1月20日,网传拼多多出现了严重的漏洞,用户可以领取100元无门槛优惠券。随后,有网友爆出,用领取的优惠券可以充值话费、Q币。上午9点,网友发现拼多多已将相关优惠券全部下架,直至10点左右,该漏洞才被拼多多官方修复。
针对BUG事件,拼多多方面回应称:“1月20日凌晨,有黑灰产团伙通过一个过期的优惠券漏洞盗取数千万元平台优惠券,进行不正当牟利。针对此行为,平台已第一时间修复漏洞,并正对涉事订单进行溯源追踪。同时已向公安机关报案,并将积极配合相关部门对涉事黑灰产团伙予以打击。”
拼多多漏洞事件再次引发了外界对非法牟利集团——黑灰产的关注,这是伴随着电商平台的兴起,逐渐形成的不法利益手段。在“互联网+”下,消费者的权益如何得到进一步的保护,平台如何有序正常运营,有待法律的逐步完善。
隐形“产值”巨大
根据公开资料显示,事件发生后,拼多多迅速向公安机关报案,警方介入。目前,拼多多平台正配合警方对涉事订单进行溯源追踪,并最终依据警方的调查结果对相关订单做出依法依规处理。
因为本次事件不涉及任何数据安全问题,平台消费者原本正常领取的优惠券使用不会受到影响。为进一步加强“特殊优惠券”相关风控体系,拼多多已成立技术专组。此外,在公安机关的指导下,拼多多表示将坚决打击黑灰产团伙,不会存在半分妥协与让步。
“今天的职业‘羊毛党’已经属于黑灰产业链,呈现团伙化、规模化、自动化趋势,其危害不容小觑。这样的‘羊毛党’如今遍布互联网,通过利用优惠漏洞低价买进高价卖出,大量获利。”电子商务研究中心主任曹磊在接受《法人》记者采访时说。
曹磊进一步对记者说,2017年我国网络安全产业规模为450多亿元,而黑灰产业已达千亿元规模,黑灰产业比安全产业发展得更为迅速。此外,从三个数字可以看出黑产的现状:
第一个数字是 150 万,这是 2017 年网络安全生态峰会上评估出的黑产从业人员的人数。跟这个人数相比,目前业界顶尖公司中安全从业人员最多不过千余人,与黑灰产对比可谓凤毛麟角。
第二个数字是千亿,这是网络安全生态峰会上评估的黑产年产值。根据 2017 年的腾讯、阿里两家巨头的财报,两家公司净利润总和接近千亿元,黑产的年产值基本可以与这两家巨头公司并驾齐驱。
第三个是20%,这是根据之前经验评估的营销活动的资损率。举例来说,要做一个新注册的拉新活动,投了100 万去吸引用户,最后会发现至少有20万会进入黑产的口袋里。
在北京盈科(杭州)律师事务所律师方超强看来,关于“薅羊毛”的现象,目前并无统一、权威的数据或者报告。但有不少智库、调查公司做过独立的调查,总体而言,“薅羊毛”已经从单人发展到群体化、规模化,形成了专业的薅羊毛团伙和一条上下游分工明确的完整产业链。近几年来,“薅羊毛”事件造成的损失在逐步扩大。
针对“薅羊毛”现象的原因,曹磊认为,此次拼多多出现这个漏洞,有两种可能:一种可能是平台出现业务策略漏洞;另一种可能是遭到有预谋的黑灰产组织操作。但目前来看, 后者的可能性比较大。
首先,此次事件是凌晨开始出现漏洞,短短几个小时就有上千万的损失,再发酵到网络上谣言四起、各种伪造图片层出不穷。
其次,随着网络黑灰产日益规模化,对包括电商行业在内的整个互联网行业都带来巨大的挑战,如电商巨头京东平台上出售的电脑主机都是七天无理由退货,这原本是保障消费的合法权益,但一些二手商贩就会利用这个规则漏洞,在购买之后将一些芯片、主板等给换成旧的再退回去,诸如此类事件不胜枚举。
