刑法教义学视角下流量劫持行为的定性探究
◎叶良芳
摘要:流量劫持,是强制用户访问某些网站或网页的行为。根据对用户上网自主权侵犯程度的不同,可以将其划分为域名劫持和链路劫持两种类型。域名劫持行为,通过修改用户的计算机信息系统数据,使用户根本不能访问目标网站或网页,既触犯了非法控制计算机信息系统罪,又触犯了破坏计算机信息系统罪。对此,应按想象竞合犯的处断原则,以破坏计算机信息系统罪论处。链路劫持行为,虽对用户上网造成一定的干扰,但用户仍能访问目标网站或网页,法益侵害程度较低,且不能充足相关犯罪的构成要件,因而不应以犯罪论处。但这种行为侵犯了网络服务提供商的公平竞争利益,构成了不正当竞争。
关键词:流量劫持 域名劫持 链路劫持 非法控制计算机信息系统罪破坏计算机信息系统罪
一、问题的提出
2015年5月20日,全国首例流量劫持案在上海市浦东新区人民法院宣判。被告人付某、黄某被认定犯有破坏计算机信息系统罪,均被判处有期徒刑并适用缓刑,作案工具和违法所得予以没收(以下简称付某案)。该案的基本事实为:2013年年底至2014年10月,付某、黄某等人租赁多台服务器,使用恶意代码修改互联网用户路由器的DNS设置,进而使用户登录“2345.com”等导航网站时跳转至其设置的“5w.com”导航网站,付某、黄某等人再将获取的互联网用户流量出售给杭州久尚科技有限公司(系“5w.com”导航网站所有者),违法所得合754762.34元。
2015年11月11日,全国第二例流量劫持案在重庆市渝北区人民法院宣判。被告人施某、唐某、高某、李某被认定犯有非法控制计算机信息系统罪,被判处轻重不等的有期徒刑(含适用缓刑)及并处罚金,违法所得予以追缴(以下简称施某案)。该案指控的事实有以下四项。(1)2013年,施某接受李某的邀约,商定由施某利用其作为某有限公司重庆网络监控维护中心核心平台部员工的职务便利,进入该公司的DNS系统实施DNS域名劫持,成功后以0.5万元/天支付施某报酬。2013年4—6月期间,施某在该公司的DNS系统中修改域名解析配置文件,将需要劫持的网站域名指向由高某等人所发IP地址;为此,高某与李某分别获得利润7万元,高某与李某按约定支付施某现金7万元。(2)2014年2—7月期间,施某采用同样方法,将需要劫持的网站域名指向高某所发的IP地址;为此,高某获取收益共计11.345l万元,高某向施某支付报酬共计39.5万元。(3)2013年10—12月、2014年3—5月以及2014年8—10月期间,施某采用同样方法,将需要劫持的网站域名指向李某所发的IP地址;为此,李某获取非法利益7万元,李某向施某支付报酬共计35.91万元。(4)2014年7月,唐某在互联网上结识赵某,二人商定由唐某负责收集“××××”“××××”“××××导航”和“××× ×”4个网站域名的IP访问流量,赵某由此获得上述网站的推广费后支付唐某相应的报酬。之后,唐某邀约施某采取DNS流量劫持的方式获取上述4个网站域名的IP访问流量。2014年9—12月期间,施某在其公司的DNS系统中修改域名解析配置文件,当该公司的互联网用户直接访问“××××”“××××”“×× ××导航”和“××××”四个网站域名时,经过施某修改的DNS系统会自动加入推广商的代码,致使用户实际是通过赵某提供的网站域名访问到上述4个网站。为此,“××××”“××××”“××××导航”和“××××”4个网站将根据访问量支付赵某推广费,赵某再向唐某支付报酬共计164.71934万元,唐某向施某支付报酬共计74.69万元。
