第37期丨流量劫持的刑法评价及入罪思路研究
欢迎光临 论文精选 栏目
精选优质论文,集萃法官智慧,立足司法实践,繁荣应用法学。
编者按
“流量劫持”是以牟利为目的,通过修改互联网用户的计算机信息系统设置,使互联网用户输入甲域名时自动跳转至指定的乙域名,强制引导流量至指定网站的现象。流量劫持系新类型的计算机犯罪,研究并明确其罪与非罪、此罪与彼罪等问题,具有重要的司法实践指导意义。本文通过分析流量劫持入刑的司法案例,发现流量劫持在司法实践中存在劫持手段认定对技术要求较高、侵害主体涉及面广、在破坏计算机信息系统罪与非法控制计算机信息系统罪之间存在交叉适用等难题。在流量劫持刑法规制的应然路径方面,提出扩大解释计算机信息系统,并针对原始和异化的流量劫持,以计算机犯罪和传统犯罪罪名分别予以规制。本文获全国法院第三十届学术讨论会优秀奖。
作 者 简 介
吴昉昱 法学博士,上海市徐汇区人民法院法官助理。
流量劫持的刑法评价及
入罪思路研究
为网络发布方便之宜,已删除脚注
↓↓收听语音版请点击播放↓↓
语音版
引 言
不法分子通过修改互联网用户的计算机信息系统设置,使互联网用户输入甲域名时被自动跳转至指定的乙域名,强制引导流量至指定网站,不法分子从中牟利的现象,被称为“流量劫持”。司法实践中,流量劫持案件最初以百度搜索引擎网站与搜狗输入法之间一系列不正当竞争纠纷诉讼案件为典型。随着劫持手段不断发展,流量劫持对计算机信息系统的危害也愈加明显,2015年浦东法院作出首例流量劫持案件入刑的判决以来,因行为人实施流量劫持行为被诉至法院的案件逐步增多,引起刑法学界和实务部门的关注。
本文以流量劫持为切入点,从刑法教义学视角分析破坏计算机信息系统罪、非法获取计算机信息系统数据、非法控制计算机信息系统罪及相关罪名,拟为探索不同类型流量劫持的刑法适用规则提供一些思考。
一、现状管窥:流量劫持行为入刑的现状及行为危害性
(一)流量劫持行为入刑的现状解析
截止2018年8月24日,在中国裁判文书网的刑事案件类别下,以“流量劫持”为关键词检索,共查询到4个司法案例。
案例一:2013年至2014年期间,被告人付某某、黄某某利用租赁的服务器,讲恶意代码植入互联网用户路由器,更改路由器DNS设置,使互联网用户在浏览某网页时被强制跳转至行为人预先设定的导航网页,被告人将所劫持的用户流量出售给该导航网页所有者,累计获利共计人民币70余万元。2014年11月17日,被告人付某某、黄某某主动投案,如实供述了上述犯罪事实。被告人付某某、宣某某因涉嫌破坏计算机信息系统罪被公安机关刑事拘留,后以破坏计算机信息系统罪诉至法院,最终两名被告人以破坏计算机信息系统罪定罪处刑。
案例二:2013至2014年期间,被告人高某某与李某某共谋利用施某某网络运营商重庆公司工作的职务便利,进入运营商DNS系统实施域名劫持。获知施某具有利用网络运营商的DNS系统修改域名解析配置文件的权限,高某某、李某某将需要劫持的网站域名和某私服游戏的IP地址发给施某,由施某修改网络运营商的DNS系统域名解析配置文件,进行该私服游戏的域名劫持。2014年6月,被告人唐某某与被告人赵某为获取推广费,共谋劫取四个网站域名的IP访问流量,由于也受运营商DNS系统修改权限限制,利用施某权限运营商DNS系统修改域名解析配置文件,当该运营商的重庆用户访问上述四个网站时,自动加入四个网站推广代码。两年内,被告人施某非法获取人民币共计157.1万元,被告人唐某某获利50万元,被告人高某某获利18万余元,被告人李某某获利14万元。公安机关以破坏计算机信息系统罪对被告人施某、唐某某、高某某、李某某刑事拘留,后检察机关以非法控制计算机信息系统罪诉至法院,最终被告人均以非法控制计算机信息系统罪定罪处刑。
