王 江

（绍兴市中级人民法院，浙江 绍兴 312000）

数字经济的迅速发展使得互联网的经济价值日益凸显，网络成为人们进行信息交互、游戏娱乐、观影购物等活动的重要载体。在网络服务提供者不断增多，用户黏性显著增强的当下，“流量”发挥着极为重要的媒介功能。近年来，劫持流量的恶性行为在网络世界中颇为常见，如“点击劫持”就是网络用户最常遇见的劫持形式，行为人通过在浏览页面上安装数个半覆盖或全覆盖原访问页面的插件或程序，从而使得用户点击顶层网页时，被劫持到另一个页面上①http://wikipedia.moesalih.com/Clickjacking，最后访问时间2019 年10 月5 日。而在互联网趋于成熟和完善的过程中，流量劫持行为又呈现出新的态势，如何对其进行有效的概念界定、进行准确的法律定性是亟待探讨的问题。

一、对话技术：流量劫持行为的入刑基础

（一）“流量劫持”概念的基本含义及外延

关于流量劫持的行为，传统观点认为这一行为是对网络用户流量的公然强制行为，即未经网络用户许可，利用非法技术手段私设网络通道，迫使原本意图访问A 网站之用户访问行为人所建构之B 网站。[1]从原理上看，DNS（域名系统劫持）是通过修改本地服务器或根域名服务器所访问的域名，从而达到修改用户查询网页的目的，具体流程如下：

图1 正常情况下的DNS 访问原理

图2 DNS 劫持情况下的用户访问原理

基于网络信息传递和交互的复杂性，“流量劫持”的概念外延在法学视阈中未得到有效探讨，更多集中于对个案行为的分析，而流量劫持行为的外延处于不断扩张的过程中，故应对“流量劫持”的概念外延和手段方式进行探究梳理，从技术原理上看，常见的行为包括以下几种：

1.网页缓存投毒。也称为域名缓存投毒，即网络用户访问的目标域名被替换，网页浏览器受虚假条目的影响进入其他的网页链接，同时导致蠕虫、木马等恶意软件被下载至本地用户电脑；

2.偷换SSL 数字证书①小米科技等六家互联网公司联合发表的《关于抵制流量劫持等违法行为的联合声明》将流量劫持方式总体分为域名劫持和数据劫持两大类，偷换SSL 证书则是属于数据劫持的类型。与传统HTTP 代理不同，HTTPS 服务是通过权威机构签发的证书才能进行页面访问，但无效证书并不会使页面被直接拦截，而是会向访问用户弹出无效证书的提示框，大多数用户在不知情的情况下继续操作，导致伪造的证书被应允使用，HTTPS 流量因此遭到劫持；

3.搜索引擎劫持。其是指未经用户授权，将从搜索引擎中来的流量引至指定的网页，使得搜索引擎的结果自动跳转到指定的网页。例如利用黑帽SEO 技术通过软件及程序大量生成含有关键词的桥页，从而在用户点击该桥面时，自动跳转至行为人的所设定的主页。

4.浏览器插件劫持。许多网络用户在浏览器中安装支付插件、在线播放器等插件以使浏览器兼具更多功能，但部分插件非法更改浏览器配置，导致正常访问过程不断弹出广告网页或连接至其他网页。

以上是部分流量劫持行为的示例，从技术层面上看，“流量劫持”概念本身是不断变更的概念，从其进入法学领域至今，其外延扩张、技术更迭、手段变革之迅捷都为其定性和处罚增加难度。

（二）流量劫持行为入刑的观点及分歧

关于流量劫持行为的入刑问题存在诸多争议。从构罪与否的角度上看，存在两个亟需探讨的问题：第一，流量劫持行为是否应该入刑；第二，如果认为其应该入刑的情况下，是否应该就“域名劫持”与“链路劫持”进行区别对待。

针对第一个问题：有观点以刑法谦抑性为基础，认为刑法作为保障社会公正与整体秩序的“最后一道防线”，不应该成为评价行为的首选规范。由于流量劫持行为以技术强制的手段使得消费者被迫接受虚假的网络服务，使得网络用户的真实的上网目的落空，接受的网络服务错位，侵犯网络用户的知情权及自主选择权。又以不正当手段，致使真实网络经营者无法获得并兑现相应的流量利益，扰乱网络市场，故流量劫持行为人对网络用户和真实网络服务提供者承担赔偿责任即为已足，不构成犯罪。[2]