上述两个案例开创了对流量劫持行为追究刑事责任的先河,具有十分重要的启示意义。“法院的刑罚判决表明,劫持流量行为不但违法,而且构成犯罪,始作俑者将为此付出被判刑的沉重代价。”然而,在刑法教义学视野下,一个绕不开的问题是:对于流量劫持的行为,究竟应以破坏计算机信息系统罪定性还是应以非法获取计算机信息系统数据、非法控制计算机信息系统罪定性?在施某案中,前三项指控事实与付某案指控的事实基本相同(区别仅在于修改用户DNS时所用的服务器是行为人租赁的还是其任职公司的,这显然不属于构成事实,不应影响定性),属于“同案”。但同案何以不同判,定性完全不同?施某案第四项指控事实,具有不同于前三项指控事实的特点(前三项是域名劫持,第四项是链路劫持),法院做同样定性,是否在犯罪构成上能够证成?诸如此类的问题,均需要厘清和解决。
二、流量劫持的含义及其类型
通常认为,所谓“流量劫持”,是指通过利用各种恶意软件修改浏览器、锁定主页或不停弹出新窗口等方式,强制网络用户访问某些网站或网页,从而造成用户流量被迫流向特定网站或网页的情形。比如,明明想要打开A网站,却莫名其妙地跳转到B网站;明明锁定C网页为默认主页,却鬼使神差地变成了D网页;明明想要下载E软件,下载完后却发现变成了F软件;明明想要打开一个应用,却跳出一大堆烦人的广告……诸如此类,都是流量劫持行为。流量劫持与“偷流量”有着本质不同。所谓“偷流量”,是指未经合法用户的许可,私自通过其网络通道访问互联网,造成其流量损失的情形。简言之,偷流量相当于“盗窃”,是对网络用户流量的秘密窃取行为;流量劫持相当于“绑架”,是对网络用户流量的公然强制行为。
目前,在互联网空间中,流量劫持者、流量中介人、流量购买方,已经形成了一条庞大的地下黑色流量产业链。据不完全统计,全国每日仅以DNS劫持这种方式劫持流量的IP就有近千万个。流量劫持之所以困扰互联网多年,乃至成为一个久治不愈的顽疾,与其背后巨大的经济利益有着密切的关联。众所周知,所谓“流量”,是指互联网中的访问量。流量相当于一个互联网入口,而互联网入口能够决定用户的行为习惯和上网方式。在大数据时代,互联网入口具有极高的经济价值。例如,目前各种手机应用软件的基本模式就是根据下载量来计算推广费用。假设一个应用网站的界面独立访客数量为每日20万人次,则只要有5%的访客点击下载所推荐的应用软件,那么推广商仅凭这一个推荐就有20万元的回报。下载量取决于点击量,点击量取决于访问量。这正是一些不法分子劫持用户的流量,强制其访问特定网站或网页的原因。
流量劫持有多种表现形态,从不同的角度可以进行不同的划分。例如,以实施主体为分类标准,可以将其划分为网络服务提供商的劫持和第三方劫持;以劫持技术为分类标准,可以将其划分为DNS劫持、CDN劫持、网关劫持等。考虑到本文主要探讨流量劫持的刑事定性问题,因而所采用的分类标准是行为的危害后果,即根据危害后果的轻重程度不同,将其分为域名劫持和链路劫持。域名劫持,是指不法分子通过DNS劫持、植入插件等手段,强制用户偏离目标网站或网页,进入指定的网站或网页的情形。这是一种针对DNS解析的常见劫持方式。正常情况下,用户在浏览器输入网址,向网络运营商发出一个HTTP请求,后者通过域名解析,提供网络服务器的IP地址,将用户导向预定的网站或网页。但在域名解析被劫持的情况下,目标域名被恶意地解析到其他IP地址,用户被迫进入其他网站或网页,无法正常上网。链路劫持,是指不法分子通过误导性广告、下拉框、菜单或者关键词等手段,诱导用户先经过中间网站或网页,然后进入目标网站或网页的情形。这种劫持主要针对明文传输的内容发生。当用户发起HTTP请求,服务器返回页面内容时,需要经过一个中间网络,页面内容被篡改或加塞,强行插入弹窗或者广告等,造成访问干扰。在域名劫持的情形下,用户根本不能进入目标网站或网页,实现不了预期的上网目的,其上网自主权被严重侵害。但在链路劫持的情况下,用户虽然被诱导进入中间网站或网页,但仍能到达目标网站或网页,上网自主权并没有被侵害。从刑法教义学的视角,需要研究的是这两种劫持行为是否构成犯罪及其触犯的具体罪名。
三、应认定域名劫持行为为破坏计算机信息系统罪
