欢迎来到学术参考网
当前位置:法学论文>刑法论文

“流量劫持”的刑法规制及完善

发布时间:2016-06-17 10:51

  通过民事手段规制流量劫持行为,可以保护用户自主使用权和市场正常经营秩序。流量劫持严重破坏网络安全,应当入罪处罚,可能构成非法控制计算机信息系统罪、破坏计算机信息系统罪以及破坏生产经营罪。提供流量劫持技术或帮助实施流量劫持也涉嫌构成犯罪。流量劫持兼具非法控制和破坏行为的属性,导致罪名之间出现竞合。对此,应当通过立法扩大法益范围与优化行为类型加以化解,司法解释和案例指导制度可以辅助解决。刑法

 

  一、两份流量劫持有罪判决引发的思考

 

  案件一:从2013年底至201410月,被告人付某等人租赁多台服务器,使用恶意代码修改互联网用户路由器的DNS设置,进而使用户登录“”等导航网站时,跳转至其设置的“”导航网站,再将获取的互联网用户流量出售给“”导航网站所有者杭州某公司。经查,两名被告人违法所得达75.47万余元。法院审理认为,被告人付某、黄某违反国家规定,对计算机信息系统中存储的数据进行修改,后果特别严重,已构成破坏计算机信息系统罪。[1]

 

  案件二:200810月起,被告人施某在中国某有限公司重庆网络监控维护中心核心平台部工作,负责业务平台数据配置。20132月至201412月,被告人施某等人为谋取非法利益,违反国家规定,先后对某重庆分公司互联网域名解析系统(DNS)进行非法控制,施某等人分别获利157万余元不等。法院认为,被告人施某等共同违反国家规定,非法控制计算机信息系统的域名解析系统,后果特别严重,构成非法控制计算机信息系统罪。[2]

 

  流量劫持作为新型的网络不正当竞争行为,长期处于刑事制裁的边缘。前述两个案件是庞大的流量劫持现象中的两个特例,也是目前仅有的两个有罪判决。其中,案件一被公认是国内首例流量劫持案。有罪判决具有鲜明的先例效应,成为今后追究流量劫持行为刑事责任的司法标杆。但是,在作为犯罪论处时,尚有诸多新问题需要厘清和解决。比如,同为以DNS攻击实施的流量劫持危害行为,两个有罪判决的定性存在较大差异。既暴露非法控制计算机信息系统罪与破坏计算机信息系统罪的司法竞合问题,也折射出当前立法应对新型网络犯罪的规范不足,更反映网络犯罪理论研究的深层次短板。

 

  二、流量劫持的民事规制乏力

 

  所谓流量劫持,一般是指利用各种恶意软件修改浏览器、锁定主页或不停弹出新窗口,强制用户访问某些网站,从而造成用户流量损失的情形。当前,可以分为域名劫持与数据劫持两大类型。典型的劫持方式包括DNS域名解析、植入木马、弹窗与广告插件等,具体做法包括Hub嗅探、MAC欺骗、MAC冲刷、ARP攻击、DHCP钓鱼、DNS劫持、CDN入侵、路由器弱口令、路由器CSRFPPPoE钓鱼、蜜罐代理、WiFi弱口令、WiFi伪热点、WiFi强制断线、WLAN基站钓鱼等。但是,流量劫持作为严重的网络技术失范行为,并非纯粹的偷流量偷流量中的流量一般是指网络流量或手机流量等,在实践中可能涉嫌构成盗窃罪或非法获取计算机信息系统数据罪。

 

