- 拼多多"薅羊毛"事件背后:監(jiān)管黑灰產(chǎn)集團是世界難題
- 2019年03月08日 來源:新浪財經(jīng)
提要:拼多多漏洞事件再次引發(fā)了外界對非法牟利集團——黑灰產(chǎn)的關(guān)注,這是伴隨著電商平臺的興起,逐漸形成的不法利益手段。在“互聯(lián)網(wǎng)+”下,消費者的權(quán)益如何得到進(jìn)一步的保護(hù),平臺如何有序正常運營,有待法律的逐步完善。
1月20日,網(wǎng)傳拼多多出現(xiàn)了嚴(yán)重的漏洞,用戶可以領(lǐng)取100元無門檻優(yōu)惠券。隨后,有網(wǎng)友爆出,用領(lǐng)取的優(yōu)惠券可以充值話費、Q幣。上午9點,網(wǎng)友發(fā)現(xiàn)拼多多已將相關(guān)優(yōu)惠券全部下架,直至10點左右,該漏洞才被拼多多官方修復(fù)。
針對BUG事件,拼多多方面回應(yīng)稱:“1月20日凌晨,有黑灰產(chǎn)團伙通過一個過期的優(yōu)惠券漏洞盜取數(shù)千萬元平臺優(yōu)惠券,進(jìn)行不正當(dāng)牟利。針對此行為,平臺已第一時間修復(fù)漏洞,并正對涉事訂單進(jìn)行溯源追蹤。同時已向公安機關(guān)報案,并將積極配合相關(guān)部門對涉事黑灰產(chǎn)團伙予以打擊。”
拼多多漏洞事件再次引發(fā)了外界對非法牟利集團——黑灰產(chǎn)的關(guān)注,這是伴隨著電商平臺的興起,逐漸形成的不法利益手段。在“互聯(lián)網(wǎng)+”下,消費者的權(quán)益如何得到進(jìn)一步的保護(hù),平臺如何有序正常運營,有待法律的逐步完善。
隱形“產(chǎn)值”巨大
根據(jù)公開資料顯示,事件發(fā)生后,拼多多迅速向公安機關(guān)報案,警方介入。目前,拼多多平臺正配合警方對涉事訂單進(jìn)行溯源追蹤,并最終依據(jù)警方的調(diào)查結(jié)果對相關(guān)訂單做出依法依規(guī)處理。
因為本次事件不涉及任何數(shù)據(jù)安全問題,平臺消費者原本正常領(lǐng)取的優(yōu)惠券使用不會受到影響。為進(jìn)一步加強“特殊優(yōu)惠券”相關(guān)風(fēng)控體系,拼多多已成立技術(shù)專組。此外,在公安機關(guān)的指導(dǎo)下,拼多多表示將堅決打擊黑灰產(chǎn)團伙,不會存在半分妥協(xié)與讓步。
“今天的職業(yè)‘羊毛黨’已經(jīng)屬于黑灰產(chǎn)業(yè)鏈,呈現(xiàn)團伙化、規(guī)模化、自動化趨勢,其危害不容小覷。這樣的‘羊毛黨’如今遍布互聯(lián)網(wǎng),通過利用優(yōu)惠漏洞低價買進(jìn)高價賣出,大量獲利。”電子商務(wù)研究中心主任曹磊在接受《法人》記者采訪時說。
曹磊進(jìn)一步對記者說,2017年我國網(wǎng)絡(luò)安全產(chǎn)業(yè)規(guī)模為450多億元,而黑灰產(chǎn)業(yè)已達(dá)千億元規(guī)模,黑灰產(chǎn)業(yè)比安全產(chǎn)業(yè)發(fā)展得更為迅速。此外,從三個數(shù)字可以看出黑產(chǎn)的現(xiàn)狀:
第一個數(shù)字是 150 萬,這是 2017 年網(wǎng)絡(luò)安全生態(tài)峰會上評估出的黑產(chǎn)從業(yè)人員的人數(shù)。跟這個人數(shù)相比,目前業(yè)界頂尖公司中安全從業(yè)人員最多不過千余人,與黑灰產(chǎn)對比可謂鳳毛麟角。
