利用系统漏洞“薅羊毛”的刑法学分析 -法治智库-中国法学创新网

编者按 “薅羊毛”最初是对“精明消费”现象的一种打趣说法，随着网络科技的迅猛发展以及消费至上理念的全面侵袭，以“薅羊毛织毛衣”为获利目标的“羊毛党”大量出现。“薅羊毛”的行为方式也愈加多元复杂，不少人开始游走在违法犯罪的灰色边缘，甚至为利明知故犯，与法博弈。虽然司法机关多以诈骗罪加以认定，但仍存在盗窃罪、侵占罪以及无罪等观点的争论。故本期沙龙以“肯德基羊毛案”为例，立足刑法学视角，对利用程序系统漏洞薅羊毛行为的性质展开深入分析，希望通过不同观点的激烈交锋与精彩论证，对司法实践有所裨益，谨防“薅羊毛吗？坐牢的那种”现象泛滥。本期沙龙的参与者包括即将毕业的刑法学硕士，在读的研究生，准研究生和司法工作人员，在此一并致以诚挚的谢意！

主持人：袁玉杰策划人：孔忠愿

参与人：

周奕澄中国人民大学法学院刑法学硕士

余昌安中国人民大学法学院刑法学硕士

梅珉洲中国政法大学中欧法学院刑法学硕士

王元直山东大学法学院刑法学硕士研究生

白婧刑法学硕士研究生

彭奕西北政法大学刑事法学院21级硕士

冯楠绍兴市新昌县某局公职律师

邹宏建华东政法大学刑事法学院刑法学硕士

郏梦蝶华东政法大学刑事法学院刑法学硕士

郑天城华东政法大学刑事法学院刑法学硕士

刘聪谚华东政法大学刑事法学院刑法学硕士

江淑娟华东政法大学刑事法学院刑法学硕士

孔忠愿华东政法大学刑事法学院刑法学硕士

【案例一】

徐某是江苏某大学的一名在校生。2018年4月，在用肯德基客户端点餐时，徐某无意发现两个“生财小门道”。一是在App客户端用套餐兑换券下单，进入待支付状态后暂不支付，之后在微信客户端对兑换券进行退款操作，然后再将之前客户端的订单取消，此时竟可以重新获取兑换券，这种方式等于分文未付骗取一份兑换券。二是先在App客户端用套餐兑换券下单待支付，在微信客户端退掉兑换券，再在App客户端支付，此时便可以支付成功并获得取餐码，这种方式等于分文未付骗取一份套餐。

发现这个漏洞后，徐某“喜出望外”。从当年4月起，除了自己这样点餐操作外，徐某还做起了“副业”：将诈骗得来的套餐产品通过线上交易软件低价出售给他人，从中非法获利。同时，他还将犯罪方法当面或通过网络传授给丁某等四名同学。截至同年10月案发，徐某的行为造成百胜公司损失5.8万余元，丁某等四人造成百胜公司损失0.89万元至4.7万元不等。

法院审理后认为，被告人徐某以非法占有为目的，诈骗单位财物，数额巨大，并传授他人犯罪方法，其行为分别构成诈骗罪、传授犯罪方法罪。徐某自动投案，如实供述诈骗和传授犯罪方法罪行，均系自首，依法分别予以减轻、从轻处罚。同时，徐某积极赔偿被害单位损失并获谅解，酌情予以从轻处罚。

最终，徐某因犯诈骗罪，被判处有期徒刑两年，并处罚金人民币六千元；犯传授犯罪方法罪，判处有期徒刑十个月，决定执行有期徒刑两年六个月，并处罚金人民币六千元。丁某等四人皆因相同案由被分别认定为诈骗罪或诈骗罪、传授犯罪方法罪，分别被判处有期徒刑两年至一年三个月，并处罚金人民币四千元至一千元不等的刑罚。

上海市徐汇区人民法院审理查明，各被告人利用系统的数据不同步来实施犯罪，并非系统本身发生的机械故障或者缺陷，其行为存在欺骗性。法院认定，各被告人明知百胜公司旗下品牌肯德基App客户端和微信客户端自助点餐系统存在数据不同步的漏洞，仍以非法占有为目的，进行虚假交易，进而非法获取财物的行为认定为诈骗罪。

【案例二】

孟某某诈骗一审刑事判决书（2020）沪0104刑初1243号

上海市徐汇区人民检察院指控：2018年6月，被告人孟某某购买百胜咨询(上海)有限公司(以下称百胜公司)旗下品牌肯德基套餐兑换券后，通过使用多个客户端同时登陆相同账号，在自助点餐待支付的状态下，使用另一客户端对该兑换券进行退款，同时取消原订单返券或确认订单获得取餐码，恶意造成取消订单返券又退款，或兑换券使用又退款的同时实现，并将取餐码通过“闲鱼”交易软件低价出售给他人，从中非法获利。经鉴定，孟某某造成百胜公司损失共计人民币8900元。2019年10月21日，被告人孟某某在江苏省盐城市信访办内被公安机关抓获，到案后如实供述犯罪事实。

本院认为，被告人孟某某以非法占有为目的，虚构事实、隐瞒真相，骗取被害单位钱款，数额较大，其行为已构成诈骗罪，应予处罚。公诉机关指控成立。被告人孟某某到案后如实供述自己的罪行，自愿认罪认罚，已退赔被害单位经济损失并取得谅解，本院予以从轻处罚。根据本案的事实、性质、情节及对于社会的危害程度，公诉机关的量刑建议符合罪刑相当原则，本院予以支持。

第一部分诈骗罪之肯定

主持人：以下是五位同学关于本案以诈骗罪定性之肯定的观点，让我们一起来看看他们是如何论证诈骗罪成立的吧！

周奕澄：中国人民大学法学院刑法学硕士

关于行为人利用肯德基程序漏洞“薅羊毛”行为的刑法评价，主要存在盗窃说与两种诈骗说观点的论争。盗窃说主要援引“机器不能被骗”的法理，认为肯德基订餐系统无法被骗，且从行为人利用系统漏洞以不为人知的方式“薅羊毛”来看，其行为更宜评价为盗窃。而以本案判决为代表的诈骗说主张，行为人利用系统漏洞“薅羊毛”的行为带有明显的欺骗性，其欺骗的是肯德基自助点餐系统这一“机器”背后的“人”，即百胜公司，并由此使得被害人因受骗陷入错误认识完成财产处分进而产生了财产损失。笔者倾向于诈骗说，拟结合行为人是否打破占有与肯德基系统能否被骗两个核心问题展开正反论证。

1.被告人兑换套餐的行为因得到百胜公司预设的同意而不符合盗窃罪打破财物占有之特征。

刑法理论一般认为，盗窃罪具备“打破占有”的特征，即行为人转移财物占有的行为并未得到占有人的同意。而诈骗案件中被害人则是基于错误认识对行为人给出了财产占有转移的瑕疵同意。在过去，财产犯罪普遍存在于现实的人与人交易之中，此时需要判断财产占有的移转是否得到被害人的现实同意。但应当注意的是，人机交易已成为当下交易的常态。作为一种自动化交易，人机交易可以通过预先设定的协议及程序完成对未来可能发生行为的预测。在人机交易中，由于交易一方为机器，其背后的交易人确实无法给出现实同意，但并不妨碍真正交易人通过程序给出预设的同意。对于本案而言，可以认为，百胜公司通过预先设置好的程序对于符合兑换条件的套餐兑换行为均给出了一种普遍的、概括的同意，即预设的同意。由此，尽管被告人不当获取了套餐兑换券和套餐，但其兑换行为仍符合百胜公司设置的兑换条件，获得了百胜公司预设的同意，故没有打破百胜公司对于财物的占有。在人机交易中，判断财产移转是否得到有效预设同意的关键即在于，行为人使用的机器程序是否正常以及行为是否符合程序预设条件。实际上，这一观点也反映于本案的判决之中：“被告人利用系统的数据不同步来实施犯罪，并非系统本身发生的机械故障或者缺陷。”据此，行为人利用系统漏洞“薅羊毛”的行为其实并不符合盗窃罪打破占有的本质特征。

2.按照预定程序运行的肯德基订餐系统是百胜公司意志的体现，被告人对其施骗使得百胜公司对套餐及兑换券作出错误处分进而产生财产损失，符合诈骗罪的犯罪构成。

首先需要强调的是，对行为人利用系统漏洞“薅羊毛”成立盗窃罪的证否，并不当然意味着对行为人成立诈骗罪的证成。行为人是否成立诈骗罪的判断，仍需立足于诈骗罪的构成要件。显然，本案中以诈骗罪定性面临的最大桎梏在于“机器不能被骗”一说。该说主张，机器只能完全依照设置好的程序性指令作出反应，并不具有自我意识和认知能力。由此，机器不可能陷入认识错误，也即不可能受骗。不过，针对“机器不能被骗”一说，理论上也有“自然人受骗说”“电子代理人说”“机器特性说”等提出了不同意见。在笔者看来，从机器与人的关系角度出发，机器能否被骗取决于其是否按预定程序运行，是否超出人的意思延伸。尽管一般机器并不具备独立意志，但按照机器预定程序运行所产生的操作可以认为是程序设置者意志的体现。本案中，肯德基订餐系统尽管存在数据不同步的漏洞，但仍是按照程序设置者预先设定好的程序运行，即反映了程序设置者的意志。被告人对按预定程序运行的机器实施欺骗行为，程序设置者由此受到了欺骗。需要注意的是，即便百胜公司对于符合条件的套餐兑换行为给出了预设同意，但是这种同意是基于被告人的欺骗行为而作出的。在诈骗案中，被害人给出的同意原本就是一种有瑕疵的同意。百胜公司因被告人的欺骗行为陷入错误认识，对兑换券和套餐给予了错误处分进而产生了财产损失，符合诈骗罪的犯罪构成。

