如何看待拼多多出现 100 元无门槛优惠券的漏洞？可能的技术原因是什么？羊毛党行为是否具有法律风险？ 第1页

准确说来这同我们之前看到的一些案子本质上区别不大。就本案而言，我们可以考虑发散两个问题：

1、刑法如何打击网络黑产犯罪

2、所犯之“产”是否足以保护

关于网络黑产犯罪，海淀区人民检察院做过一个统计（至2018年6月）：

2016 年 9 月以来，北京市海淀区人民检察院受理网络犯罪案件 450 件（1 076 人），其中审查逮捕 245 件（588 人）,审查起诉 205 件（488 人），涉及 27 个罪名。
二、案件特征1. 低龄、低学历化犯罪主体呈现低龄、低学历化特征。犯罪普遍呈现年轻低龄化：1990 —1999 年出生的 221 人，占比 37.58 %；1980 —1989 年出生 283 人，占比 48.12 %；1970 年以前出生人数仅占 14.11 %。犯罪的行为人普遍学历较低：本科及其以上学历 82 人，仅占 21 %；高中、高职教育主体 68 人，初中、中专、小学等教育主体242 人，占 62.5 %。男性主体占较大比重，审查起诉案件中男性占比 77.66 %。

这某种意义上也比较符合我们对羊毛党的认识，关于为何主要是低龄化与低学历化。海检科技检察部的白检察官说出自己的心得是：境外黑客向境内人士，提供好了教程与程序，技术难度并没有我们想象的大。

而在我国现行刑法中关于计算机网络犯罪的条文主要在285-287条，其中在一般没有更特殊情况下，大多应用到了287条的提示性规定：

第二百八十七条 利用计算机实施金融诈骗、盗窃、贪污、挪用公款、窃取国家秘密或者其他犯罪的，依照本法有关规定定罪处罚。

其它几罪都各有利用场景，但是在此碍于篇幅不多做叙述了，列图示之，有兴趣大家可以找来皮勇教授的《论新型网络犯罪立法及其适用》一文，其中对287条提示性规定以外的其他几罪都有叙述，下图所反应的只是众多网络犯罪的一些类型：

那么，第二个问题是：优惠券属不属于“诈骗”“盗窃”的保护范畴呢？

且看几个案例：

2015年2 月至 6 月间，黎某与他人合伙虚构“开元小菜”等33 家商户，与汉海公司签订《团购技术服务合作协议》，在无真实交易的情况下通过自买自卖并使用大众点评网优惠券的方式，骗取汉海公司 60 余万元。黎某分得赃款 40 余万元。法院判处黎某犯合同诈骗罪，判处有期徒刑二年，缓刑二年。
“店长盗充积分案”。江某在担任某商场专卖店店长时，偶然发现通过店内 POS 机买单可获得商场会员积分，退货时积分却不会扣减。根据该商场的会员卡积分规则，会员每消费1 元积1 分，积分可以兑换抵用券或者直接在消费中抵扣现金( 100 分抵现金 1 元) ，遂开始以上述方式盗取积分。江某盗取积分除自用外，还通过将积分兑换成积分87抵用券出售给他人，以及直接往他们提供的商场会员卡中盗充积分的方式牟利。截至案发时共往八张会员卡中盗充积分 4713 余万分，折合人民币 47万余元。判决认定: 江某以非法占有为目的，采用盗充商城积分的方式秘密窃取单位财物，数额特别巨大，其行为已构成盗窃罪。江某盗充积分的行为一完成，其盗窃行为即已既遂。对积分采取以何种方式兑现，并不影响盗窃罪名。盗充完的积分按一定比例折现，在商场购物时按人民币使用，与理论价值无关。判处江某犯 盗窃罪，判处 有期 徒刑十年

我国司法解释中并无专门针对积分、优惠券的意见（但据说快出来了），但对其它财产性利益如有价证券、银行卡、虚拟财物等有所规定。如在2013 年 4 月 2 日发布的《关于办理盗窃刑事案件适用法律若干问题的解释》中规定对于盗窃有价支付凭证、有价证券、有价票证的可构成盗窃罪。

相应的在网络犯罪上，最高人民法院公报案例“孟动、何立康网络盗窃案”将盗窃虚拟财产认定为盗窃罪，数额以现实对应的财产数额计算。总体来看，最高司法机关通过司法解释和指导案例肯定了财产性利益中的虚拟财产和债权可以成为财产犯罪的对象，损失则以实际损失或最终结果计。

