许瀚文

(甘肃政法大学 涉外法治学院，甘肃 兰州 730070)

0 引言

随着互联网的普及和数字化进程的加速，流量劫持所造成的社会危害性日益凸显，成为网络安全领域的重要议题。数字经济下的流量与收益直接挂钩，一旦本属于某些经营者的流量被恶意转移，其盈利能力必将大幅削弱；而且流量劫持人为设置消费者与网络平台直接联系的障碍，使得消费者自愿或者被迫放弃目标搜索页面，进而提高了搜索信息的成本。正因如此，流量劫持行为出现之初，因其违反了公平竞争的原则，主要由《中华人民共和国反不正当竞争法》进行规制。然而，流量劫持严重损害公民个人信息安全、财产安全和社会秩序，因此具有刑法规制的必要性。2015年，上海市浦东新区人民法院对付宣豪、黄子超破坏计算机信息系统案作出入刑的判决以来，流量劫持的刑法定性与量刑规则引起了刑法学界和实务部门的关注。

基于此，本文从数据安全法益的视角出发，对流量劫持的罪名认定进行深入研究，通过对流量劫持的行为解构和类型化进行详细阐述，立足对相关罪名的检视和法益溯因分析，提出数据安全法益视角下流量劫持罪名的纾困路径，以期对流量劫持的刑法定性与规制有所裨益。

1 流量劫持的逻辑起点

流量劫持是指为了牟利，通过修改计算机的信息系统，使用户在输入目标域名时跳转到其他域名，从而迫使互联网用户将流量重新定向到特定网站的行为。流量劫持的常见行为方式通常为篡改浏览器网关地址、诱导用户进入错误目标界面等。

1.1 流量劫持的行为解构

流量劫持的对象是目标网站的用户流量，手段较为多元，往往通过锁定主页、更改浏览器设置或弹出新窗口等方式实现其非法目的。数据经济下的流量与收益直接挂钩，原目标经营者的流量被恶意转移，其盈利能力必将大幅削弱。因此，流量劫持行为会在市场竞争过程中损害其他经营者的正当收益。而且，流量劫持属于典型的“搭便车”行为，其以低成本甚至零成本代价攫取了大量的流量数据，极易引发产业内的“竞次现象”[1]。事实上，流量劫持已经由市场竞争失序行为过渡为平台犯罪的帮凶。具言之，部分企业流量劫持为“套路贷”等黑灰产业提供技术支持，严重侵犯了公民个人信息、企业财产安全和社会稳定秩序。对此，如何超脱反不正当竞争法，进而通过惩戒力度更强的刑法予以规制成为当前亟待思考的问题。

1.2 流量劫持的类型化

类型化思维强调根据不同事物的共同特征和规律进行归类。在法学研究领域，类型化思维可以帮助研究者廓清复杂的法律关系，提升法律分析能力。根据流量劫持行为造成危害后果的轻重程度不同，可以将其分为域名劫持和链路劫持[2]。域名劫持是指流量劫持行为人通过非法手段获取或控制他人的域名，然后利用该域名进行恶意访问或发送垃圾请求等操作，旨在修改目标用户计算机系统配置，使其被迫访问指定网站。在这种情况下，用户在短时间内无法正常控制自己的流量走向。域名劫持不仅会影响用户的上网体验，使得用户被引到其他网站而无法如常浏览目标网页，还有可能因强制访问其他网站被诱导进行登录等操作导致泄露隐私。链路劫持是指在数据传输过程中行为人利用网络节点和链路，通过在用户与服务器之间植入恶意程序或能够操控网络的设备，监听、拦截或擅自修改数据，实现对用户的互联网数据的分析和修改，从而达到其不法目的。链路劫持的典型危害在于互联网用户的账号、密码被窃取。很多用户习惯将账号、密码记录在浏览器缓存里或者存储到网盘上，无论是记录在缓存里还是存储到网盘上，只要是保存在用户的系统里的数据，理论上均可被链路劫持行为人访问。如果他人获取了这些信息，就可以对用户的账户进行任意操作，比如转账、消费、登录某些网站等。