郏梦蝶：华东政法大学刑事法学院刑法学硕士

一、“薅羊毛”的定义及行为方式

与熟人社会不同的是，网络空间是一个能够将现实生活中人们在意的身份特征，如社会地位、职务、性别、年龄等得到隐匿的“隐秘的角落”。那些不好意思在线下占小便宜的网民们往往乐意加入各大以“薅羊毛”为主题的群组，跟着羊毛情报员一起“白嫖”商家或者平台。本次沙龙中我们所讨论就是这一在互联网领域骗取商家营销资金的行为，俗称“薅羊毛”。根据腾讯公司《互联网账号恶意注册黑色产业治理报告》的描述，薅羊毛属于恶意注册黑色产业链的下游行为，对电商平台乃至整个互联网行业造成了巨大的冲击。

薅羊毛的行为方式主要有两种，一种是不以正常消费为目的，将获取优惠卡券作为牟利途径，通过机器批量获取的方式，在短时间内大量囤积优惠券，再高价倒卖给需要优惠券的用户赚取差价获利；另一种即利用商家营销活动的交易规则或漏洞，通过各类黑灰产工具或通过各种交流渠道组织、招募大量人员进行虚假注册、虚假交易进行刷单，骗取商家营销资金。本案中，行为人利用肯德基计算机系统（肯德基App客户端和肯德基微信客户端自助点餐系统两个平台）数据的不同步的系统漏洞，通过虚假交易的方式，使得系统基于错误认识处分了肯德基套餐兑换券，导致行为人无偿获得肯德基套餐兑换券取餐码，最终造成肯德基营销资金损失的结果。该行为属于第二种“薅羊毛”的行为方式，应以诈骗罪论处。

二、“薅羊毛”行为的定罪争议

随着计算机的普及、网络信息的发展，计算机信息系统已经大规模代替民事主体处理相应业务，而如何对行为人对计算机信息系统实施的欺诈行为进行刑法评价的关键，同时也是诸如此类“薅羊毛”案件定罪量刑的关键，即在于机器（或者说计算机信息系统）能否成为诈骗罪的犯罪对象，我国刑法学界对此问题一直存在较大争议。笔者认为，在中国，法律关系的主体只包括“自然人”和“法人”，即法律关系的参加者只能是人或者人化的组织，而不可能是自然物体或者机器等人造物体。因此，正如民事上机器代替民事主体处理相应事务后其处分的结果归属于机器背后的交易主体（该交易主体包括自然人和人化的组织），在刑法上，机器也仅是人（组织）与人（组织）之间的媒介，讨论机器能否被骗的实质并非客观事实层面上机器能否被骗，而是对机器实施相应动作后发生的财产转移所引发的人（组织）和人（组织）之间的法律关系。基于这一前提，采用虚构事实、隐瞒真相对机器实施相应行为，并利用机器所实施的非法占有他人财产的行为即可能成立诈骗罪，诈骗的直接对象是机器，但实质对象是机器背后的交易主体。

三、“薅羊毛”行为的罪名认定及既未遂标准

针对此案，在满足机器具有财产处分的权限和功能、处于正常运行状态、虚构事实使机器作出违反交易主体真实意愿的交付行为这三个条件下，行为人骗领优惠券并套现等刷空单的行为造成电商平台财产损失的，数额较大的，成立诈骗罪。首先，主观上，行为人具有非法占有网络交易平台赠与的优惠券并套现的非法目的。其次，行为方式上，行为人实施了虚假刷单、自买自卖等虚构交易的欺诈行为。最后，损害结果上，行为人将骗得的优惠券最终变现，导致平台扩大客户群的经营目的没有达成。因此，刷单骗取优惠券并套现的行为侵害了平台的财产法益，构成诈骗罪。

此外，财产犯罪的成立以行为人现实、具体地取得该财产为前提，而不得假定地、附条件地取得该财产，这一点已得到中外刑法理论的普遍承认。基于优惠券物质属性的考虑，其作为网络交易平台的营销道具，在使用时间上往往有期限限制（如在某日前、在当月底、年底前使用，否则自动失效）、范围限制（品类优惠券只能对特定商品使用）以及次数限制（如一次使用不得超过交易金额的10%）等诸多限制。就算是无门槛优惠券，平台在后台通过一些技术手段也能作迅速作无效处理。且网络交易平台脱离对优惠券的占有，对其的经营资金只是一种危险，只有当行为人现实、具体地套现时，平台遭受的财产侵害才是现实的、客观的。如果只是将优惠券置于网络账户并未使用或售于他人等情形，由于行为人自己或第三人并未使用，平台的货款不可能发生交付和转移，因此此时获得优惠券并非等于实际控制了他人的财务，不意味着财产犯罪的既遂。因此，应当将优惠券使用行为作为诈骗罪的着手，将获取交易平台补贴的行为作为诈骗罪的既遂。

郑天城：华东政法大学刑事法学院刑法学硕士

对于机器是否能够“陷入认识错误”的问题，主要存在三种主张。否定说认为，诈骗罪中的受骗人一方只能是自然人，机器不可能被骗，这在德国、日本刑法理论中属于基本常识。“符合机器设定的条件的，就能出现相应的结果，不符合设定条件，就不产生相应的结果。这与人的处理是不完全一样的。”肯定说认为，机器可以成为诈骗罪的对象。“此时欺骗的对象其实是机器背后的人。”中间说认为，单纯利用机器外部故障获取财物，成立盗窃罪；利用机器人“人”的认识错误获取财物的，成立诈骗罪。

笔者原则上赞同中间说的主张，但仍需考虑的是，本案究竟属于哪一种情形？根据已查明的案件事实，徐某先假装支付购买兑换劵，待生成订单之后，利用肯德基客户端与微信支付平台数据不同步的系统漏洞，取消订单，向微信平台索取退款，另一端的肯德基app则正常出劵，这样一来便可以免费套取肯德基兑换劵。也许有人认为，这是利用程序自身的故障获取不义之财，与ATM机自动吐钱的原理相似，构成盗窃罪。但是，无论是微信支付平台还是肯德基客户端，任何一方的程序本身并未出现故障，行为人之所以能够免费套取财物，根本上是利用支付程序与兑换程序数据的不同步。这与利用ATM机故障取财存在本质的不同。因此，本案仍然属于“利用机器陷入认识错误取财”的情形。可能有人会质疑，如果承认机器能够被骗，那么它产生认识错误的具体内容是什么？比较合理的解释路径是，徐某虚构一个不存在的交易事实，致使肯德基客户端产生“交易已经完成”的认识错误，从而遭受财产损失。具体而言，当客户在微信平台支付完毕之后，平台会向肯德基客户端发布一个指令。只有在客户端确认支付订单已经完成之后，才会生成兑换劵。也就是说，肯德基客户端生成兑换劵的前提是，必须存在一个真实的交易事实。但在本案中，徐某虚构了一个交易事实，实际上并未完成付款。由于双方程序数据的不同步，使得肯德基客户端误以为订单完成，也误以为客观上存在一个真实的“交易人”，进而处分财物，因而可以认定客户端存在认识错误，符合诈骗罪的构造。

需要注意的是，可能有观点会将兑换劵解释为“财产性利益”，进而将骗取兑换劵的行为解释为利益盗窃。但是，承认利益盗窃的观点可能会极度扩张占有的概念边界，难以为司法实践所把握。在刑法上，占有一般被理解为事实性的支配，即便将社会观念、空间支配等规范因素纳入进来，“归根结底是在补强和支持在事实层面上人对财物的支配和控制关系”。若我们基于扩张处罚范围的需要，使盗窃罪的占有完全摆脱财物概念的束缚，则将会在本质上架空盗窃罪的客观构成要件。有学者指出，“当占有的对象被延展至权利甚至财产性利益这些看不见摸不着的东西时，作为谓语动词的占有的‘事实支配力’的核心含义就被消解了。因为人们无法想象，在事实层面用物理力去控制无形的权利或者利益，到底是一个什么样的举止”。由此，肯定利益盗窃可罚性的观点将不可避免地将盗窃罪带入“口袋罪”的泥淖，使其成为其他财产罪名的“兜底罪名”。

在互联网时代，面对以利用电子支付为代表的新型财产犯罪，也不能完全无视传统理论为盗窃罪所设置的处罚界限，这或许正是德日等国选择以立法的方式来解决问题的主要原因。在德国，多数学者认为“诈骗罪必须是以行为人支配的欺骗行为与错误决定为前提的，但是在计算机工作系统中，却缺少这样的人类决定主体。计算机的决定过程是按照程序自动进行的，它虽然需要人类的操纵与控制，但并不能如同自然人一般对过程进行控制。”可见，德国在立法就断绝将“计算机诈骗罪”解释为诈骗罪的可能性。而我国并未设立计算机诈骗罪，那么“机器可以被骗”或许在解释论上就是行得通的。

