通过民事手段规制“流量劫持”行为,可以保护用户自主使用权和市场正常经营秩序。“流量劫持”严重破坏网络安全,应当入罪处罚,可能构成非法控制计算机信息系统罪、破坏计算机信息系统罪以及破坏生产经营罪。提供“流量劫持”技术或帮助实施“流量劫持”也涉嫌构成犯罪。“流量劫持”兼具非法控制和破坏行为的属性,导致罪名之间出现竞合。对此,应当通过立法扩大法益范围与优化行为类型加以化解,司法解释和案例指导制度可以辅助解决。刑法
一、两份“流量劫持”有罪判决引发的思考
案件一:从2013年底至2014年10月,被告人付某等人租赁多台服务器,使用恶意代码修改互联网用户路由器的DNS设置,进而使用户登录“2345.com”等导航网站时,跳转至其设置的“5w.com”导航网站,再将获取的互联网用户流量出售给“5w.com”导航网站所有者杭州某公司。经查,两名被告人违法所得达75.47万余元。法院审理认为,被告人付某、黄某违反国家规定,对计算机信息系统中存储的数据进行修改,后果特别严重,已构成破坏计算机信息系统罪。[1]
案件二:2008年10月起,被告人施某在中国某有限公司重庆网络监控维护中心核心平台部工作,负责业务平台数据配置。2013年2月至2014年12月,被告人施某等人为谋取非法利益,违反国家规定,先后对某重庆分公司互联网域名解析系统(DNS)进行非法控制,施某等人分别获利157万余元不等。法院认为,被告人施某等共同违反国家规定,非法控制计算机信息系统的域名解析系统,后果特别严重,构成非法控制计算机信息系统罪。[2]
“流量劫持”作为新型的网络不正当竞争行为,长期处于刑事制裁的边缘。前述两个案件是庞大的“流量劫持”现象中的两个特例,也是目前仅有的两个有罪判决。其中,案件一被公认是国内首例“流量劫持”案。有罪判决具有鲜明的先例效应,成为今后追究“流量劫持”行为刑事责任的司法标杆。但是,在作为犯罪论处时,尚有诸多新问题需要厘清和解决。比如,同为以DNS攻击实施的“流量劫持”危害行为,两个有罪判决的定性存在较大差异。既暴露非法控制计算机信息系统罪与破坏计算机信息系统罪的司法竞合问题,也折射出当前立法应对新型网络犯罪的规范不足,更反映网络犯罪理论研究的深层次短板。
二、“流量劫持”的民事规制乏力
所谓“流量劫持”,一般是指“利用各种恶意软件修改浏览器、锁定主页或不停弹出新窗口,强制用户访问某些网站,从而造成用户流量损失的情形”。当前,可以分为域名劫持与数据劫持两大类型。典型的劫持方式包括DNS域名解析、植入木马、弹窗与广告插件等,具体做法包括Hub嗅探、MAC欺骗、MAC冲刷、ARP攻击、DHCP钓鱼、DNS劫持、CDN入侵、路由器弱口令、路由器CSRF、PPPoE钓鱼、蜜罐代理、WiFi弱口令、WiFi伪热点、WiFi强制断线、WLAN基站钓鱼等。但是,“流量劫持”作为严重的网络技术失范行为,并非纯粹的“偷流量”,“偷流量”中的“流量”一般是指网络流量或手机流量等,在实践中可能涉嫌构成盗窃罪或非法获取计算机信息系统数据罪。
