黑灰产领域中的羊毛党“薅羊毛”行为存在的刑事风险有哪些?
一、“拼多多”事件背后黑灰产领域中的“薅羊毛”行为
日前,拼多多惨遭“黑灰产”薅羊毛,一时间把羊毛党的黑灰色产业带入大众视野。2019年1月20日,拼多多平台系统出现漏洞,用户可随意领取100元无门槛优惠券,充值话费、Q币,导致大批羊毛党涌现。10小时后,拼多多修复漏洞、作出回应并下架优惠券、叫停商家发货、通过后台操作单方面强制退款,但损失或达千万元。此事暴露出拼多多在风控管理上的巨大漏洞,却并非孤例,此前腾讯和东方航空也曾分别为“0.2元开通VIP”和“0.4折白菜机票”的系统BUG买单,这不仅给互联网企业敲了个警钟,还引起公众对羊毛党“薅羊毛”行为的关注。
所谓羊毛党即黑灰产业者,是指通过电信诈骗、钓鱼网站、木马病毒、黑客勒索等方式利用网络开展违法犯罪活动的人。不同的是,在黑灰产领域中“黑产”指的是直接触犯国家法律的网络犯罪,“灰产”则是游走在法律边缘,为“黑产”提供辅助的争议行为。黑灰产共有四种类型:虚假账号注册等源头性黑灰产;用于进行非法交易、交流的平台;木马植入、钓鱼网站、各类恶意软件等;大多以恶意注册、虚假认证、盗号等形式实现的网络黑账号。
那么在这次羊毛党利用拼多多出现重大BUG恶意“薅羊毛”的事件中,关于羊毛党“薅羊毛”的行为应如何定性?存在哪些刑事风险?
二、羊毛党可能涉嫌诈骗罪
一般来说,羊毛党采取群控软件+改码软件的手段,不断刷新移动设备的Mac地址,IMEI等手段,把原有设备伪造成N多新的设备,绕过中小平台的风控策略,以获得电商平台的优惠券或者以超低价购买平台产品,即使不断出现重复的IP地址、Mac地址、IMEI信息等,但平台上显示的数据却是真实的设备,从而为羊毛党使用的优惠券进行买单,由平台针对商品消费支付真金实银给商家。
不仅羊毛党这种利用平台系统漏洞大量获取优惠券并使用的行为如本次拼多多BUG事件,可能涉嫌诈骗罪,若羊毛党利用系统漏洞以刷单的虚假交易获得平台提供立减金额或对平台信息进行篡改获得提现金额也可构成诈骗罪。《中国刑法》第二百六十六条的规定:“诈骗罪是指以非法占有为目的,用虚构事实或隐瞒真相的方法,骗取数额较大的公私财物的行为。”因此,羊毛党注册虚假账号恶意领取优惠券进行网络交易的行为,主观上具有非法占有的目的,客观上羊毛党是利用隐瞒真相的方法,使平台基于错误认识支配财物,给付优惠券对应的金额给商家,则可构成诈骗罪。
另外,若羊毛党以非法占有为目的采用虚假交易或数据篡改等方式使平台支付金额也可构成诈骗罪。陶晨阳诈骗罪一案正是利用理财网站存在网络漏洞,从他人获得平台注册的账号后,向账户充值小额人民币,再用FD木马软件将金额篡改为人民币数万元后申请提现。而在许杨平、许小文诈骗罪一案中则是利用平台提供立减,由经营的公司承担立减部分的金额,以刷单的虚假交易骗取平台公司数万元款项。以上两个案件审理的法院都认为行为人主观上以非法占有为目的,采取虚构事实、隐瞒真相的方式骗取公私财物,数额巨大,其行为构成诈骗罪。
三、羊毛党可能涉嫌计算机类犯罪,如非法控制计算机信息系统罪/破坏计算机信息系统罪等
在电商行业,对无门槛券的发行是极其重视的,无门槛券相当于现金,不同于有门槛券的满减和折扣券,因此平台发布无门槛券必须配套系列措施限制无门槛券的领取,风控对不同订单中出现同一收货手机号、同一收货地址、同一历史记录、同一IP、同一支付ID、LBS、会员信息等情况严格监控,保证不被相同的人重复领取无门槛券。而拼多多平台之所以在短短数小时内被羊毛党套现巨额无门槛券正是因为缺乏相应的配套措施配置到该无门槛券的使用ID上,以至于羊毛党可以直接用猫池[1]+脚本API[2]批量自动操作领取优惠券,并快速通过Q币、话费充值等高流通性和嬴通性的产品进行变现。
拼多多平台若想追回损失,可以通过数据追溯到羊毛党使用的QQ账号、手机号码并回收账号或者锁号扣费,最重要的是拼多多能否保留足够精准的数据来追溯羊毛党的身份。对于羊毛党来说,不仅面临被平台成功追溯从而要求补偿平台损失的风险,其操作猫池及脚本的行为还可能涉嫌计算机类犯罪,若在拼多多此次事件中,羊毛党就是通过脚本API获取并篡改平台数据从而获得100元无门槛券,则可能构成破坏计算机信息系统罪。