第二個數(shù)字是千億,這是網(wǎng)絡(luò)安全生態(tài)峰會上評估的黑產(chǎn)年產(chǎn)值。根據(jù) 2017 年的騰訊、阿里兩家巨頭的財報,兩家公司凈利潤總和接近千億元,黑產(chǎn)的年產(chǎn)值基本可以與這兩家巨頭公司并駕齊驅(qū)。
第三個是20%,這是根據(jù)之前經(jīng)驗評估的營銷活動的資損率。舉例來說,要做一個新注冊的拉新活動,投了100 萬去吸引用戶,最后會發(fā)現(xiàn)至少有20萬會進(jìn)入黑產(chǎn)的口袋里。
在北京盈科(杭州)律師事務(wù)所律師方超強看來,關(guān)于“薅羊毛”的現(xiàn)象,目前并無統(tǒng)一、權(quán)威的數(shù)據(jù)或者報告。但有不少智庫、調(diào)查公司做過獨立的調(diào)查,總體而言,“薅羊毛”已經(jīng)從單人發(fā)展到群體化、規(guī)模化,形成了專業(yè)的薅羊毛團伙和一條上下游分工明確的完整產(chǎn)業(yè)鏈。近幾年來,“薅羊毛”事件造成的損失在逐步擴大。
針對“薅羊毛”現(xiàn)象的原因,曹磊認(rèn)為,此次拼多多出現(xiàn)這個漏洞,有兩種可能:一種可能是平臺出現(xiàn)業(yè)務(wù)策略漏洞;另一種可能是遭到有預(yù)謀的黑灰產(chǎn)組織操作。但目前來看, 后者的可能性比較大。
首先,此次事件是凌晨開始出現(xiàn)漏洞,短短幾個小時就有上千萬的損失,再發(fā)酵到網(wǎng)絡(luò)上謠言四起、各種偽造圖片層出不窮。
其次,隨著網(wǎng)絡(luò)黑灰產(chǎn)日益規(guī)模化,對包括電商行業(yè)在內(nèi)的整個互聯(lián)網(wǎng)行業(yè)都帶來巨大的挑戰(zhàn),如電商巨頭京東平臺上出售的電腦主機都是七天無理由退貨,這原本是保障消費的合法權(quán)益,但一些二手商販就會利用這個規(guī)則漏洞,在購買之后將一些芯片、主板等給換成舊的再退回去,諸如此類事件不勝枚舉。
專業(yè)的“薅羊毛”集團
對于黑灰產(chǎn)團伙是一個什么樣的組織?如何界定其性質(zhì)?方超強在接受記者采訪時表示,盡管稱之為“黑灰產(chǎn)”團伙,實際上還是有“黑產(chǎn)”與“灰產(chǎn)”的區(qū)別,根據(jù)2015年國家互聯(lián)網(wǎng)應(yīng)急中心對“黑產(chǎn)”的范圍界定,主要包括“黑客攻擊”“盜取賬號”“釣魚網(wǎng)站”三種類型。而“灰產(chǎn)”則是游離于合法與非法邊緣的牟利行為。
“我個人看來,黑灰產(chǎn)團伙就是專業(yè)通過互聯(lián)網(wǎng)方式謀取不正當(dāng)利益的不法團伙,從大部分的黑灰產(chǎn)行為來看,觸犯刑法的概率非常高,稱之為犯罪團伙也不為過。”方超強說。
在方超強看來,利用系統(tǒng)漏洞進(jìn)行不法牟利的行為需要從多維度去分析,例如,一、有無利用系統(tǒng)漏洞進(jìn)行黑客攻擊和其他損害計算機系統(tǒng)的行為,如有,則涉嫌破壞計算機系統(tǒng)罪;二、根據(jù)黑灰產(chǎn)團隊變現(xiàn)或者獲利的方式不同,既有可能涉嫌詐騙,也有可能涉嫌盜竊;三、如果同時有多種行為的,完全有可能數(shù)罪并罰,且刑期絕不會短。
而北京億達(dá)(上海)律師事務(wù)所律師董毅智則對記者說,這種行為警方的定性還是很準(zhǔn)確的,確實可能屬于網(wǎng)絡(luò)詐騙,那么罪名應(yīng)該就屬于詐騙罪,只不過是通過網(wǎng)絡(luò)這種渠道利用系統(tǒng)的漏洞來實現(xiàn)。這可能是一種新型犯罪形式,在移動互聯(lián)網(wǎng)的時代,未來這種事情可能會越來越多。