案例三:2014年下半年,被告人陈某、王某、谢某违规在中国移动湖南公司主干网机房架设服务器,植入软件镜像该主干网服务器中上网用户的万维网传输信息协议、8080端口万维网代理服务的GET数据等上网用户的上网数据,并将上网用户访问百度时的ID修改为被告人设定好的百度推广ID标识,非法牟取百度网推广收益。截止案发,被告人陈某等获取违法所得人民币250万余元。2015年下半年,被告人于某、雷某、罗某等人发现利用技术漏洞通过获取QQ用户的Cookies数据可以进行淘宝网址推广获利,遂与被告人陈某联系,购买其部署的服务器抓取QQ用户的Cookies数据并植入推广网站代码,非法获利共计人民币107万余元。被告人陈某、王某、谢某、于某等因涉嫌非法侵入计算机信息系统罪被刑事拘留,后被检察院以非法获取计算机信息系统数据罪批捕,最终以非法获取计算机信息系统数据罪定罪处刑。
案例四:自2014年底,被告人沈某在成果网上注册多个账号,通过被告人张某等人在运营商的DPI过滤服务器植入具有域名、流量劫持等功能的程序,捕获不特定上网用户的实时上网流量功能,并实现网页重定向,完成域名跳转劫持。嗣后,通过成果网推广交易的电商误认为这些交易是成果网推广的,将本应支付给其他真实推广平台网站的返利费用和终端消费客户直接购买无需支付的推广费用全部先支付给成果网,再给沈捷。截止案发,被告人通过上述方式骗取电商的推广返利费共计人民币270万余元。
上述四个案例具体情况如下:
(二)流量劫持行为的危害性
1.流量劫持行为手段多样,技术要求较高
从行为手段看,前三个案例为DNS劫持,但修改DNS设置代码的手段略有不同。案例二直接用网络运营商员工的权限,修改运营商服务器的DNS系统,进而修改域名解析配置文件,将需要劫持的网站域名指向需推广的IP地址。案例一和案例三利用在运营商核心机房内假设服务器,镜像DNS系统并植入修改域名解析的软件。案例四系HTTP劫持,即利用网络运营商员工权限,在DPI服务器上植入流量劫持程序软件。
从行为目的看,前三则案例中,被告人劫持流量的主要目的是将用户对其他网站的访问流量劫持到需推广的网站,并根据用户访问数与需推广网站进行结算牟利。而案例四则并非利用劫持的流量与网站直接结算,而是通过流量劫持,虚构需要推广的网站流量显著增加的事实,骗取广告公司(第三方)的推广费,牟利手法更为隐蔽。
2.从犯罪对象看,流量劫持案件侵害的主体广
流量劫持使网络用户面临安全风险,流量劫持行为因强制用户网页跳转导致用户上网体验下降,还因植入的流氓软件、恶意代码导致用户个人信息泄露风险的增加;流量劫持使网站所有者面临经济损失,因为流量劫持行为抽走了属于原网站的用户点击率和市场份额;流量劫持使网站运营者增加了监管成本,劫持行为往往以非法获取计算机信息系统权限如更改DNS设置从而更改路由器设置获取为前提,增加了网站的运营和维护成本。
3.从案件定性看,罪名适用存在争议
以上四则均为流量劫持入刑案例,但罪名却不尽相同。如案例二中,被告人施某、唐某某、高某某、李某某以破坏计算机信息系统罪被刑事拘留,以非法控制计算机信息系统罪为逮捕和法院宣判的罪名。案例三中,被告人陈某某、王某、谢某、于某某因非法侵入计算机信息系统罪公安机关刑事拘留,后逮捕罪名和判决罪名均为非法获取计算机信息系统数据罪。
究其根源,刑事案件定罪量刑的前提是准确认识案件的主客观事实,流量劫持的事实认定对司法人员提出较高的要求,也对计算机犯罪相关罪名的理解适应提出更高的要求。表现为:一方面,电子证据极易灭失,如案例四中,被告人沈某、刘某、张某等得知公安机关正在调查相关情况,为掩盖犯罪真相,逃避司法调查,在案发前销毁涉案程序文件、被告人之间网络聊天记录等大量关键证据,严重妨碍司法机关侦查;另一方面也表明亟待从刑法角度对流量劫持案件进行深入分析。上述典型案件中,被告人均实施了流量劫持行为,却以不同的罪名被科以刑罚,表明不同案例中的流量劫持行为在定性上存有争议,从更深层上反映出司法实践中对适用计算机犯罪相关罪名也存在争议。