2 流量劫持罪名认定的困境检视

关于流量劫持行为是否应受刑法规制在司法实践中已不具争议[3]。如前所述，流量劫持落入刑法规制范畴已经得到学界的肯定，但其究竟是“破坏”还是“控制”，抑或归类到传统的财产犯罪，成为亟待思考的问题[4]。

2.1 计算机犯罪说

2.1.1 破坏计算机信息系统罪

破坏计算机信息系统罪规定在《中华人民共和国刑法》(以下简称《刑法》)第286条，根据该条规定，本罪的行为方式多样，但均以“后果严重”为前提要件。“后果严重”的具体标准由《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》(以下简称《解释》)第4条予以明确。

全国第一起流量劫持刑事案件以破坏计算机信息系统罪定罪。本案中，被告人对网络用户的路由器进行破坏，造成了计算机信息系统不能正常运行的严重后果，构成破坏计算机信息系统罪[5]。《解释》规定，破坏计算机信息系统违法所得人民币二万五千元以上或者造成经济损失人民币五万元以上的，即为“后果特别严重”。本案中，二被告人的违法所得超七十五万元，根据《解释》所确立的标准，属于“后果特别严重”，因此构成破坏计算机信息系统罪。

2.1.2 非法控制计算机信息系统罪

非法控制计算机信息系统罪规定在刑法第285条第2款。本罪规制的是获取计算机信息系统内数据并进一步控制计算机信息系统或系统内数据的行为，即将他人计算机系统内的数据当作本人所有而加以获取或者控制，不以“破坏”后果作为入罪标准[6]。

全国第二例流量劫持刑事案件以非法控制计算机信息系统罪定罪。被告人进入某公司的域名系统，将劫持的网站域名指向特定网站，从而获得该网站的推广费。裁判要旨认为，本案被告人利用职务便利私自修改域名服务器设置进行流量劫持的行为没有造成计算机信息系统破坏的后果，因此不构成破坏计算机信息系统罪。但违背网络运营商的意愿，超越授权范围修改计算机信息系统的相关设置的行为应当被认定为非法控制计算机信息系统罪。

上述两起案件同为通过域名方式实施的流量劫持，却在同一年被不同地区法院分别认定为破坏计算机信息系统罪和非法控制计算机信息系统罪，无疑表明规制流量劫持行为刑法依据的混乱[7]。

2.2 财产犯罪说

2.2.1 盗窃罪

在流量劫持第一案作出判决后，有观点认为该案件中的流量劫持行为应认定为盗窃罪。理由是流量具有财产属性，会带来经济利益，所以流量等虚拟财产可以成为盗窃罪的犯罪对象[8]。但将域名劫持等流量劫持行为认定为盗窃罪存在以下几个难以自洽的问题。第一，盗窃罪以非法占有为目的，而流量劫持的目的既有可能是通过流量劫持获得指定网站的返利，也有可能是盗取用户个人信息等其他非法目的。第二，盗窃罪的客体是公私财物。而流量劫持案件中行为人利用恶意代码破坏域名解析的过程，导致网络终端用户流量转向其设置的网站，网络用户的流量并未减少，这个过程中受到直接侵犯的主要是计算机信息系统内数据的安全而非公私财产[9]。第三，难以评价流量作为虚拟财产在法律意义上的价值，在流量无法进行合理估价的情况下将流量认定为盗窃罪的犯罪对象，将因无法认定数额大小而难以定罪，不利于打击流量劫持行为。第四，从比较法的视角出发，世界各国都没有将虚拟财产作为财产犯罪对象的先例。第五，流量有网络流量和网站流量之分，流量劫持行为的行为对象是网站流量，网站流量是指网站的点击量，网站流量本身不具有经济价值，需要借助媒介才能转变为经济价值。因此，网站流量不属于刑法上的财物，流量劫持行为不符合盗窃罪的构成要件[10]。