在付某案和施某案(前三项指控事实)中,行为人均实施了使用恶意代码修改互联网用户路由器的DNS设置的行为,从而强制使用户进入指定的网站,未能实现预期的上网目的。这种流量劫持行为,严重侵犯了用户的上网自主权,因而应当归属于域名劫持(法院称其为“DNS域名劫持”)。对于这种劫持行为,浦东新区法院将其认定为破坏计算机信息系统罪,而渝北区法院却将其认定为非法控制计算机信息系统罪。究竟哪一个法院的定性是正确的呢?对此,需要结合刑法条文和相关司法解释进行具体分析。
根据《刑法》第285条第2款的规定,非法获取计算机信息系统数据、非法控制计算机信息系统罪,是指违反国家规定,侵入国家事务、国防建设、尖端科学技术领域以外的计算机信息系统或者采用其他技术手段,获取该计算机信息系统中存储、处理或者传输的数据,或者对该计算机信息系统实施非法控制,情节严重的行为。据此,该罪的客观行为有两种表现:一是获取计算机系统中存储、处理或者传输的数据;二是对计算机信息系统实施非法控制。根据《刑法》第286条第1款的规定,破坏计算机信息系统罪,是指违反国家规定,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行,或者对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作,或者故意制作、传播计算机病毒等破坏性程序,影响计算机系统正常运行,后果严重的行为。据此,该罪的客观行为有三种表现:一是对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行;二是对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作;三是故意制作、传播计算机病毒等破坏性程序,影响计算机系统正常运行。
比较上述两个罪名的行为类型,两者的界限还是比较清晰的,即非法获取计算机信息系统数据、非法控制计算机信息系统罪的特点在于控制,即将他人的计算机信息系统(包括其中的数据)当作本人所有而加以使用或操作,至于有无破坏、干扰计算机信息系统的正常运行则在所不问;而破坏计算机信息系统的特点在于破坏,即损坏他人的计算机信息系统的软件或硬件,使其不能正常运行,至于是否控制他人计算机信息系统则在所不问。申言之,在非法侵入计算机信息系统后,并未破坏计算机信息系统的功能或者数据,而是通过控制计算机信息系统实施特定操作的行为,则属于“非法控制计算机信息系统”。例如,“获取数据”的行为,原则上应当被认定为非法获取计算机信息系统数据罪;而“修改数据和程序”的行为,“制作、传播病毒”的行为以及“删除、修改”计算机系统本身功能的行为,原则上应当被认定为破坏计算机信息系统罪。复杂的是“非法控制计算机信息系统”的定性问题。所谓“非法控制”,是指通过各种技术手段,使得他人的计算机信息系统处于行为人的掌控之下,能够接受其发出的指令,完成相应的操作活动。根据控制的程度不同,非法控制可以被划分为完全控制和不完全控制。不完全控制虽然未彻底排除权利人的控制权,但在一定程度上影响其操作,因而也是一种非法控制。例如,通过在他人的计算机信息系统中植入木马程序,指挥实施网络攻击活动等。木马程序是一种基于远程控制的黑客工具,其特点是隐蔽性和非授权性。计算机信息系统被植入木马后,系统本身的运行没有任何问题,但系统的控制权已被部分剥离。
然而,现实情况更加扑朔迷离。从司法实践来看,除了单纯的非法控制行为或单纯的破坏行为外,还存在这两种行为交错并存的现象。非法控制行为,既可能是通过破坏计算机信息系统而实现非法控制,也可能是不通过破坏计算机信息系统而实现非法控制。同样,破坏行为,既可能是通过破坏计算机信息系统,进一步实现对其非法控制;也可能仅仅是破坏计算机信息系统,造成其功能全部或部分紊乱,但并不对计算机信息系统本身进行控制。