流量劫持的刑法认定研究
2022-02-16闻志强何嘉昕
闻志强 何嘉昕
一、问题的提出
随着经济社会的迅猛发展,互联网作为一种新型的通讯交流工具和社交平台逐渐推广、日益普遍。以互联网为基础和平台,逐步形成互联网购物、广告、消费、销售、经营等一系列互联网经济模式,而这其中看不见、摸不着的“流量”则是必不可少的工具和依托,其在互联网经济背景下承载着非常重要的工具角色并具有较大的经济价值,而依赖“流量劫持”形成的流量劫持产业链逐渐成为网络黑灰产业链的一种。所谓“流量劫持”,是指行为人通过控制计算机的域名解析服务、使用木马软件修改浏览器等行为拦截计算机用户的网站访问命令,诱导或迫使用户访问特定网站,进而出售用户所带来的网站点击量而获得利益的行为。电信运营商、互联网公司、路由器的生产厂商和电脑黑客等都有可能成为流量劫持的操作者或控制者。
流量劫持行为具有严重的社会危害性,这可以从不同主体和角色进行多角度考察。从网络用户个人层面来看,流量劫持使得网络用户无法访问目标网站,损害了网络用户的自主权与知情权,也浪费了一定的网络流量,造成上网资费的损失,并产生不愉悦的上网体验。在使用DNS劫持方式进行流量劫持的过程中,劫持者还可能非法获取相关网络用户的个人信息和隐私,使网络用户的账号信息、财产甚至人身面临信息泄露的安全风险。从网站运营商层面考察,运营商为建立网站、吸引流量付出了成本,本应获得的预期流量却因被劫持者直接或间接设置障碍拦截而减少、流失,既可能影响经营活动正常开展或降低广告预期效益,造成经济损失,也可能损害网站原有的声誉和信用评级。从更为宏观的信息网络秩序层面审视,流量劫持行为干扰或破坏计算机信息系统的正常运行,为互联网的秩序管理增加额外成本,妨碍信息网络自由、畅通、健康发展。事实上,互联网的良性发展环境正在遭到流量劫持等黑色产业链的阻碍、破坏甚至严重冲击。由此可见,流量劫持行为侵害了网络用户的合法权益,造成网站运营商的经济损失,影响了互联网管理秩序和正常发展,具有不可忽视、不容回避的巨大恶害,需要我们关注、正视和重视,并采取有力措施予以应对,特别是亟待建立健全法律规制的体制机制。
截止目前,立法机关已经采取了一定举措予以回应。《中国互联网法律与政策研究报告(2013)》明确提出流量劫持作为新型网络不正当竞争行为,需要进行法律规制。放眼整个法律体系来看,民法、行政法和刑法等各个部门法都可以从不同角度针对流量劫持行为进行相应的规制,然而究竟是仅局限于某一部门法予以规制,还是扩展到刑法领域进行犯罪化评价和进行刑事处罚仍然在理论上和司法实务中存在争议。事实上,目前民法、经济法、行政法等对于流量劫持行为的规制仍然存在不足和缺漏,通过前置法规制流量劫持行为,虽然有利于维护互联网公司之间的市场竞争秩序,但却忽视了其中受损计算机信息网络用户的个人合法权益与信息交互流畅、网络安全期待等公共法益。与此同时,对于危害特别巨大、损失特别严重、波及面特别广泛的流量劫持行为,单纯的民事法等前置法规制也显得力度不够,惩罚效果有限,威慑和预防效果更是难言匹配。因此,将流量劫持纳入刑法规制仍然具有现实需要和进行深入讨论的必要,流量劫持的刑民界分问题也值得关注和思考。进一步讲,将流量劫持行为纳入刑法规制,又面临一些问题需要细究和深挖:如何准确界定流量?流量的法律属性如何评价和定位?流量劫持行为如何判断罪质归属,又如何准确进行刑法定性和妥当开展司法适用从而准确把握罪与非罪、此罪彼罪界限?对此,有必要从理论研究和司法实务两个角度进行深入考察,并开展理性分析和逻辑论证,从而为准确判断流量劫持的内涵、性质和法律适用提出合理妥当的立场与观点,这构成了本文的写作意识和进一步思考、分析的前提。
二、流量劫持司法认定样态考察
流量劫持在信息网络时代、领域、空间大行其道,其引发社会各界关注首先缘于网路用户不愉悦的上网体验和资费损失,愈演愈烈逐渐势大,自此也产生了诸多争议、分歧和纠纷,其中一部分纠纷经过法定程序最终进入司法机关的视野成为两造争讼聚议的案件。对此,通过梳理涉及流量劫持为争议主题的案件,可以发现司法实务对这一行为存在差异化的处置和分歧明显的认定结论。归纳起来,目前涉流量劫持的案件中,行为人实施的流量劫持行为分别被认定为非法控制计算机信息系统罪、破坏计算机信息系统罪、盗窃罪、诈骗罪等不同罪名,这暴露出当前司法实践中对于流量劫持行为的定性标准不统一、法律适用分歧严重等问题,也反映出流量劫持行为的复杂性和多元性,需要具体分析。
(一)罪与非罪的争议
早期出现的流量劫持案件基本都定性为民事、经济纠纷,而没有纳入刑事犯罪范畴进行规制。尤其是在互联网公司之间的民事纠纷中,流量劫持往往被认为属于互联网经济活动中的不正当竞争手段之一,违反了《反不正当竞争法》第2条的原则性条款或第12条规制网络不正当竞争行为的专门条款,流量劫持行为人或实施单位需要承担民事法律责任,但不构成刑事犯罪,也没有追究相关行为人的刑事责任。例如,2015年轰动一时的百度诉搜狗不正当竞争案,百度公司方表示,通过搜狗浏览器使用百度搜索引擎的手机用户在进行搜索时,手机网站页面会出现非百度搜索引擎提供的相关关键词,当手机用户点击该关键词时该用户页面会跳转为搜狗网经营的服务信息。该案中,搜狗公司的行为被认定为流量劫持,并构成不正当竞争。(1)百度诉搜狗不正当竞争案,北京知识产权法院(2015)京知民终字第557号。再如,在杭州互联网法院成立两周年之际,作为十大影响力案件之一的2017年陈某诉杭州某软件服务有限公司网络服务合同纠纷案中,被告陈某在推广过程中被原告公司认定为使用“流量异常”的手段违规操作后,所获酬金被冻结。最后法院认定,通过技术手段强制网络用户访问某一指定网站,导致用户流量被迫指向某一指定网站的行为,属于流量劫持行为,杭州市互联网法院对由此获得的流量利益不予支持,进而支持了原告的相关诉请。
但是与此相对,也有一些流量劫持行为和案件进入刑事犯罪的范畴,尤为值得关注的就是2018年12月25日最高人民法院以指导案例的形式公布了全国首例“流量劫持”入刑案例,即2015年的付宣豪、黄子超破坏计算机信息系统案。(2)付宣豪、黄子超破坏计算机信息系统案,上海市浦东新区人民法院(2015)浦刑初字第1460号。该案被告人以“DNS劫持”的手段强制受攻击用户的网站页面在跳转过程中访问被告所设定的网站,从而获得该网站的推广服务费。该案在审理过程中存在多种不同处理意见:(3)参见李俊、白艳利、王潇:《流量劫持行为的司法认定》,载《人民法院报》2017年1月5日,第7版。一种意见认为流量劫持行为不构成犯罪。根据《消费者权益保护法》第8条、第9条的原则性规定,消费者享有知情权以及自主选择权,流量劫持行为明显侵犯了消费者的网络知情权和网络服务自主选择权,流量劫持行为人应当对网络用户承担民事赔偿责任。另一种意见则认为流量劫持行为构成犯罪。理由在于流量劫持通过破坏计算机信息系统的手段侵犯他人的财产权利,干扰或影响信息网络秩序,可以构成破坏计算机信息系统罪或盗窃罪。最终,涉案流量劫持行为被认为具有严重的社会危害性,构成刑事犯罪,法院认定的罪名是破坏计算机信息系统罪。上述案例反映出对于流量劫持行为,罪与非罪的边界尚未清晰划定,也反映出对于具有严重社会危害性的流量劫持行为是否应当入刑予以刑事规制存在较大的争议和分歧。
(二)此罪彼罪争议
随着流量劫持行为的不断出现,相关案件数量逐渐增加,日益引起理论界和司法实务界的关注和讨论,在支持流量劫持行为入刑的观点中也出现了较大的争议,这主要体现在此罪与彼罪的认定分歧上。
1.破坏计算机信息系统罪
最高人民法院2018年公布的102号指导案例,即付宣豪、黄子超破坏计算机信息系统案,首次从司法适用的角度认定流量劫持构成破坏计算机信息系统罪。该案基本案情为:被告人付宣豪、黄子超等人在2013年至2014年使用恶意代码修改互联网用户路由器的DNS设置,进而使网络用户在登录某些导航网站时强制跳转至其设置的导航网站。被告人再将获取的互联网用户流量出售给另一导航网站所有者,违法所得合计754762.34元。在本案中,行为人通过在互联网用户不知情的情况下修改互联网用户路由器DNS服务器的方式,使计算机浏览器在登录部分导航网址时被强制跳转至被告人指定的网址,为相关网站网址带来用户流量,并出售牟利。涉案行为被认定为流量劫持行为中的“DNS劫持”,即通过修改域名解析,使对特定域名的访问由原IP地址转入到篡改后的指定IP地址,导致用户无法访问原IP地址对应的网站或者访问虚假网站,从而实现窃取资料或者破坏网站原有正常服务的目的。法院认定该行为被告人付宣豪、黄子超实施的“DNS劫持”行为系违反国家规定,对计算机信息系统中存储的数据进行修改的行为,后果特别严重,损害了用户计算机信息系统的正常运行和访问,最终认定行为人构成破坏计算机信息系统罪。指导案例的裁判要点针对本案指出,通过修改路由器、浏览器设置、锁定主页或者弹出新窗口等技术手段,强制网络用户访问指定网站的“DNS劫持”行为,属于破坏计算机信息系统,后果严重的,构成破坏计算机信息系统罪。
