陈禹衡

东南大学法学院，江苏 南京211189

引言

伴随网络时代的高速发展，网络安全也愈发引起人们的重视。在现阶段互联网安全问题之中，流量劫持一直是危害范围最为广泛的网络安全问题。我国在2018 年1 月发表的《网络安全领域2018 年发展趋势》中，预言了在新一年网络安全可能面临的重大威胁，其中高居前列的，就有“明目张胆的网络劫持”[1]。在中国裁判文书网上搜索“流量劫持”的关键词，共有13 件相关裁判案例，其中仅有3 例是以非法获取计算机信息系统数据罪或者以非法控制计算机信息系统罪来定罪量刑，其余皆是以民事审判或者调解结案。这表明我国现阶段虽然意识到了流量劫持的危害，但是对于其的刑法规制仍然稍显乏力。

过去的司法审判虽然倾向于将流量劫持定性为不正当竞争行为，但是这种判断并不符合流量劫持的实际。受到“360 奇虎和QQ 腾讯大战”（以下简称“3Q 大战”）的影响，大多数人将流量劫持误解为大型互联网企业为了争夺流量控制权而进行的商业竞争行径。但是实际上伴随着大型企业间的不正当商业竞争的还有数以万计的小规模的侵犯互联网秩序的流量劫持行为，诸如http 缓存投毒、离线储存投毒、偷换证书、过滤https 跳转、搜索引擎劫持、钓鱼浏览器插件、页面提权等等[2]。如果单纯从民法的角度进行救济，仅仅侧重了企业的公平竞争秩序，却忽略了其侵犯公民的个人隐私以及财产利益，并且扰乱了网络安全秩序。这不仅不能够形成威慑力，而且间接纵容了其在网络环境下快速牟利，因而需要从刑法的角度加以规制，分析其犯罪的行为模式以及侵害的法益，从而通过刑法规制这一“网络毒瘤”。

值得欣喜的是，最高人民法院于近期发布了第102 号指导性案例“付宣豪、黄子超破坏计算机信息系统案”。该案本身就是流量劫持案件审判中的标杆性案例，其中对于流量劫持案件罕见地适用了刑法规制的手段，判决被告人构成破坏计算机信息系统罪。这便释放出对于流量劫持行为适用刑法规制的信号，并且具有样本意义[3]。上海市浦东新区人民法院在该案中对于二人进行DNS 数据劫持的行为进行了相应的技术分析，并产生了一定的争议。而DNS 劫持作为流量劫持的一个主要手段，通过对DNS 劫持的分析可以扩展到对流量劫持相关案件，以类型化的方式对流量劫持的刑法规制提供审判经验。

1 102 号指导性案例的案情分析

1.1 基本案情及裁判理由

该案件的基本案情是：在2013 年底到2014 年10 月期间，被告人付宣豪、黄子超等人租赁网络服务器，以恶意代码的方式修改互联网用户路由器的初始DNS 设置，诱骗用户在访问“2345.com”等导航网站时跳转至其预设的“5w.com”导航网站，并将获取的互联网用户流量有偿出售给杭州久尚科技有限公司（系“5w.com”导航网站所有者），违法所得合计人民币约75 万余元，两人被判处破坏计算机信息系统罪。

法院最终认定行为人的行为构成对计算机信息系统功能的破坏，导致计算机信息系统不能正常运行，并且通过计算机系统的漏洞来诱导用户进入错误网站并以此牟利。本案中，被告人实施的是流量劫持中的DNS 劫持，即通过修改域名解析，使对特定域名的访问由原IP 地址转入到篡改后的指定IP地址，导致用户无法访问原IP 地址对应的网站或者访问虚假网站，从而实现窃取资料或者破坏网站原有正常服务的目的。二被告人使用恶意代码修改互联网用户路由器的DNS 设置，将用户访问的导航网站的流量劫持到其预设的其他网站，并将获取的互联网用户流量出售，显然是对网络用户的计算机信息系统功能进行破坏，造成计算机信息系统不能正常运行，符合破坏计算机信息系统罪的客观行为要件。同时，根据《最高人民法院、最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》中的规定，本案中的违法所得高达人民币75 万余元，属于“后果特别严重”，构成破坏计算机信息系统罪。