本文认为：诚然，刑法作为“第二次规范”在调控范围上应当具有限缩性，只有在必要范围内才能适用刑罚。但刑法本身是处于不断变化过程之中的，刑法处罚范围的扩大可能是基于时代发展的要求，这并未在实质上违反刑法谦抑性的基本原则。[3]就流量劫持行为的规制而言，案件属于民事案件还是刑事案件并非泾渭分明，需要根据两种规范各自的目的和功能进行判断，若流量劫持行为符合刑法相关犯罪的构成要件，则在解决民事纠纷的同时也要发挥刑法惩罚和预防犯罪的基本功能。流量劫持行为具有明确的社会危害性：一方面可能侵犯网络用户的财产法益，另一方面在数据流量日益成为各大信息网站争夺目标的背景下，其亦可能造成互联网运营商巨额经济利益的损失②将虚拟财产视为财产性利益的呼声日渐高涨，流量财产权的概念在不断发展和完善。[4]此外，劫持流量还对计算机信息系统造成规模性地控制或破坏，对网络市场秩序造成严重的破坏。故本文认为，将流量劫持行为纳入刑法视阈中进行评价并无不妥。

针对第二个问题：有观点认为，“链路劫持”是采用核心关键词替换等方式，对网络用户进行诱导，致使其在错误认识情况下访问目标网站的行为，而“域名劫持”是指采用破坏计算机信息系统正常运行的方式劫持流量的行为。二者区别在于，前者应定性为不正当竞争行为，不构成刑事犯罪，而后者则构成刑事犯罪。[5]也有观点认为，仅以流量劫持行为是否破坏计算机信息系统来区分罪与非罪，忽视对用户自主选择权和流量支配权的考察，也忽视对网络经营秩序与网络安全环境的考量，无论属于何种流量劫持行为，均有可能侵犯个体用户、竞争企业、经营市场、整体安全等多元法益，这正是流量劫持行为入刑的理由所在。[6]9

本文对该区分有无必要持否定态度：在体系性、阶层性的犯罪构成思维方式日益普及的趋势下，以非理性的直观感受来排除某类行为构成犯罪会导致对行为的评价过于片面。合理的犯罪成立理论必须是体系性的，而非要素性的理论，这样才能对行为或事态从不同侧面进行反复检验，才能对违法和责任进行区分，而不是笼统地得出有罪或无罪的结论。[7]直接认为“链路劫持”应该排除在犯罪之外，实际上仅是从危害计算机信息系统的角度进行的评价，而忽略了对行为从不同的犯罪构成的角度进行评价的基本逻辑，可能导致评价缺漏的问题。

综上所述，流量劫持行为入刑不存在过多理解上的障碍，而围绕流量劫持行为的争议多存在定性路径上。流量劫持行为究竟涉嫌何种犯罪，各犯罪之间又呈现何种罪数关系，才是理应探讨和解决的问题。

二、实然检视：流量劫持入刑的裁判研读

要探究流量劫持行为在刑法中的定性结论，不可避免要从司法实务中的类案入手，以了解实然判决与应然结果之间的差距。审判实践中涉及流量劫持的相关案例有限，也存在检察机关作不起诉处理的情况，本文摘取既已定罪量刑的五例作为分析依据，简要梳理如下：

针对上述案例，有如下值得商榷之处：第一，“域名劫持”构成何种犯罪值得商榷。上述四个案例中，一、三、四均是采用植入相关程序，实现对服务器指令的攻击、修改和伪造的方式，以实现网页自动跳转等方式完成域名跳转的劫持操作，但案例一的判决中未从危害计算机信息系统的角度进行评价，仅以诈骗罪论处，案例三认定为非法控制计算机信息系统罪，而案例四则认定为破坏计算机信息系统罪，有类案不同判之虞；第二，根据案例二、案例五的判决内容，虽然同样是通过捆绑推广ID 或广告网页的方式实行“链路劫持”，两案却在判决结果上存在明显不同，故链路劫持行为如何定性亦是值得探讨。