专业的“薅羊毛”集团
对于黑灰产团伙是一个什么样的组织?如何界定其性质?方超强在接受记者采访时表示,尽管称之为“黑灰产”团伙,实际上还是有“黑产”与“灰产”的区别,根据2015年国家互联网应急中心对“黑产”的范围界定,主要包括“黑客攻击”“盗取账号”“钓鱼网站”三种类型。而“灰产”则是游离于合法与非法边缘的牟利行为。
“我个人看来,黑灰产团伙就是专业通过互联网方式谋取不正当利益的不法团伙,从大部分的黑灰产行为来看,触犯刑法的概率非常高,称之为犯罪团伙也不为过。”方超强说。
在方超强看来,利用系统漏洞进行不法牟利的行为需要从多维度去分析,例如,一、有无利用系统漏洞进行黑客攻击和其他损害计算机系统的行为,如有,则涉嫌破坏计算机系统罪;二、根据黑灰产团队变现或者获利的方式不同,既有可能涉嫌诈骗,也有可能涉嫌盗窃;三、如果同时有多种行为的,完全有可能数罪并罚,且刑期绝不会短。
而北京亿达(上海)律师事务所律师董毅智则对记者说,这种行为警方的定性还是很准确的,确实可能属于网络诈骗,那么罪名应该就属于诈骗罪,只不过是通过网络这种渠道利用系统的漏洞来实现。这可能是一种新型犯罪形式,在移动互联网的时代,未来这种事情可能会越来越多。
“如何界定的话,我觉得与诈骗罪本身犯罪构成还是一致的,是利用不法的手段让平台的系统产生错误的认识,基于这个认识,产生不法的犯罪利益,因此犯罪构成还是按照诈骗罪来界定的。”董毅智说。
对于拼多多的案件,上海警方已以“网络诈骗”的罪名立案并成立专案组,并依据“财产保全”的相关规定,对涉事订单进行批量冻结。董毅智认为,在法律后果上,因为形式上涉及诈骗罪,对涉案财产进行保全,没有太大的问题。
董毅智对记者强调,对于“薅羊毛”主体的不法后果,要区分对待。如果消费者的行为并无诈骗的意识,他的初衷仅仅是“薅羊毛”行为,那么从主观上并不构成诈骗罪犯罪要件。因此,如果仅仅是为了享受优惠的政策的情况,拼多多平台和警方应该区别对待。
对于一些非正常的行为,董毅智说:“我觉得平台本身可能在前期运营推广上,为了增加客户黏性,也采取了一些措施。那么消费者也逐渐一种消费习惯。所以说,消费者可能也在电商平台上养成了这样一种‘薅羊毛’的习惯,在短时间内,消费者的这种心态可能并不能马上改变。”
他进一步说,尽管民事上可能会构成不当得利,但具体情况还要区分对待,且每个个体的情况可能也要区分对待。根据现有的情况,可能构成不当得利。如果构成不当得利,那么是应该返还的。
对于普通消费者“薅羊毛”的行为,方超强也对记者表示:“首先,从性质上看,普通盲从消费者所得优惠券确实构成不当得利,应当予以返还;其次,拼多多平台用户注册协议本身也对此类情况有所规定,禁止利用BUG谋取不正当利益。从前述两个方面看,普通用户应当是需要返还优惠券的。”
如何规制是业内新课题
关于拼多多等电商平台的损失应该由谁来承担的问题,方超强对记者说: “拼多多损失挽回或者追索,方向还是比较明确的:首先普通用户的订单和优惠券可以取消或者停用;其次,黑灰产团伙的赔偿;最后,由于黑灰产团队变现的主要方式是话费和Q币充值,一旦行为被确定系犯罪,则相关话费充值和Q币充值行为均非正当消费行为,可以确认消费合同无效,且要求相关公司返还款项。”
董毅智同样认为,拼多多的损失应该包括两部分,一部分是黑灰产集团,他们的行为明显构成了刑事犯罪,当然可以以赃款的形式通过公安机关、法院追回损失;另一部分是消费者,也就是说消费者返还的部分,可以通过民事诉讼的方式进行维权。但是因为都是小额的,他认为平台和消费者之间可以进行协商。
