@
phrack @
MartinWu @
Shura @
cnkuner @
BXIA @
onlyhot @
terence4444 @
n2ex2 这件事,我认为应该是计算机系统和法律上的一个契机:即明确什么是计算机违法。
从事件本身而言,我相信大家都认同一件事:即第一次此人存钱被退回,不应算是盗窃 —— 因为此人完全是按照程序设定的方式操作、没有任何破坏行为。
而大家比较纠结的是之后的 350 多次 —— 无论是从操作的次数上、还是账户金额增长上,都远超正常值。因此,很多人认为这就是利用系统 BUG 在盗窃。
到底是不是?首先要明确一件事:什么是系统 BUG ?谁来认定是系统 BUG ?系统 BUG 是谁造成的?
在本案中,很显然,充值后钱被退回这个行为,和预期操作结果不一致。但这是不是一个 BUG 呢?平安认为是,一审法院也认为是,但被告显然不愿意承认这是 BUG。
根据司法原则“谁主张谁举证”,我认为平安应当举证这是个 BUG (如果上升到刑事案,就需要公安机关侦查证据)。从目前的新闻资料中,我看不到这一点,不敢轻言有,或者没有。但如果没有,我认为仅凭平安自述是 BUG 就不适合了。
即便平安举证了,谁来认定呢? 我认为这也是个难题——至少目前我不知道国内有哪个司法鉴定机构有这个资质可以认定这个是 BUG。
当然,这都不重要,重要的是,系统的 BUG 是谁造成的? —— 很显然,这不是被告造成的。
综上,我认为,一方面我们并没有明确证据证明这就是个 BUG (法律意义上,而不是老百姓自己理解),另一方面,即便这真是个 BUG,也不是被告造成的。
接下来,要明确另一件事:被告是否明知这是一个 BUG ?
这个问题,要么是被告自己承认,要么就需要平安提供证据(如果上升到刑事案,就需要公安机关侦查证据),而不能仅仅从数量上就简单判断。举个例子,如果因为次数多就能证明知道的话,那渔民天天在海上打渔,是不是就应该知道海里的一切?我们天天都能抬头看到星空,是不是就应该知道宇宙的一切?很显然,不是。数量上是超出了常规,但并不代表就应该知道。这个因果关系不存在。
第三: 被告人的行为是否存在违背他人意愿的问题?
从世俗角度,大部分人很显然认同,在这件事上银行并不愿意将钱退回给被告并增加他的账户余额。但是,这仅仅是世俗角度去看待的,法律是讲证据的。
被告人的行为,发生在银行生产提供的 APP 上,所有操作符合要求,没有任何逾越行为。操作的次数虽然多,但这并不违法,正如你天天按照交规过马路,总不能说过的次数多了,就违法了吧?
而银行的 APP 产生这样的结果,是 APP 自己的想法和意愿吗?显然也不是。
从银行事后的行为上来看,这确实也不是银行的意愿。
那到底是谁的意愿?
我认为应分为几个阶段来看:
第一个阶段,银行生产发布了 APP,这显然是银行自己的意愿。
第二个阶段,被告按照 APP 的流程操作,这显然是被告的意愿。
第三个阶段,APP 产生了结果。
第四个阶段,银行发现了结果是有问题的,报案。
这 4 个阶段中,第 1、2、4 个阶段大家都没有异议。但第 3 个阶段,银行到底这时候是同意呢还是不同意呢,似乎各有各的想法:被告显然主张这个阶段银行是同意的,因为是 APP 主动将钱退回并增加其账户余额的;而银行显然主张其不同意,因为第四个阶段他们报警了。
我认为,银行在第一个阶段平自己意愿、自己生产发布了 APP,本质上是一种强责任的授权,这代表银行已经认同了 APP 自己所产生的一切结果就是自己的意愿。银行如果不同意强责任授权,就应该改变 APP 逻辑,如 所有 APP 入账需人工审核再处理。 事实上,这和无人驾驶车辆撞人、司机承担责任是一个道理,司机一旦启动无人驾驶,就是强授权给无人驾驶系统,就要认同其产生的结果就是自己的意愿,就要为此担责。
(第三点非常关键!! 如果这个搞不清楚,就无法判断清楚)
第四, 被告人是否存在主观故意?
被告人的行为都是符合 APP 流程的、并没有任何攻击、篡改行为,就无所谓是否存在主观故意。我主观故意按照红灯停绿灯行的规则 1 天过 1 万次马路,也是合法的。
综上,被告人在没有任何违法行为的情况下、不应当对 银行认同并授权的 APP 产生的结果 担负任何责任。
补充,这和你家门坏了,是不是可以任意钻进来拿东西,是不同性质的。本案中,被告的行为是符合 APP 中要求的、退款和增加额度是 APP 的行为而并非被告的行为。 而你家门坏了,别人未经你同意进入你家、并在你未同意的情况下拿东西,就是违法的。当然,如果你家门坏了,你却同意了别人进入并主动给别人手里塞东西,这并不违法。