另外,浙江义乌的一个商曾店出现神秘人翻墙入室却并未拿走任何东西的奇怪事件,商店老板通过监控发现神秘人在商店操作电脑后就离去。原来神秘人在电脑中插入一个经过改造的U盘“Bad USB”,里面有可以封闭执行的木马病毒,将其拷贝到电脑后可以远程控制电脑,还可以获取电脑中商家的交易记录、用户真实信息等。若该神秘人通过木马病毒远程控制商店中的电脑,则可能构成非法控制计算机信息系统罪,若其擅自修电脑中的数据则可能构成破坏计算机信息系统罪,若其获取大量真实的用户信息再非法转卖还可能触犯侵犯公民个人信息罪。
从以上案例可以看出,羊毛党可通过在终端植入木马、恶意软件等实现远程操控服务器,并对计算机的数据进行修改,而羊毛党实现“薅羊毛”首先需要操作平台服务器系统获取平台信息,包括商品信息、优惠券信息等为“薅羊毛”提供信息基础,其次通过修改数据如虚假注册或者使用虚假账号大批量领取“无门槛券”、“立减券”、“满减券”等进行购买从而实现“薅羊毛”。针对上述羊毛党的“薅羊毛”行为可能构成非法侵入计算机信息系统罪、非法获取计算机信息系统数据、非法控制计算机信息系统罪以及破坏计算机信息系统罪。
最后,容易忽视的是针对为羊毛党提供技术支持如提供猫池或脚本API的人的行为定性问题。若行为人符合提供专门用于侵入、非法控制计算机信息系统的程序、工具,或者明知他人实施侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具,情节严重的,则构成《中国刑法》第二百八十五条第三款规定的提供侵入、非法控制计算机信息系统程序、工具罪。
四、羊毛党可能涉嫌侵犯公民个人信息罪
实践中,羊毛党常常通过购买账号领取优惠券大批量购买商品或用以在网络平台注册换取首单优惠,这种购买、交换或者网络下载等方式获得他人个人信息的行为是否构成侵犯公民个人信息罪关键在于羊毛党使用他人的身份信息在网上进行交易时是否经过他人的同意。若未经过他人同意,羊毛党主观心态是替他人购买,则会涉及无权代理,若主观上是借他人的名字为自己购买,则不仅针对平台涉及违约,还可能构成侵犯公民个人信息。2019年12月,陕西的程宇维买了200-300个账号,利用每个账号在天虎云商平台领取5张优惠券,将牛奶与花椒凑单,靠半价买到单价60元的牛奶1000多箱,并将花椒全部退货,如此大批量的花椒退货引起平台注意并发现程宇维的“薅羊毛”行为,在天虎云商平台看来,程宇维的行为不仅是单纯的“薅羊毛”可能已经触犯了《合同法》和《刑法》的相关规定,平台支持真实的用户和真实的订单交易,限制一个账号只能领取5张优惠券,程宇维购买的149单中,只有5单是以其本人的名义购买,其他的均以他人手机号注册的非法账号,如果他不能提供经账号所有人出具的授权书,则不能代表手机号的主任购买该批牛奶。最后经过商议,程宇维需要向平台补偿除以其本人名义购买的5单外,其余149单的优惠金额。可见,平台只支持真实用户领取优惠券进行购买,借他人名义为自己购买商品,违反优惠券的使用规则,不仅需要向平台损失进行补偿,而且购买批量账号的行为可能构成侵犯公民个人信息罪。
五、羊毛党涉嫌刑事犯罪的辩护策略
(一)针对被认定为诈骗罪的案件辩护策略
首先,可以考虑主张以构成民事上的“重大误解”撤销优惠券,而非认定为刑事诈骗罪。所谓重大误解,是指一方当事人因自己的过错导致对合同的内容等发生误解而订立了合同。误解直接影响到当事人所应享有的权利和应承担的义务,可以是单方面的误解也可以是双方面的误解,而在重大误解的情况下订立的合同依法可以撤销。针对羊毛党大量获取优惠券大批量购买产品的行为,平台一方可以重大误解进行撤销或追回,除非卖家已经接到通知或明知出现BUG仍然接受优惠券出售商品,否则平台可以要求撤销优惠券使用,追回买方使用优惠券对应的价款,若买方不同意则可以撤销订单。刑事处罚应作为规范社会行为的最后手段,若通过民事途径可以解决,无须再以刑事处以惩罚,否则容易致使羊毛党为“薅羊毛”行为承担过重责任。