“流量劫持”现象早已有之,甚至已经变成网络空间安全的“毒瘤”。《中国互联网法律与政策研究报告(2013)》指出,流量劫持作为新型的网络不正当竞争行为,亟待立法规制。[3]但是,长期以来,主要依靠两种民事救济方式:(1)民事起诉索赔。在“3B”大战一案中,360对百度搜索结果进行标注甚至篡改,并向用户宣传安装360浏览器,百度因此向法院起诉360。法院认定,360以用户安全为名义,对百度搜索结果进行插标,干扰他人互联网产品或服务的正常运行,判决其赔偿百度40万元。2015年底,百度与搜狗围绕“流量劫持”问题再次“互撕”。法院认定搜狗构成不正当竞争,责令赔偿经济损失。随后,今日头条、美团大众点评网、360、腾讯、微博、小米科技发布《六公司关于抵制流量劫持等违法行为的联合声明》。(2)民事诉前禁止令的先例。在2015年的“双十一”来临之际,天猫、淘宝向浦东法院提出诉前行为保全申请,请求法院禁止两家公司继续以“帮5淘”(“帮5买”网站推出的“帮5淘”网页插件,名为比价软件,实为劫持流量的恶意插件,安装后很难卸载。)网页插件的形式,对申请人实施不正当竞争行为。最终法院支持淘宝的诉前禁止令的请求。
当前,通过民事救济方式规制“流量劫持”行为,对维护互联网企业的公平竞争秩序有积极意义,却忽视用户的合法权益,更忽视保护网络安全的重要意义。然而,厚此薄彼的做法无法实现最大的治理效益。反而,由于刑法并无相关的直接规定,单纯民事救济手段容易导致“流量劫持”遁入“无法”的空间地带,间接充当纵容其成为网络环境下快速牟利的违法犯罪手段的帮凶。
三、“流量劫持”的刑事制裁原理
“流量劫持”首先侵犯用户、企业以及第三人的合法自主使用权益,也破坏网络市场经营秩序,更严重破坏网络空间安全。因此,民事救济方式具有局限性,将其入罪是刑法积极维护网络空间安全的必然体现。
(一)并非所有的“流量劫持”行为都应当入罪
“流量劫持”单纯作为网络技术行为而言,具有一定的中立性。然而,当其作为排斥竞争对手和牟取非法竞争利益时,则可能属于不正当竞争行为,甚至涉嫌构成犯罪。由此,部分严重的“流量劫持”行为可能构成犯罪。一般而言,“流量劫持”在实施方法或实现技术上可以分为软性与硬性两种。软性的“流量劫持”并未采取技术手段侵入计算机信息系统,而是采取核心关键词的替换等手段,典型的如“3B”大战一案,一般应当定性为不正当竞争行为。硬性的“流量劫持,是指采取破坏计算机信息系统正常运行的方式劫持流量,应当构成犯罪。换言之,当采用DNS劫持、用户端植入插件或代码等手段时,往往属于硬性的“流量劫持”,可能涉嫌破坏计算机信息系统安全,目前的两个有罪判决即是示例。无论属于软性还是硬性的“流量劫持”,对于用户而言,往往只能选择民事救济手段,除非伴随获取个人信息与窃取财产等危害行为。这也是民事救济方式的弊端之一所在。
(二)“流量劫持”构成破坏计算机信息系统罪的理由
当前,刑法并未规定“流量劫持”中的“流量”属于财产,用户流量流失以及各方遭受的经济损失也难以归入财产犯罪。但是,硬性的“流量劫持”行为客观上导致计算机信息系统被植入恶意软件,并危害网络的正常运行,是对计算机信息系统的破坏。换言之,采取域名解析等技术手段方式时,必然对网络用户的计算机信息系统中存储、处理的数据进行修改、增删等行为,从而具备破坏计算机信息系统罪的客观要件。从网络技术的属性看,“流量劫持”的本质是数据没有加密保护,传输中机密性和完整性就可能受损。据此,“流量劫持”破坏正常或完整的网络数据运行与程序活动,也直接破坏网络空间安全。因而,构成破坏计算机信息系统罪。
(三)“流量劫持”构成非法控制计算机信息系统数据罪的理由