（一）“非法控制”与“破坏”关系的再反思

我国《刑法》第285 条针对非法控制计算机信息系统罪表述为“对该计算机信息系统实施非法控制的”，构成本罪；而《刑法》第286 条规定“对计算机信息系统功能进行删除、修改、增加、干扰，造成计算机信息系统不能正常运行，后果严重的”，构成破坏计算机信息系统罪。从语义上看，“控制”乃指以实力进行支配，使计算机信息系统处于自己的占有、管理或影响之下，同样可能以“删除、修改、增加、干扰”的手段进行；而“破坏”则是摧毁、毁坏，使计算机信息系统不能正常运转，在系统为他人非法地强制占用的情况下，亦有可能产生“控制”之效果，故有观点认为二者属于彼此交叉，互相包容的状态，以想象竞合犯论处较为合适①破坏行为可能带来控制后果，控制后果也可能是破坏行为所致，二者在同一行为事实中完全可能并存。[1]

笔者认为，不能简单地认为二者属于彼此交叉，互相包容的状态，根据当前我国刑法条文的规定，需要对“非法控制”的行为作相应扩大解释，宜包括非法“操控”、“操作”行为，以此在构成要件上将二者进行界分，理由如下：

第一，由于“碎片式”的立法方式，刑法条文对该两罪的体系性和协调性考虑不周，从而在具体适用上出现问题。如果认为“控制”行为必须具备排他的强制力，则会使得该罪成为无法适用的空罪名，因为“破坏”不仅包括无法运行，也包括无法按照自主意愿和既定程序运行，那“控制”本身也属于破坏方式的一种，这就使得所有非法控制计算机信息系统的犯罪均可为破坏计算机信息系统所囊括，导致前罪在审判实践中被虚置。

第二，根据目的解释的方法来看，刑法规定破坏计算机信息系统罪侧重于对结果的考察，旨在规制具有严重性、规模性的干扰和破坏行为，这也解释为何破坏行为须达到“造成计算机信息系统不能正常运行”的结果才能适用。而非法控制则是侧重于从手段与方法上予以评价，旨在规制窃占、盗用、操控计算机信息系统等行为，由于其行为和手段在实际生活中呈现出复杂化、多样化、更新化的特征，故对于“控制”行为在解释上要综合考虑立法目的，在外延上进行相应补充和拓展。

第三，依据罪刑法定原则和罪责刑相一致原则来看，既然没有明文规定控制行为必须是排他性的，将其解释为包括完全性与非完全性控制两种并不违反罪刑法定原则。此外，通过对两罪的比较可知，非法控制行为的法定刑较之于破坏行为更轻，这说明非法控制行为能够以相对轻微的犯罪形式呈现，即在非完全控制计算机信息系统的情况下也能进行相应的操控行为，这恰是最为常见的“流量劫持”方式，故将部分的、非排他性的操控行为纳入“控制”的范畴亦符合罪责刑相一致的原则。因此，在非法侵入计算机信息系统后，未对计算机信息系统予以删除、修改、增加、干扰的，而以特定技术软件实施操作的行为也可被理解为非法控制计算机信息系统罪。[8]

（二）“链路劫持”行为入刑的新思考

关于“链路劫持”行为的定性，有观点认为：由于“链路劫持”并非通过软件或程序对服务器进行直接攻击、修改和伪造，而是通过在原有访问页面上植入广告、下拉框等手段，诱导用户进入目标网站，该行为应作为不正当竞争行为处理。[9]

本文认为，虽然“链路劫持”不会导致正常运行的中断或停止，充其量只是影响用户的服务体验，其不构成破坏计算机信息系统罪自不待言。但在涉嫌非法控制计算机信息系统罪的情况下，确无必要严格区分“链路劫持”与“域名劫持”，原因如下：其一，上文已述“控制”行为可以包括完全性控制与非完全性控制两种，“链路劫持”在形式上属于后者，其本身是违反网络用户自主意愿，以插入广告、关键词等方式实现网络用户的流量分流，这也属于主导、操纵网络用户信息获取的行为，故在满足其他构成要件的情况下，以非法控制计算机信息系统罪论处并无不妥。其二，“链路劫持”与“域名劫持”在行为手段上，“链路劫持”行为同样可能表现为案例一、案例二中所示的情形，行为人通过非法程序或插件静默下载、传输、运送相关的数据，或是植入远程操纵的程序，以非强制性的手段获得相关的计算机数据，或是虚构用户访问之事实、隐瞒真实流量数据之情况，达到诈骗其他网络运营商或投资商之目的，也可以非法获取计算机信息系统数据罪、诈骗罪等论处，故将“链路劫持”一律排除刑法适用的观点存在问题。

