叶良芳

摘要：流量劫持是强制用户访问某些网站或网页的行为，根据对用户上网自主权侵犯程度的不同，可以将其划分为域名劫持和链路劫持两种类型。域名劫持行为通过修改用户计算机信息系统的数据，使用户不能访问目标网站或网页，既触犯了非法控制计算机信息系统罪，又触犯了破坏计算机信息系统罪，应按想象竞合犯的处断原则，以破坏计算机信息系统罪论处。链路劫持行为仅对用户上网造成一定的干扰，法益侵害程度较低且不能充足相关犯罪的构成要件，因而不应以犯罪论处。但这种行为侵犯了网络服务提供商的公平竞争利益，构成不正当竞争。

关键词：流量劫持；域名劫持；链路劫持；非法控制计算机信息系统罪；破坏计算机信息系统罪

中图分类号：DF626文献标识码：A文章编号：1003-0751（2016）08-0045-05

一、问题的提出

2015年5月20日，全国首例流量劫持案在上海市浦东新区人民法院宣判。被告人付某、黄某被认定实施了破坏计算机信息系统罪。该案（以下简称付某案）的基本事实是：2013年年底至2014年10月，付某、黄某等人租赁多台服务器，使用恶意代码修改互联网用户路由器的DNS（域名系统）设置，使用户登录“2345.com”等导航网站时跳转至其设置的“5w.com”导航网站，其再将获取的互联网用户流量出售给杭州久尚科技有限公司（系“5w.com”导航网站所有者），违法所得合计75万余元。①

2015年11月11日，全国第二例流量劫持案在重庆市渝北区人民法院宣判。被告人施某、唐某、高某、李某被认定实施了非法控制计算机信息系统罪。该案（以下简称施某案）指控的事实有四项：（1）2013年，施某接受李某的邀约，商定由施某利用其某有限公司重庆网络监控维护中心核心平台部员工的职务便利，进入该公司的DNS系统实施DNS域名劫持，成功后以0.5万元/天的标准获得报酬。2013年4—6月，施某在该公司的DNS系统中修改域名解析配置文件，将欲劫持的网站域名指向由高某等人所发IP地址，高某与李某因此分别获得利润7万元，高某与李某按约定支付施某现金7万元。（2）2014年2—7月，施某采用同样方法，将欲劫持的网站域名指向高某所发的IP地址，高某因此获取收益11万余元，高某向施某支付报酬39.5万元。（3）2013年10—12月、2014年3—5月、2014年8—10月，施某采用同样方法，将欲劫持的网站域名指向李某所发的IP地址，李某因此获取非法利益7万元，李某向施某支付报酬35.91万元。（4）2014年7月，唐某在互联网上结识了赵某，二人商定由唐某负责收集“xx”“xxx”“xxxx导航”“xxxx”四个网站域名的IP访问流量，赵某由此获得上述网站的推广费后支付唐某相应的报酬。之后，唐某邀约施某采取DNS流量劫持的方式获取上述四个网站域名的IP访问流量。2014年9—12月，施某在其公司的DNS系统中修改域名解析配置文件，当该公司的互联网用户直接访问上述四个网站域名时，经过施某修改的DNS系统会自动加入推广商的代码，致使用户实

际上通过赵某提供的网站域名访问到上述四个网站。为此，上述四个网站根据访问量支付赵某推广费，赵某再向唐某支付报酬共计164万余元，唐某向施某支付报酬共计74.69万元。②

上述两个案例开创了对流量劫持行为追究刑事责任的先河，具有十分重要的启示意义。然而，在刑法教义学视野下，一个绕不开的问题是，对于流量劫持行为，究竟应以破坏计算机信息系统罪定性，还是应以非法获取计算机信息系统数据、非法控制计算机信息系统罪定性？在施某案中，前三项指控事实与付某案指控事实基本相同（区别仅在于修改用户DNS时所用的服务器是行为人租赁的还是其任职公司的，这显然不属于犯罪构成事实，不应影响定性），因此可以说，施某案与付某案属于同案。但同案何以不同判，定性何以不同？施某案的第四项指控事实具有不同于前三项的特点（前三项是域名劫持，第四项是链路劫持），法院却对四项指控事实作同样的定性，这在犯罪构成上需要进一步厘清。