2.2.2 诈骗罪

在2017年沈捷、刘世海诈骗案中，被告人以弹窗广告的形式诱导互联网用户进入伪装成广告的特定网站从而植入cookie，将这些被诱导的用户伪装成目标网站的用户，根据此种方式获得推广返利费用的流量劫持行为可以被认定为是诈骗罪的手段，但其行为本身并不直接构成诈骗罪[11]。诈骗罪是指以非法占有为目的，使用欺骗方法，骗取数额较大的公私财物的行为。其核心是“欺骗”，而流量劫持行为并不具备这一特点。首先，流量劫持行为并没有让受害人产生错误认识并自愿交付财物。受害人在访问网站时，通常会同意相关的使用协议和服务条款，这些协议和服务条款是网站提供服务的必要条件之一。如果网站在用户不知情的情况下将用户引导到其他网站或页面上，或者限制用户访问某些网站或功能，上述行为并没有让受害人产生错误认识并自愿交付财物。其次，流量劫持行为也缺乏虚构事实、隐瞒真相等欺骗手段。流量劫持行为通常是通过修改用户的浏览器或操作系统设置等方式来干扰用户的正常上网体验，并没有虚构事实或者隐瞒真相。因此，流量劫持行为不能被认定为诈骗罪[12]。

由此可见，尽管实践中已存在相当数量的流量劫持刑事案件，但司法实践在认定罪与非罪、此罪与彼罪的问题上存在明显分歧，暴露出流量劫持行为的内涵及外延以及罪名认定的解释论困境，亟待予以思考。

3 流量劫持罪名认定困境的法益溯因

在检视流量劫持罪名认定的困境时，需要理解规制该行为所保护的法益。流量劫持行为无疑侵犯了数据安全法益。

3.1 流量劫持法益侵害的可能路径

第一，虚拟财产法益说。虚拟财产是指基于特定事实关系产生的具有民事权利义务性质的或可支配的数字资源综合体，是传统物质财富在信息时代的一种表现形式和新的补充，包括但不限于网络游戏、电子货币、电子邮件等。而流量作为一种衡量标准，用来量化互联网用户在特定时间段内访问或使用网络资源的数量。它是一种客观存在的物理量，但不具有虚拟财产所具有的民事权利义务性质或可支配性。流量虽不能用金钱来进行直接等价换算，但各个网站都会以流量为检验运营状态的标准，流量可以吸引广告商投放广告、收取广告费的方式变现。如果用户的目标网站是A网站，却因为流量劫持而进入了B网站，原本属于A网站的流量就变成了B网站的流量，从而A网站丧失广告客户而B网站可能会增加广告收入。因此流量劫持也是变相盗窃他人财产性利益的一种方式，破坏了社会主义市场经济秩序[13]。

第二，网络秩序法益说。人类社会已经离不开网络，网络秩序的稳定关乎经济稳定、社会稳定。我国《刑法》将非法获取计算机信息系统数据、非法控制计算机信息系统罪规定在《刑法》第六章妨害社会管理秩序罪中，打击计算机犯罪的目的之一就是维护社会管理秩序。流量劫持行为通过干扰互联网用户对网页的正常使用，修改用户的浏览器或路由器设置，通过弹出新窗口或锁定主页的方式强制用户访问指定网站，不仅无法使用户达到使用网络的目的，也会造成各个网站流量竞争的失序。

第三，系统安全法益说。域名劫持和链路劫持都以侵入计算机信息系统为前提，如果不对流量劫持行为用刑法加以规制，则难以保证用户与网站系统安全。事实上，流量劫持不仅会涉及盗取商业秘密，如果在插入流量劫持程序时加入木马病毒或其他有害程序，则会造成严重财产损失[4]。但应当认识到，系统安全法益主要关注系统的稳定性和可靠性，而数据安全法益则更加关注数据的保密性、完整性和可用性，防止数据被泄露、篡改或损坏。系统安全同时涉及多方面的因素，如网络基础设施、操作系统、应用程序等。