二、定性基石:流量劫持的
技术类型及发展
流量劫持经历了以计算机及网络为对象到以计算机和网络为媒介实施犯罪的技术演进,不同的流量劫持行为阶段,刑法规制的思路不同。因此,办理流量劫持案件,必须以明确流量劫持的技术手段为基础。
(一)以计算机及网络为对象的流量劫持“初始版本”
最初,计算机专业人士利用恶意软件修改浏览器设置、锁定主页、强制弹出新窗口等,强制用户访问目标网站进行流量劫持,这些方式容易被用户发现和修正。为更有效地实现流量劫持,采取不易为用户感知的行为方式,危害性最大的是运营商劫持,根据引流方式不同又分为DNS劫持和HTTP劫持两类。DNS劫持以获取路由控制权为前提,通过修改路由网关的DNS和域名解析结果,使得用户对该域名的访问转入到行为人指定的IP地址的行为。DNS劫持直接修改用户域名请求记录,技术要求低,权限要求高。以案例二为例,行为人利用网络运营商的DNS权限修改域名配置文件,当用户上网时,网页自动跳转至被推广网站。HTTP劫持则是指当用户进行Web服务器访问时,行为人作为第三方从正常的通讯过程获取所需数据,随后冒充一方主机,欺骗另一方主机,从而接管会话的行为。此类劫持对权限要求较低,具有较强的操作性。以案例四中具体手法为例,行为人利用运营商服务器或者植入服务器的软件利用分析DPI解析内容(尤其是报文协议)进行检测,一旦发现是HTTP请求则拦截处理,并强制修改用户HTTP数据包的请求域名部分,使网页自动跳转从而实现流量劫持。
(二)以计算机和网络为媒介实施犯罪的流量劫持“异化版本”
网络犯罪经历了以计算机和网络为犯罪对象到以计算机和网络为犯罪媒介的发展历程。最初的计算机犯罪以破坏或者非法控制计算机信息系统为主,因此触犯的主要是破坏计算机信息系统罪、非法控制计算机信息系统罪等。随着社会进步、技术发展,传统犯罪借助网络平台大量滋生,流量劫持成为实施经济犯罪的媒介,如案例四中,行为人通过流量劫持实施诈骗行为,反映出计算机犯罪进入异化阶段。可以预见,随着原始版本流量劫持犯罪成本的增加,未来更多的案件时异化的流量劫持犯罪,对计算机犯罪的司法适用将提出新的挑战,因此有必要对现行刑法规制流量劫持的常见罪名及存在的困境予以分析。
三、理论反思:现行刑法应对
流量劫持的罪名体系及困境
我国对互联网犯罪的规制,着眼于实行行为,对侵入控制和破坏计算机信息系统、获取相关信息和数据以及上述行为的帮助行为都予以了规制。与流量劫持密切相关的是两个罪名,一是破坏计算机信息系统罪,二是非法获取计算机信息系统数据罪。
(一)司法适用之一:破坏计算机信息系统罪的适用与困境
1.破坏计算机信息系统罪的适用以造成严重后果为前提
《中华人民共和国刑法》第286条破坏计算机信息系统罪规制的是三种“破坏”行为。流量劫持的目的是将原本属于其他网站的流量引导到需推广网站,主要通过修改计算机系统或者其中的数据和应用程序实现。无论是DNS劫持还是HTTP劫持,只要实施植入软件、恶意代码行为,以计算机信息系统或者其中的数据和程序为对象进行破坏,造成严重后果,就构成破坏计算机信息系统罪。值得注意的是,认定破坏计算机信息系统罪时,上述三种行为均以造成“后果严重”为必要条件。“后果严重”的具体标准由最高人民法院、最高人民检察院2011年8月1日颁布的《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》(以下简称《解释》)第4条予以明确。 以案例一为例,被告人通过植入代码修改了用户路由器的DNS设置,使互联网用户在浏览甲导航网站时自动、强制跳转至乙导航网站的行为,就是对计算机信息系统的修改、增加行为,被告人利用被劫持的流量获取违法所得约70余万元,造成了严重后果,因此触犯了破坏计算机信息系统罪。
2.严重后果应理解为由破坏计算机信息系统行为所引起