1.2 本案裁判要点分析

本案裁判的要点有二：第一是对于DNS 劫持这一行为的认定和判断，第二是对于DNS 劫持造成的损失和影响的认定也需要相应的判定标准。综合来看，主要是因为DNS 劫持行为是新出现的犯罪行为方式，并且传统意义上倾向于用民事审判的方式解决纠纷，以刑法规制尚属空白，因此对于这一犯罪行为的认识仍然需要加强。

对于DNS 劫持行为的认定，首先要明晰这一行为的定义。在本案的审理过程中，对于该案的定性主要有三种声音：第一种是采用传统的认知模式，将该行为定义为民事侵权行为，行为人只要承担民事赔偿责任。这种观点在相当长的一段时间内是主流，不仅是法官审理案件时持有这种观点，很多互联网业内人士也认为这种流量劫持属于“灰色商业行为”，处于可罚可不罚的模糊地界[4]。第二种观点认为行为人构成刑事犯罪，但是其犯罪行为属于盗窃罪。其将网络流量视为一种无形的财产物予以衡量，认为此处的流量可以作为财产犯罪的对象被侵犯①张明楷在其《非法获取虚拟财产的行为性质》一文中，将虚拟财产作为财产犯罪对象的判定标准概括为：（1）对于被害人而言具有可管理性；（2）对于行为人而言具有可移转性；（3）虚拟财产本身具有价值性，涵盖使用价值和交换价值。，并且通过计算得出远远超出盗窃罪的定罪数额，因而构成盗窃罪。第三种观点认为行为人构成破坏计算机信息系统罪，其主要是通过修改路由器、浏览器设置、锁定主页或者弹出新窗口等技术手段，强制网络用户访问指定网站。这一行为从表面上来看属于破坏计算机网络的访问接口，通过修改和伪造的方式来骗取用户的信任，骗取其去往自身预设的错误目标网站，类似于“诈骗”。不构成盗窃罪的原因在于盗窃罪需要构成新的支配关系，而本案中所劫持的流量，既没有被网络服务提供商所支配，也没有对用户产生新的超额流量[5]。从该案整体上来看，其行为属于破坏计算机信息系统，此处的破坏计算机信息系统并非是硬件意义上的破坏信息系统，而是从网络秩序层面造成的破坏，后果严重的构成破坏计算机信息系统罪。

对于“DNS 劫持”造成损失的计算和认定，应当根据造成不能正常运行的计算机信息系统数量、相关计算机信息系统不能正常运行的时间，以及所造成的损失或者影响等来进行。这里的损失计算，不能单纯地按照传统的计算硬件损失的方式来对DNS 劫持造成的损失进行认定，而要考虑到其造成损失的持续性和广泛性。持续性是指该行为造成的影响深远，其不仅会造成互联网用户对于被劫持网站一时的不信任，而且这种不信任感具有连续性，对于某一域名会产生毁灭性的打击。广泛性是指此类劫持行为具有可复制性，在网站所用基础开发模板大多一致的情况下，这种利用漏洞的行为会被模仿，其用于劫持某一域名的方式会被传播并用于对其他域名的攻击。这种损失的广泛性在司法审判的过程中也应该予以考量。除此以外，对于损失的计算也可以参考侵犯倒卖流量的获利，根据流量购买的计算公式为：每天截获IP 数量/1 000（以1 000 个IP 地址为计量单位）×30（每月劫持的天数）×35（流量市场的通行价格）。这样来看，每天只要利用服务器进行流量劫持便可以获利颇丰[6]。

2 流量劫持的行为类型及特点

102 号指导性案例给流量劫持案件的审理工作提供了典型的案例以供参考，但是考虑到流量劫持的类型并非仅仅是DNS 劫持，因而对于其他类型的流量劫持方式也需要进行相应的研究，以防患于未然。流量劫持，概括说来就是通过恶意的软件程序来篡改浏览器网关地址、锁定网络界面、增加新的弹窗出口、诱导用户进入错误目标界面，最终达成强制用户访问某些特定类型的网站，消耗用户流量的情形[7]。流量劫持大体上可以分为DNS 劫持、CDN 劫持、网关劫持、客户端劫持，其中前两者属于域名劫持，后两者属于数据劫持；前者侧重于通过修改网络地址进行干扰，后者倾向于页面插入和监视用户的信息。