本文认为,对于不通过破坏计算机信息系统而实现非法控制的,应归属于非法控制计算机信息系统行为;对于仅实施破坏计算机信息系统行为但未非法控制的,应归属于破坏计算机信息系统行为;对于通过破坏计算机信息系统进而实现非法控制的,则应归属于破坏计算机信息系统行为。之所以做如此界定,是因为破坏行为注重的是行为手段,非法控制则强调的是结果状态,刑法评价的侧重点不同,因而设置了不同的罪名。但是,破坏行为可能带来控制后果,控制后果也可能是破坏行为所致,因此,二者在同一行为事实中完全可能同时并存。当非法控制计算机信息系统这一结果状态是破坏计算机信息系统的行为造成的,就构成了想象竞合。对此,根据想象竞合犯的处断原则,应当择一重罪处断。比较《刑法》第285条和第286条的法定刑设置,破坏计算机信息系统罪的法定刑明显重于非法控制计算机信息系统罪,因而在行为事实触犯这两个罪名时,应当以破坏计算机信息系统罪论处。
在付某案和施某案(前三项指控事实)中,行为人使用恶意代码修改互联网用户路由器的DNS设置,从而导致用户上网时被强制引导到指定的网站,不能正常上网。从某种角度来看,既然用户上网总是被“绑架”,不能自由地浏览网页,这当然是被非法控制了。事实上,行为人已经控制了用户的计算机系统的域名解析系统,且后果严重,因此,触犯了非法控制计算机信息系统罪。但是,行为人使用恶意代码修改互联网用户路由器的DNS设置,是否又属于《刑法》第286条规定的破坏计算机信息系统的行为呢?这需要进一步分析。首先,可以肯定的是,这是一种破坏计算机信息系统的行为,关键看其是否为《刑法》第286条所涵摄。其次,行为人并未传播计算机病毒等程序,因而其行为显然不属于“故意制作、传播计算机病毒等破坏性程序”。再次,行为人使用恶意代码修改用户路由器的DNS设置(其中有存储的数据),这属于“对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作”。最后,行为人修改用户路由器的DNS设置,又是通过操控网络服务提供商的计算机终端进行的,是对网络服务提供商的计算机系统功能的修改和干扰,因而也可以被认定为“对计算机信息系统功能进行删除、修改、增加、干扰”。所以,行为人的行为完全可以被《刑法》第286条所涵摄。需要说明的是,虽然修改DNS设置的行为直接针对的是域名解析服务器、路由器等基础设施,而非计算机信息系统本身,但这些设施是计算机信息系统正常运行的必不可少的附属设备,因而对这些设施功能的破坏,完全可以被认定为对计算机信息系统功能的破坏。对此,2011年8月1日最高人民法院、最高人民检察院联合发布的《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》第4条第1款亦明确规定,“对二十台以上计算机信息系统中存储、处理或者传输的数据进行删除、修改、增加操作的”“造成为一百台以上计算机信息系统提供域名解析、身份认证、计费等基础服务或者为一万以上用户提供服务的计算机信息系统不能正常运行累计一小时以上的”,属于破坏计算机信息系统功能、数据或者应用程序的行为。综上,这一行为破坏了计算机信息系统的正常功能,又触犯了破坏计算机信息系统罪。行为人基于争抢客户流量的非法目的,实施了一个犯罪行为,但触犯了两个不同的罪名,应当根据想象竞合犯的处罚原则,以破坏计算机信息系统罪这一重罪论处。
四、应认定链路劫持行为为不正当竞争行为
在施某案(第四项指控事实)中,行为人通过修改域名解析配置文件,诱导用户通过其指定的网站域名访问目标网站。在这种情形下,用户上网并不存在实际的障碍,上网目的仍能实现,只是被强制“借道”。这种流量劫持行为,并不妨碍用户的上网自主权,因而应当归属于链路劫持(法院称其为“流量劫持”)。
