吴沈括 李涛：流量劫持的的刑法应对

引言

随着计算机信息系统技术与互联网的快速发展,网络已经成为个人生活、经济发展及国家建设的重要支柱,衍生的网络安全问题日渐凸显,其不仅关系到财产安全、数据安全,更已经上升至国家安全的高度。随着网络空间刑事治理走进深水区,越来越多曾经盘踞在网络隐秘角落的犯罪行为逐渐走进司法机关视野,而流量劫持正是此种之一。本文拟以相关法律规定和技术资料为基础,以互联网发展与法律制衡的不平衡态势为背景,“将风险社会置于法治社会的背景之中”,对流量劫持犯罪行为进行审视,为司法机关打击犯罪和适用刑法提供一些思考。

一、流量劫持的概念

（一）流量劫持的技术原理在计算机信息系统学科中,流量被用于代指计算机网络采用数据通信方式传输数据的实现过程,即“通过数据通信系统,将携带信息的数据以某种信号方式从信源（发送端）安全、可靠地传输到信宿（接收端）”。在数据传输的过程中,有一些特定的计算机信息系统或应用程序会承载数据传输的部分工作,如内容分发网络（Content Ddelivery Network,简称CDN）、域名系统（Domain Name System,简称DNS）、电信运营商基础网络设施等。随着互联网的蓬勃发展,行业人士发现流量同样可以作为用户与网站之间交互行为的数量统计指标。根据中华人民共和国通信行业标准《互联网服务统计指标第1部分：流量基本指标》定义,流量指标一般包含独立IP地址数,独立访客数,页面浏览量,访问次数,访问时长等。在“流量经济”的理念下,互联网产业的参与主体围绕着流量数据展开商业竞争,通过创新技术,打造丰富多彩的内容信息和服务,提升网站用户数量与流量,进而赚取广告佣金。但在巨额利益的诱惑下,有不法份子开始试图通过流量劫持的方式提升网站流量,其主要分为两种“引诱”和“强迫”两种方式,最大的区别在于是否系通过技术否定了用户的自主选择权。“引诱”型流量劫持行为,本质上依然需要用户的自主意愿和客观行为才能完成流量获取。海淀法院审理的百度公司诉搜狗公司一案具有一定的代表性,经审理认为:用户在已经选定搜索引擎的情况下,搜狗输入法未在输入法界面添加与搜索经营者相关的明显表示,通过搜索候选词将用户引导至同样没有搜索用明显标示的搜狗搜索结果页面,劫持本属于三原告的搜索用户流量,应认定为利用技术手段,通过影响用户选择的方式,妨碍原告经营活动的正常进行,构成了不正当竞争。而“强迫”型的关注重点是从技术手段上影响流量的传输过程。流量本质上是数据通信,其需要遵守相关的技术规范,行为人通过技术手段,在数据通信过程中的关键环节,对数据通信过程施加影响,那么就有可能增加、修改、删除或控制数据传输的内容或路径,最终达到强迫用户访问网站、接收数据的目的。这种技术上的非法干预与控制,从计算机网络最底层、基础的通信数据行为上彻底否定了用户的自主选择权。值得注意的是,立法者通过对《反不正当竞争法》增设条款,对流量劫持的问题进行了正面的回应,该法第12条第2款第1项明确规定:经营者不得利用技术手段,通过影响用户选择或者其他方式实施未经其他经营者同意的,在其合法提供的网络产品或者服务中插入链接、强制进行目标跳转的行为。此条款实际上是同时涵盖了“引诱” 型与“强迫” 型流量劫持行为,其不仅为民商事领域处理此类案件提供了指引,也为此类行为入刑设置铺垫。（二）流量劫持的行为样态

（1）实施流量劫持的场景流量传输的技术标准决定了流量劫持行为发生于信源、数据传输关键节点、信宿等场景中。从行为对象来看,其均表现为计算机信息系统或应用程序,具有法益上的相似性。而从危害角度上来看,对信源、信宿实施的犯罪行为往往仅影响单一主体,而针对数据传输关键节点的犯罪行为会借由关键节点的服务性功能进而影响广泛、不特定的网络用户。从实践来看,CDN、DNS、运营商基础网络服务设施都可以作为流量劫持行为的切入点。如我国第一起流量劫持行为入刑案件,付某某、黄某某涉嫌破坏计算机信息系统案,行为人的主要犯罪手法即是利用DNS解析域名的特性,通过修改DNS设置,导致用户在访问固定网站时被强制跳转至行为人预先设定的网页,达到流量进行劫持的目的。而随着陈某某等非法获取计算机信息系统数据案、沈捷等人诈骗案的出现,运营商流量劫持也成为业界关注的热点。