3.2 流量劫持数据安全法益侵害的证成

数据安全法益是指保障数据的安全、完整、准确和可用，保护个人隐私、商业秘密和国家安全。本文将探讨数据安全法益的基本内涵及其成为独立法益的科学性和合理性。从科学性的角度来看，数据是现代社会的重要资产，其安全性直接关系到个人隐私、公共安全和国家安全。因此，将数据安全法益予以独立，可以更好地体现其独特的价值。此外，随着信息技术的发展，数据泄露、篡改、破坏等安全问题日益突出，对数据安全的保护也提出了更高的要求，这也进一步说明了将数据安全法益独立为法益的必要性。从合理性的角度来看，将数据安全法益独立可以更好地平衡个人隐私、公共安全和国家安全之间的利益关系。在保护个人隐私的同时，也保障了公共安全和国家安全[14]。此外，强调数据安全法益还可以促进数据的合理利用和流通，推动数字经济的发展。数据已经成为与劳动、资本等同等地位的生产要素，对数据安全的保护同样需要重视。而在刑法保护的设计中既要考虑路径的多样性，也要考虑保护路径的匹配性[15]。在理解上述的基础上，将数据安全法益纳入流量劫持法益认定中是切实可行的做法[16]。

首先，流量劫持直接影响用户的个人信息数据安全。在流量被劫持的情况下，用户的网络行为和数据被未经授权的第三方获取和利用，这严重侵犯了用户的隐私权和个人信息。具言之，在流量劫持过程中，攻击者可能会窃取用户的敏感信息，如密码、身份信息等，这些信息一旦被泄露，将对用户的财产安全和个人信息安全构成严重威胁[17]。其次，流量劫持还可能破坏网络传输数据安全。攻击者通过流量劫持手段，可以干扰或篡改正常的网络传输数据，导致网络服务中断或数据损坏。这不仅影响了用户的正常使用，还可能对整个网络系统的稳定性和安全性造成威胁。最后，流量劫持还会威胁到国家数据安全。流量劫持可能是有组织、有预谋的网络攻击行为，旨在窃取国家机密或破坏关键基础设施。这种行为不仅危害了国家的主权和安全，还可能对国际关系和地区稳定造成不良影响。

因此，流量劫持的侵害的法益主要是数据安全法益。流量劫持对数据安全法益的侵害是全方位的。数据安全法益的本质不单是保护作为数据载体的完整性不受损害，而是保护数据所蕴含的信息价值。质言之，刑法所应当保护的被非法获取、修改、删除、增加数据行为所侵害的法益，是数据信息内容的完整性、保密性和可用性[18]。

4 数据安全法益视角下流量劫持罪名的纾困路径

4.1 破坏计算机信息系统罪的适用理据

4.1.1 法益维度

破坏计算机信息系统罪所保护的数据安全法益，与流量劫持侵害的法益趋同。首先，计算机信息系统中的数据是重要的信息资产，涉及个人隐私、商业秘密、国家安全等方面。而流量劫持行为极有可能通过各种手段造成对重要信息资产的破坏。其次，计算机信息系统中数据的完整性也是破坏计算机信息系统罪所保护的重要法益，流量劫持行为会导致计算机信息系统中的数据不完整或不一致，从而对各类主体的决策和行为造成误导或影响。因此，保护计算机信息系统中的数据完整性是维护个人、企业和国家利益的重要任务[19]。

4.1.2 行为维度

流量劫持行为满足《刑法》第286条关于破坏计算机信息系统罪构成要件[20]。第一，流量劫持行为是一种非法侵入计算机信息系统的行为，干扰或篡改系统的正常传输和数据处理，属于破坏计算机信息系统的行为。第二，流量劫持通过干扰、控制计算机信息系统的正常运行，严重影响用户的合法权益。第三，流量劫持行为具有严重的社会危害性。将其认定为破坏计算机信息系统罪，可以有效打击犯罪，维护社会秩序和公共利益，同时也有助于提高公众对网络安全的认识和意识，增强网络安全防范能力[21]。与此同时，破坏计算机信息系统罪的特征一般是作案区域广泛、犯罪行径隐蔽，上述特征更是与流量劫持犯罪行为相契合[2]。

4.2 破坏计算机信息系统罪的司法释义

破坏计算机信息系统罪规定在《刑法》第286条中的“数据”“应用程序”进行司法释义。

4.2.1 数据破坏的行为内涵

破坏计算机信息系统罪中的数据，是指用户在计算机信息系统中存储、处理的数据。流量劫持中的数据，是指在网络传输中的信息内容，如文本、图片、音频、视频等。这些数据在网络中传输时，需要通过特定的协议和格式进行封装和解封装，以便在不同的设备和系统之间进行传输和解析[22]。