随后,在2019年成都给速科技有限公司、余陈、余瀚破坏计算机信息系统案(4)成都给速科技有限公司、余陈、余瀚破坏计算机信息系统案,成都高新技术产业开发区人民法院(2019)川0191刑初195号。中,成都给速公司开发的“回头客劫持系统”通过将劫持代码挂到客户公司网站上,用户使用手机百度搜索浏览指定网站后,该网站会自动修改用户的手机内存,使用户点击回退按钮后无法回退到百度搜索页面,进而跳转到被告人指定的客户公司网站,强制网络用户访问指定的多家医院网站。据不完全统计,该公司通过百度劫持业务获利接近2.5万元。在该案中,手机智能终端被认定为受刑法保护的计算机信息系统,针对手机实行的流量劫持行为也被认定为构成破坏计算机信息系统罪。
2.非法控制计算机信息系统罪
在2015年施硕等非法控制计算机信息系统罪(5)施硕非法获取计算机信息系统数据、非法控制计算机信息系统案,重庆市渝北区人民法院(2015)渝北法刑初字第00666号。一案中,被告人施硕等为谋取非法利益,先后通过修改中国某有限公司重庆分公司的互联网域名解析系统的配置文件,致使在用户访问被劫持的网站时,强行跳转到指定页面。被告人施硕利用在该电信公司工作的职务之便,通过修改重庆电信DNS将某网址的IP地址更改为指定网站的IP地址,使得互联网用户在访问该网站时实际访问的是施某设置的指定网站。被告人赵某则负责向施某提供劫持的网站并向合作公司收取推广费。在本案中,被告人施某修改DNS服务器的流量劫持行为被认定为构成非法控制计算机信息系统罪。
在最高人民法院公布的第145号指导性案例即张竣杰等非法控制计算机信息系统案(6)张竣杰、彭玲珑、祝东、姜宇豪犯破坏计算机信息系统案,江苏省南京市中级人民法院(2019)苏01刑终768号。中,被告人张竣杰等为赚取赌博网站广告费用,自2017年7月开始在境外公寓内对存在防护漏洞的目标服务器进行检索、筛查后,向目标服务器植入木马程序进行控制,再使用软件链接该木马程序,获取目标服务器后台浏览、增加、删除、修改等操作权限,将添加了赌博关键字并设置自动跳转功能的静态网页上传至目标服务器,提高赌博网站广告被搜索引擎命中的几率。在本案中,被告人通过攻击他人计算机信息系统后植入木马程序干扰计算机信息系统正常运行,并以增加关键字的形式劫持其他网站的流量,该行为最终被认定为构成非法控制计算机信息系统罪。
3.诈骗罪
在2017年沈某、刘世海等诈骗案(7)沈某、刘世海等诈骗案,上海市徐汇区人民法院(2017)沪0104刑初8号。中,被告人潘某某指使被告人刘世海在上海电信服务器上植入流量劫持程序,以弹窗广告的形式发布特定代码,诱使互联网用户点击该广告,并在互联网用户的计算机设备上植入特定“cookie”。(8)cookie 是一种储存在用户本地终端的数据,具备能够单独或者与其他信息结合识别特定自然人个人身份的可能性,属于以计算机信息系统数据形式体现的个人信息。当被植入特定cookie的互联网用户通过各大电子商务公司的交易网页购物时,各电商误认为这些交易来自“成果网”的推广,因此将原本应支付给其他推广平台网站的返利费用等资费全部支付给“成果网”。“成果网”再根据协议将其中一部分费用转给被告人沈某。至案发时,沈某等人以该方式共骗取电商支付的推广返利费用共计人民币270万余元。在本案中,被告人通过弹窗广告的形式诱导互联网用户进入伪装成广告的指定网站从而植入cookie,将该用户伪装成推广平台网站“成果网”的用户,并据此获得从该推广平台用户购买推广服务的电子商务公司的推广费。该行为最终被法院认定为构成诈骗罪。
综上所述,司法实务中发生了为数不少的流量劫持案件,但是各级各地法院的司法裁判观点和结论不尽相同,在罪与非罪、此罪彼罪的认定中存在较大的分歧,反映出对于流量劫持行为的性质界定存在差异化的理解和判断,这对于刑法的准确理解和统一适用显然是不利的,也严重有损于法制统一和刑法的权威与尊严,需要我们认真思考和深入研究,从而为司法裁判提供有益参考和借鉴。
三、流量劫持刑法理论争议审视
针对流量劫持如何认定和评价,刑法理论界也结合刑事司法实务中出现的案件开展了分析和研究,但观点聚讼,莫衷一是,尚未达成共识,争议和分歧不绝于耳。这主要体现在两个方面:一个是对于流量本身的法律界定与评价;另一个是对于流量劫持行为应否入刑和如何定罪的争议。
(一)流量的刑法界定争议
流量是具有财产价值的电子数据,但由于流量的抽象、虚拟、无形等多重属性,刑法理论界对于流量的概念和属性以及刑法评价问题存在不小的争议。针对流量的法律属性,在肯定流量是具有财产价值的电子数据的基础上,目前国内学界对流量的定性存在“服务说”“财产性利益说”“虚拟财产说”“新型财产权利”等不同观点。主要争论点在于流量是否属于刑法规制范围内的财物,以及是否可以作为刑法中财产犯罪的法益侵害对象。肯定论者认为流量是一种虚拟财产,是具有经济价值、使用价值、具有管理可能性的财产,可以成为刑法财产犯罪的法益侵害对象。(9)参见赵文胜、梁根林、曲新久、张新宪、董晓华、罗欣、吴新华、赵阳:《盗窃“流量包”等虚拟财产如何适用法律》,载《人民检察》2014年第4期。否定论者认为流量是一种服务,是区别于财物的财产性利益,不能视为财物而作为盗窃罪的行为对象。(10)参见赵文胜、梁根林、曲新久、张新宪、董晓华、罗欣、吴新华、赵阳:《盗窃“流量包”等虚拟财产如何适用法律》,载《人民检察》2014年第4期。还有论者认为流量是一种互联网新型财产权利,需要与传统财产法体系相区别。因此,流量应当作为信息权的客体得到法律科学的准确界定。(11)参见季境:《互联网新型财产利益形态的法律建构——以流量确权规则的提出为视角》,载《法律科学》2016年第3期。
目前,国外研究成果中缺乏对流量的法律属性和流量劫持的直接评价,但是针对刑法财产犯罪的法益侵害对象这一争议焦点,国外立法和理论研究中对于财产犯罪的对象有不同的规制方式。日本《刑法》采用“二项犯罪”的规定,将财产与财产性利益分别单独规定。例如,日本《刑法》第235条规定的盗窃罪对象仅限“财物”,故盗窃财产性利益的行为不可罚。(12)参见王骏:《刑法中的“财物价值”与“财产性利益”》,载《清华法学》2016年第3期。此外,针对电子数据,日本刑法还规定了电子计算机诈骗罪,“通过向他人用于处理事务的电子计算机输入虚假的信息或者不正当的指令,从而制作出有关财产权的得失或者变更的不真实的电磁记录,或者通过将有关财产得失或变更的虚假电磁记录提供给他人,使之用于处理事务,由此而取得了非法的财产性利益,或者使他人取得非法的财产性利益”的行为即构成电子计算机诈骗罪。在以上规定中,电磁记录都不能等同于财物。(13)参见陈兴良:《虚拟财产的刑法属性及其保护路径》,载《中国法学》2017年第2期。《德国刑法典》以“财产”“不正当利益”等概念包含财物、财产性利益。如第263条所规定的诈骗罪对象是“财产”,其中的“财产”便包含了动产、不动产等财物以及财产性利益。(14)参见王骏:《刑法中的“财物价值”与“财产性利益”》,载《清华法学》2016年第3期。信息权这一新型财产权在域外立法中也受到认可。法国法中的广义财产概念也包括某人支配的物及具有经济价值的权利。美国的《统一计算机信息交易法》明确计算机信息是指“以电子形式存在的信息以及它们的集合,此种信息系由于或通过计算机的使用而取得,或是以计算机可以处理的形式而存在”。流量正是这种以电子信息形式存在的、经平台公司的运营及计算机技术处理而得到的数据集合,也是以数字方式呈现储存在网络空间的财产。(15)参见孙道萃:《“流量劫持”的刑法规制及完善》,载《中国检察官》2016年第8期。
(二)流量劫持的刑法评价争议
对流量法律属性和流量劫持的实施手段的不同认识,直接影响对流量劫持行为的定性。目前国内刑法理论界对于流量劫持的性质主要围绕流量劫持的实施手段不同、侵害法益不同等角度提出不同的处理意见和规制罪名。第一种观点认为,流量劫持侵犯的是财产利益,不符合破坏计算机信息系统的内在规则,不满足破坏计算机信息系统罪的客观行为要件。(16)参见刘艳红:《网络时代刑法客观解释新塑造:“主观的客观解释论”》,载《法律科学》2017年第3期。按照这种观点,流量劫持不能成立破坏计算机信息系统罪。