（2）流量劫持的盈利方式流量劫持的盈利方式决定了流量劫持的行为样态,而其盈利方式与具体商业模式直接相关。参见常见的互联网商业模式,我们大体可以将流量劫持的盈利模式分为区分为“引流”、“展示”和“替换”。引流型流量劫持行为是指,行为人通过技术手段,影响网站的域名解析,致使用户无论输入的网站地址如何,其最后都会被跳转至特定网站。这种方式在短时间内提升网站流量,但因为劫持方式简单、粗暴,劫持行为易被察觉等特点,现在已经近乎销声匿迹。而随着互联网商业广告的充分发展,流量劫持的核心逻辑也从强迫用户登陆网站转变为强迫用户接收广告,方式多以弹窗广告、附加网页等方式体现。这种展示型流量劫持行为极易误导用户,不易暴露。在绝大多数的情况下,用户可能并未意识到自己的流量已经被劫持,而是会误以为相关广告或网页是属于其所访问的网站提供的内容。而替换型流量劫持常见于应用程序分发领域。一般而言，企业会通过不同的分发渠道对应用程序进行推广，在此过程中，为了统计每个分发渠道具体的应用程序下载量、用户数量等数据，企业会给每个分发渠道制作附带有可识别ID的安装包，当用户下载安装包后，该APP会将可识别ID回传给企业，从而完成数据统计。替换型流量劫持的主要逻辑就是通过技术手段，将不同渠道的安装包进行替换、混用。这种行为主要侵犯的是分发渠道的经济利益，违法行为更加隐蔽。

二、流量劫持的刑法应对基础-数据法益任意数据自从产生之初即承载着两类不同的法益:第一类法益是数据作为一种承载形式所具备的独立法益,即数据安全。第二类法益是数据所承载的信息内容内涵的法益,其可能涉及到个人信息、财产性权益、隐私等。同时,我们必须意识到,无论是改变数据的知晓状态或者可支配性,亦或是获取计算机信息系统控制权,又或是影响计算机信息系统的正常运行状态,都需要在客观层面对数据进行操作进而实现。这正是计算机犯罪行为最为核心的特点,也是区分相关涉危害计算机信息系统罪名与其他传统罪名的关键钥匙。以计算机信息系统网络的出现为时间点,对数据法益的认识可以划分为两个阶段。在此网络互连技术出现之前,计算机信息系统与计算机信息系统之间无法传输数据,数据呈现出“孤岛”的状态,数据活动行为在单一的计算机信息系统环境下完成,数据法益更多被视作一种附属于计算机信息系统安全的要素。而随着网络互连技术的出现,数据法益在原有的基础上出现了新的特点:首先,网络互连技术的出现为数据传输提供了可能性,数据从“孤岛”走向了网络。数据活动的形式也愈加丰富,涉及更加多样;其次,数据传输行为受到网络互连技术标准的规范。国际标准化组织(ISO)确立TCP/IP模型与IPv4协议为网络互连技术标准,其内涵的IP规则、地址解析、IP数据报转发等多项协议内容对数据传输行为进行了规范。再次,数据传输行为导致数据法益具备了新的内容与概念,数据法益具备走向公共领域的可能性。最后,数据安全从个体计算机信息系统安全问题演变为了数据流转全过程的安全问题,两者概念逐渐相分离。需要承认的是,对于数据法益的探讨,在国内当下依旧是缺乏体系与共识。有学者对相关数据法益的论述总结后认为,“可以说,个人数据经常汇集多方主体的不同性质的权益。相应的主体之中既有公法益主体,又有私法益主体,而私法益主体中既有自然人,又有公司等组织。同时,对于单一的主体而言,个人数据既可能涉及人身权利,也可能涉及财产权益” ,该学者以数据指向的具体法益为标准,总结国内刑法对于数据的保护采取了四种模式,分别是:经济秩序保护模式、人格权保护模式、物权保护模式、公共秩序保护模式。 

三、流量劫持的刑事治理现状截止到2020年7月份,笔者以“流量劫持”为关键词,在中国文书裁判网、无讼网站共计查询到8份刑事判决书, 实际涉及流量劫持事实5件。笔者选取了两个具有代表性的案例,对当下流量劫持治理的逻辑和发展进行进一步阐述。