三、应然探究：流量劫持入刑的多元视角

从“流量劫持”案件的审判实践不难发现，裁判结果均是从危害计算机信息系统视角来评价定性，并未依据其他犯罪构成要件进行深入探索。而从行为结果上看，流量劫持行为有侵犯下列四种法益之虞：1.网络用户的流量财产性法益；2.互联网公司的商誉以及预期经济利益；3.互联网市场的整体运行秩序；4.国家对计算机系统的管理秩序和计算机系统本身运行的正常秩序。[2]故有必要从侵犯前三种法益的角度，再行探讨犯罪构成的问题。

（一）针对流量劫持是否构成盗窃罪的探讨

在司法实务界，有观点认为流量劫持行为与非法占有的窃取行为并不存在本质区别，其构成盗窃罪没有评定上的障碍。[10]但流量劫持在构造上属于一种居间行为，面向网络用户及其他互联网服务提供者或运营者，故要从两个方面入手判断其是否构成盗窃行为。且“流量”一词本身就存在“网络流量”和“网站流量”两种解释，前者是指网络用户从网络运营商处购买的流量，用于获取网络运营商所提供的特定网络服务，后者主要是指平台被用户访问的流量，而互联网运营商通过对网站访问量、点击量等数据的统计来积累用户资源，然后通过广告和增值服务收费来实现盈利。[11]故针对流量劫持是否构成盗窃罪应从两个视角进行探讨。

针对流量劫持是否构成对网络用户的盗窃罪的问题，有观点认为流量不仅仅是一种电信服务，因其具有管理可能性和财物属性，故其属于具有经济价值的虚拟财产，流量劫持实质上侵犯了网络用户的财产性利益。[6]11本文认为，“流量包”和“网络流量”的概念需要厘清，网络流量在未被特定化前，的确存在相应的价值属性，可以被管领、交易和移转，但这是“流量包”的含义。而“网络流量”直接对应的是相关网络服务，这就使得网络流量呈现虚拟化、定向化和专属化的状态，它只能演化为不同类型的网络服务，一经转移就丧失本身的状态。此外，行为人的目的并不在于获取流量的载体价值，这也是缘何有观点认为“流量劫持是将用户从原本意图访问的网站劫持到预先设定的网站，其涉及是网站流量而非网络流量”。[12]此外，“网络流量”的内在价值也在不断转变，缺乏固定性、稳定性和可量化性，从网络流量的来源形式来看，一种属于手机移动端，即为手机上网提供的流量服务，表现为流量包和网卡，但随着通讯技术的不断发展，手机流量包资费不断下降，甚至出现月计不限量的流量套餐；而另一种则属于按时间缴费的宽带网络，无论流量劫持所涉及的是上述何种网络流量形式，均难以进行价值的量化评定，故不宜认为流量劫持构成对网络用户的盗窃罪。

针对流量劫持是否构成对网络运营商的盗窃罪的问题，本文亦持否定观点：第一，从“网站流量”本身的概念出发，其包括用户数量、访问总量、浏览时间等综合指标，属于由网络信息传递和交互而产生的一组具有指标性，评价性的统计数据的集合。虽然流量承载了互联网多元化市场主体的利益、商誉等财产价值，但其并不是财产性利益的直接表征，其需要向第三方进行出售、交易和兑换才可被赋予财产价值，如果从互联网特定的运营模式中被剥离开来，其在天然属性上只能被判定为数据的集合体。故在获得网络流量到实现其价值属性的过程中，需要其他明显的介入行为，尚难认为仅通过劫持即可取得狭义上的物的价值，不满足盗窃罪的犯罪构成要件。[13]第二，退一步讲，将网络流量视为盗窃罪中的财产性利益，同样面临着构成要件失当的问题。盗窃罪的基本构造为对财物的“移转占有”，其逻辑前提必须是他人既已支配、控制、占有的财物，而“流量劫持”的内在原理是通过“分流”来形成“替代效应”，[9]其目的是使对方丧失提供服务、获取利益的机会，从这一点上看，潜在而真实的网络服务提供者自始并不占有该部分网站流量，更遑论占有被予以非法移转的问题。然而，有文章回应称：网络用户在搜索栏输入原本想要访问的导航网站的网址并点击“Enter 键”时，该用户的流量即已为这些导航网站所占有，只是由于劫持行为，这些流量被人为转移到了目标网站，此可类比“偷换支付二维码案”进行解释。[14]本文认为，若认为预期的、可能的、观念的占有也属于刑法上的“占有”概念的话，则属于将占有作为一种事实状态扩大解释为一种预期可能，显然违反罪刑法定原则。此外，“偷换支付二维码”案中的被害人（商家）虽然未直接占有交易款项，但其交付货物的行为实际上既已取得观念上的债权，故认为行为人盗窃其财产性利益并无疑问，但在流量劫持的过程中，真实的网络服务提供者并未提供网络服务，其丧失的只是交易机会和获利可能，并非财产性利益的真实损失，故本文认为流量劫持行为也不构成对其他网络服务提供者的盗窃罪。