对于黑灰产团伙的行为给电商行业带来的危害,董毅智对记者说:“‘薅羊毛’黑灰产严重扰乱了正常的市场竞争秩序,不但直接侵害了经营者的财产权,而且会大幅度提高企业的经营成本;此外,也损害了电商平台普通消费者的利益,使其无法得到真正的优惠。”
他进一步说,黑灰产团伙的行为对电商集团的危害是很大的,但需要深入思考其产生的原因,也可能跟整个电商行业的发展有一定的关系。电商行业的发展总是通过补贴、砸钱这种简单粗暴的营销方式来增加客户的黏性,或者一味追求客户的数量,来达到后期垄断市场、拥有定价权的目的。
“从早期的淘宝、京东,到现在的拼多多,都是这种发展模式。我们首先做的应该是反省这种模式,因为有这样的生态,才会产生黑灰产业团伙。”董毅智说。
另一方面,相关的立法、执法也应逐步完善。尤其是立法上针对这种灰黑产业,仅仅通过刑事的手段还不足以监管,日常的监管应该如何做,可能不仅仅是平台自身的问题,可能需要各个部门的衔接。
此类产业集团结合了黑客、对电商行业熟悉的人员以及所谓的企业内鬼等各类参与者。那么,如何在技术上通过大数据的手段侦察,以及如何在法律上、监管上进行防范,这是一个很大的命题,此案件也正好给行业带来一个警示。
董毅智表示,这一次实际上伤害的是平台拼多多的利益,而日常中可能大部分伤害的是消费者和用户的利益。作为消费者往往属于弱势的状态,这种情况该如何去主张权利,该如何处理,也是我们需要平衡的。
此外,在监管的过程中,在消费者利益受损害的情况下,如何利用更加经济、有效的维权方式去减少损失,在消费者权益保护方面,往往更具有挑战性,这个问题一直以来也在困扰着整个电子商务行业的发展。
方超强同时表示,此次事件的负面影响有多方面。最直接的是经济损失,其次是电商平台商誉的损失,妨害了相关电商平台的健康发展。
对于如何打击黑灰产业链,对电商的建议,他在接受记者采访时表示,首先要提升计算机系统的安全防护水平;其次要加强对于舆情和异常数据的监测能力,做到及早发现,及早处置;最后,还要完善平台注册协议等协议文本,确保出现类似情况时可根据合同条款便利处理。
“要从生态链的根本上解决问题,然后在立法、执法、监管,以及用户保护上进行全方位的完善,我们还有很多工作要做。我希望有关主管部门来牵头组织解决这个问题,而不能以亡羊补牢的方式进行事后监管。”董毅智最后对记者说。
链接:《区块链信息服务管理规定》重点内容:
1.区块链信息服务提供者应当落实信息内容安全管理主体责任;
2.配备与其服务相适应的技术条件;
3.制定和公开管理规则和平台公约;
4.落实真实身份信息认证制度;
5.不得利用区块链信息服务从事法律、行政法规禁止的活动或者制作、复制、发布、传播法律、行政法规禁止的信息内容;
6.对违反法律、行政法规和服务协议的区块链信息服务使用者,应当依法依约采取处置措施。
2、第一纺织网转载的所有的文章、图片、音频、视频文件等资料的版权归版权所有人所有,本网站采用的非本站原创文章及图片等内容无法一一和版权者联系,如果本网站所选内容的文章作者及编辑认为其作品不宜上网供大家浏览,或不应无偿使用(涉及费用问题,需要删除“不宜上网供大家浏览,或不应无偿使用”)请及时用电子邮件:martin@setways.com通知我们,我们会在第一时间删除,避免给双方造成不必要的经济损失。