  流量劫持现象早已有之,甚至已经变成网络空间安全毒瘤。《中国互联网法律与政策研究报告(2013)》指出,流量劫持作为新型的网络不正当竞争行为,亟待立法规制。[3]但是,长期以来,主要依靠两种民事救济方式:(1)民事起诉索赔。在“3B”大战一案中,360对百度搜索结果进行标注甚至篡改,并向用户宣传安装360浏览器,百度因此向法院起诉360。法院认定,360以用户安全为名义,对百度搜索结果进行插标,干扰他人互联网产品或服务的正常运行,判决其赔偿百度40万元。2015年底,百度与搜狗围绕流量劫持问题再次互撕。法院认定搜狗构成不正当竞争,责令赔偿经济损失。随后,今日头条、美团大众点评网、360、腾讯、微博、小米科技发布《六公司关于抵制流量劫持等违法行为的联合声明》。(2)民事诉前禁止令的先例。在2015年的双十一来临之际,天猫、淘宝向浦东法院提出诉前行为保全申请,请求法院禁止两家公司继续以5”(“5网站推出的5网页插件,名为比价软件,实为劫持流量的恶意插件,安装后很难卸载。)网页插件的形式,对申请人实施不正当竞争行为。最终法院支持淘宝的诉前禁止令的请求。

 

  当前,通过民事救济方式规制流量劫持行为,对维护互联网企业的公平竞争秩序有积极意义,却忽视用户的合法权益,更忽视保护网络安全的重要意义。然而,厚此薄彼的做法无法实现最大的治理效益。反而,由于刑法并无相关的直接规定,单纯民事救济手段容易导致流量劫持遁入无法的空间地带,间接充当纵容其成为网络环境下快速牟利的违法犯罪手段的帮凶。

 

“流量劫持”的刑法规制及完善


  三、流量劫持的刑事制裁原理

 

  流量劫持首先侵犯用户、企业以及第三人的合法自主使用权益,也破坏网络市场经营秩序,更严重破坏网络空间安全。因此,民事救济方式具有局限性,将其入罪是刑法积极维护网络空间安全的必然体现。

 

  ()并非所有的流量劫持行为都应当入罪

 

  流量劫持单纯作为网络技术行为而言,具有一定的中立性。然而,当其作为排斥竞争对手和牟取非法竞争利益时,则可能属于不正当竞争行为,甚至涉嫌构成犯罪。由此,部分严重的流量劫持行为可能构成犯罪。一般而言,流量劫持在实施方法或实现技术上可以分为软性与硬性两种。软性的流量劫持并未采取技术手段侵入计算机信息系统,而是采取核心关键词的替换等手段,典型的如“3B”大战一案,一般应当定性为不正当竞争行为。硬性的流量劫持,是指采取破坏计算机信息系统正常运行的方式劫持流量,应当构成犯罪。换言之,当采用DNS劫持、用户端植入插件或代码等手段时,往往属于硬性的流量劫持,可能涉嫌破坏计算机信息系统安全,目前的两个有罪判决即是示例。无论属于软性还是硬性的流量劫持,对于用户而言,往往只能选择民事救济手段,除非伴随获取个人信息与窃取财产等危害行为。这也是民事救济方式的弊端之一所在。

 

  ()“流量劫持构成破坏计算机信息系统罪的理由

 

  当前,刑法并未规定流量劫持中的流量属于财产,用户流量流失以及各方遭受的经济损失也难以归入财产犯罪。但是,硬性的流量劫持行为客观上导致计算机信息系统被植入恶意软件,并危害网络的正常运行,是对计算机信息系统的破坏。换言之,采取域名解析等技术手段方式时,必然对网络用户的计算机信息系统中存储、处理的数据进行修改、增删等行为,从而具备破坏计算机信息系统罪的客观要件。从网络技术的属性看,流量劫持的本质是数据没有加密保护,传输中机密性和完整性就可能受损。据此,流量劫持破坏正常或完整的网络数据运行与程序活动,也直接破坏网络空间安全。因而,构成破坏计算机信息系统罪。

 

  ()“流量劫持构成非法控制计算机信息系统数据罪的理由

 

