网络“薅羊毛”行为的刑法规制
——以肯德基“薅羊毛”案为例

孙承程，苑嘉辉

（上海政法学院 刑事司法学院，上海 201701）

一、案情简介与争议焦点

（一）“薅羊毛”的概念及“薅羊毛”犯罪的类型

“薅羊毛”本是沿袭春晚小品“薅羊毛织毛衣”说法的行为，借指利用各种网络金融产品或者红包活动推广下线提成，又泛指搜集各类商家的优惠信息以此实现盈利目的，包括“双十一”的满减优惠、开会员送话费、充值送现金券等诸多活动，对于现代人的衣食住行具有方方面面的重要影响。

商家通过释放优惠获得销量，顾客积极参加优惠活动获得物美价廉的商品，以此实现双赢的效果。占便宜的心态人皆有之，但是一旦超过了法定的限度，则会构成犯罪。第一，利用商家提供的多种优惠进行叠加，以相对优惠的价格购买商品后实施退货行为。例如，在“双十二”通过“满199减20”等优惠购买一件大额商品和一件价值较小的商品，在活动过后利用“7天无理由退换”将大额商品退货，只留下小额商品，以此达到用绝对优惠的价额获得小额商品。由于类似“双十二”的活动规则是消费者和商家事先同意的结果，因此该种行为并未违反民法中的诚信原则，属于合法有效的行为。第二，由于商家错误设置价额导致消费者用不符合交易规则的价格购买了商品。在该种情况中，商家之所以遭受损失是由于自身的过错，因此消费者往往要求商家遵守合同的契约效力，并且消费者也并非心存非法谋利目的，因此该种行为也符合公民法中公序良俗的原则。第三，虚假刷单行为（后文详述的案件也属于这一类型）。买方主观上具有非法占有的目的，客观上通过虚构交易的方式造成商家的损失，因此侵害了正常的市场经济秩序，属于违法犯罪行为。第四，消费者利用电商平台“退款不退货”规则套取商品。例如，买方通过正常下单获取商品，再利用淘宝提供给信誉较好的客户极速退款的服务，在尚未将货物寄回商家之前就取得退款，然后将旧商品或者干脆是垃圾、空快递盒寄回给商家，以此造成商家“财货两空”的损失。第五，利用非法获取的公民信息注册用户返利或套现。在此种方式中，不法分子以非法手段大量获取公民信息的行为就可能构成侵犯公民信息的犯罪与后续犯罪进行数罪并罚。例如，行为人首先通过非法获取的公民信息注册滴滴公司的账号，再以滴滴公司的名义提供叫车服务，再通过私人微信或者支付宝转账结算车费，通过规避使用滴滴公司专用系统结账规避滴滴公司抽成，由于行为人使用他人的个人信息，因此对于网约车平台而言极难追查。第六，恶意打假和职业刷差评。行为人通过打假的幌子或者使用刷差评的方式要挟商家返利，商家为了网店排名或者害怕网店被关停往往被迫妥协，该种行为严重影响商家正常的生产销售活动，还可能构成敲诈勒索罪等其他犯罪。

（二）肯德基“薅羊毛”案案情简介

2018年4月份，江苏某大学的在校生徐某在肯德基线上点餐之时，无意中发现生财之道。首先，如果在线上客户端用套餐兑换券下单后取消支付，在另一个软件上退款再取消当前订单，就可以免费获得一份兑换券。其次，在肯德基客户端上下单后不支付，再从客户端兑换套餐码，就可以免费获得一份相应套餐。徐某利用这两个技巧，不仅自己白吃肯德基还将此方法传授给亲朋好友一起 “有福同享”，并且，还将违法取得的肯德基食品低价卖给他人以此牟利。截至案发之时，徐某个人的行为给肯德基造成5.8万余元的损失，加上其余人的行为给肯德基带来的损失，肯德基共计损失20余万元。徐某行为的本质为利用虚假交易“刷空单”的方式，向肯德基制作的线上客户端点餐网络系统发送指令，利用程序漏洞使得系统误判为真实有效的订单，按照正常的点单流程予以处理，从而“空手套白狼”取得肯德基的兑换券，由于兑换券属于财产性利益，由徐某客观行为可知其主观亦有非法占有的目的，因此主客观相一致符合刑法中财产犯罪的构成，应当追究其刑事责任。

（三）争议焦点

本案构成财产性犯罪无需赘述，围绕本案的争议焦点为罪名的定性问题——究竟构成盗窃罪还是诈骗罪。在互联网技术飞速发展的时代，传统交易披上互联网的外衣导致随之出现的犯罪行为也渐渐变得复杂多变，对于犯罪行为的界限认定也渐渐变得模糊。