对因流量劫持获利行为,有两种审理意见,第一种认为无论行为人是因被劫持流量直接获利,还是通过流量劫持行为实施诈骗获利,只要行为人实施删除、修改、增加计算机信息系统中的数据和应用程序行为,并且出现了严重后果,均构成破坏计算机信息系统罪。即将第286条第2款严重后果理解为与破坏计算机信息系统行为之间只要存在间接因果关系即可。另一种审理意见则认为被告人必须直接以劫持的流量从推广网站处获利才构成本罪,即对第286条第2款的理解是严重后果必须是由行为人实施破坏计算机信息系统行为直接导致,则案例四中被告人实施了流量劫持行为,其未直接从推广网站处获利,不构成破坏计算机系统信息罪。毋庸置疑,破坏计算机信息系统罪属于结果犯,上述争议的焦点是如何理解破坏计算机信息系统行为与“严重后果”之间的因果关系,如《解释》第4条第3款规定的“违法所得5000元以上或者造成经济损失1万元以上的”与计算机信息系统安全遭到破坏之间的因果关系。更进一步,争议的本质是如何理解行为与结果之间的因果关系。
有学者认为,严重后果应当解释为由破坏计算机信息系统行为必然产生,破坏计算机信息系统数据和应用程序情形下的严重后果,要求行为人实施的对对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作与危害后果之间存在必然的因果关系,这里的必然因果关系是指实行行为已经造成实际损失和必然遭受损失。 该理论基础是我国传统的两分因果关系,我国传统的刑法因果关系理论将必要性作为确定因果关系的标准,该理论以哲学的必然、偶然性为立足点,当行为必然产生结果时认为具有因果关系,也正因为哲学的辩证意味,其相对性导致实践中的操作困境而长期被批判。借鉴哲学的必然性、偶然性标准作为刑法因果关系的判断标准,难以准确把握必然性标准,因此本文不赞成将严重后果应当解释为由破坏计算机信息系统行为必然产生。
随着刑法因果关系理论发展,取代偶然因果关系的理论主要有条件说、相当因果关系说,并逐步引入客观归责理论。也有学者提出在事实上采取条件说,在法律关系上采取相当因果关系说,认定行为与结果是否具有事实上的因果关系,主要看该行为是否为结果发生的条件,认定法律上的因果关系则看行为是否可以归责于行为人。本文赞成将因果关系进行二分,事实上的因果关系坚持条件说,而法律上因果关系则以相当因果关系进行检验,一方面以条件说较原因说相比范围更广,条件说将引起结果的原因尽可能纳入,另一方面以相当因果关系进行法律层面的限制,从而将因果关系将受刑法规制的行为/结果限定在法律层面认为应当归责的、引起结果发生的行为/由行为引发的结果。以此标准分析,第286条第2款中破坏计算机信息系统行为需能引起严重后果发生,而法条规定的严重后果需由删除、增加、修改软件和应用程序的行为引起,尤其是违法所得必须由行为本身产生,不包括通过相关行为将他人财物据为己有。
除因果关系理论外,案例四中被告人不构成破坏计算机信息系统罪,还有如下两个理由:一是破坏计算机信息系统罪侵犯的犯罪客体是国家对计算机信息系统安全的管理秩序,而法益侵害通过实害结果直观呈现,因此本罪的实害结果必须影响到计算机信息系统安全。二是根据体系性解释要求,同一法条内的各款罪状,或由轻到重或由重到轻排列。第286条第1款规定“造成计算机信息系统不能正常运行,后果严重的”,第3条规定“影响计算机系统正常运行,后果严重的”,均要求严重后果与计算机信息系统受破坏直接相关,因此第286条第2款破坏计算机信息系统中存储、处理或者传输的数据和应用程序的行为也需要造成严重破坏而产生严重后果。
(二)司法适用之二:非法控制计算机信息系统罪的适用与困境
流量劫持案件中,行为人利用职权在DNS服务器私自植入软件、修改设置的行为不构成对计算机信息系统的破坏,但是否构成《中华人民共和国刑法》(以下简称《刑法》)第285条第2款非法控制计算机信息系统罪?