第二种观点认为在罪与非罪问题上,应当根据流量劫持的攻击手段具体区分流量劫持是否构成犯罪。未采取技术手段侵入计算机信息系统,只是替换核心关键词的流量劫持应当认定为不正当竞争行为,当事人应当承担民法责任。而采取破坏计算机信息系统正常运行的方式劫持流量的手段应当构成犯罪,承担刑法责任。(17)参见孙道萃:《“流量劫持”的刑法规制及完善》,载《中国检察官》2016年第8期。未采取技术手段侵入计算机信息系统的软性流量劫持构成不正当竞争,相对而言,采取技术手段侵入计算机信息系统的硬性流量劫持则构成破坏计算机信息系统罪、非法控制计算机信息系统罪,也涉嫌构成破坏生产经营罪。(18)参见孙道萃:《“流量劫持”的刑法规制及完善》,载《中国检察官》2016年第8期。
第三种观点认为,从网站作为被害人的角度观察,流量劫持可以构成破坏生产经营罪。“互联网+”时代下,互联网与传统商业融合成为一种新业态,网络成为生产经营的重要手段,网络经济的快速增长成为对“破坏生产经营罪”进行扩张解释的客观基础之一。(19)参见孙道萃:《破坏生产经营罪的网络化动向与应对》,载《中国人民公安大学学报(社会科学版)》2016年第1期。因此,在当今的“双层社会”中,破坏网络市场的生产经营秩序的活动也应当被视为等同于破坏现实市场中的生产经营。而基于网络和互联网技术所造成的“反向刷单”“恶意好评”、流量劫持等非物理性破坏行为虽然并没有对实体物造成损坏,但却在实际上干扰网络市场的生产经营秩序。(20)于志刚、郭旨龙:《网络刑法的逻辑与经验》,中国法制出版社2015年版,第227页。因此,从受影响网站经营者的角度来看,流量劫持的行为也应当被解释为“以其它方法破坏生产经营”,从而纳入刑法规制。以网民为被害人的角度观察,流量劫持可以构成诈骗罪。从社会秩序层面观察,流量劫持可以构成寻衅滋事罪。(21)于志刚、郭旨龙:《网络刑法的逻辑与经验》,中国法制出版社2015年版,第86页。随着网络在犯罪中的地位逐渐从“犯罪对象”“犯罪工具”发展到“犯罪空间”(22)于志刚、郭旨龙:《网络刑法的逻辑与经验》,中国法制出版社2015年版,第2页。,有学者认为目前的司法实践中也正在寻求对公共秩序的网络化解释。如2013年《最高人民法院、最高人民检察院关于办理利用信息网络实施诽谤等刑事案件适用法律若干问题的解释》中第5条规定:“编造虚假信息,或者明知是编造的虚假信息,在信息网络上散布,或者组织、指使人员在信息网络上散布,起哄闹事,造成公共秩序严重混乱的”,应当按照寻衅滋事罪定罪处罚。(23)于志刚、郭旨龙:《网络刑法的逻辑与经验》,中国法制出版社2015年版,第32页。因此,有学者认为从受影响网络用户的角度来看,流量劫持行为违背他人意志拦截他人实施网络访问活动,干扰或影响计算机信息系统正常运作,可以看作是在公共空间违反公共秩序的行为,可以被认定为寻衅滋事罪。
第四种观点认为流量劫持成立盗窃罪。从犯罪行为上看,流量劫持行为通过违反受攻击互联网用户以及该用户原目的网站经营者的意思,排除该用户原目的网站对该用户流量的预见性占有,并将该流量转移给第三方网站,符合盗窃的行为模式。然而,对于“流量”能否成为盗窃对象,即流量是否属于刑法规制范围内的财物以及是否可以作为刑法财产犯的法益侵害对象,学界仍有争议。否定流量可以成为盗窃对象的观点认为,流量是一种服务(24)参见赵文胜、梁根林、曲新久、张新宪、董晓华、罗欣、吴新华、赵阳:《盗窃“流量包”等虚拟财产如何适用法律》,载《人民检察》2014年第4期。,而财产犯罪的对象应当具备经济价值、管理可能性和转移可能性(25)参见张明楷:《刑法学(第五版)》,法律出版社2016年版,第842页。,因此流量劫持不应当构成盗窃罪。赞成流量可以成为盗窃对象的观点认为,在实践生活中,流量虽然无形无体,但作为网络空间产生的电子数据,是互联网平台时代的利益载体,已被资本市场认可并在很大程度上决定了被投资企业资产的估值,可以不绑定任何有体物即可实现经济价值。再者,网站运营平台公司通过技术封闭,可以在后台对平台实行经营、控制和处分,体现出流量的可支配性。(26)参见季境:《互联网新型财产利益形态的法律建构——以流量确权规则的提出为视角》,载《法律科学》2016年第3期。因此,流量具有财产价值,可以成为盗窃罪的犯罪对象。
综上所述,目前我国刑法学界对于流量的法律属性、流量劫持适用罪名等问题争议较大,仍然有待进一步分析和研究以确立更为合理的观点和立场。
四、流量与流量劫持的规范界定
(一)流量的界定
1.流量的数据属性
例句:I really won’t have the time, I’m up to my eyeballs in work.
从本质而言,流量是一种物理上由计算机信息系统产生的数据,或称“电磁数据”,可视为能够连接网路的设备在网路上所产生的数据。根据作用的不同,可以分为“用户流量”和“网站流量”。用户流量是互联网服务供应商用以计算互联网用户通信费用的标准。用户流量往往以KB、MB、GB作为单位,互联网服务商通过用户流量的多少计算互联网用户需要支付的上网资费。网站流量(Website Traffic)可以反映出某一特定网站的访问人数,可作为用以评价网站权重的标准。常见的网站流量统计指标包括页面浏览数(Page View)(27)即网站用户访问的网页数量,用户每打开网站内的一个页面便记录一次,多次打开同一页面则累计计算。、独立访客数(Unique Visitor)(28)指访问站点的人数,以cookie为依据,一天内同一访客的多次访问只计为一个访客。、独立IP数(29)不同IP地址的用户访问网站的数量,以IP地址为依据,一天内使用同一IP地址的访客只计为一个访客。。WEB2.0以来,门户网站成为重要的信息传播媒介,流量与网站用户资源挂钩,当网站积累了一定的用户资源后,可以通过广告和增值服务收费等方式进行流量转换,获得利润,大量依赖网站流量形成的网络营销活动由此产生。对于网站运营者而言,通过分析统计网站流量,可以了解用户的网站访问行为模式,及时获取网络营销手段的效果反馈,从而制定或修正网络营销策略,更好地满足用户需求和提高收益。同时,网站成为目前互联网公司的重要经营对象,网站价值往往与企业价值,尤其是企业的经济价值、声誉价值挂钩。对于网站本身而言,网站运营者通过分析流量形态所得的结果不断优化网站的框架、内容等指标后,该网站可以在搜索引擎上获得更高的权重,从而获得更高的曝光度,进而引入更多流量,至此形成闭环,循环往复。
对此,我们认为,在“流量劫持”中所指的“流量”应当是“网站流量”,而非“用户流量”。对于网站流量,还可以根据互联网用户的网络访问行为的发生时间,进一步分为“自由流量”(30)陈禹衡:《“控制”“获取”还是破坏——流量劫持的罪名辨析》,载《西北民族大学学报(社会科学版)》2019年第6期。“将得流量”(31)陈禹衡:《“控制”“获取”还是破坏——流量劫持的罪名辨析》,载《西北民族大学学报(社会科学版)》2019年第6期。和“已得流量”。自由流量存在于互联网用户实施访问行为前,此时用户还未对特定网站发出访问请求,流量劫持也就无从发生。将得流量存在于互联网用户实施访问行为时,此时互联网用户已经根据自身的意愿对目标网站发出访问请求。此时,将得流量仍处于用户的控制之下,但已经可以视为目标网站可以预见获得的流量。流量劫持所劫持的正是用户的目标网站所能预见的将得流量。已得流量存在于互联网用户实施访问行为后,如果互联网用户成功实现了对目标网站的访问,此时互联网用户的访问行为就会被记录在目标网站的服务器中,成为目标网站的已得流量。此过程同时也是用户流量转化为网站流量的过程。
2.流量的经济属性
流量除了具有数据属性以外,流量劫持黑色产业链的存在以及不少涉及流量的不正当竞争案件已经表明,流量在社会生活中具有一定的使用价值和经济价值。要讨论流量劫持的法律规制问题,需要解决流量是否可以成为财产犯罪对象的先决问题,也即流量的经济属性问题。对于流量的经济属性,目前有“服务说”“财产性利益说”“虚拟财产说”“新型财产说”等不同看法。服务说认为流量是互联网运营商提供给互联网用户的一种服务。(32)赵文胜、梁根林、曲新久、张新宪、董晓华、罗欣、吴新华、赵阳:《盗窃“流量包”等虚拟财产如何适用法律》,载《人民检察》2014年第4期。该说认为“服务”不是财物,因而不能构成财产犯罪的对象。然而,这里所指的“流量”显然混淆了“用户流量”与“网站流量”,因此本文难以认同。
