1月20日，網傳拼多多出現了嚴重的漏洞，用戶可以領取100元無門檻優惠券。隨后，有網友爆出，用領取的優惠券可以充值話費、Q幣。上午9點，網友發現拼多多已將相關優惠券全部下架，直至10點左右，該漏洞才被拼多多官方修復。

針對BUG事件，拼多多方面回應稱：“1月20日凌晨，有黑灰產團伙通過一個過期的優惠券漏洞盜取數千萬元平臺優惠券，進行不正當牟利。針對此行為，平臺已第一時間修復漏洞，并正對涉事訂單進行溯源追蹤。同時已向公安機關報案，并將積極配合相關部門對涉事黑灰產團伙予以打擊。”

拼多多漏洞事件再次引發了外界對非法牟利集團——黑灰產的關注，這是伴隨著電商平臺的興起，逐漸形成的不法利益手段。在“互聯網+”下，消費者的權益如何得到進一步的保護，平臺如何有序正常運營，有待法律的逐步完善。

隱形“產值”巨大

根據公開資料顯示，事件發生后，拼多多迅速向公安機關報案，警方介入。目前，拼多多平臺正配合警方對涉事訂單進行溯源追蹤，并最終依據警方的調查結果對相關訂單做出依法依規處理。

因為本次事件不涉及任何數據安全問題，平臺消費者原本正常領取的優惠券使用不會受到影響。為進一步加強“特殊優惠券”相關風控體系，拼多多已成立技術專組。此外，在公安機關的指導下，拼多多表示將堅決打擊黑灰產團伙，不會存在半分妥協與讓步。

“今天的職業‘羊毛黨’已經屬于黑灰產業鏈，呈現團伙化、規模化、自動化趨勢，其危害不容小覷。這樣的‘羊毛黨’如今遍布互聯網，通過利用優惠漏洞低價買進高價賣出，大量獲利。”電子商務研究中心主任曹磊在接受《法人》記者采訪時說。

曹磊進一步對記者說，2017年我國網絡安全產業規模為450多億元，而黑灰產業已達千億元規模，黑灰產業比安全產業發展得更為迅速。此外，從三個數字可以看出黑產的現狀：

第一個數字是 150 萬，這是 2017 年網絡安全生態峰會上評估出的黑產從業人員的人數。跟這個人數相比，目前業界頂尖公司中安全從業人員最多不過千余人，與黑灰產對比可謂鳳毛麟角。

第二個數字是千億，這是網絡安全生態峰會上評估的黑產年產值。根據 2017 年的騰訊、阿里兩家巨頭的財報，兩家公司凈利潤總和接近千億元，黑產的年產值基本可以與這兩家巨頭公司并駕齊驅。

第三個是20%，這是根據之前經驗評估的營銷活動的資損率。舉例來說，要做一個新注冊的拉新活動，投了100 萬去吸引用戶，最后會發現至少有20萬會進入黑產的口袋里。

在北京盈科（杭州）律師事務所律師方超強看來，關于“薅羊毛”的現象，目前并無統一、權威的數據或者報告。但有不少智庫、調查公司做過獨立的調查，總體而言，“薅羊毛”已經從單人發展到群體化、規模化，形成了專業的薅羊毛團伙和一條上下游分工明確的完整產業鏈。近幾年來，“薅羊毛”事件造成的損失在逐步擴大。

針對“薅羊毛”現象的原因，曹磊認為，此次拼多多出現這個漏洞，有兩種可能：一種可能是平臺出現業務策略漏洞；另一種可能是遭到有預謀的黑灰產組織操作。但目前來看， 后者的可能性比較大。

首先，此次事件是凌晨開始出現漏洞，短短幾個小時就有上千萬的損失，再發酵到網絡上謠言四起、各種偽造圖片層出不窮。

其次，隨著網絡黑灰產日益規模化，對包括電商行業在內的整個互聯網行業都帶來巨大的挑戰，如電商巨頭京東平臺上出售的電腦主機都是七天無理由退貨，這原本是保障消費的合法權益，但一些二手商販就會利用這個規則漏洞，在購買之后將一些芯片、主板等給換成舊的再退回去，諸如此類事件不勝枚舉。