  在案件二中,虽然也采用DNS域名解析的方式,但法院最终认为构成非法控制计算机信息系统罪。其合理性在于:流量劫持首先表现为非法控制互联网域名解析系统,同时致使用户访问被劫持的网站时,强行跳转到另外的页面,用户实际访问的页面与用户输入的网址不同;或者致使在用户访问网站时,自动加入推广商的代码。这其实违背计算机信息系统合法用户的意愿,恣意操作该计算机信息系统或掌握其活动的行为。易言之,流量劫持行为未经权利人允许,违背用户与企业意愿,采取非法代替操作、非法掌握用户与企业的运行行为及数据等技术手段,导致正常的网络运行控制权丧失,[4]已经完全非法控制计算机信息系统。因此,构成非法控制计算机信息系统罪,但与破坏计算机信息系统罪产生竞合问题。

 

  ()“流量劫持涉嫌构成破坏生产经营罪

 

  流量劫持作为典型的网络流氓行为,实质是通过的网络技术手段,保持非法的垄断地位或非法侵占其他竞争对手的网络资源并牟取暴利。作为新型的网络不正当竞争行为,严重干扰正常的网络市场经营秩序,同时侵犯消费者的合法权益。特别是在互联网+”时代,网络流量成为信息服务与数据竞争的核心因素,放任流量劫持行为不管,将严重破坏互联网企业、用户与第三方之间的良性网络竞争环境。因此,即使不采取破坏计算机信息系统等硬性方式实施,流量劫持也可能涉嫌构成破坏生产经营罪,而非必然只能由民事救济手段介入。但是,破坏生产经营罪的制定背景仍然是传统的现实物理社会,导致对网络经济的兼容性明显不足,明显匮乏规制新型网络经济犯罪的能力。[5]由此,传统意义的破坏生产经营罪介入流量劫持缺乏有效的规范依据,除非进行网络化改造并植入网络因素。

 

  ()提供流量劫持与帮助实施行为涉嫌构成犯罪

 

  当前,两个有罪判决主要是对使用流量劫持行为加以制裁。但是,提供流量劫持技术或帮助实施流量劫持的行为同样值得处罚。首先,提供或明知他人实施侵入和非法控制计算机信息系统的,提供DNS等硬性的流量劫持程序或工具的,在达到情节严重时,构成《刑法》第285条的3款规定的提供侵入、非法控制计算机信息系统程序、工具罪。其次,当明知他人利用流量劫持等手段实施犯罪的,提供互联网接入、服务器托管、网络存储等技术支持或其他技术帮助的,构成第287条之二规定的帮助信息网络犯罪活动罪。显然,已有的两个有罪判决并未介入。

 

  总之,流量劫持是严重的网络不正当竞争行为,明显干扰正常的网络市场经营秩序。然而,单纯依靠民事救济方式并不妥当,既忽视用户的自主权,也忽视网络安全的重要地位。无论是硬性还是软性的流量劫持行为,都可能侵犯网络安全刑法法益,受害者不再是独立的用户、企业或者市场经营秩序。这正是上升到刑事制裁层面的根本理由。两个有罪判决聚焦非法控制计算机信息系统罪与破坏计算机信息系统罪并无不当,却也遗漏流量劫持严重破坏网络市场经营秩序的客观事实,破坏生产经营罪的网络化转型刻不容缓。此外,对于非法提供流量劫持技术和帮助实施流量劫持的严重行为,应当加以处罚。

 

  四、流量劫持的立法规制完善

 

  流量劫持的适法困难暴露了网络犯罪立法规定仍有漏洞,司法竞合现象也暗示网络犯罪立法规定有待升级整合。现行刑法仍以传统物理现实社会为制定背景,逐渐脱离网络空间社会的代际变迁与新型需要。传统刑法理论体系的网络化是必然的发展趋势,流量劫持可以作为转型的一个切入口。

 

  ()司法竞合的客观必然性及其克服

 