其次,可以参考腾讯、东方航空等公司企业对于同类BUG事件的处理方式来进行无罪辩护。此前,腾讯“0.2元开通VIP”、东方航空“0.4折白菜机票”都因出现系统BUG,但上述二者并未选择追回而是自行承担损失,腾讯视频按照系统出现BUG时所有开通VIP的用户实际充值市场完成订单,东方航空则公告表示,系统维护时售出的所有支付成功并已出票的机票全部有效可以正常使用。2019年1月1日起施行的《中华人民共和国电子商务法》第四十九条规定,电子商务经营者发布的商品或者服务信息符合要约条件的,用户选择该商品或者服务并提交订单成功,合同成立。当事人另有约定的,从其约定。电子商务经营者不得以格式条款等方式约定消费者支付价款后合同不成立;格式条款等含有该内容的,其内容无效。实际上,一般情况下羊毛党“薅羊毛”是最大限度地利用平台的优惠政策从而赚取差价或实现套现,是正常的交易行为,其与平台之间的订单是有效的合同,而其他电商平台在明确知道羊毛党“薅羊毛”行为后对于订单仍然认可,腾讯承认用户低价开通的会员、东方航空允许乘客正常使用白菜价机票,天虎云商平台也承认发货卖家的订单,仅对其余非以本人名义购买的订单金额进行追回,这表明,一般情况下,羊毛党“薅羊毛”产生的网络服务订单可受《电子商务法》保护,只有在羊毛党通过非法途径利用非法技术进行“薅羊毛”才达到刑事犯罪标准,因此需要针对羊毛党的具体行为具体分析罪与非罪、此罪与彼罪。
(二)针对被认定为非法控制计算机信息系统罪/非法获取计算机信息系统数据罪/破坏计算机信息系统罪的案件辩护策略
第一,涉案计算机否能够溯源,是否有确实充分的证据证明犯罪行为是行为人所实施。对于非法控制计算机信息系统罪、非法获取计算机信息系统数据罪、破坏计算机信息系统罪而言,是否能够在涉案计算机终端找到证据证明由行为人实施是认定行为人是否构成犯罪的关键。因此,针对羊毛党通过在计算机植入木马、恶意软件进行对计算机数据篡改谋取非法利益或者远程控制计算机的行为是否构成计算机类犯罪,关键在于办案机关及其工作人员能否提供确实充分的证据证明涉案计算机的木马或恶意软件由行为人植入或涉案计算机的数据由行为人获取、删改。只有在从行为人被抓获时其使用的电脑上调取充分证据证明该电脑就是行为人非法控制计算机信息系统或获取计算机信息系统数据或破坏计算机信息系统的源头才可证明行为由行为人实际实施。
第二,涉案软件与被鉴定软件是否属于同一个版本。只有在证明被鉴定软件与案件所涉及的软件属于同一个版本才能够证明被鉴定软件与涉案计算机中被植入的软件相同,同样来源于行为人,并由行为人实际操作,若被鉴定软件与涉案软件不属于同一版本则不能排除涉案软件由其他人植入并实际操控的可能性,不能得出行为人为非法控制计算机信息系统罪或破坏计算机信息系统罪类犯罪行为的唯一结论。
第三,鉴定意见是否具有真实性、合法性、关联性。《刑事诉讼法》第四十二条规定了证据表现形式的七种类型,鉴定意见作为第五种,则对于鉴定意见是否能够作为认定行为人构成犯罪的依据,还需要考察该份鉴定意见是否具备证据三性,即该份鉴定意见是否真实有效,与实际情况是否相符,是否依照法定程序取得,取证主体是否适格、取证方法和程序是否合法,以及该证据与待证事实之间是否具有关联性。
第四,正确认定数量、金额、人次等方面对定罪量刑具有关键作用。针对行为人非法侵入、控制或非法破坏计算机系统的数量、金额及人次的认定问题,首先应审查控方提供的证据与其指控的行为人控制或破坏的数量、涉案金额及人次是否一致,应以行为人被抓获时核实确认的数量、金额、人次为准。在实务中办案机关通常以IP地址来统计非法控制计算机信息系统罪涉案计算机数量,但存在虚假IP地址和实际不能控制的IP地址的可能,如安徽省阜南县人民法院(2017)皖1225刑初96号《刑事判决书》中就证实:LC木马程序有模拟复制功能,真实控制的计算机会被复制三份左右保存在C盘目录下并且改变IP地址里面的数字再呈现到LC软件客户端,即行为人被抓获时LC软件显示有116个IP地址,但其实际控制的仅51台左右。这说明在实践中确实存在虚假IP地址,因此,在进行涉案计算机数量的统计时要注意剔除该部分IP地址所对应的计算机,以行为人实际控制或破坏的计算机数量为准。