專業的“薅羊毛”集團

對于黑灰產團伙是一個什么樣的組織？如何界定其性質？方超強在接受記者采訪時表示，盡管稱之為“黑灰產”團伙，實際上還是有“黑產”與“灰產”的區別，根據2015年國家互聯網應急中心對“黑產”的范圍界定，主要包括“黑客攻擊”“盜取賬號”“釣魚網站”三種類型。而“灰產”則是游離于合法與非法邊緣的牟利行為。

“我個人看來，黑灰產團伙就是專業通過互聯網方式謀取不正當利益的不法團伙，從大部分的黑灰產行為來看，觸犯刑法的概率非常高，稱之為犯罪團伙也不為過。”方超強說。

在方超強看來，利用系統漏洞進行不法牟利的行為需要從多維度去分析，例如，一、有無利用系統漏洞進行黑客攻擊和其他損害計算機系統的行為，如有，則涉嫌破壞計算機系統罪；二、根據黑灰產團隊變現或者獲利的方式不同，既有可能涉嫌詐騙，也有可能涉嫌盜竊；三、如果同時有多種行為的，完全有可能數罪并罰，且刑期絕不會短。

而北京億達（上海）律師事務所律師董毅智則對記者說，這種行為警方的定性還是很準確的，確實可能屬于網絡詐騙，那么罪名應該就屬于詐騙罪，只不過是通過網絡這種渠道利用系統的漏洞來實現。這可能是一種新型犯罪形式，在移動互聯網的時代，未來這種事情可能會越來越多。

“如何界定的話，我覺得與詐騙罪本身犯罪構成還是一致的，是利用不法的手段讓平臺的系統產生錯誤的認識，基于這個認識，產生不法的犯罪利益，因此犯罪構成還是按照詐騙罪來界定的。”董毅智說。

對于拼多多的案件，上海警方已以“網絡詐騙”的罪名立案并成立專案組，并依據“財產保全”的相關規定，對涉事訂單進行批量凍結。董毅智認為，在法律后果上，因為形式上涉及詐騙罪，對涉案財產進行保全，沒有太大的問題。

董毅智對記者強調，對于“薅羊毛”主體的不法后果，要區分對待。如果消費者的行為并無詐騙的意識，他的初衷僅僅是“薅羊毛”行為，那么從主觀上并不構成詐騙罪犯罪要件。因此，如果僅僅是為了享受優惠的政策的情況，拼多多平臺和警方應該區別對待。

對于一些非正常的行為，董毅智說：“我覺得平臺本身可能在前期運營推廣上，為了增加客戶黏性，也采取了一些措施。那么消費者也逐漸一種消費習慣。所以說，消費者可能也在電商平臺上養成了這樣一種‘薅羊毛’的習慣，在短時間內，消費者的這種心態可能并不能馬上改變。”

他進一步說，盡管民事上可能會構成不當得利，但具體情況還要區分對待，且每個個體的情況可能也要區分對待。根據現有的情況，可能構成不當得利。如果構成不當得利，那么是應該返還的。

對于普通消費者“薅羊毛”的行為，方超強也對記者表示：“首先，從性質上看，普通盲從消費者所得優惠券確實構成不當得利，應當予以返還；其次，拼多多平臺用戶注冊協議本身也對此類情況有所規定，禁止利用BUG謀取不正當利益。從前述兩個方面看，普通用戶應當是需要返還優惠券的。”

如何規制是業內新課題

關于拼多多等電商平臺的損失應該由誰來承擔的問題，方超強對記者說： “拼多多損失挽回或者追索，方向還是比較明確的：首先普通用戶的訂單和優惠券可以取消或者停用；其次，黑灰產團伙的賠償；最后，由于黑灰產團隊變現的主要方式是話費和Q幣充值，一旦行為被確定系犯罪，則相關話費充值和Q幣充值行為均非正當消費行為，可以確認消費合同無效，且要求相關公司返還款項。”