（二）针对流量劫持是否构成破坏生产经营罪的探讨

在企业经营模式趋于网络化，互联网成为经营活动重要平台的社会背景下，数字经济快速增长，在社会整体的生产要素中的作用趋于明显，这使得生产经营模式也不断更新换代。故有观点认为，“流量劫持”行为属于出于“个人目的”、“以其他方法”破坏生产经营的犯罪行为，构成《刑法》第276 条的破坏生产经营行为。[15]

本文认为，根据刑法典的明文规定和刑法解释一般原则，尚难认为流量劫持构成破坏生产经营罪：第一，从构成要件符合性上看，应以同类解释原则对“其他方法”进行解释，不能仅从形式上得出结论，而应根据法益保护目的及犯罪之间的关系予以认定，否则将使得构成要件丧失确定性，违反罪刑法定原则的要求。[16]根据立法原意，在“其他方式”前所列的“毁坏机器设备、残害耕畜”的手段行为乃是针对农业、工业时代的相关生产资料的破坏，带有明显的实物性、可视性，如果在信息化时代需要进行同质性解释的话，也应当是对智能化设备、计算机系统、厂房流水线等进行物理上的毁损和破坏行为，要通过规制虚拟互联网、计算机系统内部的非法技术行为，达到保障数据流量这一虚拟财产的目的，确有类推解释之嫌。第二，从体系解释的方法上看，刑法典将破坏生产经营罪规定在侵犯财产罪的章节内，侧重于对侵犯财产层面的保障，而本章又规定了故意毁坏财物罪，故从体系构造上看，破坏生产秩序罪和故意毁坏财物罪属于特殊与一般的关系，若认为后者需要由物理意义上的打砸、破坏、毁损行为，则前者无疑也必须具有相同性质，否则将造成体系上的矛盾和失调。第三，从行为评价目的上看，如果从保障互联网生产经营秩序这一整体法益的视角出发，以破坏生产经营罪论处无法达到这一目的，因为该罪已从破坏经济秩序的章节转入侵犯财产犯罪的章节，因而其侧重的是对局部的、个体的、特定的生产资料的侵犯；如果从保障个体财产法益的视角出发，按照“流量劫持”的行为实质，只能在取得性财产犯罪（盗窃罪）与破坏型犯罪（破坏生产经营罪）中进行择一考察，而显然多数观点更倾向于在前者范畴内进行探讨。综上所述，本文认为流量劫持行为亦不宜以破坏生产经营罪论处。

在数字经济时代，鉴于法规范本身的滞后性，依托互联网平台进行生产经营活动不可避免会给传统的刑法理论带来冲击与挑战，但以犯罪构成要件为基点的评价立场与定性原则理应得到恪守。针对流量劫持的定性而言，既不宜过分拘泥于技术上的非本质区别，而对“链路劫持”一律作出罪处理，造成刑罚适用上的不当限缩；又不应盲目扩大盗窃罪、破坏生产经营罪的要件内涵，对虚拟财产、网络经营等概念作类推解释，以致违反罪刑法定原则。结合当前审判实践与刑法理论可知，流量劫持行为一般应在危害计算机信息系统犯罪的范畴内定性，但同时不排除构成《刑法》第287 条相关犯罪的可能，以此才能严格贯彻罪责刑相一致的基本原则。