对于本案而言，一种观点认为，徐某等人的行为应当构成诈骗罪。诈骗罪的构成要件为行为人主观上有非法占有的目的，客观上通过虚构事实、隐匿真相的方式骗取公私财产且数额较大的行为。在本案中，徐某缺乏真实交易的意图，主观上具有非法占有的目的，客观上利用肯德基线上客户端订餐系统的漏洞，通过虚构订单的方式骗取免费餐品，涉及金额数量达到诈骗罪的入罪要求，符合诈骗罪的构成要件，因此构成诈骗罪。另一种观点认为，徐某等人的行为应当构成盗窃罪。盗窃罪的构成要件为行为人主观上具有非法占有的目的，客观上使用秘密窃取的方式违背了被害人的意志，窃取公私财物且数额较大的行为。在本案中，徐某虽然使用虚构事实的方式“欺骗”肯德基线上客户端，但是欺骗对象并非刑法规定的犯罪对象，并且机器没有人类的意识，因此机器不会受到欺骗，即机器按照既定的网络程序出餐，应当被评价为徐某通过网络漏洞违背肯德基公司这个法人的意志秘密窃取其财产性利益的行为，因此符合盗窃罪的构成要件，应当构成盗窃罪。

诈骗罪和盗窃罪区分此罪和彼罪的关键在于行为人实施侵犯财产的行为是否违背被害人的意志。诈骗罪的行为逻辑是被害人由于受骗而基于自己的意志自愿处分自己的财物，盗窃罪则是取财的行为违背了被害人的自身意志。综上所述，认定规范意义上的机器诈骗犯罪必须满足如下前提：机器本身可以成为犯罪对象、能够基于自己的意志、处分财物，藉此引出下文“机器能否被骗”的争论。

二、“机器能否被骗”的几种主要观点

（一）肯定说：“机器可以被骗”

首先，有学者认为，就犯罪对象而言，人是可以被骗的，“机器”能否被骗的本质是强调机器是否能够作为一个独立的个体放在和人类相同的法律地位上并驾齐驱。放眼当今世界诸国，赋予机器公民的身份并非没有先例。2017年10月26日，在沙特举行的“未来投资倡议”大会上，“女性”机器人索菲娅被授予沙特公民身份，但在中国，法律关系的主体仅包括自然人和法人，机器并不在其列。在未来伴随着人工智能的高度发展，也许会承认机器作为第三种法律关系的主体。更重要的是，在其他国家也早有立法明确机器可以成为被骗的对象，如《德国刑法典》第263条a“计算机诈骗”、《瑞典刑法》第 9章第 1条第 2款 “准诈欺罪”、《日本刑法》第 246条之二“使用电子计算机诈骗”、《丹麦刑法典》第 279A条“计算机诈骗”等，均承认机器作为独立的犯罪对象[1]170。

其次，有些学者认为，在目前中国尚未承认机器作为单独的犯罪对象的背景下，可以将机器和背后设计者的关系理解为民事上的代理法律关系。第一，在肯德基线上客户端点餐的交易中，机器起到了实质的作用，徐某通过正确的流程取得餐券，机器就理解为一笔正常的交易已经产生，肯德基就具有了交付餐品的义务，后续徐某实际从店员处获得餐品只不过是实际履行买卖合同的义务，并非是店员受到欺骗自觉处分基于职务便利保护的财物，因为肯德基公司实际受到损失早在线上点餐客户端程序运行之时就已经既遂。第二，机器与人的交易和人与人直接交易其实是一致的，因为人机交易产生的初衷就是人类为了方便快捷处理大量相同的交易而寻得的替代品，机器是拟制的虚拟人格，因此人机交易可以视作代理行为，即根据《民法典》的规定，指的是代理人以被代理人的名义，在代理权限内与第三人实施民事法律行为，其法律后果由第三人承担的民事法律制度，在本案中，线上点餐平台代替真人店员为徐某提供服务，机器承载着人类的意志，其法律行为的结果也应当由肯德基公司这个法人承担[2]78。