  对于流量劫持行为,实践中长期依靠民事规制手段有其客观性。除了网络安全保护思维更新迟缓外,刑法立法的不足是重要内因。进言之:(1)1997年《刑法》第286条早就规定破坏计算机信息系统罪,但是,司法机关一直未启用,首先表明尚未充分认识到网络安全的重要性、网络安全威胁的多样化。目前,尽管已有按照破坏计算机信息系统罪论处的判决,然而,搁置第286条而长期不启用,更从侧面反应司法保护理念的迟延,以及网络犯罪立法更新的不足。(2)《刑法修正案()》增加第285条第2款并确立非法控制计算机信息系统罪,非法控制作为危害行为的关键词,从规范角度可以阐明流量劫持作为技术危害行为的本质特征,是其被援引的主要原因。虽然丰富定罪的选项,却引发了非法控制计算机信息系统罪与破坏计算机信息系统罪的司法竞合难题。这说明立法修改未能全盘考虑,修改的碎片化痕迹过重。(3)破坏计算机信息系统罪与非法控制计算机信息系统罪,分别是1997年《刑法》与《刑法修正案()》的产物。相隔十二年的两个罪名,在互联网发生了翻天覆地的巨变之际,发生竞合现象,充分说明立法更新不足是重要的内因,已有立法规定对新生事物的适宜性不断下降。为此,应当从立法方面加以解决。(4)尽管立法完善是最终途径,然而,暂时可以考虑由最高人民法院或最高人民检察院发布指导性案例,发挥案例指导制度在解决新型、疑难、典型案件的法律适用上的独特作用。实际上,已有的两个有罪判决可以作为发布指导案例的来源,以此明确适用的法理基础与区分标准。

 

  ()危害行为竞合是实质内容

 

  从当前两个有罪判决看,其实各有道理:(1)“流量劫持既符合非法控制的危害行为特征,也满足破坏的危害行为属性。从非法控制非法破坏的内在逻辑看,应当是特殊与普遍的关系,非法控制显然可以作为破坏的特殊行为对待。因而,论处非法控制计算机信息系统罪更妥。(2)从法定刑的档次看,破坏计算机信息系统罪严于非法控制计算机信息系统罪。如果遵循竞合形态一般所主张的从一重处罚原则,更宜论处破坏计算机信息系统罪。然而,同案同判的效果终至落空,不利于法治的统一。据此,非法控制与破坏都可以概括在流量劫持的技术特征与危害结果,是竞合的实质内容。进而,也促发两个关联法条之间的竞合,也即究竟是特殊优于普通、还是重法优于轻法的分歧,实践中可能基于重罚的立场而选择后者,却也忽视危害行为类型才是最重要的区分因素。(3)对于两个有罪判决暴露的竞合问题,刑法解释几乎鞭长莫及。无论将流量劫持严格解释为非法控制计算机信息系统的行为,还是限制解释为破坏计算机信息系统的行为,都难逃司法竞合的命运。因此,刑法解释在解决传统刑法理论的网络化问题时较为乏力。

 

  ()立法完善的基本思路

 