2.1 流量劫持的行为类型

2.1.1 DNS 劫持

DNS（Domain Name System）劫持是现阶段最多的一种流量劫持方式，侵入者通过分析破坏服务器的终端获得域名的相关信息，将其修改后控制网络服务器，当非法信息储存在服务器终端之后，用户再对网络域名进行访问时就会进入到控制后的地址，访问错误的网页。伴随着访问虚假的网址，用户的个人信息全部暴露在侵入者面前，其可以通过虚假的网页来获取用户的个人隐私乃至财产信息，而上述信息对于用户而言具有非常重要的安全意义。现阶段DNS 劫持是主要的流量劫持手段，诸如国内的百度，国外的巴西银行、日本邮储银行都遭受过DNS 劫持，造成了严重的损害后果，并且加剧了公众对于网络安全的不信任感[8]。在指导性案例102 号中，行为人就是利用域名解析的方式，将访问该网站的用户诱导至其设立的目标网站，利用用户的不知情骗取用户对原网站的信任，窃取用户的个人资料或者诱导用户进行虚假消费，并且将用户的流量进行出售获利。

2.1.2 CDN 劫持

CDN（Content Delivery Network）劫持是DNS 劫持的变种，是配合DNS 劫持的另一种重要的流量劫持方式。CDN 劫持和DNS 劫持的不同之处在于：DNS 劫持是一种动态的劫持方式，利用数据的动态流动来植入目标假IP 地址；而CDN 是静态的数据入侵，是等到数据缓存之后进行篡改然后以达成其目的，现阶段互联网的高速发展带来的分布式储存、负载均衡理念给CDN 劫持提供了相当大的施展空间。通过攻击其之前访问的静态资源来获取信息，虽然在时效性上对比DNS 劫持有所欠缺，但是攻击的范围大大扩展，对于整个数据网络生态的破坏较大。

2.1.3 网关劫持

网关（Gateway）劫持是指运营商通过其拥有的网关来劫持用户的流量。网关是指网络间互联的设备，也就是用户通过自身电脑向外进行交流的门户，一般由运行商进行控制。网关劫持行为多见于运营商和代理商之间的合谋，利用运营商能够控制数据传输的便利，在用户浏览页面的时候，直接将用户页面诱拐到其预设的特定页面，或者直接更改目标界面，或者生产出难以取消的弹窗对用户视野进行干扰。这种利用网关的优势地位来劫持用户的浏览流量进行牟利，影响了用户对于目标网页的关注度，甚至会影响用户对某一商品本应给出的评价，侵害商业信誉。

2.1.4 客户端劫持

客户端（Client）劫持主要发生在流量劫持的后期，重点用于不正当的商业竞争，通过恶意警告、危险提示、后台篡改配置、修改用户防火墙设置等方式来阻止其他类型的客户端的安装。著名的“3Q 大战”中，双方都通过这种方式来对用户的客户端进行劫持，迫使用户在使用一方客户端时无法使用另一个公司的客户端软件，不仅干扰了用户的互联网正常运行，而且对于用户的电脑系统也进行了破坏和篡改，增加了用户电脑被侵犯的风险。除了商业竞争性质的客户端劫持之外，客户端劫持还多发生于黑客入侵的环节：黑客通过输入恶意的代码并且通过应用软件的脚本漏洞来植入预设好的病毒，以留言板的形式在网上传播；当用户访问这个留言板时，其中预设的病毒就侵入用户的电脑主体和对应的软件客户端；当用户的电脑被控制之后，其在用客户端访问的数据都会被黑客监控并窃取，窃取所得的用户数据将会流入地下的“数据黑市”。

2.2 流量劫持的行为特点

流量劫持的方式多种多样，但是其技术内涵和本质并无太大变化，综合来看，其主要是依赖技术手段对用户的正常网络浏览行为进行干扰，通过改变配置、创造虚假目标的方式诱导或强迫用户流量用于非自身意愿的网页或客户端。通过对上面列举的流量劫持行为类型的分析，可以得出流量劫持所具有的相应特点，并且在102 号指导性案例中有较显著的体现。