在案件二中,虽然也采用DNS域名解析的方式,但法院最终认为构成非法控制计算机信息系统罪。其合理性在于:“流量劫持”首先表现为非法控制互联网域名解析系统,同时致使用户访问被劫持的网站时,强行跳转到另外的页面,用户实际访问的页面与用户输入的网址不同;或者致使在用户访问网站时,自动加入推广商的代码。这其实违背计算机信息系统合法用户的意愿,恣意操作该计算机信息系统或掌握其活动的行为。易言之,“流量劫持”行为未经权利人允许,违背用户与企业意愿,采取非法代替操作、非法掌握用户与企业的运行行为及数据等技术手段,导致正常的网络运行控制权丧失,[4]已经完全“非法控制”计算机信息系统。因此,构成非法控制计算机信息系统罪,但与破坏计算机信息系统罪产生竞合问题。
(四)“流量劫持”涉嫌构成破坏生产经营罪
“流量劫持”作为典型的网络流氓行为,实质是通过的网络技术手段,保持非法的垄断地位或非法侵占其他竞争对手的网络资源并牟取暴利。作为新型的网络不正当竞争行为,严重干扰正常的网络市场经营秩序,同时侵犯消费者的合法权益。特别是在“互联网+”时代,网络流量成为信息服务与数据竞争的核心因素,放任“流量劫持”行为不管,将严重破坏互联网企业、用户与第三方之间的良性网络竞争环境。因此,即使不采取破坏计算机信息系统等硬性方式实施,“流量劫持”也可能涉嫌构成破坏生产经营罪,而非必然只能由民事救济手段介入。但是,破坏生产经营罪的制定背景仍然是传统的现实物理社会,导致对网络经济的兼容性明显不足,明显匮乏规制新型网络经济犯罪的能力。[5]由此,传统意义的破坏生产经营罪介入“流量劫持”缺乏有效的规范依据,除非进行“网络化”改造并植入网络因素。
(五)提供“流量劫持”与帮助实施行为涉嫌构成犯罪
当前,两个有罪判决主要是对使用“流量劫持”行为加以制裁。但是,提供“流量劫持”技术或帮助实施“流量劫持”的行为同样值得处罚。首先,提供或明知他人实施侵入和非法控制计算机信息系统的,提供DNS等硬性的“流量劫持”程序或工具的,在达到情节严重时,构成《刑法》第285条的3款规定的提供侵入、非法控制计算机信息系统程序、工具罪。其次,当明知他人利用“流量劫持”等手段实施犯罪的,提供互联网接入、服务器托管、网络存储等技术支持或其他技术帮助的,构成第287条之二规定的帮助信息网络犯罪活动罪。显然,已有的两个有罪判决并未介入。
总之,“流量劫持”是严重的网络不正当竞争行为,明显干扰正常的网络市场经营秩序。然而,单纯依靠民事救济方式并不妥当,既忽视用户的自主权,也忽视网络安全的重要地位。无论是硬性还是软性的“流量劫持”行为,都可能侵犯网络安全刑法法益,受害者不再是独立的用户、企业或者市场经营秩序。这正是上升到刑事制裁层面的根本理由。两个有罪判决聚焦非法控制计算机信息系统罪与破坏计算机信息系统罪并无不当,却也遗漏“流量劫持”严重破坏网络市场经营秩序的客观事实,破坏生产经营罪的“网络化”转型刻不容缓。此外,对于非法提供“流量劫持”技术和帮助实施“流量劫持”的严重行为,应当加以处罚。
四、“流量劫持”的立法规制完善
“流量劫持”的适法困难暴露了网络犯罪立法规定仍有漏洞,司法竞合现象也暗示网络犯罪立法规定有待升级整合。现行刑法仍以传统物理现实社会为制定背景,逐渐脱离网络空间社会的代际变迁与新型需要。传统刑法理论体系的“网络化”是必然的发展趋势,“流量劫持”可以作为转型的一个切入口。
(一)司法竞合的客观必然性及其克服