流量劫持行为对“数据”的破坏，主要有以下几种情况：第一，数据流失。不法分子通过修改浏览器设置、弹出新窗口、锁定主页等方式强制互联网用户访问指定网站，造成原本被作为互联网用户目标的网站流量损失。这些流量数据没有被正确解析，导致其潜在的信息和经济价值无法被充分挖掘和利用。这种情况下会因缺乏准确真实信息支撑而对电商平台的决策和业务运营产生负面影响。第二，数据篡改。流量劫持行为人在网络传输过程中的链路和节点上通过非法手段截获数据包，对数据包的内容进行修改或伪造，破坏数据的完整性、准确性和一致性，然后将被篡改后的数据发送到目标系统，以达到欺骗系统、干扰系统正常运行或获取不当利益的目的。第三，数据泄露。互联网用户一旦遭受了流量劫持，在使用被劫持的计算机信息系统时都面临着数据泄露的风险。流量劫持行为人通过其事先所植入的恶意程序可以截获用户与目标服务器之间的通信数据。当用户访问被劫持的网页时，恶意代码会在用户的设备上执行，导致数据泄露。流量劫持行为人可以利用流量劫持所伪造的目标网站身份，欺骗用户输入敏感信息并用于非法用途。流量劫持行为导致的数据泄露对个人和电商平台都会造成严重的危害后果。对于用户而言，通过恶意程序监听用户的网络通信，包括浏览历史、搜索记录、在线聊天内容等方式，导致用户身份信息泄露、隐私曝光等问题，造成财产损失和声誉损害；对于电商平台而言，数据泄露可能导致商业机密泄露、客户信息泄露、系统瘫痪等问题，造成经济和信誉等方面的损失[23]。

4.2.2 应用程序的内涵廓清

破坏计算机信息系统罪中对应用程序实施的犯罪通常包括对应用程序的删除、修改、增加和干扰等行为。这些行为会导致应用程序无法正常运行或失去原有的功能，从而影响到计算机信息系统的稳定性和安全性。其中，删除是指将计算机信息系统中应当具备的功能加以取消，既可以是取消其中的一项，也可以是其中的几项或者全部；修改是指将计算机信息系统的功能部分或者全部地进行改变，或者将其他程序替换原程序，改变其功能；增加是指通过增加磁记录等手段为计算机信息系统添加其原本没有的功能；干扰则是通过一定手段如输入一个新的程序干扰原程序，以影响计算机系统正常运转，行使其功能。应用程序中存储了大量的数据和信息，这些数据和信息对于应用程序的正常运行至关重要。破坏计算机信息系统罪中的应用程序犯罪行为不仅仅是对应用程序本身的破坏，还可能涉及对系统中存储、处理或传输的数据的侵犯。例如，攻击者可以通过对应用程序的篡改或破坏，获取或篡改用户的数据，从而侵犯到用户的个人隐私和财产安全。而对应用程序进行删除、修改、增加或者干扰恰恰是实施流量劫持的手段，不仅会使应用程序的功能和作用会受到影响，导致其出现异常，还会导致这些数据和信息可能会被篡改、删除或泄露。

5 结论

由于流量劫持行为具有操作门槛低、操作隐蔽、违法代价小、获利高的特点，这类行为屡见不鲜且难以根除，仅仅依靠《反不正当竞争法》对其加以限制，对于预防和震慑此类违法行为效果十分有限，需要全社会共同承担起应有责任。同时，流量劫持所采用的诸多手段潜藏着破坏计算机系统数据、泄露用户隐私、盗取虚拟财产等风险。因此，通过《刑法》对此类行为进行严厉打击十分必要。通过深入探讨数据安全法益视角下流量劫持的罪名认定问题，本文提出了数据安全法益视角下流量劫持罪名的纾困路径，为流量劫持的罪名认定提供了新的思路和方法。