2.2.1 高度的隐蔽性

流量劫持的刑法规制的难点在于其具有高度的隐蔽性。流量劫持的隐蔽性来源于其运行的原理。网络访问的运行可以分为四个步骤：第一步，浏览器向本地域名服务器发出浏览请求，通过搜寻目标的IP 地址来进行访问，发现没有目标域名的，向根域名处理器发出查询；第二步，根域名处理器经过处理后将com 域域名地址返回给本地域名服务器；第三步，com 域返回目标授权的IP 地址，本地域名服务器对返回的IP 地址进行查询；第四步，本地域名服务器对浏览器的请求做出回应，一次完整的网络访问就此完成。在上述的四个步骤中，流量劫持发生的时段主要集中在前两步，但是也可以存在于整个访问流程的各个阶段。在前两个步骤中的劫持行为尤多，主要依靠伪造虚假的IP 地址或者用户访问需求来诱导服务器在初始或者反馈阶段反馈错误的信息，此时诱导性的访问需求可以用多种包装的方式伪装成可信的目标需求，并且在网络访问的各个阶段都可以进行攻击，隐蔽性较高。

流量劫持的高度隐蔽性可以用四个特征性词汇予以概括，分别是：攻击范围的广泛性、数据伪装的迷惑性、攻击次数频繁性、攻击行为的快速性。攻击范围的广泛性是指流量劫持的攻击范围较为广泛，即流量劫持的行为广泛地发生在数据访问的各个阶段，仅就攻击范围而言，任何一个流程的漏洞都会被放大和攻击，这种攻击范围的扩大导致防御范围的扩大，不能够通过预设反向追踪查明网络劫持的主服务器。数据伪装的迷惑性是指出于诱导用户的需要，黑客在进行流量劫持时会尽可能地模仿目标网址的IP 地址和用户反馈需求，手段多种多样，并且对其预设的目标网页，也尽可能地模仿用户本来准备浏览的网页，用“李鬼”代替“李逵”，更有甚者将网络劫持所用的服务器伪装成正常的运营商，或者放置于海外，增加隐蔽性。攻击次数的频繁性依赖计算机处理技术的高速发展，对于目标处理器发动的攻击可能达到每天上万次[9]，通过频繁的网络攻击来寻求访问漏洞，寻求攻击目标，并且设定不同的访问地址，混淆追踪，隐藏真正的流量劫持服务器。攻击行为的快速性是指对于流量劫持的反制在反应速度上跟不上攻击方的攻击行为，当网警或者服务器维护商进行追踪时，不能够有效地进行反向追踪，或者追踪到错误的服务器，增加了对网络劫持行为的反制难度。

2.2.2 证据收集的难度大

流量劫持案件刑事审判的难点除了自身隐蔽性较高之外，另外一个问题就是基本证据难以搜集并且不易固定和展示。流量劫持作为一种新型的犯罪方式，相关证据的搜集和固定都没有相关经验。在第102 号指导性案例中，对于相关证据的搜集依赖于犯罪嫌疑人自首之后主动交代罪行和提供进行流量劫持所用的服务器，而针对流量劫持行为刑法规制的薄弱在很大程度上也是因为对于犯罪证据的搜寻困难。一般情况下，进行流量劫持的行为人倾向于将服务器搭建在境外，即使追踪到也很难及时固定证据或者进行抓捕，而进行屏蔽则犯罪行为人会增设新的流量劫持路径。除此以外，对于流量劫持的行为证据的固定一般需要多个机关予以配合，在“陈志勇、王惺等非法获取计算机信息系统数据、非法控制计算机信息系统罪二审刑事裁定书”中，对于行为人进行流量劫持的证据固定就依赖于多方配合：首先是中国移动通信集团湖南有限公司出具了《情况说明》《保密协议》《安全生产责任承包书》来证明行为人利用了自身的网络设备接口进行入侵；其次是腾讯公司出具了《关于腾讯QQ用户Cookies 被异常使用的反映材料》《关于腾讯“登录态”技术情况说明》来证明自身Cookies 数据遭受的侵害；最后是福州中证司法鉴定中心出具了《第180 号电子数据检验报告》证明流量劫持的具体行为[10]。这种多部门合作提供相应证据的要求增加了证据收集的难度，甚至涉及有关部门对于境外证据搜集的司法合作。