刘聪谚：华东政法大学刑事法学院刑法学硕士研究生

笔者通过检索司法判例发现，利用百胜公司旗下品牌肯德基计算机系统存在的漏洞，使用肯德基点餐APP软件或微信肯德基小程序，针对已兑换的兑换券即时申请退款或取消订单，恶意造成兑换券被使用和退款、退单同时实现的行为在司法实践中存在同案不同判的情况。例如：2018年被告人钟某实施上述行为被法院以盗窃罪定罪处罚（参见上海市徐汇区人民法院，(2019)沪0104刑初344号刑事判决书）。而更多的判例显示此种行为是以诈骗罪被规制的，如：杨某诈骗案（参见上海市徐汇区人民法院，(2020)沪0104刑初514号刑事判决书）；徐某诈骗案（参见上海市徐汇区人民法院，（2019）沪0104刑初1045号刑事判决书）；孟某诈骗案（参见上海市徐汇区人民法院，（2020）沪0104刑初1243号刑事判决书）。

笔者认为，对上述行为应以诈骗罪进行规制。根据我国刑法规定，构成诈骗罪应满足以下构成要件：实施欺骗行为使他人产生认识错误或者维持其认识错误，被骗人因认识错误处分财物，行为人取得财物并使对方遭受财产损失。

在本案中，首先，行为人利用肯德基计算机系统数据的不同步通过虚假交易无偿获得肯德基套餐兑换券取餐码，并向肯德基餐厅服务人员隐瞒其无偿获得取餐码的真相，此行为具有欺骗性，属于消极的欺骗，被骗人是肯德基餐厅服务人员。肯德基餐厅服务人员不知道其计算机信息系统存在漏洞，默认只有将已付款的套餐兑换券兑换成功才能够获得取餐码，因而对行为人获得取餐码的手段产生认识错误。值得注意的是，有人认为此类行为中被骗的是肯德基App客户端和肯德基微信客户端自助点餐系统这一“机器”背后的“人”，笔者不同意这种观点，无论是否承认三角诈骗，被骗人和处分人必须是同一人，此类案件中肯德基餐厅损失的是一份份食物套餐，而处分食物套餐的是肯德基餐厅的服务人员，因此被骗人也是餐厅服务人员。

其次，肯德基餐厅服务人员产生错误认识因而处分食物套餐，其客观上存在处分行为，主观上也存在处分意识。刑法理论一般认为，在客观行为表现方面，盗窃罪的财物变动是因行为人采取平和手段将他人占有的采取转移为自己占有，而诈骗罪的财物变动是因被害人的“自愿”交付行为。因此，盗窃罪和诈骗罪区别的关键是财物变动的方式。本案中行为人利用肯德基点餐APP软件或微信肯德基小程序数据的不同步无偿获得套餐兑换券取餐码，套餐兑换券取餐码本身并不存在价值，不属于刑法中的财物，只有使用无偿获得套餐兑换券取餐码领取食物套餐时才能给肯德基餐厅造成财产损失，无论是行为人本人抑或是其他人（买家）去领取，行为人本人或其他人（买家）获得肯德基套餐的原因都是餐厅服务人员的处分行为。

最后，行为人的这一“薅羊毛”行为给肯德基餐厅（百胜公司旗下品牌）造成财产损失，其多次利用此系统漏洞欺骗肯德基餐厅服务人员无偿获得肯德基套餐的价值达到诈骗罪定罪数额的应以诈骗罪定罪处罚。

孔忠愿：华东政法大学刑事法学院刑法学硕士

对于行为人利用系统漏洞薅肯德基羊毛案，笔者从罪名的认定与刑罚的裁量两大方面进行简要的阐释。

一、罪名的认定

某一行为能否认定为犯罪必须以该行为是否符合刑法的犯罪构成为唯一依据。对于行为人利用系统漏洞薅肯德基羊毛案不能仅关注行为人导致了“数额较大”或“数额巨大”的财产损失后果，还应重点考察其行为是否符合某一罪名的构成要件该当性。换言之，不能因为损害结果严重径直认定行为人构成犯罪。

对于本案行为性质的认定，审理法院认为被告人构成诈骗罪，笔者对此表示肯定。审理法院在本案中有两处的认定引起笔者的注意：一是事实的认定，其认为“被告人是利用系统的数据不同步来实施犯罪，并非系统本身的机械故障或缺陷”；二是法律适用的解释，其认为机器可以被骗。笔者围绕以上两个方面展开分析。

（一）机器能否被骗之争

“机器能否被骗”这一问题的争议由来已久，观点具有代表性的两派学者为张明楷教授与刘宪权教授。笔者赞同刘宪权教授的观点，认为机器能够被骗。首先，在讨论机器能否被骗的问题时，应当看到所指涉的机器应当是“正常运作”的机器，而不是“发生故障”的机器。若行为人通过发生故障的机器取得财物，则可能构成盗窃罪。其次，当机器处于正常运作的状态下，其本质为人类某一手段或功能的延伸，将人类从冗杂的劳动中解放出来。譬如，自动售货机的设置，则无须卖方时时刻刻、风吹日晒的守在同一个地点无限重复收钱、找钱、给付商品等动作。自动售货机的行为设定即为卖方行为的表示。当自动售货机“被骗”而处分财物时，则相当于卖方陷入了错误认识而处分财物，在诈骗罪中能够达到等值的法律效果。“君子生非异也，善假于物也”，人类的进步史就是一部运用外物的发展史。机器能够被骗可谓是社会发展进步的必然结果。

（二）利用系统数据不同步的刑法意义

本案的一个重要特征在于行为人利用了系统的数据不同步来实施犯罪，一般而言，线上的犯罪行为较传统线下的犯罪行为往往不易理解，但本质应无异。笔者对此另设案例加以比较。

某甲在一家网红自选餐厅就餐时，发现收银台和取餐点具有一定的距离，且餐厅内人群众多，只要尚未取餐就能自由退款。于是某甲心生一计，携带便捷式复印机，先在收银台下单选择套餐并支付，随后将小票以1∶1的比例复制出来，立马将原来的小票向收银台申请退款，退款成功后又将复制“完美的”小票拿到取餐点取餐，取餐点服务员收到小票后随即交付了套餐。某甲由此发现申请退款并不会影响复制版小票的使用，在尝到“甜头后”便在该网红连锁店反复尝试，并将该“秘诀”传授给其舍友。直至案发，被害单位因此损失2万余元。

在笔者假设的案例中，某甲利用虚假的小票使得取餐点服务员陷入错误认识，服务员基于错误认识而处分了财物，行为人因此取得财物，被害单位受有损失。其中，某甲实施诈骗的行为的重要基础在于，其利用了收银台自由退款后并不会导致复印的小票“作废”，且收银台与取餐点“各司其职”的工作特点，完美地掌握了出票后与复制小票的时间差，从而分文未付骗取套餐。

同理，再回到“薅肯德基羊毛案”中，被告人利用系统的数据不同步来实施诈骗，并非系统本身发生的机械故障或者缺陷，故排除盗窃罪的成立。利用系统的数据不同步为被告人实施诈骗行为提供了“技术性”的支撑与契机，属于诈骗罪中诈骗行为的重要组成部分。系统基于错误认识而处分了财物，比如兑换券，被害单位因此遭受财产损失。故而，本案以诈骗罪论处是适当的。

二、刑罚的裁量

对于利用系统漏洞实施犯罪类案件，被害人（或单位）往往会及时修复之前的漏洞，因而，此种类型的案件难以被其他人所效仿。换言之，被告人利用系统漏洞“薅羊毛”的行为不论是一般预防的必要性还是特殊预防的必要性都较小，故而应当对被告人处以较轻的刑罚。从案例一与案例二的刑罚裁量结果来看，法院判处的刑罚可谓是适当的，并无较重之嫌。

主持人：袁玉杰

非常感谢上述学友从不同视角展开的精彩分析。针对“肯德基羊毛案”以诈骗罪定性，无论理论界还是实务界中，都存在诸多支持者。即便罪名认定相同，定性分析的角度和路径之差异，不仅能够体现法学理论的精细化程度，以及为实践提供合理高效的判断规则，也在一定程度上影响着行为人的量刑轻重。此外，法学论战，无谓人数多寡，辩证合理者胜。下面让我们一起聆听另外八位参与人不同的观点，毕竟广开言路，综合利弊，才能得出妥当结论，有所进益。