新型财产说认为,流量是一种新型互联网财产,具有经济价值性、无体无形性、可支配性,是在互联网社会化进程中产生的以数字方式呈现存储于网络空间的财产,可以将流量作为客体的财产权纳入信息权予以规范。(33)季境:《互联网新型财产利益形态的法律建构——以流量确权规则的提出为视角》,载《法律科学》2016年第3期。信息权即信息权人对自己的信息产品所享有的占有、使用、收益、处分的权利。(34)季境:《互联网新型财产利益形态的法律建构——以流量确权规则的提出为视角》,载《法律科学》2016年第3期。该说直接将流量解释为财产,有利于直接适用相关法律保护流量的经济价值,思考和分析相应较为直接,但突破既有权利内容和体系重构新的权利类型和对象并非易事。此外,谓之为互联网新型财产权利兼具物权和债权的多种权利特性,实际上较为复杂和模糊,缺乏具体的判断方法与界定标准,有将问题简单化、一刀切的嫌疑,在法律规范依据和理论解释等方面还疑问较多,尚需进一步完善论证和说理方能站得稳脚跟。
虚拟财产说认为流量是一种虚拟财产(35)陈禹衡:《“控制”“获取”还是破坏——流量劫持的罪名辨析》,载《西北民族大学学报(社会科学版)》2019年第6期。,是具有价值和使用价值、具有管理可能性的财产,可以成为刑法财产犯罪的法益侵害对象。虚拟财产是指具有财产性价值、以电磁数据形式存在于网络空间的财物,即具有财产性价值和排他性支配的电磁数据(36)陈兴良:《虚拟财产的刑法属性及其保护路径》,载《中国法学》2017年第2期。,其根本法律属性是计算机信息系统数据。流量作为互联网用户在互联网空间活动过程中产生的具有唯一性的计算机信息系统数据,通过一定的交易机制可以转化为财产,具有一定的财产性价值,因此在形式上可以被视为一种虚拟财产,实际上这一观点指出了流量所具有的两种兼具特性即计算机信息系统数据和虚拟财产。
然而,流量实现财产性价值的转换过程与游戏账号、游戏装备、虚拟货币等典型的虚拟财产有所不同。典型的虚拟财产由消费者向提供虚拟商品的公司企业,使用真实的货币进行购买和交易,在不考虑虚拟商品真实价格的情况下,其财产价值依然可以通过消费者的购买行为与真实的货币价值在一定程度上挂钩。因此,在消费者进行转售时,原有的购买价格依然可以在统一的使用场景里依据大体能够被认可的价格予以评价或者被交易双方参考、把握。但是流量的财产价值体现与变现等则与这类普通型虚拟财产并不一样,具有一定的特殊性和复杂性。
图1 流量的兑现模式
此外,在我国以往的立法和司法实践中,对于虚拟财产是否应当被视为财产犯罪的对象一直存在较大争议。《最高人民法院、最高人民检察院关于办理盗窃刑事案件适用法律若干问题的解释》在起草过程中否认了将盗窃虚拟财产的行为以盗窃罪定罪处罚的意见,从司法解释的权限、非法获取计算机信息系统罪罪名包容性、盗窃数额认定难题、国外立法例等四个方面说明盗窃虚拟财产的行为应当按照非法获取计算机信息系统数据罪等计算机犯罪定罪处罚。(38)胡云腾、周加海、周海洋:《〈关于办理盗窃刑事案件适用法律若干问题的解释〉的理解与适用》,载《人民司法》2014年第15期。然而,在2006年上海孟某盗窃案(39)孟某等网络盗窃案,上海市黄浦区人民检察院(2006)黄刑初字第186号。中,被告人都因在被害人不知情的情况下转移或出售他人持有的游戏装备或虚拟货币而被认定为盗窃。2020年通过的《民法典》第127条中也规定,法律对数据、网络虚拟财产的保护有规定的,依照其规定。可见,虚拟财产的财产价值认定在司法实践和刑法理论上都争议较大,即使将流量视为虚拟财产并作为财产犯罪的保护对象也并不能够彻底解决流量价值的判断问题,很可能“一波未平一波又起”。
财产性利益说认为,流量并非实体意义上的财物,而是一种财产性利益。(40)刘艳红:《网络时代刑法客观解释新塑造:“主观的客观解释论”》,载《法律科学》2017年第3期。财产性利益指狭义(普通)财物以外的财产上的利益,包括积极财产的增加与消极财产的减少。(41)参见张明楷:《刑法学(第五版)》,法律出版社2016年版,第841页。网站流量无法像用户流量一样以流量卡等实体为载体,依赖互联网用户在网络空间的访问行为而产生,并在网站运营者的网络营销活动中体现其财产性价值。对于财产性利益能否成为财产犯罪的对象,即财产、财物、财产性利益三者的关系,国内外刑法理论和司法实务都争议不断。本文认为,财产犯罪的对象是财产,财产性利益与财物是财产的下位概念,而财产性利益不完全等同于财物。财产性利益可以成为财产犯罪的对象,自然也可以成为财产犯罪中盗窃罪的对象。理由如下:
首先,将财产性利益作为财产犯罪的对象并不违背罪刑法定原则。我国刑法分则第五章将财产犯罪的对象表述为“公私财物”,且在刑法总则第91条和第92条用列举的方式明确了“公共财产”和“公民私人财产”的范围。其中,第92条中第4款规定“依法归个人所有的股份、股票、债券和其他财产”属于公民私人所有财产的范围。而股份、股票等本质是债务债权的证明,属于财产性利益的一种,因此认为财产性利益属于我国财产犯罪的对象并不违反刑法规定,自然也不违反罪刑法定原则。
其次,司法解释已经体现出将财产性利益纳入财产犯罪对象的倾向性、合理性与可行性。2013年的《关于办理盗窃刑事案件适用法律若干问题的解释》就将盗窃有价支付凭证、有价证券、有价票证的行为认定为盗窃,并详细规定了盗窃数额的计算方式。(42)参见储琪:《我国刑法中的财物应包括财产性利益》,载河南省高级人民法院2020年6月4日,ttp://www.hncourt.gov.cn/public/detail.php?id=181081,2021年11月6日访问。从这一司法解释规定出发,事实上已经表明了司法机关对于财产性利益纳入财产犯罪对象的肯定和支持立场。
最后,域外刑法立法与理论研究成果也可以为我们提供相应的参考和借鉴。在大陆法系国家刑法中,财产性利益与财物是不同的概念,两者所适用的罪名可能相同也可能不同,财产性利益可以成为抢劫、诈骗、敲诈勒索罪的对象,但不能像财物一样成为盗窃罪的对象。然而,大陆法系国家在刑法体系中还针对盗窃财产性利益设立了其他罪名,才不使刑法造成明显的处罚漏洞。如德国刑法将盗窃罪的对象限定为有体物,但除诈骗罪以外,还设有如窃取服务罪、无权使用质押物罪等多个罪名保护被害人的财产性利益。(43)张明楷:《论盗窃财产性利益》,载《中外法学》2016年第6期。此外,大陆法系国家刑法中的盗窃罪不设成立起点,盗窃无形的财产性利益的行为可以通过盗窃其有体物载体而被认定为盗窃罪。因此,大陆法系国家如果将财产性利益纳入盗窃罪的对象,有可能会过分扩大盗窃罪的对象。(44)张明楷:《论盗窃财产性利益》,载《中外法学》2016年第6期。而在我国刑法中,盗窃罪以数额较大为成立起点,对盗窃对象的价值有所限制,所以将财产性利益纳入财产犯罪的对象反而更有利于保护公私财产,也不存在所谓过度扩大盗窃罪等处罚范围的疑问。
综上,尽管我国还没有在立法上明确财产性利益与财物、财产的关系,但基于犯罪治理的司法考量和回应现实案件的需要,应当在刑法解释论上坚持有必要且有可能将财产性利益作为财产犯罪尤其是盗窃罪的对象。事实上,无论是财产性利益说、虚拟财产说还是互联网新型财产权利说,都承认了网站流量具有财产价值并应当受到法律保护。本文认为,从网站流量实现财产价值的角度以及虚拟财产目前在立法与司法实践上的争议现实来看,不宜将流量认定为虚拟财产。而财产性利益目前在立法与司法实践中受到的争议相对较小,将流量定性为财产性利益有利于在现有立法体系中更好地实现对流量及其权利人的保护。此外,对于网站流量财产价值的所有者,本文认为应当归属于网站运营者。虽然网站流量由用户流量及用户的访问行为转化而来,但是流量实现财产价值需要依赖网站运营者的转化机制。当流量归属于用户时,即在自由流量阶段以及将得流量阶段,用户无法利用自由流量获取利益,而网站运营者对流量具有支配权与所有权,处于流量价值转换兑现的关键一环,作为权利人看待是妥当的。
(二)流量劫持的全面考察与规范界定
为准确、全面的了解和理解流量劫持,首先需要我们在技术层面和操作层面详细、深入地了解流量劫持的实施过程和背后本质,这可以从两个方面即流量劫持的行为模式和盈利模式具体展开,从而为准确定性类型多样的流量劫持行为做好前提和基础。
1.流量劫持的行为模式
