主題：“流量劫持”的刑法規制及完善*

文◎孫道萃

主題：“流量劫持”的刑法規制及完善*

案名：被告人付某、黃某破壞計算機信息系統罪案集

文◎孫道萃**

通過民事手段規制“流量劫持”行為，可以保護用戶自主使用權和市場正常經營秩序。“流量劫持”嚴重破壞網絡安全，應當入罪處罰，可能構成非法控制計算機信息系統罪、破壞計算機信息系統罪以及破壞生產經營罪。提供“流量劫持”技術或幫助實施“流量劫持”也涉嫌構成犯罪。“流量劫持”兼具非法控制和破壞行為的屬性，導致罪名之間出現競合。對此，應當通過立法擴大法益范圍與優化行為類型加以化解，司法解釋和案例指導制度可以輔助解決。

流量劫持非法控制破壞司法競合立法完善

一、兩份“流量劫持”有罪判決引發的思考

案件一：從2013年底至2014年10月，被告人付某等人租賃多臺服務器，使用惡意代碼修改互聯網用戶路由器的DNS設置，進而使用戶登錄“2345.com”等導航網站時，跳轉至其設置的“5w.com”導航網站，再將獲取的互聯網用戶流量出售給“5w.com”導航網站所有者杭州某公司。經查，兩名被告人違法所得達75.47萬余元。法院審理認為，被告人付某、黃某違反國家規定，對計算機信息系統中存儲的數據進行修改，后果特別嚴重，已構成破壞計算機信息系統罪。［1］

案件二：2008年10月起，被告人施某在中國某有限公司重慶網絡監控維護中心核心平臺部工作，負責業務平臺數據配置。2013年2月至2014年12月，被告人施某等人為謀取非法利益，違反國家規定，先后對某重慶分公司互聯網域名解析系統 （DNS）進行非法控制，施某等人分別獲利157萬余元不等。法院認為，被告人施某等共同違反國家規定，非法控制計算機信息系統的域名解析系統，后果特別嚴重，構成非法控制計算機信息系統罪。［2］

“流量劫持”作為新型的網絡不正當競爭行為，長期處于刑事制裁的邊緣。前述兩個案件是龐大的“流量劫持”現象中的兩個特例，也是目前僅有的兩個有罪判決。其中，案件一被公認是國內首例“流量劫持”案。有罪判決具有鮮明的先例效應，成為今后追究 “流量劫持”行為刑事責任的司法標桿。但是，在作為犯罪論處時，尚有諸多新問題需要厘清和解決。比如，同為以DNS攻擊實施的“流量劫持”危害行為，兩個有罪判決的定性存在較大差異。既暴露非法控制計算機信息系統罪與破壞計算機信息系統罪的司法競合問題，也折射出當前立法應對新型網絡犯罪的規范不足，更反映網絡犯罪理論研究的深層次短板。

二、“流量劫持”的民事規制乏力

所謂“流量劫持”，一般是指“利用各種惡意軟件修改瀏覽器、鎖定主頁或不停彈出新窗口，強制用戶訪問某些網站，從而造成用戶流量損失的情形”。當前，可以分為域名劫持與數據劫持兩大類型。典型的劫持方式包括DNS域名解析、植入木馬、彈窗與廣告插件等，具體做法包括Hub嗅探、MAC欺騙、MAC沖刷、ARP攻擊、DHCP釣魚、DNS劫持、CDN入侵、路由器弱口令、路由器CSRF、PPPoE釣魚、蜜罐代理、WiFi弱口令、WiFi偽熱點、WiFi強制斷線、WLAN基站釣魚等。但是，“流量劫持”作為嚴重的網絡技術失范行為，并非純粹的“偷流量”，“偷流量”中的“流量”一般是指網絡流量或手機流量等，在實踐中可能涉嫌構成盜竊罪或非法獲取計算機信息系統數據罪。