（1）付某某、黄某某涉嫌破坏计算机信息系统案2013年底至2014年10月,被告人付某某、黄某某等人租赁多台服务器,使用恶意代码修改互联网用户路由器的DNS设置,进而使用户登录“2345.com”等导航网站时跳转至其设置的“5w.com”导航网站,被告人付某某、黄某某等人再将获取的互联网用户流量出售给其他公司,违法所得合计人民币754762.34元。此案是全国流量劫持入刑第一案,后也被作为102号指导案例对外发布,但值得注意的是,针对同一事实,原审判决与指导案例引用了刑法第286条不同的条款：原审判决引用的是刑法第286条第2款；而指导案例则引用了刑法第286条第1款。因为,两款罪状之间存在“造成计算机信息系统不能正常运行”这一要件的区别,因此,笔者有理由认为,指导案例实际上是在原审判决的基础之上,进一步将行为人实施的“对数据进行删除、修改、增加的操作”认定为“对计算机信息系统功能进行删除、修改、增加、干扰”,并致使“计算机信息系统不能正常运行 ”。对于“正常运行”的语义剖析将有助于我们理解指导案例的逻辑。在日常生活中,网站的域名在通信数据的技术规范中体现为IP地址,但其难以记忆,如百度网站使用其中文拼音作为网站域名（www。baidu。com）,其IP地址为61。135。185。32。为了方便用户访问互联网,为此,需要一种能在IP地址和网站域名之间进行解析、跳转的服务,DNS服务应运而生。在实际运行中,DNS会根据用户的访问请求在分布式数据库中检索到域名对应的IP地址,从而使用户进行访问。因此,我们可以近似得认为将“DNS本质上是一个分布式数据库,也是一个允许用户查询该数据库的应用层协议”,很显然,计算机信息系统功能是基础,而数据是功能的对象。进一步而言,对于计算机信息系统功能而言,数据没有对错之分,其均会按照功能设计进行处理。那么问题在于：“计算机信息系统正常运行”的边界究竟是“功能正确”还是必须要求“功能与数据均需正确”？如果是前者,那么行为人在保证“功能正确”的基础之上通过输入了“错误数据”引发的犯罪结果,仅仅属于利用计算机信息系统功能,更适宜定性为非法控制；如果是后者,理应认定对数据的操作行为行为符合刑法第286条第1款之规定。显然,指导案例采用了第二种认定观点。其所引发后果可能正如司法人士所指出的,102号指导案例可以“视为官方层面对流量劫持犯罪刑法规制以破坏计算机信息系统罪定罪量刑的默许”。指导案例的观点无疑具有一定的前瞻性。因为从数据通信过程和互联网架构来看,以DNS为代表性的关键节点有着无可替代的基础性作用,其重要性不言自喻。但从学理而言,指导案例至少在以下方面有些许不足：计算机信息系统功能具有独立的价值,并非所有的数据都会影响计算机信息系统功能的完整性,将此类数受到损害的结果评价为计算机信息系统功能整体的非正常运行,存在逻辑上的矛盾。 

（2）卿烨科技（北京）有限责任公司涉嫌破坏计算机信息系统案被告单位卿烨科技（北京）有限责任公司制作、传播的源代码程序,与免费软件捆绑下载运行后,在用户不知情的情况下针对特定浏览器安装插件,而插件的功能就是用于修改用户浏览器启动页,并阻止用户自行更改,从而达到劫持用户浏览器的目的。相较之102号指导案例,本案审判法院在审理案件的过程中,借助于司法鉴定报告等证据,对被告单位的技术行为进行了深刻的思考,并在判决中详细的论述了罪名的适用逻辑,更为清晰的揭示了流量劫持行为的违法性。审判法官认为：涉案源代码程序运行后在未经用户授权的情况下,静默下载安装crx插件的行为,属于非法控制计算机信息系统；而crx插件未经用户允许,擅自修改用户浏览器启动页,且用户难以自行更改,这一行为则导致用户无法根据其本人意愿选择浏览器启动页,这是对用户计算机信息系统原有功能的破坏,属于破坏计算机信息系统的行为。同时,法官着眼于控制行为与破坏行为之间的逻辑关系,认定该源代码程序的非法控制功能服务于破坏功能,二者之间具有手段和目的的牵连关系,仅以非法控制计算机信息系统罪来评价被告单位的上述行为不完整、不全面,因而对于制作、传播该源代码程序的行为应采用从一重处罚的原则,即应以破坏计算机信息系统罪对被告单位及各被告人定罪处罚。笔者认为,从102号指导案例出台到卿烨案宣判,尽管罪名均适用一致,但我们通过司法人员的审判逻辑却不尽相同。随着司法人员不断加深对技术行为的学习、了解,其对计算机信息系统安全法益的理解也越发深入,刑法理念随之不断进步。随着对技术行为的深入了解,刑法打击的对象更加的明确,司法人员有意识在审判实践中区分不同类型的流量劫持行为,并针对性的适用罪名。同时,司法人员已经意识到刑法第286条第2款与刑法第285条内在逻辑冲突和法律适用障碍,并试图通过法理论证寻求平衡,这种探索对于丰富网络刑法原理无疑具有巨大的价值。 