流量劫持作为一种被使用较多的攻击计算机信息系统手段之一,其劫持方法多种多样,行为人实施攻击的目的也有所不同,根据不同的标准可以对流量劫持进行分类,并据此类型化的分析相应行为的定性。根据实施技术的不同,可分为DNS劫持和链路劫持等。根据直观表现的不同,可分为跳转网页型、插入页面型、诱导欺骗型。(45)牛慧荣:《流量劫持行为的刑法规制研究》,华中师范大学2019年硕士学位论文。根据实施主体的不同,可分为运营商劫持、第三方劫持。根据不正当性严重程度的不同,可分为灰色流量劫持、黑色流量劫持。(46)陈禹衡:《“控制”“获取”还是破坏——流量劫持的罪名辨析》,载《西北民族大学学报(社会科学版)》2019年第6期。在各类流量劫持行为中,根据实施攻击者的主观目的可分为基于获利目的的流量劫持行为和基于恶意目的的流量劫持行为;根据对计算机信息系统发起攻击的手段,可分为硬性流量劫持和软性流量劫持。(47)孙道萃:《“流量劫持”的刑法规制及完善》,载《中国检察官》2016年第8期。
DNS劫持(参见图2)是典型的硬性流量劫持。DNS劫持又称DNS投毒、DNS污染或缓存投毒。在用户体验层面表现为互联网用户在浏览器输入A网址却跳转去了B网址。互联网用户在访问某网址时,首先需要输入该网址的域名。域名(Domain Name)是互联网上对应计算机或计算机组的名称,通常包含该域名注册者的相关信息,如所在国家或注册组织的类型。然而,计算机不能直接识别域名,因此需要DNS(Domain Name Server)即域名解析器将域名解析为IP地址。如著名的搜索引擎“百度”的域名即“www.baidu.com”,但计算机并不能直接识别该域名,需要域名解析器将该域名解析为“202.108.22.5”。每一个域名都对应着一个IP地址,域名解析器中保存了一张域名和与之相对应的IP地址的表。计算机发起域名解析请求后,本机的域名解析器会查询本地缓存和系统文件是否为域名的映射关系,如果有,则调用这个 IP 地址映射。完成解析后浏览器就可以根据返回的IP地址发起请求,跳转到该网址。如果没有,本地解析器就会向上一级本地DNS服务器(Local Name Server)发起一个递归的查询请求,由该DNS服务器继续解析。本地域名解析器通常由本地网络运营商进行运营。如果本地服务器解析失败,就继续把请求转至上一级权威域名解析器,直到获得解析结果后返回给本地域名解析器。随后,本地域名解析器将解析结果返回给用户计算机本机域名解析器,本机将解析结果缓存后返回给浏览器,浏览器就可以根据得到的解析结果,即IP地址发起请求。
图2 DNS劫持过程
DNS劫持的实施时间就发生在DNS对域名进行解析时。劫持者首先利用域名解析器的漏洞,在域名解析服务器部署程序。当用户完成域名输入发出访问请求后,攻击者在上一级服务器回复用户本机服务器前伪装成上一级服务器抢先回应或曰伪造应答,将域名所对应的IP地址替换成攻击者设置的地址,网络用户因此被强制跳转到攻击者所设置的网站。该行为模式中,攻击者通过在计算机服务器部署程序等手段,利用DNS的漏洞在计算机用户不知情的情况下以伪造数据与数据传输路径的手段使计算机进行了错误的解析,干扰了计算机信息系统正常运行。可见,硬性流量劫持阻碍了互联网用户访问原来的目的网站并进行后续的网络行为,无法实现上网行为原有的行为目的,其上网的自主选择权受到极大影响或者完全落空。在相关案例中,前述首例流量劫持入刑案件即付宣豪、黄子超破坏计算机信息系统案和施硕等非法控制计算机信息系统案的被告人就使用了这样的流量劫持手段,对本地域名解析器发起劫持,导致大量使用该本地解析器的网络用户无法正常使用,干扰和影响了计算机信息系统的正常运行。
相对而言,链路劫持属于典型的软性流量劫持。在用户体验层面表现为互联网用户访问的网站被替换或者被插入了许多广告。链路劫持的原理为攻击者在用户访问网站的时候进行窃听,获取用户访问的目的IP后,再以这个IP地址为源IP冒充网站给用户响应,并在响应中插入代码,使用户的计算机信息系统请求获取非真实的网站资源,造成真实网站页面被插入广告、被蒙层、出现无关的搜索关键词等。链路劫持虽然也在一定程度上对互联网用户的上网行为有所干扰,但并没有对计算机信息系统功能本身特别是基础、核心功能进行删除、修改、增加、干扰,而是对计算机信息系统中处理和传输的数据进行了修改处理。互联网用户并没有被强制跳转到攻击者指定页面而造成无法实现原有的上网期望,而是被弹窗广告、关键词等劫持元素诱导进入该网站。相较于前述DNS劫持等硬性流量劫持,在链路劫持等软性流量劫持中,用户或曰被害人上网自由选择权受侵害程度较低。然而,软性流量劫持在实际生活中往往会为用户造成不愉悦的视觉体验,也增加了用户接触网络风险的可能,如密码泄露、个人信息泄露,还会造成网站的声誉损失,相应的风险程度也不容忽视。
从客观方面的实施手段来看,硬性流量劫持和软性流量劫持都对计算机信息系统或计算机信息系统中的数据进行了干扰或修改,其攻击手段都涉及了破坏计算机信息系统罪的犯罪客观方面。从侵害程度而言,硬性流量劫持使互联网用户及目标网站的计算机信息系统都不能正常运行,侵害了互联网用户的知情权与选择权,也损害了受攻击网站的利益,因而对受害者的侵害程度较高。
从主观方面来看,作为故意犯罪成立的重要要素之一,行为人故意内容和主观目的的差异将对流量劫持行为的界定产生重要影响。基于获利目的的流量劫持以将流量出售给第三方获取利益为行为目标,是流量劫持黑色产业链中的技术环节也是核心环节,根据获利方式的不同,可以分为劫取流量型和获取个人信息型。(48)喻海松:《网络犯罪黑灰产业链的样态与规制》,载《国家检察官学院学报》2021年第1期。基于恶意目的的流量劫持具有较大的主观恶意,虽然其不以获利为目的,但依然产生较为严重的危害后果或造成较大的经济损失。例如,在2010年发生的百度DNS劫持事件中,中国搜索引擎“百度”遭到黑客攻击,其DNS服务器被劫持使主域名被解析到一台租用美国著名互联网搜索引擎雅虎的服务器的空间,又由于页面请求数量巨大导致服务器瘫痪。此次流量劫持行为造成百度网站无法正常访问达半小时,百度公司调试修复所需时间达五小时,造成大量用户无法正常使用百度的搜索功能,并造成百度公司巨大的额外支出和直接间接经济损失。
2.流量劫持的盈利模式
以获利为目的的流量劫持行为是网络犯罪黑灰产业链的重要表现形式之一,也揭示出流量劫持行为背后的商业运转逻辑,进一步表明流量劫持行为背后的广告商等多重利益主体驱动者行为的严重社会危害性和规制此类行为的必要性、迫切性和重要性。结合目前的网络产业流程来看,流量劫持产业链中存在多个参与主体(参见图3)。
图3 流量劫持产业链
广告商作为驱动方和资金提供方,向流量商、渠道商或直接对接劫持商提出广告推送需求。广告商的广告推送需求一般多为涉黄、赌博、游戏私服推广等黑灰广告。流量商、渠道商负责整合广告商的需求,对接劫持商。劫持商作为主要技术人员和操作实施人员,负责发起和实施技术层面的流量劫持。其合作模式具体有三种:一是“直设合作”,即劫持商将流量直接劫持到广告商的网站;二是“跳转合作”,即劫持商先将流量劫持到自己的网站域名,再跳转到广告商的网站;三是“框架合作”,即劫持商将流量劫持到引用广告商网站内容的个人网站。劫持商为了利益最大化主要选择跳转合作和框架合作,一旦有出价更高的广告商便可以立即把劫持流量转走。(49)《DNS劫持:揭开“流量劫持”的神秘面纱》,载新浪科技网2016年4月4日,ttp://tech.sina.com.cn/t/2016-04-04/doc-ifxqxcnr5273237.shtml.html,2021年11月20日访问。而用户与被攻击网站是这条产业链上的攻击对象和实际受害者,一方面,发起访问的网络用户上网的自由选择权与知情权甚至财产、人身等合法权益遭受侵害;另一方面,相关被攻击网站也因可预见的将得流量被劫持者拦截而蒙受直接和间接的声誉影响与经济损失。
3.流量劫持和流量盗窃的区别
需要注意的是,流量劫持和流量盗窃存在本质差异,二者虽然都存在流量这一对象和用语,但实际的内涵和具体行为内容并不相同。流量劫持所针对的“流量”指的是“网站流量”,而“流量盗窃”所指向的往往是“用户流量”。实施流量盗窃的攻击者往往是未经他人允许擅自接入他人使用的网络流量服务,损耗网络服务运营商所提供的用户流量,通常表现为帮助他人非法办理流量服务、私自接入他人网络线路或非法提供大量流量卡等行为方式。非法处分他人的用户流量可能构成刑法中的财产犯罪,司法实务中已经出现类似裁判予以认定。例如,在2014年孙学斌盗窃案(50)孙学斌盗窃流量案,北京市第二中级人民法院(2014)二中刑终字第515号。中,被告人利用中国联合通信有限公司内部系统网络漏洞,使用该公司其他员工工号登录该公司内部系统,非法办理上网流量包并倒卖给他人,被北京市西城区人民法院认定构成盗窃罪。又如,在2018年邓权国诈骗案(51)邓权国诈骗案,广东省广州市中级人民法院(2018)粤01刑终1653号。中,被告人利用被害人在中国移动通讯集团分公司工作的职务便利,非法向大量手机客户充值大宗移动流量,被广东省广州市中级人民法院认定构成诈骗罪。
