其他
数字经济语境下流量劫持的刑事治理吴沈括北京师范大学互联网发展研究院院长助理、博导中国互联网协会研究中心副主任李涛北京市海淀区人民检察院第二检察部检察官助理本文为最高人民检察院检察理论研究重点课题的阶段性研究成果,刊载于2022年5月30日《检察日报》。在法治环境下,数字经济参与主体围绕着数据要素展开商业竞争,通过丰富多彩的信息内容和服务手段,吸引用户,进而获取数据要素。但随着用户数量红利逐渐消失,数据要素获取成本也在不断提高。在巨额利益的诱惑下,部分参与主体试图通过“搭便车”的方式博取利润,甚至催生了与之相关的犯罪产业链。这其中,危害最大的莫过于流量劫持行为:不法分子通过技术手段,在数据通信过程中的关键环节,对数据通信过程施加影响,增加、修改、删除或控制数据传输的内容或路径,非法干预、控制用户的自主选择权。如果将视角从用户个体拓展到数字经济领域,流量劫持行为不仅破坏网络市场正常经营秩序,甚至可能危害到网络安全乃至国家安全。近年来,立法者通过对《反不正当竞争法》增设条款,对流量劫持引发的不正当竞争问题进行了正面的回应,该法第十二条第二款第一项明确规定:经营者不得利用技术手段,通过影响用户选择或者其他方式实施未经其他经营者同意的,在其合法提供的网络产品或者服务中插入链接、强制进行目标跳转的行为.而今年3月20日正式实行的《最高人民法院关于适用〈中华人民共和国反不正当竞争法〉若干问题的解释》中,第二十一条第一款进一步明确:“未经其他经营者和用户同意而直接发生的目标跳转,人民法院应当认定为反不正当竞争法第十二条第二款第一项规定的“强制进行目标跳转”。上述法律条款及司法解释的出台,为民商事领域处理此类行为提供了指引。而前置法律规范的完善,也有助于司法人员审视行为人的技术措施是否构成了流量劫持行为,明确犯罪边界。对网络犯罪行为的规制离不开对行为技术底色的观察。从技术角度而言,流量劫持行为既可以在本地计算机信息系统实施,也可以实施于网络传输关键节点。在本地计算机信息系统上,行为人可以借助计算机病毒、木马程序或者其他恶意程序,干预计算机信息系统或应用程序的正常运行,导致用户在不知情或被迫的情况下实施数据通信行为。而网络关键节点作为一种面向大众的、不特定对象的网络服务,在数据通信过程中具有不可取代的作用,如果对其进行服务功能进行干预、控制,往往可以实现“挟天子以令诸侯”的效果。行为人实施流量劫持行为往往有着特点的需求,这种需求与具体的商业模式直接相关.观察的流量劫持盈利方式,大体可以分为“引流”、“展示”、“替换”三种不同类型流量劫持行为。所谓的“引流”是指,行为人使用技术手段,通过替换域名解析地址或重定向url的方式,致使用户无论输入的网站地址如何,其最后都会被跳转至特定网站;而随着互联网商业广告的充分发展,流量劫持的核心逻辑也从“引流”发展为“强制展示”,方式多以弹窗广告、附加网页等方式体现。行为人通过技术手段,在用户正常访问网络的情况下,非法修改或增加数据通信信息,从而达到强迫用户接收广告信息的目的,这种展示型流量劫持行为极易误导用户,不易暴露,在绝大多数的情况下,用户可能并未意识到自己的流量已经被劫持,而是会误以为相关广告或网页是属于其所访问的网站提供的内容;而“替换”型流量劫持则瞄准了企业营销、推广费用。以APP推广为例,APP厂商会在提供推广商的APP中附加唯一可识别ID,当用户从某推广厂商下载、使用APP后,APP厂商可以通过收集可以识别ID判断用户下载的渠道,以此作为计算推广厂商奖励分成的依据。而替换型流量劫持的主要逻辑则是通过技术手段,对用户点击的下载链接进行替换,从而达到“张冠李戴”的效果。审视刑事司法实践,对于流量劫持行为罪名适用主要集中于非法控制计算机信息系统罪、破坏计算机信息系统罪。笔者选取了两例间隔时间较长的而又各具有代表性的案例,试图通过裁判文书的解读,总结司法机关罪名适用的内在逻辑及发展趋势。第一个案例是最高法102号指导案例,也是我国的首例DNS流量劫持为例。2013年底至2014年10月,被告人付某某、黄某某等人租赁多台服务器,使用恶意代码修改互联网用户路由器的DNS设置,进而使用户登录“2345.com”等导航网站时跳转至其设置的“5w.com”导航网站,被告人付某某、黄某某等人再将获取的互联网用户流量出售给其他公司,违法所得合计人民币754,762.34元。在适用具体的法律条款时,审判法院和指导性案例出现了些许矛盾之处.原审判决认为:“本院认为,被告人付某某、黄某某违反国家规定,对计算机信息系统中存储的数据进行修改,后果特别严重,依照《中华人民共和国刑法》第二百八十六条、第二十五条第一款的规定,均已构成破坏计算机信息系统罪”.作为首例流量劫持指导案例,该案的判决具有一定的前瞻性。因为从数据通信过程和互联网架构来看,以DNS为代表性的关键节点有着无可替代的基础性作用,其重要性不言自喻,通过适用重罪进一步强调对这一类型对象的保护本无可厚非。但司法机关显然不能忽视一个问题:计算机信息系统功能与数据安全互相交织却又具有各自独立的价值,在计算机信息系统功能没有遭受破坏的情况下,将修改、删除、增加数据引发的结果评价为计算机信息系统功能整体的非正常运行,逻辑上并不周密。