近年来，支持否定说的学者们提出种种质疑来反驳现有机器尚且达不到如人类一般产生意志的境界（后文将详述），因此部分肯定说的学者们退后一步，认可机器不存在人格而不能被骗，但是机器是人类的工具，欺骗机器的本质是欺骗机器背后的设计者，因而引入“预设的同意”的理论，认定类似徐某“薅羊毛”的行为仍然应当构成诈骗罪。和现实的同意不同，预设的同意是针对未来将要发生的交易而事先对于该种类交易的预设条件的提前同意，其主要构成要件如下：其一，由于交易卖方并不知道未来何时会发生交易，因此这种同意具有普遍性和概括性[3]106，例如手办店里常见的盒蛋售卖机，卖方事先标价一个盲盒零售价为30元，买方扫码购买，售出后无论该盲盒内容物为何均不退换，买方根据事先设定好的方式取走盲盒，虽然没有与卖方发生直接对话，但是不能认定买方的行为构成“打破卖方的占有”，买方打开盲盒发现内容物不合心意也不能认为卖方实施诈骗。其二，预设的同意在公开的规则被撤回之前持续有效，成为买方自愿实施交易的信赖源泉，由此可以排除违反卖方意愿打破卖方占有的行为性质。其三，预设的同意必须在设定的同意得到满足时才会生效，譬如前文的贩卖盒蛋，卖方必定会在盒蛋售卖机上表明付款方式、货币单位、是否叠加店铺其他优惠等严格的条件，买方必须遵守这些条件方可获得心仪的商品。综上所述，只要符合既定的程序，满足预设的同意，就认为符合卖方的同意。如果机器正常运行，买方没有主动破坏机器、故意干扰机器正常的指令，机器设计者没有预见程序瑕疵，或者预见也并未采取补救措施而是放任危害结果发生，就不能认为买方构成盗窃罪[4]113。在本案中，徐某根据肯德基预设的线上程序取得了商品，其隐瞒自己同时在另一台机器上已经取消订单退款的事实，使得机器产生错误认识最终导致肯德基公司有所损失，因此构成诈骗罪。

最后，也有一些学者从刑法学原理出发，认为类似徐某的行为应当构成诈骗罪而非盗窃罪。其一，鉴于盗窃罪的量刑比诈骗罪重，“机器不能被骗”的否定说不当缩小了盗窃罪的处罚范围，违背了刑法谦抑性原则[5]17。其二，刑法作为社会秩序最后一道防线，具有保障其他法律实施的任务，刑法所调整的交易秩序的法律关系是以民事法律关系为基础运行的，随着计算机的广泛普及，人机交易的模式已经深入人心，如果刑法固守机器不能被骗的观点不加变通，将会使得法律裁量的结果难以深入人心[6]259。

（二）否定说：“机器不能被骗”

否定说的核心论点在于否定机器是犯罪对象、否定机器存在自由意志进而处分财物，强调机器只是法律关系中犯罪人的工具，工具计算出错误的运行结果并非被害人真实的意思表示，因此“薅羊毛”行为符合盗窃罪的构成要件，即犯罪人在被害人不知情的情况下，违反被害人的意志，以秘密窃取的方式破坏被害人对于财物的占有，因此徐某应当构成盗窃罪而非诈骗罪。

首先，在形式上，机器并非中国现行刑法中法律关系的主体，并且在实质上，机器也不可能成为法律关系的主体，即机器不能成为诈骗罪被骗的对象。法律关系指的是法律规范在调整人类的行为过程中形成的具有法律上权利义务形式的社会关系，社会是由人类构成的，因此法律关系的主体是且只能是自然人或者法人，法律关系的属人性的特征直接排除了机器作为独立个体参与法律关系的可能性[7]161，机器不可以具有和人类相同的法律地位，因此，“机器”被骗这个论证的前提就难以成立。

其次，机器成为人类的代理人的说法也并不成立。机器人只是人类的造物，是人类意志的衍生，因此只要人类的意志没有错误，机器的认识也不会产生瑕疵[8]20，徐某的行为表面上是获得了“代理人”的同意，希望“被代理人”肯德基公司承担其出餐行为的法律后果，但是肯德基公司对于徐某的行为必然是反对的，因此“代理人”作为肯德基公司意志的延伸，其对于徐某的行为亦必定是反对的，但是困于程序的限制无法反抗只得履行出餐的流程（因为肯德基公司并未设置诸如此类的程序：遇到徐某这种情况，点餐平台应当立即停止出餐，并且自动报警），最终造成肯德基公司的损失，该种损失违背了肯德基公司的意志，并非其基于认识错误自愿处分自己的餐品，因此徐某不能构成诈骗罪。机器仅是人与人、人与组织之间交易行为的媒介，如果一定要用代理关系描述徐某的交易行为，在民事上，机器代替民事主体处理相应事务后的法律行为的结果应当归属于机器背后的交易主体[9]5，仅仅说机器被骗进而替代肯德基公司做出处分行为是没有法律依据的。