  为了充分提升刑法保护网络安全的针对性,为了从立法环节克服适用困难现象,立法完善是避免当前处置流量劫持等新型问题时出现竞合难辨的合理出路。简言之:(1)优化网络危害行为的类型结构。1997年刑法以计算机1.0时代为背景,第285条和第286条的犯罪对象以及犯罪客体大同小异,危害行为分别是侵入破坏。但是,从语言逻辑与罪状内容看,破坏可以包含任何网络危害行为,人为制造了竞合的内因。经过《刑法修正案()》修改后,第285条第2款、第3款分别增加非法控制非法获取以及非法提供,但是,破坏仍可以包含新增的危害行为。[6]毕竟立法理念与技术并未脱离1997年刑法及其制定背景。《刑法修正案()》再次修改后,由于聚焦以信息网络为核心的网络2.0时代,所以,犯罪对象和犯罪客体发生了一定的变化。第286条之一、第287条之一、第287条之二分别增加拒不履行非法利用帮助三种具体行为,从而与破坏保持相对的界限。然而,对于流量劫持的规范评价而言,《刑法修正案()》对危害行为的补强难以产生直接作用。由于破坏作为危害行为具有很强的包容性,非法控制可以理解为特殊行为,是导致网络罪名发生竞合的根本原因。因此,网络危害行为的类型化升级甚至重要,而且应当结合网络犯罪对象与网络安全法益作出同步的调整。(2)网络犯罪对象应当精确化。第286条是1997年刑法的产物,当时并未充分考虑到网络社会的高度发达以及网络犯罪的迅猛推进,犯罪对象是计算机信息系统及其运行安全。将破坏作为核心关键词,具有兜底之用,可以更好地涵盖第285条规定之外的其他计算机(信息)系统。易言之,破坏作为危害行为的实质内容,可以辐射范围较广的计算机信息系统及其运行情形。而且,《刑法修正案()》增加的第285条第23款仍以相同的犯罪对象为修改内容,导致后续增加的罪名与原有罪名之间容易出现竞合关系。相比之下,《刑法修正案()》的犯罪对象是信息网络及其管理秩序。[7]犯罪对象明显不同,相应的犯罪行为也不尽相同。由于注重设计新增罪名与既有罪名的罪状差异,避免了新旧罪名的行为竞合。第286条一共包括三款,各自的犯罪对象是系统功能、应用程序与数据,而其修改方向之一是拆分犯罪对象,拆分后的对象不应当存在重复或明显的交叉,力图避免与其他罪名的竞合。流量劫持的犯罪对象是信息系统与信息数据,考虑到第285条第2款可以保护网络系统安全法益,修改后的第286条便无需重复设置相同的犯罪对象。(3)具体网络安全法益的精细化。网络犯罪对象的精细化可以促使网络危害行为的类型化,而其前提是网络安全法益同步实现类型化,实现协同的效应。从而,可以在罪状层面实现无缝对接与内容整合,避免网络犯罪罪名的内部竞合,提高立法的科学化水平。总体而言:一方面,要逐步消除1997年刑法确定的计算机信息系统安全这一陈旧的法益内容。在网络空间社会全面覆盖之际,网络犯罪侵害网络安全法益,既包括网络信息安全,也包括大数据安全等。另一方面,不同的危害行为搭配不同的犯罪对象后,直接侵害的具体法益内容不尽相同。因此,直接法益的精细化至关重要,可以实现不同犯罪对象与危害行为的优化搭配。网络安全法益的类型化是合理布局网络犯罪立法的前提,从立法目的与立法技术层面可以预先排除竞合的概率。以《刑法修正案()》为例,新增加的第286条之一、第287条之一、第287条之二,将法益锁定为信息网络安全管理秩序[8]分别通过拒不履行安全管理义务、非法利用的预备行为、非法的片面技术帮助行为共三种具体的危害行为类型加以体现,并作用于不同的信息对象。流量劫持主要破坏网络安全与信息系统的正常运行,更符合非法控制计算机信息系统罪保护的法益;286条拆分后,具体法益的内容应当避免再次重复保护。

 

  总之,流量劫持行为再次考验传统刑法理论应对新型网络安全风险的能力与适宜性。司法实践证明,传统刑法理念滞后与立法不足等老问题相继呈现。立法完善是解决流量劫持适法困难的终极途径,也再次说明传统刑法理论体系的网络化进化与变革应当加速推进。但是,依靠修修补补方式不足以应对现实挑战,网络犯罪立法需要有长远的规划、合理的布局,同步修改总则和分则的内容,协调立法修改与理论调整的步调。网络刑法学作为未来的刑法理论形态,是因应网络空间社会的猜想,具备自如应对诸如流量劫持等新问题与新挑战的能力,而有序的立法完善是促成网络刑法学实现的内生性动力。尽管如此,刑法解释、案例指导制度仍可以发挥一定的积极作用。

 

  作者:孙道萃 来源:中国检察官·经典案例 20164

上一篇:刑法学中的期待可能性及其规范化路径

下一篇:司法考试的导向与本科刑法学教学改革