2.2.3 行为性质的争议性

流量劫持案件的另一个特点是其行为性质的争议性，是否适用刑法规制以及对犯罪构成要件的认定缺乏统一的标准。行为性质的争议性起因在于这是一种新型跨界的行为，对于这一行为的性质，在互联网公司、通讯运营商、司法系统眼里都有不同的定义。在互联网公司眼里，流量劫持属于典型的商业竞争模式，认为劫持者和被劫持者之间本身就具有相应的技术交流，这种行为属于较为激烈的商业竞争模式，甚至劫持者可以为消费者带来福利。在“帮5 买和淘宝网流量劫持案”中，帮5 买网站就提出其基于自身的商业模式给消费者提供优惠，其流量劫持行为是将流量转化为用户消费折扣的行为，并未强迫消费者浪费流量[11]。而在通信运营商眼里，对于流量劫持行为则处于模糊的态度：一方面，处于维护自身流量通讯系统稳定的考量，其不断加强对自身服务器的保护，防止各种恶性窃取和利用其流量连接通道的流量劫持行为人，并且对行为人的行为提供证据和反向追踪手段；另一方面，也有部分运营商勾结流量劫持者，在允许获利的情况下将自身的服务器租赁给劫持者，或者为劫持者提供进行流量劫持的后门，导致流量劫持行为屡禁不止。在司法机关眼里，对于流量劫持行为的定性经过了一段时间的思维变化。最早的流量劫持案件审判出现在2014 年9 月，并且早期的流量劫持案件基本都被判定为民事纠纷，鲜有以刑法手段加以规制，也有法官将流量劫持分为灰色流量劫持和黑色流量劫持①黑色流量劫持包括：（1）通过域名劫持网络流量；（2）通过用户端插件或者代码修改数据。灰色流量劫持包括：（1）比价软件流量劫持；（2）输入法搜索候选流量劫持；（3）安全软件流量劫持；（4）应用市场App 下载流量劫持；（5）导航网站流量劫持。，将“灰色流量劫持”用民法手段加以规制，而对于“黑色流量劫持”用刑法手段加以规制[12]。笔者对上述观点持审慎的态度。伴随技术革新，即便是灰色流量劫持也是对用户权利边界的不断侵犯。面对这种侵犯的局面，以手段的剧烈程度来作为是否适用刑法规制的判定标准有失衡之嫌，对于层出不穷的流量劫持案件缺乏震慑力，因此应该通过第102 号指导性案例总结出对流量劫持案件刑法规制的判断标准。

3 流量劫持的犯罪客体分析

流量劫持案件犯罪客体的认定需要考虑到技术的不断进步，考虑到流量劫持案件的形式多样，不能贸然将所有类型的流量劫持案件都纳入到刑法规制的范畴。对于是否能够依赖刑法手段对流量劫持行为加以规制，除了分析行为人进行流量劫持的手段外，也需要对流量劫持行为的犯罪客体进行分析。对于流量劫持行为的犯罪客体，刑法学界尚未形成统一的观点，具体说来有“侵犯虚拟财产说”“侵犯计算机信息系统管理秩序说”“侵犯计算机信息系统安全说”，采用不同的犯罪客体认定标准会影响对流量劫持行为采用何种罪名的认定。

3.1 侵犯虚拟财产说

侵犯虚拟财产说是指将流量劫持的流量视为一种虚拟财产予以保护，认为行为人流量劫持的行为是从浏览者和网站的运营者手中夺取了流量，这就关系到流量的概念和分类。流量是指互联网公司所设立的IP 地址从网络运营商的手中获得的数据访问分配值，简单来说，就是用来衡量一个网站被访问的用户数量以及用户的浏览页面数量的指标，关系一个网站的价值评价[13]。考虑到流量所蕴含的巨大价值，流量也被分为自由流量和将得流量。自由流量是流量在用户没有进行分配时的初始状态，用户并没有对流量进行指导性的分配，此时流量劫持的概念在自由流量这里并不能成立。将得流量是指依据用户的消费习惯以及初始意愿，将自身从运营商处所获的流量用于其初始目的的网站的流量，用户在点击IP 地址时，将得流量便可以视为目标网站可以获得的准流量，但是由于流量劫持者的劫持行为，将目标网站本应获得的流量劫持为己所用，并从中谋取利益。传统的流量劫持的商业竞争所侵犯的客体就是将得流量，有鉴于此，腾讯、小米、百度等公司联合发布了《移动智能终端应用软件分发服务自律公约》，希望以商业公约的形式遏制这种行为[14]。但是，采用“侵犯虚拟财产说”不能够解释那些不以流量为劫持目标的犯罪行为。现阶段流量劫持犯罪行为的发展趋势有利用流量劫持将目标用户引导至其预先设立的山寨网页以窃取用户的账号信息的倾向，如果单纯地将流量视为犯罪客体，则无法解释此类不以流量作为犯罪对象的流量劫持行为，刑法规制范围较为狭隘。