据此，也有学者总结了我国处理网络财产安全犯罪的一些特点：

一是是否定罪存在争议，大量以积分、优惠券为对象的案件没有进入刑事司法程序。
二是犯罪对象认定一元化
三是损失认定呈现唯结果导向，在认定的时点上采最终时点，认定的数额与最终财物对应。
四是均认定为一罪，不讨论罪数问题。

因此，虽然这次大家薅羊毛是薅的“无门槛优惠券”，但这可能并不影响法律上对其的追诉。并且事实上所得优惠券已经用出，这与之前所发生了“利用首单优惠”都可能被以诈骗或是盗窃（视手段）等罪名定罪并无太大的差别。

所以qaq薅羊毛有风险，看着数额才是真

@王瑞恩 谢瑞恩大佬邀请~~（略有仓促，择机视情节的披露 再添补答案）

本文中ppt图来源自清风苑系列讲座

上限许霆（追究刑事责任），下限 airbnb（不追究），中间有个不当得利（通过民事诉讼挽回损失）。

解释一下，许霆案是发生在 2007 年的一起刑事案件。许霆发现了广州市商业银行一台 ATM 的一个系统故障，取 1000 块，实际只会在自己的账户里扣一块钱。发现这台「真 自动取款机」以后，许霆连续取款 5.4 万元，随后又和一名友人再次光顾，反复多次操作。许霆先后进行了 171 次取款操作，获得 17.5 万元。

此案经过一审 - 重审 - 二审 - 最高人民法院核准的程序，最终，许霆因盗窃罪成立被判处五年有期徒刑。许霆案引发了广泛社会争议，一种论调认为，许霆插入银行卡并输入取款金额和密码的行为，和正常使用 ATM 的其他银行客户没有区别，不应属于犯罪行为。对此，张明楷教授发表了《许霆案的刑法学分析》一文，进行反驳：

...对行为的评价是不能离开结果的 。离开了 “死亡 ”结果 , 不可能有 “杀人 ”概念。 换言之 ,一个行为是否属于杀人行为 ,不可能单纯从行为的外表作出判断, 而是要根据行为是否致人死亡以及是否具有致人死亡的危险性得出结论。基于同样的理由, 许霆的行为是否属于盗窃行为 ,不能单纯从其行为的外表作出判断,要根据其行为是否非法转移了银行对现金的 占有从而导致银行遭受财产损失得出结论 ...

(张明楷《许霆案的刑法学分析》，《中外法学》Vol.21, No.1(2009)pp.30 -56）

这也可以用来讨论金额极大的「羊毛党」行为：离开损失，单独评价行为外表和其他用户合法使用的行为相似性，有失偏颇。

--

这是上限，但随着许霆案引发的广泛社会影响以及司法实践的时代变迁，刑法在此类纯经济损失问题上正在表现出更多的谦抑性。

一种取其中道的方式，是通过民法中的「不当得利」加以调节。不当得利，有四个构成要件：

1、一方获得利益。这里也包含「消极利益」，即财产本应减少而未减少，所以获得折扣、优惠也在此列。

2、他方遭受损失：至于损失由拼多多还是移动运营商承担，会决定不当得利返还请求权的行使主体。

3、一方受益与他方受损之间存在因果关系，

4、以及一方受益并无法律上的原因。

在本事件中，前三个要素都很容易证明，至于是否存在法律上的原因，要结合具体用户协议和产品形态进行讨论。从问题描述来看，成立不当得利的可能性很大，拼多多没有向用户重复发放大量优惠券的真实意思表示，「羊毛党」用户也有理由意识到这不是正常进行的交易行为。在此基础上的收益缺乏法律上的原因。

--

至于下限，则类似于今年初 Airbnb 的支付货币种类 bug：

有用户发现，在 airbnb 的支付界面更改货币种类，实际需要支付的金额数字没有变化。这样一来，100 津巴布韦币可以用来支付 100 美元的订单，这个 bug 也在短时间内让一些用户尝到了甜头。有网上讨论称 airbnb 并未强制取消通过这种方式低价「薅」到手的订单，也未见有相关用户被追究法律责任的报道。