二、流量劫持的含义及类型

所谓流量劫持，是指利用各种恶意软件修改浏览器、锁定主页或不停地弹出新窗口等方式，强制网络用户访问某些网站或网页，从而造成用户流量被迫流向特定网站或网页的行为。这种行为造成的情形有：用户想要打开A网站，却莫名其妙地跳转到B网站；用户锁定了C网页为默认主页，却鬼使神差地变成了D网页；用户想要下载E软件，下载完后却发现变成了F软件；用户想要打开一个应用，却跳出一大堆烦人的广告；等等。流量劫持与偷流量有着本质不同。所谓偷流量，是指未经合法用户的许可，私自通过其网络通道访问互联网，造成其流量损失的情形。申言之，偷流量相当于盗窃，是对网络用户流量的秘密窃取行为；流量劫持相当于绑架，是对网络用户流量的公然强制行为。

目前，在互联网空间中，流量劫持者、流量中介人、流量购买方已经形成了一条庞大的地下黑色流量产业链。据不完全统计，全国仅以DNS劫持方式劫持的流量每天就有近千万个IP。流量劫持之所以成为一个久治不愈的顽疾，与其背后巨大的经济利益有密切关联。众所周知，所谓流量，是指互联网中的访问量。流量相当于一个互联网入口，而互联网入口能够决定用户的行为习惯和上网方式。在大数据时代，互联网入口具有极高的经济价值。例如，目前各种手机应用软件的基本模式就是根据下载量来计算推广费用，假设一个应用网站界面的独立访客数量为每天20万人次，那么，只要有5%的访客点击下载网站界面推荐的应用软件，推广商就可以凭此获得20万元回报。下载量取决于点击量，点击量取决于访问量，这就是一些不法分子劫持用户的流量，强制其访问特定网站或网页的经济诱因。

流量劫持有多种表现形态，从不同的角度可以进行不同的划分。以实施主体为标准，可以将其划分为网络服务提供商劫持和第三方劫持；以劫持技术为标准，可以将其划分为DNS劫持、CDN（内容分发网络）劫持、网关劫持等。本文主要探讨流量劫持的刑事定性问题，因而以行为的危害后果为标准，即根据流量劫持行为造成危害后果的轻重程度不同，将其分为域名劫持和链路劫持。域名劫持，是指通过DNS劫持、植入插件等手段，强制用户偏离目标网站或网页而进入指定网站或网页的行为。这是一种针对DNS解析的常见劫持方式。正常情况下，用户在浏览器输入网址，向网络运营商发出一个HTTP请求，后者会通过域名解析，提供网络服务器的IP地址，将用户导向预定的网站或网页。但在域名解析被劫持的情况下，目标域名被恶意地解析到其他IP地址，用户被迫进入其他网站或网页，因而无法正常上网。链路劫持，是指通过跳出弹窗广告、下拉框、菜单、关键词等手段，诱导用户先经过中间网站或网页，然后进入目标网站或网页的行为。这种劫持主要针对明文传输的内容：当用户发起HTTP请求，服务器返回页面内容时，链路劫持者使服务器经过一个中间网络，页面内容被篡改或加塞，强行插入弹窗、广告等，造成访问干扰。在域名劫持的情形下，用户根本不能进入目标网站或网页，实现不了预期上网目的，其上网自主权被严重侵害。在链路劫持的情况下，用户虽然被诱导进入中间网站或网页，但仍能到达目标网站或网页，上网自主权并没有被侵害。从刑法教义学视角看，需要研究的是：这两种劫持行为是否构成犯罪；如果构成犯罪，则各自触犯了何种罪名。endprint

三、对域名劫持应认定为破坏计算机信息系统罪

从付某案和施某案的前三项指控事实来看，行为人均实施了使用恶意代码修改互联网用户路由器的DNS设置的行为，从而使用户被强制进入指定网站，未能实现预期上网目的。这种流量劫持行为严重侵犯了用户的上网自主权，应属于域名劫持。对于域名劫持行为，上海市浦东新区人民法院将其认定为破坏计算机信息系统罪，而重庆市渝北区人民法院却将其认定为非法控制计算机信息系统罪，究竟哪一个法院的定性是正确的呢？对此，需要结合刑法条文和相关司法解释进行具体分析。