第二部分与诈骗罪论者的商榷

梅珉洲:中国政法大学中欧法学院刑法学硕士

本文观点：行为人不构成诈骗罪，而是构成盗窃罪。

核心论点：“陷入错误认识+处分财产”系意志错误，具有偶然性。若行为人对财产转移的结果具有绝对支配力，应当排除诈骗罪的适用。

一、是否违法：优惠券的性质

为防止不当入罪，首先需要明确，肯德基与顾客所订买卖合同是否约定，只有在交易实际、彻底完成后才能给与顾客优惠券“奖励”？这一前提讨论非常重要，因为如果被告人的行为在民事上被评价为合法，那么刑法上的入罪论证会非常困难。通常认为，若前置法已作出合法判断，那么至少就前置法与刑法重合的规范保护目的/保护法益而言，刑法已没有入罪论证的空间。在本案中，盗窃罪的保护法益与合同法对肯德基财产利益的保护具有同质性，所以只要论证被告人的行为并未违反其与肯德基订立的买卖合同，即可论证其行为无罪；若被告人是根据其与肯德基签订的买卖合同行事，也可以间接论证其并无欺骗行为，不符合诈骗罪的构成要件。因此，对被告人与肯德基签订的买卖合同进行必要的分析是不可或缺的步骤。

由判决可知，徐某是假装购买兑换劵，再取消已生成订单，并从微信平台索取退款，此时肯德基小程序仍然会正常出劵。实际上，此类“薅羊毛”行为在日常生活中十分常见，例如“双十一”期间淘宝商家的满减优惠：购买特定数额或件数的商品，会获得一定优惠。若一买家想要购买的商品少于规定件数，或支付款少于规定额度，就无法获得相应优惠。此时，经验丰富的“剁手党”会故意多买一点，并在获得满减优惠后取消部分商品的订单，或拒收商品，从而在支付较少钱款的前提下享受到满减优惠。当然，日常性并不意味着该行为合法，因为它更可能是因为商家的“大度”或“嫌麻烦”，而且商家很难证明买家主观上是恶意利用规则还是下单后改变购物方案。根据判决书，我们无从得知肯德基小程序是否事先提醒买家：交易必须实际完成才能获得优惠券。但根据私法规则，民事合同的内容不需要事无巨细地形成于文纸面，因为有相当多的“约定”内含于交易习惯，是由合同双方通过默示意思表示完成的。这一理解得到司法实践的印证，在2020年度江苏省消费者权益保护十大典型案例之七——“陈某诉魔炼餐饮店餐饮服务合同纠纷案”中，法院即根据交易习惯或生活常识界定了“优惠券”的性质：经营者承诺的“赠送金额”不等同于订立“赠与合同”，例如“折扣”“满减优惠”“满赠”“优惠券”等，应当于订单取消后退回。回到本案，尽管判决并未详细披露肯德基小程序是否特别声明了优惠券的具体性质，也应当推定该优惠券是建立在前一单合同实际履行完毕的基础上。因此，本案被告人的行为具有民事上的违法性，而这也排除了通过前置法出罪的可能性。

二、该当何罪：人与技术的分离

珠玉在前，本文不再细致讨论被告人的行为是否符合诈骗罪或盗窃罪的构成要件，而是直指争议的核心——“机器能否被骗”。（该教义所谓的“机器”实际上泛指物理性的器械、计算机网路系统等一切独立于自然人的识别程序。）

（一）观点对立及其教义基础

认为机器/系统/程序不能被骗的学者认为，诈骗是人与人的“沟通”，即便是“三角诈骗”也需要有欺骗的人和被骗的人，因此该罪的构造不能排除人与人的“沟通”，其教义上的体现是“认识错误”和“处分意识”。由于机器/系统/程序不具有人的意识，也就不具有“沟通”能力，更不会有专属于人类的“认识错误”或“处分意识”。在本案中，坚持这一立场的观点认为，被告人只是完成肯德基小程序的固定流程，全程未和肯德基这一法人单位或其内部的自然人成员有沟通交流，所以不构成诈骗罪。反对观点则认为，一律否认“机器可以被骗”不符合实际，因为机器/系统/程序实际上承载了人的意志。在本案中，小程序事实上承载了肯德基店家的意思设定，其本质是店家将自己的意思内容设置为固定的交易程序，并让其自动运行，以自动识别客户是否实际完成前一单交易，再决定是否给予其优惠券。如果客户绕过程序审核，就是绕过店家的识别程序，实际上是偷偷违反了与肯德基的约定，使肯德基产生认识错误。可见，两种对立观点的教义基础是“机器能否被骗”的立场选择，而且两种立场都有其合理之处。

（二）“机器（不）能被骗”的证伪

本文则认为，“机器能否被骗”不能够作为区分诈骗罪与盗窃罪的教义基础，这不仅是因为该标准的操作性不强，还是因为在信息网络技术高度发达的社会，人的表达和行动越来越离不开自动化的机器辅助，“机器可以被骗”和“机器不能被骗”的命题难以真实地再现社会生活，因为“人与机器”的简单二分已经不可能。

针对“机器不能被骗”的立场，以下例子能够给予有效反驳。【案例1】某大型购物中心，一楼放置着数台无人看管的“街机”，顾客能够自助购买游戏币并投币使用。甲自制圆形金属币投入使用，“免费”畅玩一年。

【案例2】某大型购物中心的娱乐区，数名自然人直接管理一批“街机”。甲经常假装购买少量游戏币，并在管理人的眼皮底下偷偷使用自制的圆形金属币，畅玩一年。如果认可“机器不能被骗”，就意味着【案例1】中的甲无法欺骗“街机”本身，只能构成盗窃罪（犯罪对象是财产性利益）；【案例2】中，由于甲使用“街机”需要通过“街机”本身和管理人员两道审核，于是构成诈骗罪（犯罪对象是财产性利益）。在这两个案例中，仅仅因为街机有/无自然人看管便得出不同的评价结论，具有极大的偶然性，也强行区别了同类行为。

针对“机器可以被骗”的立场，以下例子也能够给予有效反驳。

【案例3】甲潜入乙家，找到其保险箱，撬开机械密码锁，取走大量钱款。

【案例4】甲潜入乙家，找到其保险箱，通过模仿乙的声音破解保险箱上的声控密码锁，取走大量钱款。【案例5】甲潜入乙家，找到其保险箱，破解字符密码、声控、人脸识别三道防盗装置，取走大量钱款。【案例6】甲偷偷登录乙的支付宝账户，转走大量钱款。

（参见：浙江省宁波市海曙区人民法院刑事判决书（2015）甬海刑初字第392号、浙江省宁波市中级人民法院刑事裁定书（2015）浙甬刑二终字第497号。）

“机器可以被骗”的立场源于“机器承载人的意志”，但“机器可以被骗”的立场显然不愿意反推出另一结论：只要承载了人的意志，“机器”就可以被骗。因为一旦承认后一逻辑，【案例3】【案例4】【案例5】【案例6】都会构成诈骗罪，这会导致诈骗罪的适用范围无限膨胀，也会导致裁判结论违背法感情和常识性认知，因为任何一台含有财物属性的“机器”都体现着所有人/占有人的限制性管领，也都附带了财物管领着预设的“处分识别程序”。例如，当被害人将财物放在包里，本身就表明只有其本人打开包才能取走财物。若行为人顶替被害人，擅自打开包并取走财物，也违背了被害人事先预设的“处分识别程序”。更重要的是，即便认为包裹太过简单，不能承载人的意志，也无法回答：究竟复杂到何种程度的“机器”才具有被骗的“资格”？

（三）以人对技术的支配力区别诈骗和盗窃

通过以上分析，本文试图否定“机器（不）能被骗”的提问方式，但本文部分肯定“机器不能被骗”的常识性立场，因为该命题指向的是，当行为人掌握了技术环节，利用其漏洞支配了犯罪结果的发生，就已经无法用“诈骗”一词来概括了。

通常认为，诈骗行为的核心特征是，行为人与有财物处分权的占有人之间存在“沟通”和“交流”，否则谈不上有人“受骗”，也就谈不上有人诈骗。但是，如上文所指出的，这一概括忽略了人与人的交流不能排除交流媒介，而后现代社会正是遍布机器媒介的时代，其中就包括人暂时性离场的交流方式，例如邮箱的自动回复、自动处理买家缔约指令的APP。即便是非网络化的环境，行为人暂时性离场的交流方式也不胜枚举，例如处理行政事务的办公室工作人员，经常会在门上贴条：工作时间不用敲门，直接进入。回到本案，肯德基小程序实际上也是商家意志的体现，因为商家通过这一小程序审查顾客是否真正完成前一单交易，只是这一审查步骤由人工变成了程序，肯德基的工作人员也暂时性离场。

可见，“沟通”与否已经不能准确区分诈骗行为和盗窃行为。因之，本文尝试提出另一教义——人对技术的支配，以专门应对网络犯罪的解释困难。诈骗罪不可或缺的要件是受骗之人产生意志错误，而这建立在一个前提上，即受骗之人本可以/可能避免陷入错误认识。这也是为何欺骗幼童交出手里的钱财应当是盗窃罪而不是诈骗罪，因为幼童被推定为没有识别能力，财物转移的事实完全由行为人支配。同理，具体到本案，因为行为人已经知道肯德基小程序的漏洞，且屡试不爽。与此同时，肯德基及其内部工作人员已经不可能通过事先设定的识别程序阻拦被告人转移财物的行为。因此，被告人已经支配了整个技术流程，其行为导向的财物转移结果是确定的，应当构成盗窃罪而不是诈骗罪。

