑選擇

上文已證成適用《刑法》處罰利用計算機信息系統技術漏洞獲取可得利益的必要性,最后還需厘清應選擇何種立法路徑:是通過給既有罪名擴容還是增設新罪,以實現對刑事立法的完善。

若選擇給既有罪名擴容,可能的選項有修正擴張破壞生產經營罪或破壞計算機信息系統罪?；谄茐纳a經營罪作為財產犯罪的定位,即使將其保護法益擴張至整體財產法益,(68)參見李世陽:《互聯網時代破壞生產經營罪的新解釋——以南京“反向炒信案”為素材》,載《華東政法大學學報》2018年第1期。也難以涵蓋此類行為所侵犯的競爭利益。若將該罪調整至《刑法》分則第三章(經濟犯罪),(69)參見孫道萃:《網絡不正當競爭犯罪立法:反思與應答》,載《四川師范大學學報(社會科學版)》2023年第4期。則會導致該罪原本對財產法益的保護存在缺失。若將破壞計算機信息系統罪的保護法益拓展至包括網絡運行安全,其中包括通信網絡安全,(70)參見李源粒:《破壞計算機信息系統罪“網絡化”轉型中的規范結構透視》,載《法學論壇》2019年第2期。則將此類行為納入該罪規制范圍似乎并無疑問。然而,侵犯通信網絡安全只是此類行為的手段,侵犯競爭利益才是目的,適用該罪規制此類行為依然會導致該罪失去可罰性的實質邊界?；谝陨险J識,修正兩罪并非將此類行為犯罪化的可行路徑。

若選擇增設新罪,可能的選項有增設(利用計算機信息系統)妨害業務罪(71)參見周光權:《刑法軟性解釋的限制與增設妨害業務罪》,載《中外法學》2019年第4期?；蚓W絡不正當競爭罪。(72)同前注,孫道萃文。前者的構成要件明確性存在較大缺陷,且缺乏前置法指引,規范目的不夠清晰具體。(73)參見張明楷:《妨害業務行為的刑法規制》,載《法學雜志》2014年第7期。后一建議以《反不正當競爭法》第12條為藍本,罪名的構成要件明確性與規范目的相較于前者有較大改善。但在罪名表述上無需畫蛇添足,可參考《反不正當競爭法》第12條的表述,輔以“情節嚴重”的要求即可,且需考慮與其它不正當競爭犯罪的罪刑設定保持協調,刑罰設置不能過重。具體而言,本文贊同在《刑法》分則第三章增設第231條之一網絡不正當競爭罪的立法建議,但認為條文應表述為:“違反國家規定,經營者利用技術手段妨礙、破壞其它經營者合法提供的網絡產品或服務的正常運行,擾亂市場競爭秩序,情節嚴重的,處五年以下有期徒刑或拘役,并處罰金;單位犯前款罪的,對單位判處罰金,并對直接負責的主管人員和其他直接責任人員,依照前款的規定處罰,并根據本法的從業禁止規定處罰?！睂τ凇扒楣潎乐亍钡呐袛鄻藴?可參考《網絡不正當競爭規定》第22條第2款的規定,對有關數額與情節標準展開進一步研究,以實現對網絡不正當競爭違法與犯罪的實質、準確區分。