3.2 侵犯计算机信息系统管理秩序说

侵犯计算机信息系统管理秩序说的基础在于认定网络世界有自身的管理秩序，类似于真实世界的公共管理秩序。该说认为，互联网世界也有相应的管理秩序，按照正常秩序，用户在付出自身所购买的流量之后应该到达其预期的IP 网址进行浏览，而网站在付出了内容之后也应该获得流量，从而帮助自己形成相应的商业信誉，这便是计算机信息系统的管理秩序。计算机信息系统在构建之初就形成了相应的秩序，因而为了网络世界的正常运行应该为每一位互联网从业者所遵守。以102 号指导性案例为例，在该案中的行为人就是通过修改路由器的配置、植入病毒、篡改计算机浏览器客户端配置的方式诱导用户到达非其预想的网站，进而通过这种诱导流量的行为获利。这种行为严重侵害了计算机信息系统的管理秩序，所以采用侵犯计算机信息系统管理秩序说恰如其分，也符合破坏计算机信息系统罪中“造成计算机信息系统不能正常运行”的描述。但是采用这种说法的缺陷在于难以衡量造成的法益损害，由于计算机信息系统管理秩序的概念提出时间尚短，相关研究尚属空白，在计算具体法益时存在各种争论。而且考虑到互联网秩序与一般的公共管理秩序不同，其并无国家强制力予以维护，其被侵犯的恢复也较快，对于其救济体制的构建也尚需时日。

3.3 侵犯计算机信息系统安全说

侵犯计算机信息系统安全说的出发点在于保护计算机信息系统的安全，提出的理由有两个方面：第一是在102 号指导性案例中将DNS 劫持行为最终定为破坏计算机信息系统罪。该罪在刑法典中归属于第六章妨害社会管理秩序罪，其实质是为了保护计算机信息系统的安全，所以认定流量劫持行为构成了对计算机信息系统安全的破坏[15]。第二是对流量劫持行为造成的整体后果的考量。流量劫持行为虽然表面上是对计算机信息系统秩序的破坏，但是计算机信息系统的秩序恢复较快，对于损失的法益很难进行衡量，甚至在业内人士看来，这是正常的商业竞争而非对计算机信息系统秩序的破坏。在实际的流量劫持过程中，容易被忽视的一点恰巧是其行为造成的对计算机信息系统安全的破坏。这种入侵计算机信息系统的行为，造成了计算机防御系统的漏洞被展开，给有其他目的的黑客提供了方便之门，而且这种行为本身便与黑客入侵计算机信息系统的行为有千丝万缕的联系。除此以外，有的流量劫持者的目的是为了诱使用户登录其预先设置好的假网站，以便窃取用户的信息，盗取用户的账号，虽然截取的流量本身在其看来不值一文，但这种行为严重威胁了用户的计算机系统的信息安全。综合来看，采用侵犯计算机系统安全说可以很好地概括流量劫持行为对于互联网安全的破坏，认定流量劫持行为的犯罪客体是计算机信息系统的安全，也符合设立破坏计算机信息系统罪的立法初衷。

4 流量劫持案件刑法规制和民法规制的辨析

对于流量劫持行为的刑法规制的另一个争议点在于：对流量劫持行为采用刑法规制和采用民法规制两者之间如何选择。考虑到网络技术的中立性和业界对于流量劫持行为的暧昧态度，早期倾向于将流量劫持行为认定为不正当竞争行为，当前司法机关在制裁手段上的取舍和划分关系到对于这一行为的遏制力度。

4.1 流量劫持制裁模式的选择标准

要选好流量劫持行为的制裁模式，首先需要对流量劫持行为进行划分。有学者将流量劫持行为分为硬性流量劫持行为和软性流量劫持行为[16]，这种分类也可以视为类似于黑色流量劫持和灰色流量劫持的分类。由于这两种流量劫持模式的区别，制裁模式的选择也各有不同。软性流量劫持行为倾向于用关键词替换、诱导提示、客户端代码篡改等方式诱使用户登录别的网络界面。这种行为尤以客户端劫持为甚，几个主流的互联网公司早期都在相互之间为此诉诸公堂，比较典型的判例有：百度诉360 科技案、字节跳动诉天盈九州科技案、搜狗诉百度案、万维网诉百度案等。对于软性的流量劫持行为，考虑到其破坏性较小，主要是利用诱导的方式，对于计算机信息系统的安全破坏几乎为零，所以应该认定为不正当竞争行为并适用民法的手段加以规制。

