大学生发现免费吃肯德基套餐「方法」分享给同学并从中牟利，获刑 2 年半，你怎么看？

几个问题，略作展开：

一、本案与「薅羊毛」的区别

针对本案的讨论，包括知乎答题区在内，很多老师将本案利用系统漏洞获取兑换券的行为类比为「薅羊毛」——但个人理解，法律上这两者存在实质区别。

近年来，随着互联网经济和数字结算方式的蓬勃发展，利用漏洞型侵财案件越发多见，有学者将之总结为四种类型^[1]：

1. 利用系统存在的漏洞，人为干扰系统正常运行或者修改系统的特定数据（譬如利用工具软件修改充值数据）。
2. 虽然没有干扰系统的正常运行，也没有修改系统数据，但利用漏洞的行为违背了明示的交易规则（譬如利用POS机与银联结算时间差恶意烂刷套现）。
3. 在系统发生故障的情况下转移财物（譬如一些老师提到的许霆案）。
4. 并不违反商家制定的交易规则，而是利用系统和规则设置的考虑不周，获取了不正当利益。

比较以上四类行为，很容易发现，虽然从实际后果看，这些行为显然都违反了商家的本意，但第四类行为与前三类略有不同，区别在于：前三类不止违反商家的本意，也违反商家预设或宣示的交易规则，而第四类并不违反客观化的交易规则，只是结果上与商家的内心意见相抵触，因此主观恶性和社会危害相对较小。

具体到实践中，前三类行为通常以盗窃或诈骗罪处罚，第四类则略有分歧，不少学者认为应当注重刑法应当的谦抑性，谨慎介入民事纠纷（类似 @一言 老师的意见）。

我们常说的「薅羊毛」是第四类行为（也就是 @一言老师提到的符合形式规则），一些老师提到的许霆案属于第三类行为，而本案则更近似于第二类（利用结算延迟漏洞违反了明示的退款原则）。

二、盗窃罪和诈骗罪的数额要求

我最早接触到本题源于好友转发的公众号文章，当时文章底部留言有两种相对主流的反对意见，其一是本案类似「薅羊毛」，不应苛以刑责；其二是本案只是些许餐品损失，定罪恐怕畸重。

关于第一种意见，前文已经通过归类辨析说明两者的主观恶性和社会危害程度不同；而第二类意见，则需要引用上海市高级人民法院《关于常见犯罪的量刑指导意见》实施细则。

无论是盗窃罪还是诈骗罪，都以「数额较大」为入罪前提，依据《实施细则》：

第七节　诈骗罪
一、法定刑在三年以下有期徒刑、拘役、管制、单处罚金幅度的量刑起点和基准刑
1.诈骗公私财物，达到“数额较大”起点五千元的，在三个月拘役至六个月有期徒刑幅度内确定量刑起点。
2.在量刑起点的基础上，诈骗数额每增加三千元，增加一个月刑期。

第六节　盗窃罪
一、法定刑在三年以下有期徒刑、拘役、管制、单处罚金幅度的量刑起点和基准刑
　1.盗窃公私财物，犯罪数额达到“数额较大”起点一千元，或者入户盗窃、携带凶器盗窃、扒窃的，或者在两年内盗窃三次的，在三个月拘役至六个月有期徒刑幅度内确定量刑起点。

本案虽然只是非法获取抵用券，但涉案金额自0.89万元到5.8万余元不等，已经达到了「数额较大」的标准。

三、此罪与彼罪，盗窃罪vs诈骗罪

关于诈骗罪，早期通说一般认为，这是一种交流沟通型犯罪^[2]，这一理解的进一步展开就是 @王瑞恩 和 @一言 两位老师提到的「机器不能被骗（诈骗行为中的受骗者只能是人）」的立场。这一立场也被很多实践案例所采纳。

但是随着智能化结算设备和系统的普及，旧有的理论越来越难以适应当前时代新型犯罪的规制需要，有反对意见指出：

（坚守「机器不能被骗」的立场）实际是一种对盗窃罪成罪标准的弱化，导致只要存在利用信息网络非法获取他人财产性利益的行为，就尽可能地以盗窃罪论处，最终会使盗窃罪成为财产犯罪的兜底条款。

支持构成盗窃罪的观点，主要是「机器不能被骗」；而支持诈骗罪的观点，则通常围绕系统指令的设置者。

2009年两高《关于办理妨害信用卡管理刑事案件具体应用法律若干问题的解释》中，将非法获取他人信用卡资料，通过互联网或通讯终端使用的行为认定为信用卡诈骗罪，这里「受骗」的同样是机器，但却以信用卡诈骗罪论处。

有学者即引入「预先推定的同意」概念进行解释，主张交易系统设置者通过合理设置交易规则，使得符合规则的交易被推定为有效，这是一种预先推定的同意。行为人通过利用漏洞，使得实质违反交易规则的行为通过系统检定、被推定有效，其实是欺骗了交易系统背后的人。

同样利用系统漏洞的陈实（化名）诈骗案、王彩坤诈骗案，都以诈骗定罪，其中陈实诈骗案案情与本案非常相似，都是利用平台退款结算的时间差获取非法收益，本案的公诉机关北京市检察院第二分院组织了黄京平、阮齐林、车浩、周振杰四位学者进行专家论证，最终认定诈骗罪，即是采用前文「受骗的是平台管理人、使用人」的观点，该案也被最高检刊物《方圆》杂志报道^[3]。

针对本案，诈骗罪抑或是盗窃罪都更多是一种学术争鸣，对本案罪成没有实际影响。进一步说，我们应当意识到，随着数字结算和人工智能的发展，类似争议会越来越常见。盗窃罪和诈骗罪的学术之争背后，是旧刑法理论在时代和科技发展下的扩张和重塑，从这个角度讲，即使一些读者可能觉得无趣，还是煞风景地多提两句。

以上。

参考

1. ^ 赵国玲、邢文升：《利用漏洞转移财物行为的刑法教义学分析》
2. ^ 马寅翔：《限缩与扩张：财产性利益盗窃与诈骗的界分之道》
3. ^ 唐姗姗：《机器能被欺骗吗》

其实就是翻版的许霆案。

简单来说：构成犯罪。但是倾向于适用盗窃罪。

详细来说：

1、系统bug和人有很大的区别，他无法自己纠错，因此一旦被发现漏洞，在人工不介入的情况下系统无法自我纠错。系统bug是学生产生犯意的前提，但绝不是学生产生犯意的原因。面对系统bug大部分人即便贪个小便宜也就是吃一顿算了，这几个兄弟伙是把bug当成牟利的工具了。

2、如果说学生第一次发现bug的情况还能说仅仅是个巧合，但是其在确认系统有bug的情况下，此后重复交易的目的很明显，通过这种方式获取食物出售得到经济利益，所以其行为构成非法占有。

3、有些情况如商家做活动抵扣券有bug导致一毛钱买冰箱，这种因为符合形式规则，因此不具有违法性，但是本案显然属于连形式规则都不符合。

4、个人认为诈骗罪仅仅适用于能够有自我意识，自我处分权利的自然人，而不应该适用于机器。本案适用盗窃罪更加合适。