五、流量劫持的刑法评价
(一)流量劫持应当入刑
针对流量劫持入刑的刑法争议,我们赞成肯定论。从流量劫持入刑的正当性根据层面审视,可以从现实需要和理论根据两个角度展开并予以支持和证立。
第一,流量劫持入刑具有现实化根据,即该行为具有严重的社会危害性,因而需要刑法介入。严重或曰相当的社会危害性作为犯罪的本质特征,是主张某一行为入刑的现实依据和重要判断标准。从流量劫持行为的客观属性上看,流量劫持已然造成了严重的危害后果,不仅产生了诸多现实的巨大经济损失,也影响了信息网络正常的运行秩序和健康发展,更以此为媒介滋生了其他侵害人身财产权益和社会公共利益的网络黑灰产业链之违法犯罪行为。在网络用户个人层面,硬性流量劫持可能使得网络用户无法访问目标网站,损害了网络用户作为消费者的知情权和自主选择权,也浪费了一定的网络流量,损失上网资费。在使用DNS劫持方式进行流量劫持的过程中,劫持者还可能获取用户的个人信息,使网络用户的账号与财产面临安全风险。软性流量劫持虽然没有影响网站的正常运行,但依然对用户或网站所依赖的计算机信息系统中的数据进行了修改并干扰正常运行,使计算机信息系统暴露在安全风险之下,危害计算机信息系统安全并暗藏其他违法犯罪的萌芽。在网站运营商层面,运营商为建立网站、吸引流量付出了成本,本应获得的预期流量却因被劫持者拦截而减少,既可能影响经营活动或降低广告效益,造成经济损失,也可能损害网站原有的声誉和信誉。在网络秩序层面,流量劫持行为破坏了计算机信息系统的正常运行,还使攻击者所强制设定的第三方网站获得了本不应获得的流量等非法利益,流量错位所带来的利益错位破坏了网络中的竞争秩序和监管秩序,为互联网的秩序管理提出新的挑战并增加额外成本,日渐普遍、成熟的流量劫持网络违法犯罪灰黑产业链正在阻碍互联网环境的良性发展,并严重危及国家网络公共秩序、信息网络安全。由此可见,从流量劫持实施的方式、过程、目的来看,流量劫持侵犯了诸多法益,也造成了巨大的现实危害,具有刑法规制的必要性和迫切性。从流量劫持实施行为人的主观方面来看,流量劫持的实施者往往是作为具备一定计算机信息系统操作技术的专业人员。在实施流量劫持过程中,劫持者对该行为必然或者可能造成用户计算机信息系统和对受攻击网站服务器等造成的危害存在明知,却仍然在利益驱动等动机下继续希望或者放任流量劫持行为及其危害的发生,甚至牟取巨额非法利益和实现其他非法目的,主观故意明显且恶性较大,作为专业技术人员相较于一般人而言更具刑法非难可能性。单靠前置法处以追究所谓民事侵权赔偿责任或者单纯的行政处罚并不足以做到罪错相当,也难以产生有效的威慑以避免和杜绝类似行为,这从侧面也彰显出刑法介入并严厉规制流量劫持的必要性和威慑力。
第二,流量劫持入刑具有理论根据,即前置法规制乏力、存在不足,因而需要刑法介入,满足刑罚必要性,但不违反刑法谦抑性原理。流量劫持入刑的另一个重要理由在于民事法、行政法、金融法、网络法等其他前置部门法规制手段难以有效遏制类似行为,作为社会保护的第二道防线也是最后一道防线的刑法必须介入。从一般意义上看,刑法实际上属于二次性法,违反刑法的行为实际上具有二次违法性,特别是在行政犯、法定犯领域更为明显。流量劫持行为大都发生在信息网络领域,很显然首先受到行政法、金融法、网络法等行政前置法的规制,但不管是信息网络安全、金融交易安全保护法律规定,还是诸如消费者权益保护、反不正当竞争等前置法规定,都存在规制片面性、低效性甚至漏洞,亟待刑法规制以弥补不足,填充漏洞,这凸显刑法的二次性、补充性和最后手段性,并发挥更大的威慑力和预防效果,故而,将流量劫持纳入刑法规制并不违反刑法谦抑性原理。流量劫持现象早已有之,初期针对流量劫持主要在民法层面进行法律管制。在2013年百度诉奇虎360不正当竞争案中,流量劫持行为首次被认定为不正当竞争行为。然而,单纯将流量劫持行为视为不正当竞争行为,忽视了在流量劫持产业链中劫持者的其他法律责任以及互联网个体用户受到的利益侵害,而只将流量劫持视为广告商针对受侵权网站实施的侵权行为,无法从根本上解决流量劫持猖獗的问题。此外,目前对流量劫持的民事救济主要依靠民事起诉索赔和民事诉前禁止令来解决。(52)孙道萃:《“流量劫持”的刑法规制及完善》,载《中国检察官》2016年第8期。这与流量劫持行为的低投入、高回报相比,其赔偿数额较低、惩罚力度较弱、违法成本较少,流量劫持行为根本无法减少或者消失,反而愈发猖獗。
在信息网络监管、网络安全、个人信息保护、金融交易安全等行政前置法领域,对于流量劫持的行政法规制大体上也呈现出规制片段性、滞后、乏力甚至付诸阙如。例如,2017年出台的《网络安全法》第27条规定:“任何个人和组织不得从事非法侵入他人网络、干扰他人网络正常功能、窃取网络数据等危害网络安全的活动;不得提供专门用于从事侵入网络、干扰网络正常功能及防护措施、窃取网络数据等危害网络安全活动的程序、工具;明知他人从事危害网络安全的活动的,不得为其提供技术支持、广告推广、支付结算等帮助”。这些规定仅从原则上抽象否定了流量劫持等危害网络安全的行为,却没有详细、具体的可操作性法律规定细则予以支持和落实,相关法律责任和处罚力度也受到行政处罚种类、幅度和力度的制约而再打折扣。再如,在《消费者权益保护法》中,第8条、第9条规定消费者享有知悉其购买、使用的商品或者接受的服务的真实情况的权利以及自主选择商品或者服务的权利,但依然缺乏具体细则和具有可操作性、强有力的处罚举措。还如,2019年12月15日国家互联网信息办公室发布的《网络信息内容生态治理规定》第24条规定:“网络信息内容服务使用者和网络信息内容生产者、网络信息内容服务平台不得通过人工方式或者技术手段实施流量造假、流量劫持以及虚假注册账号、非法交易账号、操纵用户账号等行为,破坏网络生态秩序。”这类为数不少的宣示性、否定性评价的行政规范性文件和相关规定大都抽象、模糊,难以切实执行,处罚权限也受到诸多掣肘,实际上可以归属于象征性立法,这不仅无益于流量劫持的规制和处罚,也在无形中损害了法律规定的尊严、权威性和有效性,进而降低威慑力和信服度,不利于法治中国建设和社会主义法治发展。
前置法的规制乏力甚至漏洞亟待刑法的介入和补足,但为了更有效的发挥终极武器的威力和效果,必须审慎看待和处理刑法与前置法之间的关系与界限,从而避免刑法冲锋在前,滥施刑罚,坚守克制和谨慎以捍卫作为保障法的刑法底线,这就是谦抑性原理的体现。谦抑性是刑法的特性之一。刑法的谦抑性是指刑法应依据一定的规则和标准控制处罚范围与处罚程度,即凡是适用其他法律足以抑止某种违法行为、足以保护合法权益时,就不要将其规定为犯罪;凡是适用较轻的制裁方法足以抑止某种犯罪行为、足以保护合法权益时,就不要制定较重的制裁方式。(53)参见张明楷:《论刑法的谦抑性》,载《法商研究》1995年第4期。从谦抑性原理出发,考量流量劫持行为是否应该入刑则应当考虑:针对流量劫持行为采用其他前置法制裁方式是否足以抑止这种行为?运用刑法处罚流量劫持行为,是否会导致禁止对社会类似的有利的行为或使公民的自由受到很大的限制?(54)参见张明楷:《论刑法的谦抑性》,载《法商研究》1995年第4期。对此,根据上述分析可知,目前对于流量劫持行为的前置法规制和制裁都较为乏力,效果也不尽如人意。从实施主体来看,实施流量劫持的行为人是用户与网站运营者以外的第三方,大都是专业技术人员。从实施手段来看,流量劫持行为表现为对其他用户的服务器部署程序、植入木马等,使用户被迫跳转或诱导进入其他网站甚至以此牟利和实现其他非法目的,这与网页运营者合法利用网页网站网址定向实现网页优化或互联网用户主动发起的网页间的正常跳转具有明显差别。因此,流量劫持行为与其他外表部分类似的行为在实质上有明显差别,不会导致对其他有利行为的禁止,其所禁止的内容也不会影响公民的合法权利与自由。因而,流量劫持入刑并不违反刑法谦抑性原理,反而彰显了刑法介入的必要性、补充性和最后手段性。