四、流量劫持行为的罪名适用选择-以短缩的二行为犯为视角非法控制计算机信息系统罪在立法设计上采用了空白罪状,考虑到司法实践中非法控制的手段多种多样,适用空白罪状为司法实践预留了解释的空间。有学者对司法实践进行归纳后,发现该罪名成为名副其实的“口袋罪”,其实质上可以用于评价所有非法获取电脑系统数据的行为。在体系化立法的前提下,兜底罪名的设计本无可厚非,在司法实践中,也需要空白罪状包容形式多样的的犯罪行为。但一般而言,立法者为避免空白罪状与同体系下其他罪名产生竞合,会进一步细化非兜底性罪名的犯罪构成设计,设置合理的“要素”以进行区分。因此,刑法286条分别从计算机信息系统的功能性、数据和应用程序、破坏性程序方面着手,对犯罪客观要件进行相应的设计。但是计算机犯罪区别于传统犯罪的特点-计算机犯罪行为受限于技术架构,法律无法脱离技术架构实现对技术行为的规制,因此法律用语必须符合技术规范,否则极易产生错配的现象。在计算机信息技术语境下,数据乃是计算机信息系统构成之基本元素,无论是计算机信息系统还是程序,都是由数据构成。虽然从语义上看起来功能性、应用程序、破坏性程序是3种不同类别的行为对象,但如果技术架构进行考察,对任一通过计算机信息系统本身机能达成的破坏计算机信息系统的行为都离不开对计算机信息系统储存、处理或传输的数据操作行为,这种逻辑恰恰切合刑法286条第2款。而该条款相较之第1款、第3款,又缺乏了“造成计算机信息系统不能正常运行”这一限制构成要件,进一步降低了降低了入罪门槛。这就导致了在实践中,司法人员可能功利性的使用刑法286条第2款认定计算机犯罪行为,从而导致刑法285条第2款的空置。以非法获取数据、非法控制计算机信息系统的行为基础之上构成的破坏计算机信息系统行为,实际上是一种行为与目的的关系,而深究两者之间的具体联系,可以发现,286第2款与285第2款之间的逻辑关系是符合“短缩的二行为犯”的模型。德国刑法从目的与行为的关系角度出发,最早提出了短缩的二行为犯理论,其最主要的意义在于,通过设立判断规则,在特定的犯罪中,承认行为人主观上的特定目的对犯罪构成的影响。我国刑法学者张明楷曾对短缩的二行为犯作如下论述：“其基本特点是,完整的犯罪行为原本由两个行为组成,但刑法规定只要行为人以实施第二个行为为目的实施了第一个行为,就以犯罪（既遂）论处；如果行为人不以实施第二个行为为目的,即使客观上实施了第一个行为,也不成立犯罪（或者仅成立其他犯罪）”。短缩的二行为犯理论进一步考虑了主观目的这一要素,从而在法律机能上实现了对罪与非罪、此罪与彼罪更加精细化的判断。将此理论适用于285条第2款与刑法286条第2款之辨析时,我们不难得出以下结论：当行为人实施了修改、删除、增加数据时,在行为人主观故意可以确证的情况下,对行为人主观目的的考察将成为区分此罪、彼罪的要点。其可能产生以下结果：第一种结果：经过判断,行为人主观上仅存在非法控制计算机的目的,其后续的其他行为需要依赖于所支配的计算机信息系统具备的正常性功能实现,并未进一步对控制的计算机信息系统实施其他行为，则其行为应仅定性为非法控制计算机信息系统罪；第二种结果：当经过判断,行为人主观上同时存在破坏与控制的目的,可以认定控制行为服务于为破坏目的，则一般应将其行为定性为破坏计算机信息系统行为，在此基础之上，结合刑法第二百八十七条的注意规定，予以准确定罪量刑。在短缩的二行为犯理论框架下,刑法285条第2款与刑法286条第2款适用问题从关注表面客观行为深入至考察行为人主观目的。而计算机信息系统的技术架构决定了计算机信息系统和应用程序的任一功能均指向一种明确的、客观的计算机技术行为,而功能又本身是一种主观意志的体现。我们近乎可以认为,计算机技术行为本身具备刑法判断所强调的“主客观相一致”特质。在流量劫持的案件中,通过短缩的二行为犯理论,我们可以对犯罪行为进行明确的划分,对数据的删除、修改、增加的操作行为定性也更清晰。就一般的流量劫持行为而言,其犯罪行为均需在缺乏授权的情况下,借助计算机信息系统功能的正常运作才能执行,因此,其一般应定性为非法控制计算机信息系统罪。但是,如果行为人因为技术上的不当操作或其他原因（如其在通讯链路上的计算机信息系统内安装木马、病毒程序）,在实施犯罪行为的过程中,导致数据通信链路上的计算机信息系统功能遭受破坏,则其行为可能构成破坏计算机信息系统罪。

