吴沈括 李涛：数字经济语境下流量劫持的刑事治理

数字经济语境下流量劫持的刑事治理
吴沈括北京师范大学互联网发展研究院院长助理、博导中国互联网协会研究中心副主任李涛北京市海淀区人民检察院第二检察部检察官本文为最高人民检察院检察理论研究重点课题的阶段性研究成果，刊载于2022年5月30日《检察日报》。

在法治环境下，数字经济参与主体围绕着数据要素展开商业竞争，通过丰富多彩的信息内容和服务手段，吸引用户，进而获取数据要素。但随着用户数量红利逐渐消失，数据要素获取成本也在不断提高。在巨额利益的诱惑下，部分参与主体试图通过“搭便车”的方式博取利润，甚至催生了与之相关的犯罪产业链。这其中，危害最大的莫过于流量劫持行为：不法分子通过技术手段，在数据通信过程中的关键环节，对数据通信过程施加影响，增加、修改、删除或控制数据传输的内容或路径，非法干预、控制用户的自主选择权。如果将视角从用户个体拓展到数字经济领域,流量劫持行为不仅破坏网络市场正常经营秩序，甚至可能危害到网络安全乃至国家安全。

近年来，立法者通过对《反不正当竞争法》增设条款,对流量劫持引发的不正当竞争问题进行了正面的回应,该法第十二条第二款第一项明确规定:经营者不得利用技术手段,通过影响用户选择或者其他方式实施未经其他经营者同意的,在其合法提供的网络产品或者服务中插入链接、强制进行目标跳转的行为.而今年3月20日正式实行的《最高人民法院关于适用〈中华人民共和国反不正当竞争法〉若干问题的解释》中，第二十一条第一款进一步明确：“未经其他经营者和用户同意而直接发生的目标跳转，人民法院应当认定为反不正当竞争法第十二条第二款第一项规定的“强制进行目标跳转”。上述法律条款及司法解释的出台，为民商事领域处理此类行为提供了指引。而前置法律规范的完善，也有助于司法人员审视行为人的技术措施是否构成了流量劫持行为,明确犯罪边界。

对网络犯罪行为的规制离不开对行为技术底色的观察。从技术角度而言，流量劫持行为既可以在本地计算机信息系统实施，也可以实施于网络传输关键节点。在本地计算机信息系统上，行为人可以借助计算机病毒、木马程序或者其他恶意程序，干预计算机信息系统或应用程序的正常运行，导致用户在不知情或被迫的情况下实施数据通信行为。而网络关键节点作为一种面向大众的、不特定对象的网络服务,在数据通信过程中具有不可取代的作用,如果对其进行服务功能进行干预、控制,往往可以实现“挟天子以令诸侯”的效果。

行为人实施流量劫持行为往往有着特点的需求,这种需求与具体的商业模式直接相关.观察的流量劫持盈利方式，大体可以分为“引流”、“展示”、“替换”三种不同类型流量劫持行为。所谓的“引流”是指，行为人使用技术手段，通过替换域名解析地址或重定向url的方式,致使用户无论输入的网站地址如何，其最后都会被跳转至特定网站；而随着互联网商业广告的充分发展，流量劫持的核心逻辑也从“引流”发展为“强制展示”，方式多以弹窗广告、附加网页等方式体现。行为人通过技术手段，在用户正常访问网络的情况下，非法修改或增加数据通信信息，从而达到强迫用户接收广告信息的目的，这种展示型流量劫持行为极易误导用户，不易暴露,在绝大多数的情况下，用户可能并未意识到自己的流量已经被劫持，而是会误以为相关广告或网页是属于其所访问的网站提供的内容；而“替换”型流量劫持则瞄准了企业营销、推广费用。以APP推广为例，APP厂商会在提供推广商的APP中附加唯一可识别ID，当用户从某推广厂商下载、使用APP后，APP厂商可以通过收集可以识别ID判断用户下载的渠道，以此作为计算推广厂商奖励分成的依据。而替换型流量劫持的主要逻辑则是通过技术手段，对用户点击的下载链接进行替换，从而达到“张冠李戴”的效果。

审视刑事司法实践，对于流量劫持行为罪名适用主要集中于非法控制计算机信息系统罪、破坏计算机信息系统罪。笔者选取了两例间隔时间较长的而又各具有代表性的案例，试图通过裁判文书的解读，总结司法机关罪名适用的内在逻辑及发展趋势。