与之相反，硬性流量劫持的手段较为暴力，多采用破坏计算机信息系统正常运行的手段来劫持用户的流量，DNS 劫持、CDN 劫持、网关劫持等就是其主要类型。虽然它们在具体的细节方式或者攻击程度上有所区别，但是核心之处都在于采用攻击计算机信息系统安全的方式来达成目的，并且将破坏后的计算机信息系统暴露在互联网环境之下，无异于让用户的计算机信息系统“裸奔”。从现有的刑法规制的判例来看，硬性流量劫持行为无论是非法控制计算机信息系统还是非法破坏计算机信息系统，都绕不过其对计算机信息系统安全的破坏。这种危害行为的犯罪客体属于网络安全的重要组成部分，一般的互联网公司也不会涉足此类暴力的网络破解行动，如果仅仅用民法的手段加以规制则显得乏力，只有对硬性流量劫持行为进行刑法规制才能够有效地预防此类行为，才不会影响互联网的蓬勃发展。

4.2 流量劫持刑法规制的优势

对流量劫持行为采用刑法规制契合了维护网络安全的需要，为类似的“技术越界”行为的刑法规制提供治理经验。流量劫持的技术发展路径已经充分说明，在互联网蕴含的巨大经济利益的驱使下，即使是单纯的“技术越界”行为也会逐渐演化为对于整个互联网安全的挑战。经验表明，不能寄希望于单纯的民法规制就能解决这一问题，缺乏刑法强制力的威慑，对于流量劫持之类的“技术越界”行为只会是不断纵容。

采用刑法手段加以规制还可以厘清侵犯计算机信息系统犯罪的罪名的内在逻辑结构。现阶段有关侵犯计算机信息系统的罪名主要有：非法侵入计算机信息系统罪，非法获取计算机信息系统数据罪，非法控制计算机信息系统罪、提供入侵，非法控制计算机信息系统程序、工具罪，破坏计算机信息系统罪。在这些罪名中一直有“非法控制”和“非法破坏”的逻辑之争，但两者之间可以视为一般与特殊的关系。利用刑法规制流量劫持行为，并将其视为“非法破坏”的典型代表，可以倒推出何为“非法控制”，厘清两个罪名的边界，这种典型的侵犯刑法法益的行为只有通过刑法手段加以规制，才能够凸显设立破坏计算机信息系统罪的价值。1997 年刑法典中就已设立的破坏计算机信息系统罪在长达十几年的时间里并未受到司法机关的重视，更加说明侵犯计算机信息系统犯罪的内在逻辑的重要性，并且有必要以此为契机清理该类罪名的“碎片化”倾向。

此外，采用刑法手段加以规制更加凸显了刑法谦抑性的特征，而非对谦抑性的破坏。张明楷提出，刑法的谦抑性要求能够用其他的方式来实现保护法益的目的的，就没有必要适用刑法手段加以规制[17]。采用刑法手段对流量劫持加以规制，可以分清刑法对流量劫持行为的规制边界，既然流量劫持行为所侵害的法益范围较为模糊，那么明确对于流量劫持制裁模式的选择标准才是维护刑法谦抑性的根本。

5 结语

流量劫持行为的愈演愈烈促使最高人民法院出台了第102 号指导性案例以作为相关案件裁判的参考标准。第102 号指导性案例是典型的DNS 劫持案例，其代表了流量劫持行为中危害程度较高的一种行为，在实际的司法适用过程中，类似流量劫持这样的“技术越界”行为可谓层出不穷。有鉴于此，对于流量劫持行为模式加以分析，总结其技术特征，分析其犯罪客体，并且对刑法规制和民法规制的区分标准加以讨论，可以有效地减少流量劫持行为给我们正常生活带来的困扰。同时，可以对于利用此类“技术越界”以非法牟利的行为形成震慑，形成完善的侵犯计算机系统类犯罪的罪状体系，在保障刑法谦抑性的同时，利用刑法的强制力保障计算机信息系统的安全与稳定。