对于“流量劫持”行为,实践中长期依靠民事规制手段有其客观性。除了网络安全保护思维更新迟缓外,刑法立法的不足是重要内因。进言之:(1)1997年《刑法》第286条早就规定破坏计算机信息系统罪,但是,司法机关一直未启用,首先表明尚未充分认识到网络安全的重要性、网络安全威胁的多样化。目前,尽管已有按照破坏计算机信息系统罪论处的判决,然而,搁置第286条而长期不启用,更从侧面反应司法保护理念的迟延,以及网络犯罪立法更新的不足。(2)《刑法修正案(七)》增加第285条第2款并确立非法控制计算机信息系统罪,“非法控制”作为危害行为的关键词,从规范角度可以阐明“流量劫持”作为技术危害行为的本质特征,是其被援引的主要原因。虽然丰富定罪的选项,却引发了非法控制计算机信息系统罪与破坏计算机信息系统罪的司法竞合难题。这说明立法修改未能全盘考虑,修改的“碎片化”痕迹过重。(3)破坏计算机信息系统罪与非法控制计算机信息系统罪,分别是1997年《刑法》与《刑法修正案(七)》的产物。相隔十二年的两个罪名,在互联网发生了翻天覆地的巨变之际,发生竞合现象,充分说明立法更新不足是重要的内因,已有立法规定对新生事物的适宜性不断下降。为此,应当从立法方面加以解决。(4)尽管立法完善是最终途径,然而,暂时可以考虑由最高人民法院或最高人民检察院发布指导性案例,发挥案例指导制度在解决新型、疑难、典型案件的法律适用上的独特作用。实际上,已有的两个有罪判决可以作为发布指导案例的来源,以此明确适用的法理基础与区分标准。
(二)危害行为竞合是实质内容
从当前两个有罪判决看,其实各有道理:(1)“流量劫持”既符合“非法控制”的危害行为特征,也满足“破坏”的危害行为属性。从“非法控制”与“非法破坏”的内在逻辑看,应当是特殊与普遍的关系,“非法控制”显然可以作为“破坏”的特殊行为对待。因而,论处非法控制计算机信息系统罪更妥。(2)从法定刑的档次看,破坏计算机信息系统罪严于非法控制计算机信息系统罪。如果遵循竞合形态一般所主张的“从一重处罚”原则,更宜论处破坏计算机信息系统罪。然而,同案同判的效果终至落空,不利于法治的统一。据此,非法控制与破坏都可以概括在“流量劫持”的技术特征与危害结果,是竞合的实质内容。进而,也促发两个关联法条之间的竞合,也即究竟是特殊优于普通、还是重法优于轻法的分歧,实践中可能基于重罚的立场而选择后者,却也忽视危害行为类型才是最重要的区分因素。(3)对于两个有罪判决暴露的竞合问题,刑法解释几乎鞭长莫及。无论将“流量劫持”严格解释为“非法控制”计算机信息系统的行为,还是限制解释为“破坏”计算机信息系统的行为,都难逃司法竞合的命运。因此,刑法解释在解决传统刑法理论的网络化问题时较为乏力。
(三)立法完善的基本思路
为了充分提升刑法保护网络安全的针对性,为了从立法环节克服“适用困难”现象,立法完善是避免当前处置“流量劫持”等新型问题时出现竞合难辨的合理出路。简言之:(1)优化网络危害行为的类型结构。1997年刑法以计算机1.0时代为背景,第285条和第286条的犯罪对象以及犯罪客体大同小异,危害行为分别是“侵入”和“破坏”。但是,从语言逻辑与罪状内容看,“破坏”可以包含任何网络危害行为,人为制造了竞合的内因。经过《刑法修正案(七)》修改后,第285条第2款、第3款分别增加“非法控制”、“非法获取”以及“非法提供”,但是,“破坏”仍可以包含新增的危害行为。[6]毕竟立法理念与技术并未脱离1997年刑法及其制定背景。《刑法修正案(九)》再次修改后,由于聚焦以信息网络为核心的网络2.0时代,所以,犯罪对象和犯罪客体发生了一定的变化。第286条之一、第287条之一、第287条之二分别增加“拒不履行”、“非法利用”和“帮助”三种具体行为,从而与“破坏”保持相对的界限。然而,对于“流量劫持”的规范评价而言,《刑法修正案(九)》对危害行为的补强难以产生直接作用。