同样地,若以其他木马病毒、恶意软件等追溯到涉案计算机终端,也应考虑是否存在行为人实际不能控制、破坏涉案计算机的情况,由于360杀毒、腾讯电脑管家、金山毒霸、小红伞、卡巴斯基等杀毒软件的存在,涉案计算机通过软件杀毒成功防御木马病毒或恶意软件的攻击,即存在行为人不能真正入侵或破坏、控制涉案计算机的可能,因此只有对行为人真正入侵、破坏或控制的计算机数量进行认定才能够准确定罪量刑,即只有在办案机关提供确实充分的证据证明行为人被指控的侵入、破坏或控制计算机的数量时才能对行为人正确定罪量刑,否则将违背罪刑法定原则。
(三)针对被认定侵犯公民个人信息的案件辩护策略
一方面,可以考虑是否属于公民个人信息、是否是真实的公民个人信息。最高人民法院、最高人民检察院《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第一条规定:“刑法第二百五十三条之一规定的“公民个人信息”,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。”因此,若羊毛党利用批量购买账号进行“薅羊毛”的行为过程中存在以非法方法获取公民个人姓名、电话号码、住址、账号密码等真实信息的则构成侵犯公民个人信息罪,但若该信息无法识别特定的自然人或反映特定自然人的活动,则不能认定为属于公民个人信息。
另一方面,可以考虑是否用于非法目的、公民个人信息是否重复。在认定行为人的行为是否构成侵犯公民个人信息罪“情节严重”的问题上,行为人是否出于非法目的、涉案公民个人信息数量多少至关重要。最高人民法院、最高人民检察院《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第五条规定:“非法获取、出售或者提供公民个人信息,具有下列情形之一的,应当认定为刑法第二百五十三条之一规定的“情节严重”:(一)出售或者提供行踪轨迹信息,被他人用于犯罪的;(二)知道或者应当知道他人利用公民个人信息实施犯罪,向其出售或者提供的;(三)非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息五十条以上的;(四)非法获取、出售或者提供住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息五百条以上的……”因此,对羊毛党“薅羊毛”所购买的账号涉及的公民个人信息应进行准确认定,相同信息不能重复计算,应予以剔除。
最后,还可以从是否被他人利用及给他人造成了损失等角度考虑辩护策略。实践中可能存在行为人被人欺骗、利用的情况,在这种状况下,行为人在不知情的情况下提供他人个人信息或者自己及亲朋的个人信息给别有用心的羊毛党,由于不具有非法目的不应该构成侵犯公民个人信息罪。另外,在造成损失方面,应当以被害人实际具体的经济损失为准,剔除可期待性收入,而且应当允许行为人自行赔付进行补偿以减轻处罚。回归到羊毛党利用批量领取优惠券“薅羊毛”的行为中,则表现为允许羊毛党自愿支付对价购买产品,不应以犯罪论处。
以上是车冲律师根据办理类似案件的经验并结合司法实践对黑灰产领域羊毛党“薅羊毛”行为构成诈骗罪、非法控制计算机信息系统罪、破坏计算机信息系统罪、侵犯公民个人信息罪的判例作出的辩护策略总结与归纳,以求对维护涉案人员的合法权益和司法公正作出有益贡献。
[1] 猫池:一种扩充电话通信宽带和目标对象装备的别称,可以同步拨打大批量的用户号码。
[2] 脚本API:利用场景脚本与目录脚本具有相同环节,具有遍历场景中的节点,获取或改动数据的功能。