机器识别程序只向符合特定条件的行为人转移财物，区分盗窃和诈骗行为的关键是机器识别程序是否还能奏效。若行为人完全利用固定流程，或利用输出确定结果的程序漏洞，那么该识别程序已经完全被行为人支配。最终的效果就是，行为人破解人脸识别系统、输入密码、用撬棍撬开保险箱没有本质区别，正如行为人利用肯德基小程序的设计漏洞获得优惠券和在肯德基偷走纸质优惠券一样，没有本质区别。换言之，无论机器有多复杂，当人已经彻底支配识别程序，再将机器人格化就会失去意义，也不符合事实。综上，支配力标准的简单表达是：当具有财物处分权的自然人暂时性离场，行为人对机器识别程序有完全的支配力，那么其对行为的意思设定就能导向确定的结果，此时行为人不可能构成诈骗罪。

这一常识性立场在《刑法》和司法解释中都有体现，例如最高人民法院指导案例27号即有“屏蔽技术干扰”的倾向。裁判认为，行为人利用信息网络，诱骗他人点击虚假链接而实际上通过预先植入的计算机程序窃取他人财物构成犯罪的，应当以盗窃罪定罪处罚（事实1）；行为人虚构可供交易的商品或者服务，欺骗他人为支付货款点击付款链接而获取财物构成犯罪的，应当以诈骗罪定罪处罚（事实2）。“诱骗他人点击虚假链接而实际上通过预先植入的计算机程序窃取他人财物”实际上是行为人预设了确定的技术流程，而该技术流程导向的法益侵害结果（财物转移）完全处于行为人的支配之下，应当完整归属于行为人，所以不可能构成诈骗罪。《刑法》第196条规定,盗窃信用卡并使用的,依照盗窃罪的规定定罪处罚。根据支配力标准，银行与接受信用卡支付的商家预设了一个确定的支付流程，对于信用卡的使用者来说，只要其“解锁”支付流程即可。因此，当行为人盗窃信用卡并使用，其“使用成功”是在其支配之下的必然结果，不应当根据对人或对机器使用而有评价上的差别。支配力标准和“机器可以被骗”导向相反的实践效果——诈骗罪萎缩、盗窃罪膨胀。本案中，行为人利用肯德基小程序的漏洞，对犯罪结果具有绝对支配力，是以不为人知的方式将肯德基的财物（财产性利益）占为己有，构成盗窃罪。

余昌安:中国人民大学法学院刑法学硕士

近日来，“肯德基薅羊毛案”引起了刑法学人的广泛关注。该种类型案件的案情并不算复杂：被告人利用肯德基App客户端和微信客户端自助点餐系统存在数据不同步的漏洞，先后通过不同客户端的待支付、退款、重新获取等一系列线上操作，免费套取“兑换券”和“取餐码”，进而兑换相应的套餐，由此使得店家遭受财产损失。对于这一类案件，司法实务多论以诈骗罪，也有少数案例判处盗窃罪。从既有学友们的讨论来看，大致可以分为诈骗罪肯定说和诈骗罪否定说(主要体现为盗窃罪说，此外还有侵占罪说、无罪说等主张)这两种代表性观点。我认为，行为人构成盗窃罪，以下就此展开简要的思考：

基于以上可以发现，“肯德基薅羊毛案”主要存在诈骗罪和盗窃罪的争议，囿于篇幅所限，接下来仅论证行为人的行为构成诈骗罪还是盗窃罪。我国《刑法》第266条以简单罪状的形式规定了诈骗罪，与之相近似，第264条盗窃罪同样体现为较为粗疏的实定法规定，因此，盗窃罪和诈骗罪的法律适用更多地依赖于刑事司法解释、指导性案例以及刑法教义学的填充。而在数字时代的新背景下，二者的界限趋于模糊化，就一些“界限”案例的定性而言，令实务人员颇感棘手，“肯德基薅羊毛案”即是显例。可以注意到的是，尽管刑法典为盗窃罪和诈骗罪配置了相同梯度、刑度的法定刑，但由于刑事司法解释为二者设置了不同的入罪门槛、升档量刑门槛(尽管从理论上说，司法解释充其量只是刑法典的脚注；但考虑到刑事司法实践的运行状态是“依法办案=依法律和司法解释办案”，因此有必要对刑事司法解释予以高度重视)，即后者的入罪门槛、升档量刑门槛比前者高，因此，定性为盗窃罪或者是诈骗罪可能会对被告人产生不同的法律效果，讨论“肯德基薅羊毛案”的罪与罚有其必要性。我初步认为，之所以司法解释将诈骗罪的罪量要求设置较盗窃罪高，缘由在于：与盗窃罪不同，在诈骗罪中被害人的知情程度更高，刑法对诈骗中被害人角色提出了更高的谨慎行事期待，但被害人在掌握更多财产处分决策信息的情况下仍然执意作出财产处分，在作出具体的财产处分决策时存在一定的过错。鉴于此，刑事司法解释制定者在分配刑罚的时候作出了更有利于诈骗罪行为人的规定（相较于盗窃罪而言）。也正是基于这个原因，在刑法理论上通常认为，盗窃罪和诈骗罪的关键区别在于诈骗罪具有处分行为和处分意识。

回到“肯德基薅羊毛案”的具体案情中，行为人利用系统漏洞，进行线上操作而获得取餐码，然后利用这个取餐码从前台店员处取餐。在作案全程，无论是店员还是作为组织体的店家都对行为人的举动不知情，并没有掌控更多的财产处分基础信息，并不契合诈骗罪的沟通交往型犯罪本质。进言之，店员和店家在收到取餐码之后给予套餐，其并不存在任何过错，并没有辜负刑法对其谨慎行事的要求。因为店员本来就只需要对顾客进行形式审查、不进行实质审查，“见索即付”是常规操作。因此，追溯源头行为，刑法评价的重点应在于之前行为人利用平台漏洞不当获取取餐码的行为。由此来看，徐汇法院判决认为行为人欺骗的是“机器”背后的人，可能就存在疑问。那么能否认为受骗的就是机器呢？我比较倾向于机器不能被骗，理由主要在于，在弱人工智能时代的当下，机器就相当于一只智力约等于5-7岁小孩的狗（科学实验证明，狗具有一定的人类智力，很多狗可以达到5-7岁小孩的智力），假设行为人“欺骗”这只狗去拿取自己主人家的贵重财物，几乎所有人都会一致认为该行为人构成盗窃罪。是故，应认为机器不能被骗，由此来维持刑法学问题结论的协调性和一致性。

此外，也有论者以预设同意理论来论证行为人的上述行为符合机器预设的程序，因而并没有违背被害人的意志，难以说得上是打破占有，进而否定了盗窃罪的成立、肯定了诈骗罪的成立。应当说，笔者并不赞成该论者的观点。的确，刑法学理上一般认为，盗窃罪是违背被害人意志而取得被害人财物，诈骗罪是基于被害人意思瑕疵而取得被害人财物；然而，深究起来，诈骗罪中行为人取得财物也是违反被害人意志的，按照该论者所言，在薅羊毛案中，由于行为人的行为并未违反被害人的意志，自然也不应成立诈骗罪。显然，该论者的观点并不完全站得住脚。在我看来，在肯德基薅羊毛案中，行为人通过发起虚假交易获取退券退款的行为，虽然带有骗的成分，但并不意味着就此必须认定为诈骗罪。这种行为其实就是行为人利用系统漏洞，抽象地使店员、被害店家陷入行为错误中，操纵被害店家给付财物，完全可以在规范上评价为“打破占有——建立新的占有”的盗窃罪结构。综上所述，行为人构成盗窃罪，而非诈骗罪。

最后，或许可以进一步作引申思考的是，澎湃新闻6月9日报道的“恶意投诉获利案”【大致案情是：朱某利用某打车软件的系统漏洞，通过帮其他用户投诉获取代金券再返利给他的方式，恶意投诉网约车司机，获利近8000元】应如何定性呢，这与肯德基薅羊毛案有何相似和不同之处呢，是否还应认定为盗窃罪呢，这一连串问题留待我们后续思考。

邹宏建：华东政法大学刑事法学院刑法学硕士

一、引言

对于徐某薅肯德基羊毛案，法院认为，一方面，被告人利用系统的数据不同步，而非系统本身发生的机械故障或者缺陷来实施犯罪，不构成盗窃罪；另一方面，其隐瞒已下单的事实，使得“机器”背后的“人”产生了认识错误，行为存在欺骗性，因而构成诈骗罪。（参见上海市徐汇区人民法院（2019）沪0104刑初1045号一审刑事判决书。）本文认为，本案的判决理由有待商榷，主要理由在于，隐瞒已下单的事实并不属于诈骗行为。对此，下文拟就该案中是否存在诈骗罪意义上的欺骗行为进行探讨。

在探讨之前，需要明确的问题是，本案的行为对象究竟是所退款项还是优惠券。因为在笔者看来，行为对象的不同会影响到行为的定性。在对象为优惠券的场合，可以认为，行为人实施了不作为的诈骗；若对象为所退款项，则不能认为存在诈骗行为。而判断这一问题的关键在于，是何种数据传输存在延迟。如果是优惠券的使用数据传输存在延迟，那么行为对象是退款，而如果是退款数据传输延迟的话，则行为对象是优惠券。根据笔者的亲身实践，在下定订单之后，处于使用状态的优惠券是无法被退掉的。这也就意味着，该案中，行为人是利用了优惠券使用数据的传输延迟而不当获利，行为对象为退款。在此基础上，下文将证立，该案中不存在欺骗行为。