“流量劫持”現象早已有之，甚至已經變成網絡空間安全的“毒瘤”。《中國互聯網法律與政策研究報告(2013)》指出，流量劫持作為新型的網絡不正當競爭行為，亟待立法規制。［3］但是，長期以來，主要依靠兩種民事救濟方式：（1）民事起訴索賠。在“3B”大戰一案中，360對百度搜索結果進行標注甚至篡改，并向用戶宣傳安裝360瀏覽器，百度因此向法院起訴360。法院認定，360以用戶安全為名義，對百度搜索結果進行插標，干擾他人互聯網產品或服務的正常運行，判決其賠償百度40萬元。2015年底，百度與搜狗圍繞“流量劫持”問題再次“互撕”。法院認定搜狗構成不正當競爭，責令賠償經濟損失。隨后，今日頭條、美團大眾點評網、360、騰訊、微博、小米科技發布《六公司關于抵制流量劫持等違法行為的聯合聲明》。（2）民事訴前禁止令的先例。在2015年的“雙十一”來臨之際，天貓、淘寶向浦東法院提出訴前行為保全申請，請求法院禁止兩家公司繼續以 “幫5淘”（“幫5買”網站推出的“幫5淘”網頁插件，名為比價軟件，實為劫持流量的惡意插件，安裝后很難卸載。）網頁插件的形式，對申請人實施不正當競爭行為。最終法院支持淘寶的訴前禁止令的請求。

當前，通過民事救濟方式規制“流量劫持”行為，對維護互聯網企業的公平競爭秩序有積極意義，卻忽視用戶的合法權益，更忽視保護網絡安全的重要意義。然而，厚此薄彼的做法無法實現最大的治理效益。反而，由于刑法并無相關的直接規定，單純民事救濟手段容易導致“流量劫持”遁入“無法”的空間地帶，間接充當縱容其成為網絡環境下快速牟利的違法犯罪手段的幫兇。

三、“流量劫持”的刑事制裁原理

“流量劫持”首先侵犯用戶、企業以及第三人的合法自主使用權益，也破壞網絡市場經營秩序，更嚴重破壞網絡空間安全。因此，民事救濟方式具有局限性，將其入罪是刑法積極維護網絡空間安全的必然體現。

（一）并非所有的“流量劫持”行為都應當入罪

“流量劫持”單純作為網絡技術行為而言，具有一定的中立性。然而，當其作為排斥競爭對手和牟取非法競爭利益時，則可能屬于不正當競爭行為，甚至涉嫌構成犯罪。由此，部分嚴重的“流量劫持”行為可能構成犯罪。一般而言，“流量劫持”在實施方法或實現技術上可以分為軟性與硬性兩種。軟性的“流量劫持”并未采取技術手段侵入計算機信息系統，而是采取核心關鍵詞的替換等手段，典型的如“3B”大戰一案，一般應當定性為不正當競爭行為。硬性的“流量劫持，是指采取破壞計算機信息系統正常運行的方式劫持流量，應當構成犯罪。換言之，當采用DNS劫持、用戶端植入插件或代碼等手段時，往往屬于硬性的“流量劫持”，可能涉嫌破壞計算機信息系統安全，目前的兩個有罪判決即是示例。無論屬于軟性還是硬性的“流量劫持”，對于用戶而言，往往只能選擇民事救濟手段，除非伴隨獲取個人信息與竊取財產等危害行為。這也是民事救濟方式的弊端之一所在。

（二）“流量劫持”構成破壞計算機信息系統罪的理由

當前，刑法并未規定“流量劫持”中的“流量”屬于財產，用戶流量流失以及各方遭受的經濟損失也難以歸入財產犯罪。但是，硬性的“流量劫持”行為客觀上導致計算機信息系統被植入惡意軟件，并危害網絡的正常運行，是對計算機信息系統的破壞。換言之，采取域名解析等技術手段方式時，必然對網絡用戶的計算機信息系統中存儲、處理的數據進行修改、增刪等行為，從而具備破壞計算機信息系統罪的客觀要件。從網絡技術的屬性看，“流量劫持”的本質是數據沒有加密保護，傳輸中機密性和完整性就可能受損。據此，“流量劫持”破壞正常或完整的網絡數據運行與程序活動，也直接破壞網絡空間安全。因而，構成破壞計算機信息系統罪。

（三）“流量劫持”構成非法控制計算機信息系統數據罪的理由

在案件二中，雖然也采用DNS域名解析的方式，但法院最終認為構成非法控制計算機信息系統罪。其合理性在于：“流量劫持”首先表現為非法控制互聯網域名解析系統，同時致使用戶訪問被劫持的網站時，強行跳轉到另外的頁面，用戶實際訪問的頁面與用戶輸入的網址不同；或者致使在用戶訪問網站時，自動加入推廣商的代碼。這其實違背計算機信息系統合法用戶的意愿，恣意操作該計算機信息系統或掌握其活動的行為。易言之，“流量劫持”行為未經權利人允許，違背用戶與企業意愿，采取非法代替操作、非法掌握用戶與企業的運行行為及數據等技術手段，導致正常的網絡運行控制權喪失，［4］已經完全“非法控制”計算機信息系統。因此，構成非法控制計算機信息系統罪，但與破壞計算機信息系統罪產生競合問題。