根据我国《刑法》第285条第2款的规定，非法获取计算机信息系统数据、非法控制计算机信息系统罪的客观行为有两种表现：一是获取计算机信息系统中存储、处理、传输的数据；二是对计算机信息系统实施非法控制。根据我国《刑法》第286条第1款的规定，破坏计算机信息系统罪的客观行为有三种表现：一是对计算机信息系统的功能进行删除、修改、增加、干扰，造成计算机信息系统不能正常运行；二是对计算机信息系统中存储、处理、传输的数据和应用程序进行删除、修改、增加的操作；三是故意制作、传播计算机病毒等破坏性程序，影响计算机系统正常运行。比较这两个罪名的行为类型，二者的界限还是比较清晰的：非法获取计算机信息系统数据、非法控制计算机信息系统罪的特点在于控制，即将他人的计算机信息系统（包括其中的数据）当作本人所有而加以使用或操作，至于有无破坏、干扰计算机信息系统的正常运行则在所不问；而破坏计算机信息系统罪的特点在于破坏，即损坏他人计算机信息系统的软件或硬件，使其不能正常运行，至于是否控制他人计算机信息系统则在所不问。申言之，非法侵入计算机信息系统后并未破坏计算机信息系统的功能或者数据，而是通过控制计算机信息系统实施特定操作的行为，属于“非法控制计算机信息系统”。③例如，获取数据的行为，原则上应认定为非法获取计算机信息系统数据罪；修改数据和程序的行为，制作、传播病毒的行为，以及删除、修改计算机系统功能的行为，原则上应认定为破坏计算机信息系统罪。

一个比较复杂的问题是，对于非法控制计算机信息系统的行为如何定性？所谓非法控制，是指通过各种技术手段使他人的计算机信息系统处于行为人的掌控之下，能够接受行为人发出的指令，完成相应的操作活动。④根据控制的程度不同，非法控制可以分为完全控制和不完全控制。不完全控制虽然没有彻底排除权利人的控制权，但在一定程度上影响其操作，因而也是一种非法控制。例如，通过在他人的计算机信息系统中植入木马程序，指挥其实施网络攻击活动等。木马程序是一种基于远程控制的黑客工具，其特点是隐蔽性和非授权性，计算机信息系统被植入木马程序后，系统本身的运行没有任何问题，但系统的控制权已被部分剥离。从司法实践来看，在单纯的非法控制行为或单纯的破坏行为之外，还存在这两种行为交错并存的现象。非法控制行为既可能通过破坏计算机信息系统而实现非法控制，也可能不通过破坏计算机信息系统而实现非法控制。同样，破坏行为既可能通过破坏计算机信息系统而实现对其非法控制，也可能并不对计算机信息系统本身进行控制，而是破坏计算机信息系统，造成其功能全部或部分紊乱。笔者认为，不通过破坏计算机信息系统而实现非法控制的行为应归属于非法控制计算机信息系统的行为；仅破坏计算机信息系统但未实现对其非法控制的，应归属于破坏计算机信息系统的行为；通过破坏计算机信息系统进而实现非法控制的，应归属于破坏计算机信息系统的行为。之所以如此界定，是因为破坏行为注重的是行为手段，非法控制则强调结果状态，刑法对这两种行为的评价重点不同，因而设置了不同的罪名。但是，破坏行为可能带来控制后果，控制后果也可能是破坏行为所致，二者在同一行为事实中完全可能并存。当非法控制计算机信息系统这一结果状态是破坏计算机信息系统的行为造成时，就构成了想象竞合。对此，根据想象竞合犯的处断原则，应择一重罪处断。比较我国《刑法》第285条、第286条设置的法定刑，破坏计算机信息系统罪的法定刑明显重于非法控制计算机信息系统罪的法定刑，因而当某一行为触犯这两个罪名时，应当以破坏计算机信息系统罪论处。