欺骗行为通常包括三种形式，即明示地作出与事实不符的虚假陈述（明示诈骗）、以积极的行为默示地作出虚假陈述（默示诈骗）以及以不作为的方式进行诈骗即隐瞒真相。本文认为，薅羊毛案中，行为人未实施明示的欺骗。而默示的欺骗与不作为的诈骗又十分难以区分，例如，德国学者拉克纳认为，“默示欺骗和不作为欺骗只是一个硬币的两面”。也如，虽然主流观点认为无钱食宿属于默示欺骗，但一种有力的观点也认为其属于不作为犯罪。因此，本文将在不界分本案的行为究竟属于默示欺诈还是不作为诈骗的基础上论证：其一，行为人申请退款的行为不属于默示的虚假陈述；其二，行为人并不具有说明义务或居于保证人地位，不成立不作为诈骗。

二、行为人未实施默示欺骗

一方面，默示诈骗要求，以社会一般观念判断，行为人的举动中暗含着对事实的虚构与歪曲。以无钱食宿为例，认为无钱食宿属于默示的诈骗的理由在于，行为人的举止向被害人表明，其有支付餐饮费的能力和意愿，而这显然是对事实的歪曲。在本案中，申请退款这种默示行为并不存在对事实的歪曲。因为既然在行为人申请退款时，优惠券在客户端中显示为能够被退款的状态，那么行为人通过申请退款所作出的事实陈述便与这一客观真实情况相一致，因而其申请退款的行为并没有成立默示诈骗的空间。

另一方面，从客观归属的角度来看，薅羊毛案中，在事实因果关系层面，平台的所谓的认识错误并非是由行为人申请退款的行为造成的，而是源于系统数据传输的延迟。换言之，即便行为人不申请退款，平台也默认了处在被使用状态的优惠券的存在，平台的错误认识与行为人申请退款的行为之间不存在因果关系。而在规范层面，可以认为数据传输的延迟属于被害人的典型过错（法益侵害的危险情势很大程度上是由平台自己所引起），故对被害人加以保护可能会超出诈骗罪的规范保护目的范围。总之，在该案中，行为人只是利用了系统数据的传输延迟，并没有引起平台的认识错误，也未对之加以强化，不能被认定为默示的欺骗。

三、行为人不属于不作为诈骗中的保证人

排除默示诈骗之后，还需要进一步考虑行为人是否成立不作为的诈骗。所谓不作为诈骗，指的是行为人在负有重要事实的说明义务时却没有履行该义务的情况。此外，并不是所谓违反一般说明义务的情况都可以成立不作为诈骗，而只有在该说明义务是一项保证人义务时才能成立不作为诈骗。因此，在不作为诈骗的检验中，行为人是否对平台的财产居于保证人地位就成为了关键的问题。

首先，需要考察本案中是否存在基于合同关系产生保证人地位的可能性。应当认为，在这种类型的合同中，行为人与平台之间并没有特殊的信赖关系。而按照合同约定，是否是有权申请退款的人，是由发放退款的平台进行审核的，其对真相的认识不依赖于行为人（从申请退款这一交易情境之中推导出行为人有权退款，属于平台的风险管辖范围，并不属于行为人。）。即便是无权限受领退款的人，其也可以实施申请退款的行为，并不具有特殊的告知义务。因此，基于合同关系，不足以产生保证人地位。其次，关于民法中的诚实信用原则能否成为保证人义务的来源，尚存争议。本文支持否定说的观点，主要原因在于，如果认为该原则能够成为义务的来源，鉴于等价性的判断标准又如此模糊，这会导致诈骗罪的成立范围过于宽广，故不能基于对于诚实信用义务的违反而认为行为人具有保证人地位。最后，平台认为优惠券还存在是由系统数据传输延迟造成的，因此行为人也就没有参与到制造因为误认优惠券存在而产生的风险之中。行为人只是在事后发现了因系统数据传输延迟而发生的危险状况，并通过自己的申请退款的行为利用了这一危险。因其不是危险的制造者而只是危险的利用者，因而排除了基于制造危险状态而产生的保证人地位。

总之，该案中并不存在欺骗行为，行为人不构成诈骗罪。如果将侵占罪作为财产犯罪的兜底罪名，对脱离占有物进行扩大解释的话，可以考虑认定为侵占罪。

江淑娟：华东政法大学刑事法学院刑法学硕士研究生

一、徐某的行为不构成诈骗罪

构成诈骗罪，要求行为人先实施“骗”这一行为，使被害人陷入错误认识，被害人基于错误认识处分了财物，行为人最终获得财物。笔者认为，本案中徐某的行为与诈骗罪类型化的构成要件没有形成一一对应的关系，在事实与规范的映射之间存有一定的缺口，这一缺口就是机器不能成为诈骗罪的对象，因此对徐某以诈骗罪论处的理由依据是不充分的。

（一）设定好的程序没有“自由意志”

机器只有规则，没有意识。机器不具有自然人一般的自由意志，因此机器不会陷入错误认识。诸如ATM机和计算机终端系统，都是由程序设计者提前设定好程序运作的。认为欺骗机器就是欺骗设计者的观点是说不通的。从哲学角度看，客观物映射到大脑中，大脑的对此的反映便是意识，自然人的意识可以随时发生变化，但机器并非如此。符合规则与不符合规则的结果都早已设定好，机器的“意志”无法与顾客实时互动。如果认为机器有意识，那机器产生意识的时点便是设计时，这与机器投入使用相隔很长一段时间，机器根本不具备将客观的物随时映射到程序中作出不同反映的能力。诚然，肯德基的店员也只认规则，但是顾客与店员的互动是实时的，店员可以随时根据顾客的行为作出反映。就此来看，机器是没有“自由意志”的。

（二）程序设计者不会设计“瑕疵意志”

正是由于运行的程序都是早早设计好的，因此徐某才能够利用两边系统不同步的时间差实施犯罪。徐某下单、退券、支付这一系列操作在肯德基的系统中都有设定好的结果。机器与自然人最大的不同是，机器只有两种状态：“有效”或“无效”。简言之，只要承认机器是人设计的，而设计者不会给机器设计“瑕疵意志”，故机器就无法产生瑕疵意志。试想，如果机器真的能被骗，为什么还要自然人来处理这个漏洞呢？

二、徐某的行为不构成盗窃罪

关于盗窃罪的争议很多，本案主要涉及到“转移占有”这一行为方式的认定。

（一）“转移占有”的规范分析

除了侵占罪是变占有为所有之外，取得型财产犯罪多以“转移占有”为要件。以“转移占有”这个概念为中心，不同的转移方式对应不同的罪名。如诈骗罪是以欺骗手段转移占有，盗窃罪是以违背对方意志的方式转移占有。“转移占有”即被害人失去了对财物的占有，而行为人取得了对财物的占有，“转移占有”的前提是被害人占有着财物。换句话说，行为人窃取的必须是已经存在的东西，才有“转移占有”一说。盗窃罪的既遂最终表现为财物的占有者发生变化。

以偷换二维码案为例。行为人将自己的账户二维码覆盖在商家的二维码之上，顾客付账时也没有多问，直接扫码将钱款转到行为人的账户。行为人的这一行为究竟是“盗窃”还是“诈骗”，在当时引起很大争议。赞同“诈骗罪”的观点认为，行为人覆盖了商家的二维码是对顾客的欺骗，顾客产生了错误认识。但是此案的特殊之处在于，诈骗对象与被害人不是同一主体，受骗的是顾客，最终遭受财产损失的是商家，即形成了三角诈骗。因为顾客没有过错，商家不可能再要求顾客重新支付钱款，只能向行为人追究责任。赞同“盗窃罪”的观点则认为，此案不是三角诈骗。原因在于，欺骗手段不过是行为的表象，这一行为本质上是将属于商家对顾客的债权转移为自己所有，是窃取债权的行为。

笔者认为，顾客扫码支付表面上处分的是钱款，实际上处分的是对银行的债权。按照正常的交易流程，顾客处分这一债权之后，商家就拥有这一债权，可以对银行实现这一债权。如果认为行为人实施的是盗窃行为，那么行为人窃取的就是顾客本应转移给商家的、对银行的债权，但是按照这个思路会发现，明明商家才是受害人，但是商家对于被转移占有的债权却没有处分权，因为商家自始至终没有取得过这一债权。因此行为人的行为就不符合转移被害人对财物的占有这一要件。

（二）徐某的行为不符合“转移占有”要件

基于前述，笔者认为徐某的行为同样不符合“转移占有”。首先，餐品是店员根据订单自愿交付给徐某的，徐某对餐品并不是窃取所得。其次，本案只涉及到肯德基和徐某两方主体，故徐某不可能窃取他人债权。而且，如果认为徐某的行为导致肯德基免除了其支付餐品对价的债务，即徐某窃取了财产性利益，这也是说不通的。与“无钱食宿”不同，徐某是先在APP上“支付”了订单，肯德基才会提供其餐品的。一般所说的“无钱食宿”，行为人结账时使用欺骗手段使店家暂时放其离开的，才是获取了食、宿这些财产性利益，并且构成诈骗罪。