（四）“流量劫持”涉嫌構成破壞生產經營罪

“流量劫持”作為典型的網絡流氓行為，實質是通過的網絡技術手段，保持非法的壟斷地位或非法侵占其他競爭對手的網絡資源并牟取暴利。作為新型的網絡不正當競爭行為，嚴重干擾正常的網絡市場經營秩序，同時侵犯消費者的合法權益。特別是在“互聯網+”時代，網絡流量成為信息服務與數據競爭的核心因素，放任“流量劫持”行為不管，將嚴重破壞互聯網企業、用戶與第三方之間的良性網絡競爭環境。因此，即使不采取破壞計算機信息系統等硬性方式實施，“流量劫持”也可能涉嫌構成破壞生產經營罪，而非必然只能由民事救濟手段介入。但是，破壞生產經營罪的制定背景仍然是傳統的現實物理社會，導致對網絡經濟的兼容性明顯不足，明顯匱乏規制新型網絡經濟犯罪的能力。［5］由此，傳統意義的破壞生產經營罪介入“流量劫持”缺乏有效的規范依據，除非進行“網絡化”改造并植入網絡因素。

（五）提供“流量劫持”與幫助實施行為涉嫌構成犯罪

當前，兩個有罪判決主要是對使用“流量劫持”行為加以制裁。但是，提供“流量劫持”技術或幫助實施“流量劫持”的行為同樣值得處罰。首先，提供或明知他人實施侵入和非法控制計算機信息系統的，提供DNS等硬性的“流量劫持”程序或工具的，在達到情節嚴重時，構成《刑法》第285條的 3款規定的提供侵入、非法控制計算機信息系統程序、工具罪。其次，當明知他人利用“流量劫持”等手段實施犯罪的，提供互聯網接入、服務器托管、網絡存儲等技術支持或其他技術幫助的，構成第287條之二規定的幫助信息網絡犯罪活動罪。顯然，已有的兩個有罪判決并未介入。

總之，“流量劫持”是嚴重的網絡不正當競爭行為，明顯干擾正常的網絡市場經營秩序。然而，單純依靠民事救濟方式并不妥當，既忽視用戶的自主權，也忽視網絡安全的重要地位。無論是硬性還是軟性的“流量劫持”行為，都可能侵犯網絡安全刑法法益，受害者不再是獨立的用戶、企業或者市場經營秩序。這正是上升到刑事制裁層面的根本理由。兩個有罪判決聚焦非法控制計算機信息系統罪與破壞計算機信息系統罪并無不當，卻也遺漏“流量劫持”嚴重破壞網絡市場經營秩序的客觀事實，破壞生產經營罪的“網絡化”轉型刻不容緩。此外，對于非法提供“流量劫持”技術和幫助實施“流量劫持”的嚴重行為，應當加以處罰。

四、“流量劫持”的立法規制完善

“流量劫持”的適法困難暴露了網絡犯罪立法規定仍有漏洞，司法競合現象也暗示網絡犯罪立法規定有待升級整合。現行刑法仍以傳統物理現實社會為制定背景，逐漸脫離網絡空間社會的代際變遷與新型需要。傳統刑法理論體系的“網絡化”是必然的發展趨勢，“流量劫持”可以作為轉型的一個切入口。