再次，诈骗罪要求被害人基于自己的自由意志处分公私财物，“自由意志”的本质是“自由”，体现在该行为主体可以因为被骗而自由选择处分财物，也可以在识破真相的情况下选择不处分财物，但是机器做不到拒绝处分财物，例如，当行为人冒用他人信用卡在ATM机上取现，只要行为人的密码正确，即便告诉机器这张信用卡是偷来的、抢来的、骗来的，机器依旧会吐出现金，但是如果行为人去柜台上取现，如果告知柜台职员这张卡来历不正，职员一定会拒绝继续办理取现业务，机器只能按照既定指令行事，因为机器没有自己的意志[10]46。有学者认为，在未来也许可以研制出高度智能化的机器人，具有独立的自由的意识，但是这种想法并不科学：①意识是生物独有的能力，机器没有大脑神经元，因此无法产生意识。②机器只能通过既定的程序进行运行，该种运行无法脱离人类的事先设定，并且机器本身并不具有对于该种运行的理解能力。③从技术层面而言，目前，以形式化计算为基础的人工智能无法充分地模拟以“生物算法”为基础的人的意识[11]101。④机器意识难以判定，具有“解释鸿沟”，作为人类，很难从外部直接感知机器是否具有意识，因此务必警惕对于机器意识的大讨论从“机器是否能被骗”转向“机器是否存在意识”的歧途[12]112。

最后，部分支持否定说的学者认为应当慎用预设的同意的理论，即预设的同意的理论和机器是人类意志延伸的命题前提，和肯定说并不相符：①肯定说一开始认为机器可以被骗，但是从前文的论述结果可知，机器不能像生物一样产生意识，机器本身就是承载人的意志而存在的工具，哪怕人工智能技术再成熟也是人类所创造的，并不会产生自己自由的意识。②肯定说退后一步，提出预设的同意的理论，认为机器不能受骗，但是机器背后的人可以被骗，但这就和预设的同意相互矛盾，因为如果认为机器承载着人类预设的认可的意志，则做出最终处分的仍旧是机器背后的人，机器本身并未做出自由的处分意识，只是替代背后的人做出回应的应答机，但是肯德基公司一定不会认为自己受到欺骗自愿处分餐品，因为其甚至都没有和徐某实际交流过，何谈被骗。综上所述，如果推翻预设的同意的理论，徐某获得财产性利益的方式必定是破坏了肯德基公司对于餐品的占有，违反了被害人的意志，因此应当构成盗窃罪。

三、规制“薅羊毛”犯罪行为是否有引入新罪的必要

目前，随着互联网犯罪种类的不断增加、手段的不断翻新，其他国家纷纷出台了一系列专门针对计算机的罪名，如《德国刑法典》第263条规定了“计算机诈骗罪”，《日本刑法典》在第246条之二规定了“使用电子计算机诈骗罪”，《意大利刑法典》第640条之三规定了“信息欺诈罪”[13]60。有学者认为中国应当紧跟时代潮流，借鉴其他国家的做法，针对利用计算机进行犯罪专门制定新的罪名——计算机诈骗罪，因为用传统的财产犯罪的罪名规制类似 “薅羊毛”的行为会纠结于究竟归于盗窃罪还是划分进诈骗罪这个刑法学界一直争论不休的学术之争，那就干脆在这两种罪名之外单独专门设定一个罪名规制使用计算机进行的犯罪，效仿国外制定诸如计算机诈骗罪、机器诈骗罪之类的罪名，使现有的普通财产犯罪和计算机犯罪成为一般法和补充法的关系。笔者认为该种观点是错误的，中国现有罪名已经足够包含现有的犯罪形式，并不需要多此一举增加新罪名使得刑法分册更加繁杂冗长。

首先，利用计算机实施的诈骗罪并不会因为在当今时代有了更高级科技的加入而显得与众不同，仍旧是在普通诈骗罪的框架之中，并不具有其他多余的特性，利用计算机实施的诈骗行为仅仅是行为人使用了较为新颖的犯罪工具，在行为模式上和传统的财产犯罪并无二致。

其次，从立法沿革和司法实践上来看，在分则设立金融诈骗罪之前，破坏金融秩序的诈骗罪直接按照普通诈骗罪进行处理，因此金融诈骗犯罪和诈骗罪的关系应当为一般法和特别法的关系，并非普通法和补充法的关系。在徐某的案件中，徐某所实施的行为符合现有刑法中财产犯罪的构成要件，无需另外设置新的罪名。