第285条第2款的非法控制计算机信息系统则是指行为人对计算机信息系统实施非法控制的行为。规制的是“获取—控制”行为,即将他人计算机系统内的数据当做本人所有而加以获取或者控制,是否破坏在所不问。同样的,非法控制计算机信息系统罪是情节犯,根据《解释》规定,获取一定数量的网络金融服务身份认证信息、网路金融服务信息外的身份认证信息,非法控制一定数量计算机信息系统,牟取违法一定金额的违法所得或造成经济损失的,属于“情节严重”。与破坏计算机信息系统罪中“严重后果”类似的,非法控制计算机信息系统罪中的违法所得和经济损失也必须与控制行为有必然因果关系。
当行为人利用职权私自修改DNS服务器设置实现流量劫持时,达到“情节严重”标准的,构成非法控制计算机信息系统罪。如案例二被告人作案的前提是其身为某网络运营商重庆公司工作人员具有修改域名解析配置文件的职务便利,进行游戏私服域名劫持,没有对计算机信息系统造成破坏,因此不构成破坏计算机信息系统罪,但违背网络运营商的意愿,超越授权范围修改计算机信息系统的相关设置,因此被告人施某、唐某某、高某某、李某某的行为被认定为非法控制计算机信息系统罪。
四、善治重构:流量劫持刑法规制的“一个前提”与“两条道路”
法律用语的语义会随社会发展而不断调整,这一特征在网络犯罪领域尤为显著。流量劫持经历了从原始版本到异化版本的演变历程,即从以计算机设备、网络为犯罪对象向以计算机网络为媒介实施犯罪的转变。因此,需明确相关概念的内涵及外延,在此前提下,提炼符合刑法理论与司法实践的两条审理思路。
(一)“一个前提”即扩大解释计算机信息系统
审理过程中,首先必须明确计算机信息系统的范围。流量劫持类案件侵犯的对象不仅包括网络运营商和网站经营者,还包括网络用户。现有的流量劫持行为主要在网络运营商的DNS服务器上植入特殊程序,侵害其他的网站将流量引向特定的网站,减少其他网站流量,侵害其他网站经营者的经营利益。但随着流量劫持技术的发展,未来也将出现直接在网络用户电脑上进行流量劫持的操作,如不改变网络运营商的网络设置,仅在上网用户电脑中植入特定Cookies进行流量劫持,此时行为人的流量劫持行为是否构成相应计算机犯罪?
根据《解释》《计算机信息系统安全保护条例》等我国现行的相关法律法规,用户的计算机是否属于计算机信息系统,没有明确规定。本文认为,计算机犯罪相关的罪名保护的是计算机信息系统的安全,而家庭网络是计算机网络的重要组成部分,则应当对计算机信息系统做扩大解释,将作为家庭网络载体的个人计算机视为计算机信息系统,才能实现对我国计算机信息系统的安全秩序的全面保护。
(二)第一条规制道路:纯粹的计算机犯罪罪名
我国根据实行行为对“侵入—获取—控制—破坏—帮助”计算机信息系统的行为都予以了规制,形成闭合的犯罪圈。具体罪名的认定又以实行行为和情节予以区分,不同技术手段触犯的罪名不同,因此必须明确流量劫持的技术手段作为案件定性的基础。
流量劫持是计算机技术领域内对将本属于A的流量劫持到B处行为的统称,行为人可以通过在不同级域名对应的域名服务器乃至用户端设备上植入特定程序实现流量劫持,期间任何一个环节的计算机设备都可能被植入特定程序,而且劫持的技术手段也越来越多,即流量劫持异化种类越来越多。因此,可以通过出具专家鉴定意见书等方式,从计算机信息技术的专业角度,厘清流量劫持的行为特征,明确构成的计算机犯罪罪名。如明知他人实施流量劫持行为仍提供帮助,还可能构成提供侵入、非法控制计算机信息系统的程序、工具罪等罪名,在查清技术手段的基础上确定相应的罪名。
(三)第二条规制道路:明确流量劫持异化行为的定性规则
《刑法》第287条 的规定为刑法应对流量劫持的异化发展,尤其是大量新类型的以流量劫持为媒介进行的传统犯罪提供了规制思路。该法条的理论基础是牵连犯,是指当犯罪手段与犯罪结果,或者犯罪的目的行为与原因行为分别触犯不同的罪名的犯罪行为,牵连犯具有两个特征:一是不同行为存在手段与目的、原因与结果行为的牵连关系,二是手段行为与目的行为、原因行为与结果行为触犯的是不同罪名。处断原则是从一重罪处罚。当行为人是以实施流量劫持行为前就具有诈骗、盗窃等目的,随后实施流量劫持行为实现上述目的,则构成牵连犯,如案例四中,被告人沈捷、刘世海以流量劫持为手段,触犯了破坏计算机信息系统罪,以诈骗广告公司推广费为目的,触犯诈骗罪,根据从一重罪处断原则,最终认定为诈骗罪。司法实践中需注意区分牵连犯与另起犯意,即当行为人在实施流量劫持行为后,又产生了诈骗、盗窃等犯意,并实施了诈骗、盗窃等行为,则应当认定相应的计算机犯罪与诈骗罪、盗窃罪、贪污罪数罪并罚。
责任编辑 / 李瑞霞 周圣
执行编辑 / 吴涛
⏩ 转载请标明本公号和二维码 ⏪
推荐阅读
●【论文精选】第33期丨涉众型经济犯罪中违法所得的处置问题研究
●【论文精选】第34期丨困境与出路:对酌定减轻处罚制度适用的检讨与重构——以刑法第63条第2款的司法适用为研究样本
欢迎留言讨论