“如何界定的話,我覺得與詐騙罪本身犯罪構(gòu)成還是一致的,是利用不法的手段讓平臺的系統(tǒng)產(chǎn)生錯誤的認(rèn)識,基于這個認(rèn)識,產(chǎn)生不法的犯罪利益,因此犯罪構(gòu)成還是按照詐騙罪來界定的。”董毅智說。
對于拼多多的案件,上海警方已以“網(wǎng)絡(luò)詐騙”的罪名立案并成立專案組,并依據(jù)“財產(chǎn)保全”的相關(guān)規(guī)定,對涉事訂單進(jìn)行批量凍結(jié)。董毅智認(rèn)為,在法律后果上,因為形式上涉及詐騙罪,對涉案財產(chǎn)進(jìn)行保全,沒有太大的問題。
董毅智對記者強調(diào),對于“薅羊毛”主體的不法后果,要區(qū)分對待。如果消費者的行為并無詐騙的意識,他的初衷僅僅是“薅羊毛”行為,那么從主觀上并不構(gòu)成詐騙罪犯罪要件。因此,如果僅僅是為了享受優(yōu)惠的政策的情況,拼多多平臺和警方應(yīng)該區(qū)別對待。
對于一些非正常的行為,董毅智說:“我覺得平臺本身可能在前期運營推廣上,為了增加客戶黏性,也采取了一些措施。那么消費者也逐漸一種消費習(xí)慣。所以說,消費者可能也在電商平臺上養(yǎng)成了這樣一種‘薅羊毛’的習(xí)慣,在短時間內(nèi),消費者的這種心態(tài)可能并不能馬上改變。”
他進(jìn)一步說,盡管民事上可能會構(gòu)成不當(dāng)?shù)美唧w情況還要區(qū)分對待,且每個個體的情況可能也要區(qū)分對待。根據(jù)現(xiàn)有的情況,可能構(gòu)成不當(dāng)?shù)美H绻麡?gòu)成不當(dāng)?shù)美敲词菓?yīng)該返還的。
對于普通消費者“薅羊毛”的行為,方超強也對記者表示:“首先,從性質(zhì)上看,普通盲從消費者所得優(yōu)惠券確實構(gòu)成不當(dāng)?shù)美瑧?yīng)當(dāng)予以返還;其次,拼多多平臺用戶注冊協(xié)議本身也對此類情況有所規(guī)定,禁止利用BUG謀取不正當(dāng)利益。從前述兩個方面看,普通用戶應(yīng)當(dāng)是需要返還優(yōu)惠券的。”
如何規(guī)制是業(yè)內(nèi)新課題
關(guān)于拼多多等電商平臺的損失應(yīng)該由誰來承擔(dān)的問題,方超強對記者說: “拼多多損失挽回或者追索,方向還是比較明確的:首先普通用戶的訂單和優(yōu)惠券可以取消或者停用;其次,黑灰產(chǎn)團伙的賠償;最后,由于黑灰產(chǎn)團隊變現(xiàn)的主要方式是話費和Q幣充值,一旦行為被確定系犯罪,則相關(guān)話費充值和Q幣充值行為均非正當(dāng)消費行為,可以確認(rèn)消費合同無效,且要求相關(guān)公司返還款項。”
董毅智同樣認(rèn)為,拼多多的損失應(yīng)該包括兩部分,一部分是黑灰產(chǎn)集團,他們的行為明顯構(gòu)成了刑事犯罪,當(dāng)然可以以贓款的形式通過公安機關(guān)、法院追回?fù)p失;另一部分是消費者,也就是說消費者返還的部分,可以通過民事訴訟的方式進(jìn)行維權(quán)。但是因為都是小額的,他認(rèn)為平臺和消費者之間可以進(jìn)行協(xié)商。
對于黑灰產(chǎn)團伙的行為給電商行業(yè)帶來的危害,董毅智對記者說:“‘薅羊毛’黑灰產(chǎn)嚴(yán)重擾亂了正常的市場競爭秩序,不但直接侵害了經(jīng)營者的財產(chǎn)權(quán),而且會大幅度提高企業(yè)的經(jīng)營成本;此外,也損害了電商平臺普通消費者的利益,使其無法得到真正的優(yōu)惠。”