（一）司法競合的客觀必然性及其克服

對于“流量劫持”行為，實踐中長期依靠民事規制手段有其客觀性。除了網絡安全保護思維更新遲緩外，刑法立法的不足是重要內因。進言之：（1）1997年《刑法》第286條早就規定破壞計算機信息系統罪，但是，司法機關一直未啟用，首先表明尚未充分認識到網絡安全的重要性、網絡安全威脅的多樣化。目前，盡管已有按照破壞計算機信息系統罪論處的判決，然而，擱置第286條而長期不啟用，更從側面反應司法保護理念的遲延，以及網絡犯罪立法更新的不足。（2）《刑法修正案（七）》增加第285條第2款并確立非法控制計算機信息系統罪，“非法控制”作為危害行為的關鍵詞，從規范角度可以闡明“流量劫持”作為技術危害行為的本質特征，是其被援引的主要原因。雖然豐富定罪的選項，卻引發了非法控制計算機信息系統罪與破壞計算機信息系統罪的司法競合難題。這說明立法修改未能全盤考慮，修改的“碎片化”痕跡過重。（3）破壞計算機信息系統罪與非法控制計算機信息系統罪，分別是1997年《刑法》與《刑法修正案（七）》的產物。相隔十二年的兩個罪名，在互聯網發生了翻天覆地的巨變之際，發生競合現象，充分說明立法更新不足是重要的內因，已有立法規定對新生事物的適宜性不斷下降。為此，應當從立法方面加以解決。（4）盡管立法完善是最終途徑，然而，暫時可以考慮由最高人民法院或最高人民檢察院發布指導性案例，發揮案例指導制度在解決新型、疑難、典型案件的法律適用上的獨特作用。實際上，已有的兩個有罪判決可以作為發布指導案例的來源，以此明確適用的法理基礎與區分標準。

（二）危害行為競合是實質內容

從當前兩個有罪判決看，其實各有道理：（1）“流量劫持”既符合“非法控制”的危害行為特征，也滿足“破壞”的危害行為屬性。從“非法控制”與“非法破壞”的內在邏輯看，應當是特殊與普遍的關系，“非法控制”顯然可以作為“破壞”的特殊行為對待。因而，論處非法控制計算機信息系統罪更妥。（2）從法定刑的檔次看，破壞計算機信息系統罪嚴于非法控制計算機信息系統罪。如果遵循競合形態一般所主張的“從一重處罰”原則，更宜論處破壞計算機信息系統罪。然而，同案同判的效果終至落空，不利于法治的統一。據此，非法控制與破壞都可以概括在“流量劫持”的技術特征與危害結果，是競合的實質內容。進而，也促發兩個關聯法條之間的競合，也即究竟是特殊優于普通、還是重法優于輕法的分歧，實踐中可能基于重罰的立場而選擇后者，卻也忽視危害行為類型才是最重要的區分因素。（3）對于兩個有罪判決暴露的競合問題，刑法解釋幾乎鞭長莫及。無論將“流量劫持”嚴格解釋為“非法控制”計算機信息系統的行為，還是限制解釋為“破壞”計算機信息系統的行為，都難逃司法競合的命運。因此，刑法解釋在解決傳統刑法理論的網絡化問題時較為乏力。