在付某案和施某案的前三项指控事实中，行为人使用恶意代码修改互联网用户路由器的DNS设置，从而导致用户上网时被引导到其强制指定的网站，不能正常上网。从某种角度来看，既然用户上网被“绑架”，不能自由地浏览网页，当然是被非法控制了。事实上，行为人已经控制了用户计算机系统的域名解析系统且后果严重，因而触犯了非法控制计算机信息系统罪。但是，行为人使用恶意代码修改互联网用户路由器的DNS设置，该行为是否又属于我国《刑法》第286条规定的破坏计算机信息系统罪呢？对此需要进一步分析。首先，可以肯定的是，这是一种破坏计算机信息系统的行为。其次，行为人并未传播计算机病毒等程序，因而其行为显然不属于“故意制作、传播计算机病毒等破坏性程序”。再次，行为人使用恶意代码修改用户路由器的DNS设置（其中有存储的数据），这属于“对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作”。最后，行为人修改用户路由器的DNS设置是通过操控网络服务提供商的计算机终端进行的，是对网络服务提供商的计算机信息系统功能的修改和干扰，因而可以认定为“对计算机信息系统功能进行删除、修改、增加、干扰”。以上四方面分析表明，使用恶意代码修改互联网用户路由器的DNS设置的行为，完全可以被我国《刑法》第286条所涵摄。

需要说明的是，虽然修改DNS设置的行为直接针对的是域名解析服务器、路由器等基础设施，而非计算机信息系统本身，但这些设施是计算机信息系统正常运行所必不可少的附属设备，因而对这些设施功能的破坏完全可以认定为对计算机信息系统功能的破坏。对此，2011年8月最高人民法院、最高人民检察院发布的《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》第4条第1款亦明确规定，“对二十台以上计算机信息系统中存储、处理或者传输的数据进行删除、修改、增加操作的”，“造成为一百台以上计算机信息系统提供域名解析、身份认证、计费等基础服务或者为一万以上用户提供服务的计算机信息系统不能正常运行累计一小时以上的”，属于破坏计算机信息系统的功能、数据或者应用程序的行为。endprint

综上，使用恶意代码修改互联网用户路由器的DNS设置的行为破坏了计算机信息系统的正常功能，触犯了破坏计算机信息系统罪。行为人基于争抢客户流量的非法目的，实施了一个犯罪行为，但触犯了两个不同的罪名，应当根据想象竞合犯的处罚原则，以破坏计算机信息系统罪这一重罪论处。

四、对链路劫持应认定为不正当竞争行为

在施某案的第四项指控事实中，行为人通过修改域名解析配置文件，诱导用户通过其指定的网站域名访问目标网站。在这种情形下，用户上网并不存在实际障碍，上网目的仍能实现，只是被强制“借道”。这种流量劫持行为并不妨碍用户的上网自主权，因而应归属于链路劫持。

对于链路劫持，重庆市渝北区人民法院认定为非法控制计算机信息系统罪，这是否准确，值得进一步探究。如前所述，非法控制计算机信息系统罪的特点在于完全或部分操控他人的计算机信息系统。而在施某案中，是否开机、是否关机、是否上网、上哪个网站等完全取决于用户的意愿，行为人没有任何施加干预的能力。行为人所能干预的，是在用户上网时强制其经过特定的通道——行为人指定的网站域名，但对用户的上网速度、浏览体验、费用支付等并无任何实际影响。考虑到这种“搭便车”行为对用户计算机信息系统的操作和运行的控制极其微弱，对用户上网自主权的侵犯几乎没有，因而不宜认定为非法控制计算机信息系统罪。

对于链路劫持行为，是否可以认定为破坏计算机信息系统罪呢？本文亦持否定观点。如前所述，破坏计算机信息系统罪在客观方面必须实施我国《刑法》第286条规定的三种行为之一，而链路劫持行为并未制作、传播计算机病毒等破坏性程序，因而不属于该罪的第三种行为类型。这一行为也不属于该罪的第一种、第二种行为类型。根据我国《刑法》第286条，无论是对计算机信息系统的功能进行删除、修改、增加、干扰，还是对计算机信息系统中存储、处理、传输的数据和应用程序进行删除、修改、增加操作，都必须“后果严重”，才构成犯罪。在施某案中，行为人在DNS系统中修改域名解析配置文件，强行加入推广商代码，这属于“对计算机信息系统的功能进行修改”和“对计算机信息系统中存储的数据进行修改”，但这样的修改并未造成计算机信息系统不能正常运行，因而不具备“后果严重”的要件，不应认定为破坏计算机信息系统罪。