第一个案例是最高法102号指导案例，也是我国的首例DNS流量劫持为例。2013年底至2014年10月，被告人付某某、黄某某等人租赁多台服务器，使用恶意代码修改互联网用户路由器的DNS设置，进而使用户登录“2345.com”等导航网站时跳转至其设置的“5w.com”导航网站，被告人付某某、黄某某等人再将获取的互联网用户流量出售给其他公司，违法所得合计人民币754,762.34元。在适用具体的法律条款时,审判法院和指导性案例出现了些许矛盾之处.原审判决认为:“本院认为，被告人付某某、黄某某违反国家规定，对计算机信息系统中存储的数据进行修改，后果特别严重，依照《中华人民共和国刑法》第二百八十六条、第二十五条第一款的规定，均已构成破坏计算机信息系统罪”.作为首例流量劫持指导案例，该案的判决具有一定的前瞻性。因为从数据通信过程和互联网架构来看，以DNS为代表性的关键节点有着无可替代的基础性作用，其重要性不言自喻，通过适用重罪进一步强调对这一类型对象的保护本无可厚非。但司法机关显然不能忽视一个问题：计算机信息系统功能与数据安全互相交织却又具有各自独立的价值，在计算机信息系统功能没有遭受破坏的情况下，将修改、删除、增加数据引发的结果评价为计算机信息系统功能整体的非正常运行，逻辑上并不周密。

第二个案例是北京市海淀区人民检察院办理的卿烨科技（北京）有限公司责任公司及马某等人破坏计算机信息系统案。被告单位卿烨科技（北京）有限责任公司制作、传播的源代码程序，与免费软件捆绑下载运行后，在用户不知情的情况下针对特定浏览器安装插件，而插件的功能就是用于修改用户浏览器启动页，并阻止用户自行更改，从而达到劫持用户浏览器的目的。相较之最高法102号指导案例，本案审判法院在审理案件的过程中，借助于司法鉴定报告等证据，对被告单位的技术行为进行了深刻的思考，并在判决中详细的论述了罪名的适用逻辑，更为清晰的揭示了流量劫持行为的违法性。审判法官并没有将被告单位增加、删除、修改数据的行为，制作、传播破坏性程序等行为简单的认定为刑法第286条，其认为：涉案源代码程序运行后在未经用户授权的情况下，静默下载安装crx插件的行为，属于非法控制计算机信息系统；而crx插件未经用户允许，擅自修改用户浏览器启动页，且用户难以自行更改，这一行为则导致用户无法根据其本人意愿选择浏览器启动页，这是对用户计算机信息系统原有功能的破坏，属于破坏计算机信息系统的行为。同时，法官着眼于控制行为与破坏行为之间的逻辑关系，认定该源代码程序的非法控制功能服务于破坏功能，二者之间具有手段和目的的牵连关系，仅以非法控制计算机信息系统罪来评价被告单位的上述行为不完整、不全面，因而对于制作、传播该源代码程序的行为应采用从一重处罚的原则，即应以破坏计算机信息系统罪对被告单位及各被告人定罪处罚。笔者认为，从最高法102号指导案例出台到卿烨案宣判，尽管罪名均适用一致，但通过司法人员的审判逻辑却不尽相同。随着司法人员专业化能力加强，其对计算机信息系统安全法益的理解也越发深入，刑法理念随之不断进步，打击对象更加的明确，司法人员有意识在审判实践中区分不同类型的流量劫持行为，并针对性的适用罪名。同时，司法人员已经意识到刑法第286条第2款与刑法第285条内在逻辑冲突和法律适用障碍，并试图通过法理论证寻求平衡,这种探索对于丰富网络刑法体系无疑具有巨大的价值。

数字经济日益发展，新型犯罪行为日益猖獗，立法者、司法实践人员必须在互联网日益发展的过程中不断审视刑法与客观实际的契合度，不断反思、完善刑法理论。在罪名适用时，司法机关必须注意刑法语义与技术规范之间差异所带来的影响，要坚持以犯罪构成理论为基本的立足点。刑事司法应对流量劫持行为时，要注意区分流量劫持行为的技术底色，不宜机械适用刑法第286条第2款，避免导致刑法体系的混乱。而面对罪名适用差异的问题，仍然需要司法解释、指导案例等制度，进一步对基础法益、立法本意进行明确，统一认识。

— END —