在校大学生徐某利用肯德基APP客户端和微信客户端之间数据不同步的漏洞，骗取兑换券或取餐码，出售给他人牟利，并将犯罪方法传授给同学，造成肯德基品牌所有者百胜公司损失20余万元。近日，上海徐汇法院开庭审理此案，徐某等五人因犯诈骗罪、传授犯罪方法罪被判有期徒刑两年六个月至一年三个月不等，并处罚人民币四千元至一千元不等。 

　　此案判决，引来网络上的众多围观和热议。很多人认为，利用系统漏洞不当获利，最多也就是退赔了事，直接上刑法有点过了。利用系统漏洞薅羊毛的很多，经常能看到有的网店促销活动出现漏洞，被人狂薅羊毛，很多都是企业自己买单，最多不过追回损失，极少听说，把消费者直接抓起来判刑的。

　　网友的质疑，在感性层面和经验层面是有一些道理的。 肯德基报警抓人，在商业营销上算不算高招，暂且不论；但在法律层面，民法上的不当得利，和刑法上的侵财犯罪，确有本质不同。此案中，该大学生第一次发现肯德基点餐系统的漏洞，拿到了免费的兑换券或取餐码，应当认定为不当得利；但其后续明知此系统漏洞存在，又多次如法炮制，并将方法告知同学，显然具有非法占有他人财物的主观故意。 只不过，在笔者看来，法院将此案认定为诈骗罪，同样有值得商榷之处。

　　法院认为，被告人是利用系统的数据不同步来实施犯罪，并非系统本身发生的机械故障或者缺陷，其行为存在欺骗性。事实上，所谓系统数据不同步，本身就是一种系统缺陷，强调并非机械故障或缺陷，既没有必要，也不具有合理性。因为软件和硬件本身是一体的。无论是机械硬件也好，系统软件也罢，本身都是不可能“被骗”的。 法院认定，该大学生通过发起虚假交易获取退券退款的行为，体现的是肯德基APP客户端和肯德基微信客户端自助点餐系统这一“机器”背后的“人”基于数据不同步而发生错误认识，并在错误认识的基础上“自愿”进行财产处分，进而造成被害单位的财产损失，故各被告人的行为符合诈骗罪的构成要件。这显然属于对“人”的扩大化解释，这种扩大化解释，可能是不恰当的。 

　　事实上，“决定”退券退款等行为的，不是“机器”背后的“人”，而是“机器”背后早已设定好的系统程序。在整个过程中，没有“人”被骗，自然也就不可能有基于错误认识自愿处分财物的行为，因而不符合诈骗罪的犯罪构成要件。此案与多年前引发轰动的许霆案，多有相似之处，认定为盗窃罪更为合适。 和许霆案重审判决在法定刑以下量刑的理由一样，考虑到肯德基点餐系统本身的确存在漏洞，该大学生是偶然发现的肯德基点餐系统漏洞，与有预谋、有准备的盗窃犯罪相比，主观恶性相对较小；而且，采取的也是通过在手机上向肯德基点餐系统发出指令的方式，与采取破坏性手段盗取钱财相比，犯罪情节相对较轻。根据本案具体的犯罪事实、犯罪情节和对社会的危害程度，在量刑上或可进一步考量，也可考虑判处缓刑。 

　　此案判决，超出了很多人的感性认知和经验判断，对于所谓“薅毛党”，应当成为一种警醒。薅毛过度，越过法律边界，很可能已经涉嫌犯罪。所以，不该占的便宜别占，别拿"薅羊毛"不当犯罪。

　　作者：舒圣祥

　　投稿邮箱：qilupiunglun@sina.com