五、流量劫持的刑法应对建议

（1）加强检察队伍专业性建设。近几年来,我国在治理计算机和网络犯罪方面卓有成效,但仍有很多问题急需解决,专业化能力的缺乏已经成为制约案件办理的主要阻力。长期来看,检察机关必须针对网络犯罪的特点优化工作机制,重新构建人才培养体系和标准,方能应对专业化之困境;就中期而言,检察机关需要通过指导性案例、案件办理指南等形式进行总结,对网络犯罪的类型、相关专业化知识、案件办理经验进行普及、推广,革新检察人员知识体系;而当下,检察机关需要集中力量,在部分地区迅速打造出一批专业的从事办理计算机与网络犯罪案件的检察业务团队,发挥好领头羊作用,以点带面,对网络犯罪进行有效打击。

（2）检察机关应重视互联网企业在打击计算机与网络犯罪中的重要作用。在多数计算机与网络犯罪的背后,除了公安机关的辛勤付出意外,或多或少都有互联网企业的身影。检察机关如若在刑事诉讼流程中,依法引导互联网企业,发挥各自优势,将会发挥事半功倍的效用,而检察机关的办案经验也会成为互联网企业对抗计算机与网络犯罪的宝贵财富,进而辐射至广大用户,最大效果维护网络空间的合法秩序。

（3）互联网的迅速发展已经对刑法最后手段之原则提出了挑战。在前置行政法规缺位的情况下,刑法的适当扩大化有助于遏制犯罪态势,维护网络空间秩序,但网络犯罪圈的扩大化必须以明确其法益保护为基本原则。笔者认为,立法者应重新审视计算机信息系统安全这一传统法益,并构建符合网络时代的新型数据法益。新型数据法益实际上是多种法益的组合:一项核心法益要素与三项基础法益要素构成,其核心法益要素为数据所承载之信息涉及具体法益内容；而数据的三项基础法益是指数据的知悉权、支配权、传输安全,此三项也可以统称为数据安全法益。如此构建新型数据法益结构至少具有以下优势：新型数据法益是一种概念上的确立,其并不以重新立法为前提条件,可以在最大程度上确保刑法的稳定性；新型数据法益的构建逻辑切合法律、计算机两种学科的要求,核心法益要素承载了传统法益的概念,而三项基础法益的确立则来源于计算机学科对于数据安全要素的界定；司法人员可以借助核心法益,有效解决犯罪竞合问题,而基础法益又为数据、计算机信息系统安全进行了全面保护.

（4）《网络安全法》中提出了关键信息基础设施的概念,从行刑衔接的角度而言,刑法应该对此予以回应。笔者建议,应该将承载数据传输服务的关键计算机信息系统作为特殊的保护对象,从计算机犯罪的一般对象中予以划出,降低侵犯关键信息基础设施的的行为的入罪标准。结语互联网经济日益发展,以流量劫持为代表的技术型网络犯罪行为日渐频发,围绕其产生的刑法适用、法理探讨等问题将愈加频繁,传统刑法理论日渐捉襟见肘。在规制此类犯罪行为时,确有必要不断审视刑法与客观实际的契合度,反思、开拓、完善刑法理论。传统的法益保护理论依然是准确适用刑法罪名的核心关键,而对于新型法益的探讨、确立,迫在眉睫。就检察机关而言,需要长远规划,通过短、中、长期的阶段性措施不断提升检察队伍专业化能力建设,以提升应对网络犯罪适应能力。在现阶段,刑法应对流量劫持犯罪的核心逻辑是准确认定犯罪行为的技术底色,对于通过技术手段实施的“强迫”型流量劫持行为,应予以严厉打击。在适用罪名时,注意区分一般犯罪对象与特殊犯罪对象,对于侵犯承担网络数据传输关键服务功能的计算机信息系统,可参考指导案例予以定性；对于一般犯罪对象,应全面考察非法控制与破坏行为之间的竞合、计算机信息系统是否正常等因素,准确适用罪名,不宜机械适用刑法第286条第2款。

— END —