由于“破坏”作为危害行为具有很强的包容性,“非法控制”可以理解为特殊行为,是导致网络罪名发生竞合的根本原因。因此,网络危害行为的类型化升级甚至重要,而且应当结合网络犯罪对象与网络安全法益作出同步的调整。(2)网络犯罪对象应当精确化。第286条是1997年刑法的产物,当时并未充分考虑到网络社会的高度发达以及网络犯罪的迅猛推进,犯罪对象是计算机信息系统及其运行安全。将“破坏”作为核心关键词,具有“兜底”之用,可以更好地涵盖第285条规定之外的其他计算机(信息)系统。易言之,“破坏”作为危害行为的实质内容,可以辐射范围较广的计算机信息系统及其运行情形。而且,《刑法修正案(七)》增加的第285条第2、3款仍以相同的犯罪对象为修改内容,导致后续增加的罪名与原有罪名之间容易出现竞合关系。相比之下,《刑法修正案(九)》的犯罪对象是信息网络及其管理秩序。[7]犯罪对象明显不同,相应的犯罪行为也不尽相同。由于注重设计新增罪名与既有罪名的罪状差异,避免了新旧罪名的行为竞合。第286条一共包括三款,各自的犯罪对象是系统功能、应用程序与数据,而其修改方向之一是拆分犯罪对象,拆分后的对象不应当存在重复或明显的交叉,力图避免与其他罪名的竞合。“流量劫持”的犯罪对象是信息系统与信息数据,考虑到第285条第2款可以保护网络系统安全法益,修改后的第286条便无需重复设置相同的犯罪对象。(3)具体网络安全法益的精细化。网络犯罪对象的精细化可以促使网络危害行为的类型化,而其前提是网络安全法益同步实现类型化,实现协同的效应。从而,可以在罪状层面实现无缝对接与内容整合,避免网络犯罪罪名的内部竞合,提高立法的科学化水平。总体而言:一方面,要逐步消除1997年刑法确定的计算机信息系统安全这一陈旧的法益内容。在网络空间社会全面覆盖之际,网络犯罪侵害网络安全法益,既包括网络信息安全,也包括大数据安全等。另一方面,不同的危害行为搭配不同的犯罪对象后,直接侵害的具体法益内容不尽相同。因此,直接法益的精细化至关重要,可以实现不同犯罪对象与危害行为的优化搭配。网络安全法益的类型化是合理布局网络犯罪立法的前提,从立法目的与立法技术层面可以预先排除竞合的概率。以《刑法修正案(九)》为例,新增加的第286条之一、第287条之一、第287条之二,将法益锁定为“信息网络安全管理秩序”,[8]分别通过拒不履行安全管理义务、非法利用的预备行为、非法的片面技术帮助行为共三种具体的危害行为类型加以体现,并作用于不同的信息对象。“流量劫持”主要破坏网络安全与信息系统的正常运行,更符合非法控制计算机信息系统罪保护的法益;第286条拆分后,具体法益的内容应当避免再次重复保护。
总之,“流量劫持”行为再次考验传统刑法理论应对新型网络安全风险的能力与适宜性。司法实践证明,传统刑法理念滞后与立法不足等老问题相继呈现。立法完善是解决“流量劫持”适法困难的终极途径,也再次说明传统刑法理论体系的“网络化”进化与变革应当加速推进。但是,依靠修修补补方式不足以应对现实挑战,网络犯罪立法需要有长远的规划、合理的布局,同步修改总则和分则的内容,协调立法修改与理论调整的步调。“网络刑法学”作为未来的刑法理论形态,是因应网络空间社会的“猜想”,具备自如应对诸如“流量劫持”等新问题与新挑战的能力,而有序的立法完善是促成“网络刑法学”实现的内生性动力。尽管如此,刑法解释、案例指导制度仍可以发挥一定的积极作用。
作者:孙道萃 来源:中国检察官·经典案例 2016年4期