本案中肯德基只有一个处分行为，那就是根据徐某的订单提供相应的餐品。但这一行为其实在APP内已经完成，店员交付餐品的行为不是真正的处分行为，而是根据APP订单进行的所谓的常规操作。如果认为徐某是在线上交易时窃取了餐品，就更加不可思议了，因为餐品可能还没有做好，又怎么能被窃取呢。如果认为徐某在线上窃取了财产性利益，可是此时徐某还没有享用餐品，也没有获得财产性利益。综上，仅就徐某吃霸王餐的行为而言，这一行为不符合任何罪名的构成要件，该行为无罪。

王元直：山东大学法学院刑法学硕士研究生

与法院判据不同，本文认为行为人此行为应认定为盗窃罪，以下简要分析。

一、法律前提

本案中，凭借最初的判断，行为人可能构成的犯罪为破坏计算机信息系统罪，盗窃罪和诈骗罪。如果行为人构成破坏计算机信息系统罪，与盗窃罪或诈骗罪也应当成立想象竞合犯，在此应先考虑行为人构成盗窃罪还是诈骗罪的问题。

二、案情的解构

将行为人的行为认定为犯罪，则行为人的行为必须符合所认定的犯罪的构成要件，因此有必要将该行为进行解构，判断行为究竟符合何种犯罪的构成要件，以实现构成要件的罪名区分功能。

（一）肯德基的点单模式

本案中，应当先予考虑的是肯德基正常情况下的点单取餐模式。肯德基的正常点单模式为：顾客在应用程序上点单并支付，肯德基收到订单信息并生成订单，订单信息显示在相应门店的点单列表中，工作人员制作订单载明的内容，顾客交付。根据一般的社会理解，餐饮门店在获取订单信息后，双方即达成了买卖（服务）合同，服务商对于是否提供相应餐品及提供餐品的种类没有选择的余地，只能依照顾客的订单信息提供。

（二）行为人的两种行为方式

行为人基于对上述点单模式的熟知，实施了本案的行为。行为人的基本行为方式是（1）通过利用计算机信息系统的漏洞，在点单后未付款的状态下，未使用兑换券却使肯德基的服务器中产生行为人的订单并推送至门店的点单电脑中显示，工作人员再根据显示制作餐品并交付给行为人（或第三人）。（2）行为人在点单后未付款时，对兑换券退款，然后取消订单后获得退回账户的兑换券。两种行为分别造成受害人对餐品或兑换券的损失。

（三）两种情形的犯罪构成分析

在第一种情形之下，行为人在消费的同时退款。通过对前述肯德基点单模式的简述，只要行为人能够使肯德基的数据库中出现其订单信息，就必将获得门店提供的餐食，而工作人员没有决策的能动性，类似于“工具人”一般。也就是说行为人在对兑换券退款后并提交订单使得订单信息在门店的电脑上显示时，就已经完成了犯罪行为，实现了犯罪的既遂。在这种情况之下，整个犯罪活动由行为人利用肯德基的点单系统完成，没有其他人的介入。基于机器不能被骗的理由，犯罪行为不符合诈骗罪的犯罪构成，因此不构成诈骗罪。

行为人通过系统漏洞在没有实际付款的情况之下获得了对方提供的餐食，违背了受害人基于等价交换原则的经营目的，应当认为是违背了对方意志的非法占有行为，符合盗窃罪的构成要件，故此种情形下行为人构成盗窃罪，盗窃的赃物为门店提供餐品的债权（如果认为门店实际提供餐品时才是既遂的话，则盗窃的财物就是门店提供的餐品）。

在第二种情形下，行为人退单返券，实际过程仅有行为人及肯德基系统的参与。同上述情形，也是违背了受害方意志的盗窃行为，而非诈骗，盗窃的赃物是作为财产性利益的兑换券。

三、竞合关系

本案中，行为人的行为可以认为是对肯德基的计算机信息系统中存储的数据做了修改的操作，使该系统中增加了行为人的虚假订单，但行为人造成的损失未超过《计算机案件解释》中规定的“造成经济损失一万元以上的”，不属于破坏计算机信息系统情节严重，因此不构成破坏计算机信息系统罪（如果行为人获利超过5000元，则同时成立破坏计算机信息系统罪）。

如果本案中行为人同时成立破坏计算机信息系统罪，因行为人仅实施了一个破坏计算机信息系统的行为，就同时侵犯了破坏计算机信息系统罪和盗窃罪的保护法益，成立想象竞合犯，应择一重罪按破坏计算机信息系统罪定罪。

四、结语

通过上述分析，本文认为人民法院认孟某某利用肯德基点单系统的漏洞，非法获取肯德基财物的行为构成诈骗罪的判决不当，应当认为该行为符合盗窃罪的犯罪构成，成立盗窃罪。

白婧：刑法学硕士研究生

两案例中行为人“薅羊毛”的行为，可以归纳为以下两种模式：

行为模式一：app客户端购买套餐兑换券→app客户端用券下单（待支付状态）→微信客户端操作兑换券退款→获得退款→取消app客户端订单→获得兑换券

行为模式二：app客户端购买套餐兑换券→app客户端用券下单（待支付状态）→微信客户端操作兑换券退款→获得退款→app客户端支付订单→获得取餐码

两案例中“薅羊毛”的行为定性绕不开对套餐兑换券和取餐码性质的讨论。从行为人将非法获得的套餐产品通过线上交易软件出售予他人非法获利的行为可知，套餐兑换券与取餐码均是可管理、可转移且具有使用价值的财物，具有一定的兑换、提货的功能。两者的区别在于，兑换券是肯德基管理并出售的一种代币产品，本身具有财产价值，属于财物，以非法方式获得兑换券的行为本身就给被害人造成了财产损失；而取餐码本质上属于套餐产品的债权凭证（持有人对肯德基的债权），是一种财产性利益，其价值实现有赖于行为人向肯德基店员出示取餐码和店员形式上的核查与交付行为，但由于取餐码作为一种权利凭证是不记名、不挂失的，店员并不审查持有者的身份与取餐码的获取来源，因此真正的处分行为仍然要追溯到兑换券上。进一步地，兑换券与取餐码虽然存在性质差异，但两者关系紧密，后者可以说是前者的逻辑延伸与自然发展。表面上两种行为模式是一个获得兑换券一个获得取餐码，实际上都是围绕因系统数据不同步导致行为人免费获得一张兑换券展开的，只是行为人处置兑换券的方式有所不同。模式一中行为人没有使用免费的兑换券，只是单纯地持有；模式二中行为人实现了兑换券的代币功能，下单支付并获得取餐码。因此，对案例中徐某与孟某的行为定性应当主要围绕行为人获取兑换券的行为方式展开分析。

笔者认为两案例中诈骗罪的定性是值得商榷的。

其一，行为人没有实施欺骗行为。就像成文法不得不接受法律的滞后性一样，规则的制定和系统的运行也要直面漏洞伴生的风险。既然肯德基支持同一账号多客户端同时在线，就应当允许用户在一客户端下单，在另一客户端退款，不能因为两客户端之间数据衔接不畅造成既返券又退款就将损失归咎于用户。进言之，系统漏洞客观存在于下单又退款的行为之前，而非下单又退款行为的结果。不能将行为人发现系统漏洞却不告知定性为“隐瞒真相”式的欺骗，因为行为人没有告知的法定义务。

其二，系统并未因行为人的行为陷入认识错误，且其处分行为也不是出于认识错误。系统接收到“兑换券退款”的请求，运行“退款”程序恰好说明了系统的运行程序没有陷入错误，唯一的错误仅在于系统与系统之间未能实现数据的及时同步，而这一错误也并非行为人造成的。换言之，系统识别退款请求自动退款符合微信客户端系统的运行程序，行为人取消未支付订单获得返券或者支付订单获得取餐码同样符合app客户端系统的运行程序，行为人并没有实施诸如“植入木马”等破坏系统运行程序，制造系统漏洞，为实施犯罪创造条件的行为。

因此，两案例中行为人的行为不符合诈骗罪的构成要件。笔者认为认定为盗窃罪更为妥当。窃取是以平和手段排除他人占有，建立自己占有的过程。就行为模式一而言，行为人在发现双系统运作存在数据不同步的漏洞后，以非法占有免费兑换券为目的实施恶意购券→退券的行为，利用系统漏洞实现返券又返款，由于兑换券本身具有财产价值，行为人就该兑换券成立盗窃罪。这种利用系统漏洞制造的犯罪便利条件实施盗窃的行为与利用地震造成权利人伤亡的局面“顺手牵羊”的行为具有相同的实现机理。值得追问的是，对于行为模式二中行为人持非法获得的取餐码获得套餐产品的行为是否构成诈骗罪。如前所述，店员对取餐码只做符合性的形式审查，并不关心持有者的身份与取餐码的来源，使用取餐码是使用兑换券的自然延伸，行为人没有实施新的犯罪行为，使用取餐码的行为性质本质上仍然没有脱离前盗窃（兑换券）行为的逻辑链条，难以构成新的诈骗犯罪。