当然，链路劫持行为干扰了网络服务提供商的合法经营活动，分流了其网络客户访问量，侵犯了其商业利益，故应认定为不正当竞争。在施某案中，如果没有行为人修改域名配置文件的行为，用户上网就将全部经过网络服务提供商提供的域名网站而非行为人提供的域名网站，网络服务提供商的交易机会就将大大增加，因此，链路劫持行为构成不正当竞争，应依据反不正当竞争法予以处理。

应当注意的是，施某案中的链路劫持行为具有一定的特殊性，即其是通过修改计算机信息系统的功能来实现分流客户的目的的。这种行为对计算机信息系统的功能是有影响的，具有一定的破坏性。实践中，更常见的链路劫持行为（如通过误导性广告、下拉提示词、吸附悬浮窗等方式诱导用户进入特定网站，从而达到分流客户的目的）一般缺乏这种轻度破坏性，因而危害性更低。最典型的链路劫持行为是，行为人使用竞争对手的产品或服务的关键词作为自己的检索关键词，如“百度诉奇虎360违反Robots协议案”“天猫和淘宝诉‘帮5买网站劫持流量案”中就存在这种情形。这种情形下用户对进入行为人诱导的网站、购买行为人推荐的商品是存在明确认知的，用户的上网自主权并未受到任何侵犯，只是在上网途中被“强制推销”，因而更不宜将这种情形下的链路劫持认定为犯罪。但是，这种在他人商业区域内恣意争抢交易机会的行为破坏了公平竞争秩序，侵犯了他人商业利益，因而构成不正当竞争。“这种行为即使没有导致消费者发生混淆，但在客观上会使得消费者发生‘分流，从而在减少他人商业机会的基础上增加自己的出场概率，实为‘从竞争对手那里抢夺商业机会，此消彼长，一举两得。”⑤对于这种不正当竞争行为，予以一定的监管是必要的，但尚无动用刑法的必要。尤需强调的是，根据我国现行法律，对于这种行为，并没有一个合适的罪名可以适用。

五、结语

长期以来，对于流量劫持行为，网络服务提供商主要依靠技术监管和民事诉讼手段来维护合法权益。从有效治理的角度，充分发挥行政法、民商法的事前规制和事后救济功能应是今后努力的方向。当然，刑法的事后威慑功能也是不可或缺的。不过，在决定动用刑法时，应当秉承法条至上、规则主义和严格解释原则，抑制刑事类推和宽泛解释的冲动。这也是刑法教义学的要义所在。“刑法教义学将现行刑法视为信仰的来源，现行刑法的规定既是刑法教义学者的解释对象，也是解释根据。在解释刑法时，不允许以非法律的东西为基础。对刑法教义学者而言，现行刑法就是《圣经》。”⑥流量劫持行为的表现形态多样、危害程度不一，在对个案进行刑事归责时，既要厘清行为事实能否为刑法条文所涵摄，又要考察解释结论能否维护刑法规范的效力。⑦

注释

①参见《付某某、黄乙破坏计算机信息系统一审判决书》，中国裁判文书网，http：//wenshu.court.gov.cn/content/content？DocID=89496fcc-189d-49e2-8c53-2bdf19d51434，2015年8月11日。②参见《施硕等非法控制计算机信息系统一审判决书》，中国裁判文书网，http：//wenshu.court.gov.cn/content/content？DocID=13d9d7ce-3f31-4718-9af2-4395948a7cc5，2015年12月18日。③参见喻海松：《〈关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释〉的理解与适用》，《人民司法》2011年第19期。④参见全国人大常委会法制工作委员会刑法室编：《〈中华人民共和国刑法〉条文说明、立法理由和相关规定》，北京大学出版社，2009年，第591页。⑤袁博：《论“流量劫持”的民刑法律责任》，《上海法治报》2015年11月25日。⑥冯军：《刑法教义学的立场和方法》，《中外法学》2014年第1期。⑦例如，我国《刑法》第285条、第286条中的“计算机信息系统中存储、处理或者传输的数据”是仅限于从外部采集后输入系统的数据，还是包括系统运行过程中自行产生的痕迹、记录等数据？对此，从刑法教义学的视角考察，这两个条文的规范目的是“维护计算机信息系统正常运行”，无疑应将其中的“数据”限制为从外部采集后输入系统的数据。

责任编辑：邓林endprint