董毅智同樣認為，拼多多的損失應該包括兩部分，一部分是黑灰產集團，他們的行為明顯構成了刑事犯罪，當然可以以贓款的形式通過公安機關、法院追回損失；另一部分是消費者，也就是說消費者返還的部分，可以通過民事訴訟的方式進行維權。但是因為都是小額的，他認為平臺和消費者之間可以進行協商。

對于黑灰產團伙的行為給電商行業帶來的危害，董毅智對記者說：“‘薅羊毛’黑灰產嚴重擾亂了正常的市場競爭秩序，不但直接侵害了經營者的財產權，而且會大幅度提高企業的經營成本；此外，也損害了電商平臺普通消費者的利益，使其無法得到真正的優惠。”

他進一步說，黑灰產團伙的行為對電商集團的危害是很大的，但需要深入思考其產生的原因，也可能跟整個電商行業的發展有一定的關系。電商行業的發展總是通過補貼、砸錢這種簡單粗暴的營銷方式來增加客戶的黏性，或者一味追求客戶的數量，來達到后期壟斷市場、擁有定價權的目的。

“從早期的淘寶、京東，到現在的拼多多，都是這種發展模式。我們首先做的應該是反省這種模式，因為有這樣的生態，才會產生黑灰產業團伙。”董毅智說。

另一方面，相關的立法、執法也應逐步完善。尤其是立法上針對這種灰黑產業，僅僅通過刑事的手段還不足以監管，日常的監管應該如何做，可能不僅僅是平臺自身的問題，可能需要各個部門的銜接。

此類產業集團結合了黑客、對電商行業熟悉的人員以及所謂的企業內鬼等各類參與者。那么，如何在技術上通過大數據的手段偵察，以及如何在法律上、監管上進行防范，這是一個很大的命題，此案件也正好給行業帶來一個警示。

董毅智表示，這一次實際上傷害的是平臺拼多多的利益，而日常中可能大部分傷害的是消費者和用戶的利益。作為消費者往往屬于弱勢的狀態，這種情況該如何去主張權利，該如何處理，也是我們需要平衡的。

此外，在監管的過程中，在消費者利益受損害的情況下，如何利用更加經濟、有效的維權方式去減少損失，在消費者權益保護方面，往往更具有挑戰性，這個問題一直以來也在困擾著整個電子商務行業的發展。

方超強同時對記者表示，此次事件的負面影響有多方面。最直接的是經濟損失，其次是電商平臺商譽的損失，妨害了相關電商平臺的健康發展。

對于如何打擊黑灰產業鏈，對電商的建議，他在接受記者采訪時表示，首先要提升計算機系統的安全防護水平；其次要加強對于輿情和異常數據的監測能力，做到及早發現，及早處置；最后，還要完善平臺注冊協議等協議文本，確保出現類似情況時可根據合同條款便利處理。

“要從生態鏈的根本上解決問題，然后在立法、執法、監管，以及用戶保護上進行全方位的完善，我們還有很多工作要做。我希望有關主管部門來牽頭組織解決這個問題，而不能以亡羊補牢的方式進行事后監管。”董毅智最后對記者說。

鏈接：《區塊鏈信息服務管理規定》重點內容：

1．區塊鏈信息服務提供者應當落實信息內容安全管理主體責任；

2．配備與其服務相適應的技術條件；

3．制定和公開管理規則和平臺公約；

4．落實真實身份信息認證制度；

5．不得利用區塊鏈信息服務從事法律、行政法規禁止的活動或者制作、復制、發布、傳播法律、行政法規禁止的信息內容；

6．對違反法律、行政法規和服務協議的區塊鏈信息服務使用者，應當依法依約采取處置措施。