从现实信息网络发展的时代背景来看,流量劫持入刑也是刑事治理现代化的客观需要。现今网络信息技术与计算机信息技术飞速发展,网络空间中的犯罪成为刑法参与社会治理的新挑战和新难题。(55)于志刚:《网络思维的演变与网络犯罪的制裁思路》,载《中外法学》2014年第4期。信息网络技术时代下,犯罪现实与司法需求、司法需求与理论研究、司法需求与立法规划之间形成代沟。(56)于志刚、郭旨龙:《网络刑法的逻辑与经验》,中国法制出版社2015年版,第1页。因此,在物理现实与虚拟网络“双层社会”背景下转变观念,构建网络安全的从严评价体系,是弥合犯罪现实与司法需求代沟的有效方式。流量劫持是典型的依赖互联网而产生的网络型犯罪,经过简单查询可以发现,从2014年开始至今,全国已有48起在公开判决书中提及流量劫持的案件,其中行政案由有1起,民事案由有35起,刑事案由有12起,其中还出现了指导性案例2起。流量劫持的定性问题已成为司法实践尤其是网络犯罪司法实践中不可避免的问题之一,且愈发难以回避刑法规制和处罚的必要性。然而,在司法实践中,流量的经济属性不被承认、对流量劫持实施手段和实施目的不予区分、证据收集难度高等各种问题,也影响了流量劫持的法律适用和刑法规制效果。一些观点提出增设新罪名的方式解决流量劫持等新型网络犯罪问题也具有滞后性、被动性,并不契合罪刑法定原则和刑法谦抑性原理。因此,在现有法律体系下明确流量劫持应当入刑、研究流量劫持的合理入罪路径和类型化处理模式有利于在信息网络时代准确理解和适用刑法,推动刑法解释的深入发展,拓展刑法的适用性、延展力和生命力,这是完成刑事治理现代化课题的客观需要。
(二)流量劫持的类型化分析
在坚持流量劫持入罪肯定论的基本立场上,对其入罪路径和适用罪名则需要具体分析,特别是要采取类型化的思路予以归纳、概括和梳理,防止一刀切、机械化和绝对化。网站流量同时具有财产性价值和电子数据等多重属性。流量劫持侵害了用户及网站运营者计算机信息系统安全,因此在流量劫持的入罪路径上可以考虑以计算机类犯罪来定性。所谓计算机犯罪,是指利用计算机操作所实施的危害计算机信息系统(包括内存数据及程序)安全的犯罪行为。(57)于志刚、郭旨龙:《网络刑法的逻辑与经验》,中国法制出版社2015年版,第4页。此外,流量劫持侵犯了网站运营者等权利人的财产利益,同样存在认定为财产犯罪的可能性。与此同时,流量劫持行为在实施过程中,针对计算机信息系统的侵害与对权利人财产权益的损害可能存在竞合关系或者独立关系等形态,根据罪数形态原理,也可能构成想象竞合犯、牵连犯或者实施数罪并罚,同时结合行为人的主观目的,最终予以准确定性。
1.流量劫持涉计算机类犯罪
一是非法控制计算机信息系统罪。从犯罪构成角度来看,本罪的犯罪客体或曰保护法益是计算机信息系统的安全。本罪的犯罪对象是国家事务、国防建设、尖端科学技术领域以外的计算机信息系统及其中储存、处理、传输的数据。本罪的客观方面表现为违反国家规定,侵入国家事务、国防建设、尖端科学技术领域以外的计算机信息系统或者采用其他技术手段,获取该计算机信息系统中储存、处理或者传输的数据,或者对该计算机信息系统实施非法控制,情节严重的行为。所谓非法控制,是指通过各种技术手段使他人的计算机信息系统处于行为人的掌控之下,能够接受行为人发出的指令,完成相应的操作活动。(58)高铭暄、马克昌:《刑法学》,高等教育出版社2017年版,第195页。本罪的主观方面是故意。一些硬性流量劫持行为违背互联网用户和受劫持网站意志,私自操作相关计算机信息系统并使用户和网站运营者无法完全根据自己的意愿操作、运行计算机信息系统,从而获取了具有电子数据属性的流量,且主观上为故意,符合非法控制计算机信息系统罪的构成要件。前文论及,在2015年施硕等非法控制计算机信息系统案中,被告人所实施的流量劫持手段正是硬性劫持,其行为模式符合非法控制计算机信息系统罪。
与此相对,软性流量劫持虽然也对计算机信息系统的数据进行了修改,但并没有造成计算机信息系统功能的实质性破坏,即其对计算机信息系统的“控制”并不通过“破坏”实现。其在受劫持网站所造成的弹窗、强制关键字等干扰项实际上只是依附在目标网站寻求流量,并没有造成用户无法访问目标网站,也没有造成受劫持网站失去用户带来的流量,仍构成非法控制计算机信息系统罪。在145号指导性案件张竣杰等非法控制计算机信息系统案中,裁判要点就指出,“通过修改、增加计算机信息系统数据,对该计算机信息系统实施非法控制,但未造成系统功能实质性破坏或者不能正常运行的,不应当认定为破坏计算机信息系统罪,符合刑法第285条第2款规定的,应当认定为非法控制计算机信息系统罪。”(59)最高人民法院审判委员会:《指导案例145号 张竣杰等非法控制计算机信息系统案》,载中国法院网2021年1月12日,ttps://www.chinacourt.org/article/detail/2021/01/id/5712882.shtml,2021年11月25日访问。此外,软性流量劫持虽然在一定程度上侵犯了用户的上网自主选择权和知情权,但如果没有达到《最高人民法院、最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》中“后果严重”的入罪标准,也无法被认定为破坏计算机信息系统罪。然而,有些软性流量劫持在实际生活中有可能会对互联网用户的上网行为造成干扰甚至资费损失,也可能为网站运营者带来极大的维护成本,还可能会导致善意的第三方广告商损失巨大的广告费用支出。对此,单一的非法控制计算机信息系统罪难以有效评价此类造成严重后果的软性流量劫持行为,可以考虑行为人的主观目的认定为财产犯罪,并根据罪数原理进行轻重比较最终定性。
需要指出的是,非法控制计算机信息系统罪与破坏计算机信息系统罪的不同在于,从两罪所保护的法益看,虽然两罪都保护计算机信息系统的运行安全,但破坏计算机信息系统罪侧重保护的是各种计算机信息系统功能及计算机信息系统中存储、处理或者传输的数据和应用程序,而非法控制计算机信息系统罪侵犯的法益为计算机信息系统的保密性和控制性,保护的是计算机信息系统合法占用人、控制人的使用权或控制权。(60)钱倩倩:《流量劫持的行为辨析及其刑法规制思路》,载《福建警察学院学报》2020年第4期。从立法目的来看,破坏行为注重的是行为手段,非法控制则强调结果状态。(61)叶良芳:《刑法教义学视角下流量劫持行为的性质探究》,载《中州学刊》2016年第8期。从行为手段和实施过程来看,硬性流量劫持要实现“控制”并获取作为数据的流量,也可能存在对计算机信息系统先采取“破坏”行为,因此,这种类型的流量劫持行为兼具“控制”和“破坏”的双重特点。但从行为流程和最终目的来看,作为手段行为的破坏与作为目的行为的控制之间存在紧密的前后联系即牵连关系,根据罪数形态中牵连犯的一般原理,应当以目的行为认定构成非法控制计算机信息系统罪。
二是破坏计算机信息系统罪。从犯罪构成分析,破坏计算机信息系统罪的犯罪客体或曰保护法益是国家对计算机信息信息系统的安全运行管理制度和计算机信息系统的所有人与合法用户的合法权益。本罪的犯罪对象是计算机信息系统。根据2011年《最高人民法院、最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》中第11条规定,“计算机信息系统”是指具备自动处理数据功能的系统,包括计算机、网络设备、通信设备、自动化控制设备等。本罪的客观方面表现为行为人违反法律规定,破坏计算机信息系统并造成了严重后果。这里的“破坏”有三种情形:1.对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行;2.通过输入删除、修改、增加的操作指令而对计算机信息系统中存储、处理或者传输的数据和应用程序;3.故意制作、传播计算机病毒等破坏性程序,影响计算机系统正常运行。(62)牛慧荣:《流量劫持行为的刑法规制研究》,华中师范大学2019年硕士学位论文。本罪的主观方面是故意,行为人的犯罪目的与动机不影响本罪的成立。本罪的入罪标准是“导致严重后果”,《最高人民法院、最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》分别从受破坏计算机信息系统的数量、计算机信息系统不能正常运行的时间以及违法所得和经济损失三个层面衡量破坏计算机信息系统后果的严重程度。一些硬性流量劫持行为在客观方面干扰个体用户计算机信息系统中路由器上的DNS服务器或运营商所提供的公共DNS服务器的正常运行,其破坏对象符合《最高人民法院、最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》中对计算机信息系统的界定,构成破坏计算机信息系统罪。例如全国首例流量劫持入刑案例即付宣豪、黄子超破坏计算机信息系统案,被告人使用的是典型的DNS劫持手段,该行为被认定为破坏计算机信息系统罪。再如,2019年的成都给速科技有限公司、余陈、余瀚破坏计算机信息系统罪中,被告人使用的则是“内存投毒”的手段,对作为具备自动处理数据功能的系统的手机实施了流量劫持行为,影响了用户的正常访问行为与手机内存的实质功能,被认定为破坏计算机信息系统罪。