（三）立法完善的基本思路

為了充分提升刑法保護網絡安全的針對性，為了從立法環節克服“適用困難”現象，立法完善是避免當前處置“流量劫持”等新型問題時出現競合難辨的合理出路。簡言之：（1）優化網絡危害行為的類型結構。1997年刑法以計算機1.0時代為背景，第285條和第286條的犯罪對象以及犯罪客體大同小異，危害行為分別是“侵入”和“破壞”。但是，從語言邏輯與罪狀內容看，“破壞”可以包含任何網絡危害行為，人為制造了競合的內因。經過《刑法修正案（七）》修改后，第285條第2款、第3款分別增加 “非法控制”、“非法獲取”以及“非法提供”,但是，“破壞”仍可以包含新增的危害行為。［6］畢竟立法理念與技術并未脫離1997年刑法及其制定背景。《刑法修正案（九）》再次修改后，由于聚焦以信息網絡為核心的網絡2.0時代，所以，犯罪對象和犯罪客體發生了一定的變化。第286條之一、第287條之一、第287條之二分別增加“拒不履行”、“非法利用”和“幫助”三種具體行為，從而與“破壞”保持相對的界限。然而，對于“流量劫持”的規范評價而言，《刑法修正案（九）》對危害行為的補強難以產生直接作用。由于“破壞”作為危害行為具有很強的包容性，“非法控制”可以理解為特殊行為，是導致網絡罪名發生競合的根本原因。因此，網絡危害行為的類型化升級甚至重要，而且應當結合網絡犯罪對象與網絡安全法益作出同步的調整。（2）網絡犯罪對象應當精確化。第286條是1997年刑法的產物，當時并未充分考慮到網絡社會的高度發達以及網絡犯罪的迅猛推進，犯罪對象是計算機信息系統及其運行安全。將“破壞”作為核心關鍵詞，具有“兜底”之用，可以更好地涵蓋第285條規定之外的其他計算機（信息）系統。易言之，“破壞”作為危害行為的實質內容，可以輻射范圍較廣的計算機信息系統及其運行情形。而且，《刑法修正案（七）》增加的第285條第2、3款仍以相同的犯罪對象為修改內容，導致后續增加的罪名與原有罪名之間容易出現競合關系。相比之下，《刑法修正案（九）》的犯罪對象是信息網絡及其管理秩序。［7］犯罪對象明顯不同，相應的犯罪行為也不盡相同。由于注重設計新增罪名與既有罪名的罪狀差異，避免了新舊罪名的行為競合。第286條一共包括三款，各自的犯罪對象是系統功能、應用程序與數據，而其修改方向之一是拆分犯罪對象，拆分后的對象不應當存在重復或明顯的交叉，力圖避免與其他罪名的競合。“流量劫持”的犯罪對象是信息系統與信息數據，考慮到第285條第2款可以保護網絡系統安全法益，修改后的第286條便無需重復設置相同的犯罪對象。（3）具體網絡安全法益的精細化。網絡犯罪對象的精細化可以促使網絡危害行為的類型化，而其前提是網絡安全法益同步實現類型化，實現協同的效應。從而，可以在罪狀層面實現無縫對接與內容整合，避免網絡犯罪罪名的內部競合，提高立法的科學化水平。總體而言：一方面，要逐步消除 1997年刑法確定的計算機信息系統安全這一陳舊的法益內容。在網絡空間社會全面覆蓋之際，網絡犯罪侵害網絡安全法益，既包括網絡信息安全，也包括大數據安全等。另一方面，不同的危害行為搭配不同的犯罪對象后，直接侵害的具體法益內容不盡相同。因此，直接法益的精細化至關重要，可以實現不同犯罪對象與危害行為的優化搭配。網絡安全法益的類型化是合理布局網絡犯罪立法的前提，從立法目的與立法技術層面可以預先排除競合的概率。以《刑法修正案（九）》為例，新增加的第286條之一、第287條之一、第287條之二，將法益鎖定為“信息網絡安全管理秩序”，［8］分別通過拒不履行安全管理義務、非法利用的預備行為、非法的片面技術幫助行為共三種具體的危害行為類型加以體現，并作用于不同的信息對象。“流量劫持”主要破壞網絡安全與信息系統的正常運行，更符合非法控制計算機信息系統罪保護的法益；第286條拆分后，具體法益的內容應當避免再次重復保護。

總之，“流量劫持”行為再次考驗傳統刑法理論應對新型網絡安全風險的能力與適宜性。司法實踐證明，傳統刑法理念滯后與立法不足等老問題相繼呈現。立法完善是解決“流量劫持”適法困難的終極途徑，也再次說明傳統刑法理論體系的“網絡化”進化與變革應當加速推進。但是，依靠修修補補方式不足以應對現實挑戰，網絡犯罪立法需要有長遠的規劃、合理的布局，同步修改總則和分則的內容，協調立法修改與理論調整的步調。“網絡刑法學”作為未來的刑法理論形態，是因應網絡空間社會的“猜想”，具備自如應對諸如“流量劫持”等新問題與新挑戰的能力，而有序的立法完善是促成“網絡刑法學”實現的內生性動力。盡管如此，刑法解釋、案例指導制度仍可以發揮一定的積極作用。

注釋：

［1］王治國：《瀏覽器主頁被篡改鎖定終于有人管了》，載《人民法院報》2015年11月11日。

［2］［2015］渝法刑初字第00666號。

［3］張維：《流量劫持客戶端干擾等亟待規制》，載《法制日報》2014年7月16日。

［4］黃太云：《〈刑法修正案（七）〉解讀》，載《人民檢察》2009年第17期。

［5］孫道萃：《破壞生產經營罪的網絡化動向與應對》，載《中國人民公安大學學報》（社會科學版）2016年第1期。

［6］孫道萃：《移動智能終端網絡安全的刑法應對——從個案樣本切入》，載 《政治與法律》2015年第11期。

［7］趙秉志：《中國刑法的最新修正》，載《法治研究》2015年第6期。

［8］高銘暄、馬克昌主編：《刑法學》（第七版），北京大學出版社、高等教育出版社2016年版，第535頁。

*本文系2015年度最高人民檢察院理論研究所重點課題《檢察機關對行政執法活動的監督》(課題編號：GJ2015B02)的階段性研究成果。
**華南理工大學法學院講師，華南理工大學互聯網法律研究中心成員，法學博士［510006］