对羊毛党的容忍，可能是出于采取法律手段的成本考量，可能是出于公关和维护企业形象需要，也可能是因为企业购买了对此类特殊情况的保险。

拼多多羊毛事件目前信息有限，这里只介绍一些可能的发展方向，或许能成为本年度电商相关法律和营销经典案例。

风控行业今天达成的一致认识是：拼多多事件也许会让更多的互联网公司认识到风控的重要性，尽管代价是巨大的。

当业务极速扩张时，企业只关注业务的增长曲线，而容易忽视业务安全的建设，当营销活动被黑产团伙”截胡“时，才意识到业务安全防控的重要性。这也是安全行业常被人戏称“不出事的时候没人关注，一出事大家都上心”的原因。

话说回来，此次事件尚未有官方公布的事件细节，但从市面上已有的信息来看，拼多多事件凸显了业务管理中至少两个方面的问题：内控机制可能不严格，导致过期活动的优惠券未下架，让用户以及别有用心的团伙找到了入口；同时，拼多多可能也没意识到多层风控体防护的重要性，从而在薅羊毛事件大批量发生后，没能及时察觉、及时修复，从而使得损失进一步扩大。

类似拼多多今天面临的风控漏洞只是互联网企业业务风险的一角，那么企业究竟应该怎样防范此类营销活动的风险，减少经济损失呢？

顶象反欺诈技术专家做了一个很形象的比喻：“反欺诈就跟塔防游戏一样，需要层层设防，才能有效防范”，一个“全副武装”的互联网企业业务平台应该是这样的：

有风险管理意识，并建立营销反欺诈体系。在策划营销活动的时候，就应具备风险管理意识（谁能想到一张过期的100元优惠券竟然能引发上千万元的“血案”？！）需要考虑到营销活动规则与技术之间的配合，将业务纳入到营销反欺诈体系的保护之下。今后可能很多的互联网公司在做大面积营销投放时，都要去和公司的风控部门合作，全盘考虑活动期间存在的各类风险是否已提前防控。
及时部署专业的风控解决方案。专业、完整的风控解决方案无论是营销作弊、刷红包、薅羊毛、还是推广作弊等欺诈风险都要考虑到。基础一些的业务安全防范需配置如App加固和专有虚机源码保护，防范电商客户端、H5、Web被破解入侵，防止攻击者通过端口漏洞进行批量注册、批量登录、批量抢单等，还可以通过安全SDK保障电商客户端、存储数据以及数据传输的加密等。复杂的一些的业务场景如互联网金融等还会需要配合实施决策引擎，及时发现各类风险操作，并通过验证手段进行有效拦截，在企业业务有需求的情况下，还会引入智能模型平台建立符合业务场景的风险模型，进一步提升风控效果。

综上，互联网企业的业务即是营收的主要入口，也是风险的直接来源。通过技术手段做异常风险的核验与阻断是非常非常非常重要的！只有预先具备风险防范意识，才能在风险来的时候，最大限度降低损失。

什么？你还要问我“羊毛党”是否有法律风险？

今天这个案例里出现的“薅羊毛”已经不是我们理解的消费者参与企业主动让利的营销，而是黑灰产利用企业的业务漏洞，借助技术手段，批量抢夺原本属于用户的优惠和福利，甚至还有再转售进行获利的嫌疑，所以这类行为肯定是违法的，这个点上应该没有争议。

拼多多的声明中提到已经报警。顶象技术反欺诈专家总结过，黑灰产的行为在法律主要涉及四部分：

1、通过假冒身份、虚假注册、修改软件等手段获利，都以非法占有为目的，则可能构成盗窃或诈骗。
2、虚构事实、假冒身份、使商家产生错误的认识而主动把钱打给”毛党羊是诈骗行为。3、购买和冒用他人的身份信息涉及违法。
4、涉嫌滥用公民信息。

以上违法行为的惩罚措施，在《网络安全法》、《刑法》、《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》等有明文规定。

针对用户信息的保护，去年6月1日实施《网络安全法》第四十二条有明文规定，网络运营者应当采取技术措施和其他必要措施，确保其收集的个人信息安全，防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时，应当立即采取补救措施。所以，网络运营者有保护个人信息的义务和责任。盗用他人身份证注册虚假账号涉嫌违反《中华人民共和国居民身份证法 》第十七条。
针对用户个人信息泄露或被窃取的问题，《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》中规定，非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息五十条以上的；非法获取、出售或者提供住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息五百条以上的；应当认定为刑法第二百五十三条之一规定的“情节严重”。
“刑法第二百五十三条之一规定”是这样写的：违反国家有关规定，向他人出售或者提供公民个人信息，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金;情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。违反国家有关规定，将在履行职责或者提供服务过程中获得的公民个人信息，出售或者提供给他人的，依照前款的规定从重处罚。