结合行为人主观目的进行考察和分析,对于行为人以恶意攻击计算机信息系统及其功能为目的的流量劫持行为,应认定为构成破坏计算机信息系统罪。以恶意攻击为目的的硬性流量劫持并不追求获得利益,而出于单纯的恶意或炫耀心理等动机或意图对他人的计算机信息系统发起攻击。如2010年发生的百度DNS劫持事件,受影响用户范围遍及四川、福建、江苏、吉林、浙江、北京、广东等国内绝大部分省市,大面积故障长达5个小时,而百度作为当时国内的主流搜索引擎,这一事件不仅导致百度网站门户流量大量流失,还使得各门户网站尤其是对搜索引擎依赖程度较高的中小型网站遭受大量流量损失,同时使得百度公司的企业形象大打折扣,造成了企业声誉的损失,导致潜在合作客户的流失,影响百度搜索引擎的行业地位。此外,国外知名网络搜索引擎谷歌、社交网站推特等网站也曾遭遇黑客的流量劫持,致使服务中断。此类以恶意攻击为目的的硬性流量劫持无法为劫持者带来实际的利益,行为人缺乏主观要素之非法占有目的,难以评价为财产犯罪,但其行为符合破坏计算机信息系统罪的犯罪构成,事实上也往往对受攻击网站和访问用户造成极大的时间、金钱、声誉等损害,符合严重后果标准的,应当以破坏计算机信息系统罪纳入刑法规制。
2.流量劫持涉财产类犯罪
一些流量劫持行为虽然依赖计算机实施,但破坏计算机信息系统只是手段,其根本目的是非法占有、使用他人的流量以牟利,对于这种类型的流量劫持行为可以考虑适用财产犯罪来定性。对此,我们认为需要结合行为人主观上的非法占有为目的,并区分不同行为模式和犯罪流程,将此类流量劫持认定构成盗窃罪或诈骗罪,但对破坏生产经营罪的观点难以认同。
一是盗窃罪或诈骗罪。对于财产犯罪侵犯的法益,存在本权说与占有说之争,我们赞成占有说,即对财产的实际控制、支配和占有,既要有事实上的占有,也要有精神上的占有目的。(63)张明楷:《论财产罪的非法占有目的》,载《法商研究》2005年第5期。前已述及,关于盗窃罪对象的外延范围,刑法理论界与司法实务界存在较多争议。我们认为流量作为一种财产性利益,可以成为包括盗窃罪在内的财产类犯罪的对象。盗窃罪的客观方面是违反占有人的意思,排除他人对盗窃对象的占有,并平稳地将盗窃对象转移给自己或第三人占有的行为。按照通说,“非法占有”包括两层含义:一是排除权利人作为本权人进行支配的意思;二是按照物的经济用途进行处分利用的意思。(64)张明楷:《论财产罪的非法占有目的》,载《法商研究》2005年第5期。流量劫持实际上正是通过攻击计算机信息系统的手段,排除了流量持有人(用户和目标网站)对可预见流量的占有。可预见流量尽管实际上仍未成为用户目标网站的已得流量,但根据互联网用户的行为目的,该网站对该流量的占有是可预期的、有现实根据的,因此流量劫持所损害的实际上是受劫持网站对该流量占有的权利。行为人实施流量劫持以后,使流量处于自己的实际支配或控制之下,利用流量的经济价值对流量进行处分利用以牟利。因此,流量劫持可能构成盗窃罪。在以非法占有为目的的流量劫持中,劫持者实际上实施了两个犯罪行为:一是攻击计算机信息系统实施了流量劫持;二是以非法占有为目的,将流量转移给广告商。在前一行为中,劫持者故意以干扰计算机信息系统功能的手段造成用户或运营商的计算机信息系统无法正常运行,涉嫌构成非法控制计算机信息系统罪或破坏计算机信息系统罪。在后一行为中,当劫持商与广告商协商一致时,攻击者违反了流量占有者的意思(即用户以及用户原目标网站),排除了他人对流量的占有从而将流量转移给自己或者广告商,此时劫持商与广告商涉嫌构成盗窃罪的共犯。当广告商对劫持商获得流量的手段处于不知情状态时,劫持商通过非法占有流量后用隐瞒以非法手段获取流量的实情,获取广告商的广告推广费,劫持商就涉嫌构成诈骗罪。例如,在2017年发生的沈某、刘世海等诈骗案中,被告人实施软性流量劫持引导互联网用户进入指定网站并增改计算机信息系统中的数据,据此获得某电子商务公司的推广费,该行为被认定为诈骗罪。从罪数形态角度考察,根据犯罪构成标准说,劫持者的行为可能成立牵连犯,其中破坏计算机信息系统的行为是方法行为,而非法占有流量后出售牟利则是目的行为,两行为无论在主观还是客观上都具有牵连的性质。对于牵连犯的处理,我国刑法没有明确具体的规定。传统刑法理论认为,牵连犯属于实质的数罪、处断的一罪,应按照“从一重处罚”的原则处断,即按照数罪中最重的一个罪所规定的刑罚处理,在该最重的罪所规定的法定刑范围内酌情确定执行的刑罚。(65)最高人民法院审判委员会:《指导案例145号 张竣杰等非法控制计算机信息系统案》,载中国法院网2021年1月12日,https://www.chinacourt.org/article/detail/2021/01/id/5712882.shtml,2021年11月25日访问。在以非法占有为目的的流量劫持中,其行为分别触犯了破坏计算机信息系统罪或非法控制计算机信息系统罪和盗窃罪或诈骗罪。根据刑法规定,非法控制计算机信息系统罪的法定量刑幅度上限为三年以上七年以下有期徒刑,破坏计算机信息系统罪的法定量刑幅度上限为五年以上有期徒刑,而盗窃罪和诈骗罪的法定量刑幅度上限可达无期徒刑。因此,根据“从一重罪处罚”原则,以非法占有为目的的流量劫持应当被认定为财产犯罪中的盗窃罪或诈骗罪较妥。对于以盗窃罪或诈骗罪规制流量劫持行为时,犯罪数额的认定是一个难题,我们认为根据前述计算机信息系统犯罪的司法解释规定,劫持商因实施流量劫持而获得的违法所得或服务器运营商遭受的经济损失特别是直接经济损失,在流量劫持产业链中或在以往的破坏计算机信息系统罪案件中都有可操作的计算方式,可将其作为衡量和判断涉案流量经济价值的参考标准。将以非法占有为目的的流量劫持定性为财产犯罪,有利于同时规制一些涉计算机信息系统犯罪无法规制或者处罚不符合罪责刑相适应原则的硬性流量劫持与软性流量劫持,有利于共同规范劫持商与广告商的行为,从根本上打击流量劫持黑色产业链,也有利于切实保护流量的财产价值和相关权利人的财产利益,有利于财产罪名的网络化改造适用,推动刑法治理包括流量劫持行为在内的信息网络领域违法犯罪行为的现代化、网络化、信息化、规范化、科学化、协调化。
二是不应当将流量劫持行为认定为破坏生产经营罪。破坏生产经营罪的犯罪客体是复杂客体,即公私财物的所有权和国家、集体或者个人生产经营的正常秩序。犯罪对象是与生产经营有直接联系的财物。犯罪客观方面表现为破坏机器设备、残害耕畜或者以其他方法破坏生产经营的行为。主观方面表现为出于报复泄愤或者其他个人目的。(66)最高人民法院审判委员会:《指导案例145号 张竣杰等非法控制计算机信息系统案》,载中国法院网2021年1月12日,https://www.chinacourt.org/article/detail/2021/01/id/5712882.shtml,2021年11月25日访问。流量劫持行为侵犯了相关权利人的财产权益以及信息网络竞争发展的正常秩序和信息网络安全,但其手段是远程攻击运营商或用户的计算机信息系统,而没有在物理上对受劫持网站运营者的计算机信息系统造成直接伤害,因此流量劫持侵犯的应当是相关计算机信息系统的安全,而非计算机信息系统本身。根据刑法第267条对破坏生产经营罪的客观方面的解释,可以看出由于受该法条制定的时代背景与立法原意,其客观方面表现为对生产经营活动物理上的实质破坏,从以往的司法实践来看,破坏生产经营罪也往往指向传统物理社会的生产经营活动。因此,尽管部分学者主张应当将网络竞争秩序纳入现有的生产经营秩序范畴,将流量劫持等非物理性破坏行为纳入破坏生产经营罪,但从遵循立法原意的立场来看,这样的解释结论并非扩大解释,难免深陷“类推解释”或“司法造法”之嫌,殊难认同。因此,和寻衅滋事罪一样,在该罪名的客观方面没有在立法层面实现“网络化”改造之前,将流量劫持纳入破坏生产经营罪进行规制,在当前刑法中缺乏明确有效的规范依据,有违反罪刑法定原则和类推解释之嫌,并不妥适,不应成为司法机关法律适用的选择方向。