对于这种链路劫持行为,渝北区法院认定为非法控制计算机信息系统罪,这是否准确,值得进一步探究。如前所述,非法控制计算机信息系统罪的特点,在于完全或部分操控他人的计算机信息系统的控制权。而在施某案中,是否开机、是否关机、是否上网、上哪个网站等,均完全取决于用户的意愿,行为人没有任何干预的能力。行为人所能干预的,是在用户上网时,强制其经过特定的通道——指定的网站域名,但对用户的上网速度、浏览体验、费用支付等并无任何实际的影响。考虑到这种“搭便车”行为对用户的计算机信息系统的操作和运行的控制极其微弱,对用户上网自主权的侵犯几乎没有,因而不宜认定其为非法控制计算机信息系统罪。
但是,对于这种链路劫持行为,是否可以认定为破坏计算机信息系统罪呢?本文亦持否定观点。如上所述,破坏计算机信息系统罪在客观方面必须实施《刑法》第286条规定的特定的三种行为之一,而链路劫持行为并未制作、传播计算机病毒等破坏性程序,因而不属于该罪的第三种行为类型。另外,这一行为也不属于该罪的第一种和第二种行为类型。根据《刑法》第286条的规定,无论是对计算机信息系统功能进行删除、修改、增加、干扰,还是对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加操作,均必须“后果严重”,才构成犯罪。在施某案中,行为人在DNS系统中修改域名解析配置文件,强行加入推广商代码,这应属于“对计算机信息功能进行修改”和“对计算机系统中存储的数据进行修改”,但由于这一修改并未造成计算机信息系统不能正常运行,用户仍能正常上网,因而不具备“后果严重”的要件,不应被认定为破坏计算机信息系统罪。
当然,这种链路劫持行为干扰了网络服务提供商的合法经营活动,分流了其网络客户访问量,侵犯了其商业利益,故应被认定为不正当竞争。在施某案中,如果没有行为人的修改域名配置文件的行为,用户上网则将全部经过网络服务提供商提供的域名网站而非行为人提供的域名网站,网络服务提供商的交易机会将大大增加,因而,这种行为构成了不正当竞争,应按反不正当竞争法处理。
应当注意的是,施某案中的链路劫持行为具有一定的特殊性,即其是通过修改计算机信息系统功能来达成分流客户的目的。这种行为对计算机信息系统的功能是有影响的,具有一定的“破坏性”。实践中,更常见的链路劫持行为则缺乏这种轻度的“破坏性”,因而危害性更低,如通过带有误导性的广告、插标、下拉提示词、吸附悬浮窗等方式诱导用户进入特定网站,从而达到分流客户的目的。最典型的是将竞争对手的产品或服务的关键词作为自己的检索关键词,如百度诉奇虎360案、天猫和淘宝诉“帮5淘”案等。在这种情形下,用户对进入行为人诱导的网站、购买行为人推荐的商品,是存在明确的认知的,并不存在错误混淆,亦即用户的上网自主权并未受到任何侵犯,只是在上网的途中被“强制推销”,因而更不宜被认定为犯罪。但是,这种在他人区域内任意争抢交易机会的行为,破坏了公平竞争秩序,侵犯了他人的商业利益,构成不正当竞争。“这种行为即使没有导致消费者发生混淆,但在客观上会使得消费者发生‘分流’,从而在减少他人商业机会的基础上增加自己的出场概率,实为‘从竞争对手那里抢夺商业机会’,此消彼长,一举两得。”对于这种不正当竞争行为,予以一定的监管是必要的,但尚无必要动用刑法。尤需强调的是,根据现行法律规定,对于这种行为,并没有一个合适的罪名可以适用。
五、结语
长期以来,对于流量劫持行为,网络服务提供商主要依靠技术监管和民事诉讼手段来维护合法权益。从有效治理的角度考察,充分发挥行政法、民商法的事前规制和事后救济的功能,仍应是今后努力的方向。当然,刑法的事后威慑功能,也是不可或缺的。但是,在决定是否动用刑法时,应当秉承法条至上、规则主义和严格解释原则,抑制刑事类推和宽泛解释的冲动,这也是刑法教义学的要义所在。“刑法教义学将现行刑法视为信仰的来源,现行刑法的规定既是刑法教义学者的解释对象,也是解释根据。在解释刑法时,不允许以非法律的东西为基础。对刑法教义学者而言,现行刑法就是《圣经》。”流量劫持行为表现形态多样,危害程度不一,在对个案刑事归责时,既要对照行为事实能否为刑法法条所涵摄,又要考察解释结论能否维护法规范的效力。