彭奕：西北政法大学刑事法学院21级硕士研究生（拟录取）

归结本案事实，分析共得三类行为：（1）利用系统漏洞获取兑换券、取货码与货款。（2）出售套餐取货码以牟利。（3）传授他人利用系统漏洞的方法以牟利。

如果行为（1）构成犯罪，则行为（3）构成传授犯罪方法罪，行为（2）系财产犯罪中不可罚的事后行为自不必待言。故争议的核心应在行为（1）的性质，现分析如下。

结论：利用系统漏洞获取兑换券、取款码与货款的行为应认定为盗窃罪，而非诈骗罪。

首先，盗窃罪意指秘密窃取他人财物或以平和手段窃取他人财物，数额较大的行为。诈骗罪一般而言存在固定的行为模式即：行为人实施欺骗行为—受害人陷入或维持认识错误—受害人基于认识错误处分财物—行为人取得财物—被害人遭受财产损失。一般认为，两罪核心区别有二：其一、盗窃罪是行为人破坏被害人对财物的占有，而诈骗罪是被害人陷入认识错误处分财物与行为人。故而被害人是否陷入认识错误并基于该错误处分财物是两罪一大分水岭。其二、盗窃罪的犯罪对象是以有体物为主的财物，而诈骗罪犯罪对象则是既包括财物也包括财产性利益。

其次，结合案情与两罪区别，上述第一类行为直接指向信息系统，而“机器不能被骗”，所以第一类行为不应构成诈骗。所谓“机器不能被骗”系结论而非理由，其合理性仍需说明。第一、“机器不能被骗”符合现实中机器的运作逻辑。诈骗罪的具体流程中被害人陷入认识错误系必要部分，而机器与人不同，在弱人工智能及其以前时代，机器与人不同不具有深度学习、自主思考的主观能动性，仅仅是遵循预先设定的程序而工作，既然连认识能力都不存在又何谈认识错误。第二、“机器不能被骗”符合我国盗窃诈骗两罪的相关规定。在我国盗窃罪与诈骗罪在刑法条文中规定的法定刑相同，但盗窃罪入罪的数额门槛为1000元，诈骗罪入罪的数额门槛为3000元。这其实证明了我国对于盗窃罪的惩罚要重于诈骗罪。究其缘由，诈骗罪中受害人疏忽轻信行为对于最终损害结果的发生有所贡献，而盗窃罪系行为人对被害人占有财物的转移。两罪之中，被害人行为的不同决定了，盗窃罪的不法实质上重于诈骗罪，区别即在于被害人是否存在疏忽轻信行为。而如前所述当前的信息系统作为广义的机器之一，根本不具有自由意志，谈何疏忽轻信。第三、坚持“机器不能被骗”有利于实践中二者的区分。如果否认“机器不能被骗”会导致大量的盗窃罪被认定为诈骗罪，最终导致诈骗罪的过度膨胀。例如，在使用万能钥匙打开保险柜的场合，可以认为万能钥匙骗过了保险柜。如此一来会导致在司法实践中，诈骗罪过多膨胀而盗窃罪陷于萎缩。

最后，第一类行为可以认定为盗窃罪，且应该认可财产利益盗窃。行为人利用系统的漏洞，获取相关财物。在行为层面，无论是传统的秘密窃取说还是新近的平和转移占有说，其行为都可以与之相符。问题的症结在于兑换券、取餐码与返回的货款是否属于盗窃罪的适格对象。第一、兑换券与取餐码系不记名债券，属于盗窃罪的适格对象。2013年最高人民法院与最高人民检察院的《关于办理盗窃刑事案件适用法律若干问题的解释》中将有价支付凭据分为不记名与记名两类，前者按照票面数额、孳息等计算盗窃数额，后者则按照兑现的数额计算。也即前者是物权凭证而后者是债权凭证，前者可以成为盗窃罪的适格犯罪对象。以上案例中兑换券与取款码可以在网上出售，显然属于不记名的物价证券，可以成为盗窃罪的适格对象。故非法获取兑换券和取餐码的行为认定为盗窃并无不妥。第二、返还货款是在线上支付平台完成的转账，实际上是将行为人对支付平台的债权返还。这里的货款事实上是财产性利益。而财产性利益是否可以成为盗窃罪的对象存在争议，但应于承认。原因在于占有的规范性要素补充了事实占有的不足，使得对占有财产性利益并非无稽之谈。车浩老师认为对于财产性利益缺乏事实上的支配可能性故而不应承认，但其实在生活中，承认远离主人的信鸽、遗忘在车辆上的财物仍然可以为主人所占有，就是承认了占有具有规范性的一面可以补充事实性一面的不足，因而不能以难以对财产性利益进行事实上的支配就否定其可以被占有。故张明楷老师所主张的观点——“财产性利益的盗窃，也要求一种占有的转移，这与财物盗窃是完全等同。”更为合理。

冯楠：绍兴市新昌县某局公职律师

一、利用系统漏洞“薅羊毛”行为的分析

法院裁判认为徐某以非法占有为目的，进行虚假交易，行为存在欺骗性，进而非法获取财物的行为构成诈骗罪。

其实，综观本案中徐某的行为，其虽然有两种不同的方式，且这些方式均存在着欺骗性质。但是其行为的本质均是通过手机APP程序联通肯德基的自动售卖程序，都是在对机器实施“欺骗”行为，所以本案的关键点仍然是机器能否被欺骗的问题。

对于该问题存在两种观点，一是机器可以被骗，且在2008年得到了最高检批复的支持；二是张明楷教授机器不可以被骗的观点。笔者赞成张明楷教授的观点。因为从目前的技术发展来看，这种经电脑程序编程后的机器可以认定为弱人工智能。但是弱人工智能并没有辨认意识和控制意识，并不会产生自我意识，仍然只能执行人类预先赋予的程序，其本质上还只是推理运算的机器，只能依据人类预先设定的程序、指令等帮助人类解决一些问题而已。所以，弱人工智能并不会因为人类的欺骗而陷入错误认识，继而在错误认识下处分财产。如果说对这种弱人工智能产品的欺骗就是对其后面开发者的欺骗，那其实在理论上也是存在缺陷的。因为一旦开发者生产出弱人工智能产品交付使用后，其实是两个不同的实体，当行为人在“欺骗”弱人工智能产品时，开发者又怎么会知道呢？开发者根本不知道有人在欺骗他，又怎么说明开发者会因为欺骗而陷入错误认识，继而作出财产处分行为呢？

而到了强人工智能时代，强人工智能产品就具有了自我意识，不但能够执行人类事先赋予的程序，还能在程序外产生智能，即再生智能。打个比方，就如同电影《终结者》里施瓦辛格饰演的机器人，就可以认定为强人工智能产品，其觉醒了自我意识，这样理论上就存在了可以被欺骗的可能。

因此，笔者认为徐某的行为虽然存在着欺骗性质，但是基于目前技术发展的局限性，至少在现阶段应该坚守机器不能被骗的观点，所以徐某的行为不能认定为诈骗罪，应认定为盗窃罪。

二、对本案受损财产的分析

本案中无论是兑换券，还是取餐码，都是具有价值的——可以拿来消费用的，如果徐某只是单纯的占有上述兑换券或取餐码，那么对肯德基公司来说并没有产生任何损失，因为这些兑换券和取餐码本来就是让渡给消费者占有的。但是徐某在占有兑换券和取餐码之后，不当的实施了点餐消费的行为，凭空的消费了肯德基的食物，此时便产生了对法益的侵害。

徐某利用了系统的漏洞，免除了其本应该支付给肯德基公司的债务——消费食物产生的费用。而这种被徐某利用非法手段免除掉的债务在理论上可以被认定为财产性利益。对于肯德基公司来说，当其在把食物转移给徐某后，就享有了基于合同产生的对徐某的债权请求权，徐某本应当履行支付相应费用的义务，但是因为徐某之前利用系统漏洞在没有支付相应价钱下不当的占有兑换券和取餐码，并利用这些兑换券或取餐码消费了食物，实际上就是免除了徐某应该支付货款的义务。

于是，肯德基公司失去的债权请求权和徐某不当免除的支付义务符合了素材同一性原理。同时肯德基公司失去的利益和徐某不当获得的利益之间也符合盗窃罪中的零和关系。

综上，笔者认为肯德基公司受到的损失即为上述财产性利益——对徐某的债权请求权，当然最后这些债权请求权都是可以用金钱量化的。至于徐某后来还实施了传授犯罪方法的行为，笔者也认为其该行为构成传授犯罪方法罪。

主持人袁玉杰：从以上学友的观点中我们可以看到，即便在诈骗罪否定说的内部，也存在盗窃罪、侵占罪乃至无罪的观点争鸣。这或许就是刑法学的魅力之所在吧，不在于追求“唯一解”，而是结论的相对合理性。

非常感谢各位学友的智慧奉献以及对沙龙活动的大力支持！学术研习，贵在探讨。希望大家在此过程中都能劳有所收获，也诚挚期盼各位以及对此感兴趣的读者继续关注、支持《刑法问题研究》！再次向大家表达衷心的谢意和祝福，我们下期沙龙再会！

（本文转自"刑法问题研究"公号，经作者授权转发）