他進(jìn)一步說,黑灰產(chǎn)團伙的行為對電商集團的危害是很大的,但需要深入思考其產(chǎn)生的原因,也可能跟整個電商行業(yè)的發(fā)展有一定的關(guān)系。電商行業(yè)的發(fā)展總是通過補貼、砸錢這種簡單粗暴的營銷方式來增加客戶的黏性,或者一味追求客戶的數(shù)量,來達(dá)到后期壟斷市場、擁有定價權(quán)的目的。
“從早期的淘寶、京東,到現(xiàn)在的拼多多,都是這種發(fā)展模式。我們首先做的應(yīng)該是反省這種模式,因為有這樣的生態(tài),才會產(chǎn)生黑灰產(chǎn)業(yè)團伙。”董毅智說。
另一方面,相關(guān)的立法、執(zhí)法也應(yīng)逐步完善。尤其是立法上針對這種灰黑產(chǎn)業(yè),僅僅通過刑事的手段還不足以監(jiān)管,日常的監(jiān)管應(yīng)該如何做,可能不僅僅是平臺自身的問題,可能需要各個部門的銜接。
此類產(chǎn)業(yè)集團結(jié)合了黑客、對電商行業(yè)熟悉的人員以及所謂的企業(yè)內(nèi)鬼等各類參與者。那么,如何在技術(shù)上通過大數(shù)據(jù)的手段偵察,以及如何在法律上、監(jiān)管上進(jìn)行防范,這是一個很大的命題,此案件也正好給行業(yè)帶來一個警示。
董毅智表示,這一次實際上傷害的是平臺拼多多的利益,而日常中可能大部分傷害的是消費者和用戶的利益。作為消費者往往屬于弱勢的狀態(tài),這種情況該如何去主張權(quán)利,該如何處理,也是我們需要平衡的。
此外,在監(jiān)管的過程中,在消費者利益受損害的情況下,如何利用更加經(jīng)濟、有效的維權(quán)方式去減少損失,在消費者權(quán)益保護(hù)方面,往往更具有挑戰(zhàn)性,這個問題一直以來也在困擾著整個電子商務(wù)行業(yè)的發(fā)展。
方超強同時對記者表示,此次事件的負(fù)面影響有多方面。最直接的是經(jīng)濟損失,其次是電商平臺商譽的損失,妨害了相關(guān)電商平臺的健康發(fā)展。
對于如何打擊黑灰產(chǎn)業(yè)鏈,對電商的建議,他在接受記者采訪時表示,首先要提升計算機系統(tǒng)的安全防護(hù)水平;其次要加強對于輿情和異常數(shù)據(jù)的監(jiān)測能力,做到及早發(fā)現(xiàn),及早處置;最后,還要完善平臺注冊協(xié)議等協(xié)議文本,確保出現(xiàn)類似情況時可根據(jù)合同條款便利處理。
“要從生態(tài)鏈的根本上解決問題,然后在立法、執(zhí)法、監(jiān)管,以及用戶保護(hù)上進(jìn)行全方位的完善,我們還有很多工作要做。我希望有關(guān)主管部門來牽頭組織解決這個問題,而不能以亡羊補牢的方式進(jìn)行事后監(jiān)管。”董毅智最后對記者說。
鏈接:《區(qū)塊鏈信息服務(wù)管理規(guī)定》重點內(nèi)容:
1.區(qū)塊鏈信息服務(wù)提供者應(yīng)當(dāng)落實信息內(nèi)容安全管理主體責(zé)任;
2.配備與其服務(wù)相適應(yīng)的技術(shù)條件;
3.制定和公開管理規(guī)則和平臺公約;
4.落實真實身份信息認(rèn)證制度;
5.不得利用區(qū)塊鏈信息服務(wù)從事法律、行政法規(guī)禁止的活動或者制作、復(fù)制、發(fā)布、傳播法律、行政法規(guī)禁止的信息內(nèi)容;
6.對違反法律、行政法規(guī)和服務(wù)協(xié)議的區(qū)塊鏈信息服務(wù)使用者,應(yīng)當(dāng)依法依約采取處置措施。
