刑法教義學視角下流量劫持行為的性質探究

葉良芳

摘要：流量劫持是強制用戶訪問某些網站或網頁的行為，根據對用戶上網自主權侵犯程度的不同，可以將其劃分為域名劫持和鏈路劫持兩種類型。域名劫持行為通過修改用戶計算機信息系統的數據，使用戶不能訪問目標網站或網頁，既觸犯了非法控制計算機信息系統罪，又觸犯了破壞計算機信息系統罪，應按想象競合犯的處斷原則，以破壞計算機信息系統罪論處。鏈路劫持行為僅對用戶上網造成一定的干擾，法益侵害程度較低且不能充足相關犯罪的構成要件，因而不應以犯罪論處。但這種行為侵犯了網絡服務提供商的公平競爭利益，構成不正當競爭。

關鍵詞：流量劫持；域名劫持；鏈路劫持；非法控制計算機信息系統罪；破壞計算機信息系統罪

中圖分類號：DF626文獻標識碼：A文章編號：1003-0751（2016）08-0045-05

一、問題的提出

2015年5月20日，全國首例流量劫持案在上海市浦東新區人民法院宣判。被告人付某、黃某被認定實施了破壞計算機信息系統罪。該案（以下簡稱付某案）的基本事實是：2013年年底至2014年10月，付某、黃某等人租賃多臺服務器，使用惡意代碼修改互聯網用戶路由器的DNS（域名系統）設置，使用戶登錄“2345.com”等導航網站時跳轉至其設置的“5w.com”導航網站，其再將獲取的互聯網用戶流量出售給杭州久尚科技有限公司（系“5w.com”導航網站所有者），違法所得合計75萬余元。①

2015年11月11日，全國第二例流量劫持案在重慶市渝北區人民法院宣判。被告人施某、唐某、高某、李某被認定實施了非法控制計算機信息系統罪。該案（以下簡稱施某案）指控的事實有四項：（1）2013年，施某接受李某的邀約，商定由施某利用其某有限公司重慶網絡監控維護中心核心平臺部員工的職務便利，進入該公司的DNS系統實施DNS域名劫持，成功后以0.5萬元/天的標準獲得報酬。2013年4—6月，施某在該公司的DNS系統中修改域名解析配置文件，將欲劫持的網站域名指向由高某等人所發IP地址，高某與李某因此分別獲得利潤7萬元，高某與李某按約定支付施某現金7萬元。（2）2014年2—7月，施某采用同樣方法，將欲劫持的網站域名指向高某所發的IP地址，高某因此獲取收益11萬余元，高某向施某支付報酬39.5萬元。（3）2013年10—12月、2014年3—5月、2014年8—10月，施某采用同樣方法，將欲劫持的網站域名指向李某所發的IP地址，李某因此獲取非法利益7萬元，李某向施某支付報酬35.91萬元。（4）2014年7月，唐某在互聯網上結識了趙某，二人商定由唐某負責收集“xx”“xxx”“xxxx導航”“xxxx”四個網站域名的IP訪問流量，趙某由此獲得上述網站的推廣費后支付唐某相應的報酬。之后，唐某邀約施某采取DNS流量劫持的方式獲取上述四個網站域名的IP訪問流量。2014年9—12月，施某在其公司的DNS系統中修改域名解析配置文件，當該公司的互聯網用戶直接訪問上述四個網站域名時，經過施某修改的DNS系統會自動加入推廣商的代碼，致使用戶實

際上通過趙某提供的網站域名訪問到上述四個網站。為此，上述四個網站根據訪問量支付趙某推廣費，趙某再向唐某支付報酬共計164萬余元，唐某向施某支付報酬共計74.69萬元。②

上述兩個案例開創了對流量劫持行為追究刑事責任的先河，具有十分重要的啟示意義。然而，在刑法教義學視野下，一個繞不開的問題是，對于流量劫持行為，究竟應以破壞計算機信息系統罪定性，還是應以非法獲取計算機信息系統數據、非法控制計算機信息系統罪定性？在施某案中，前三項指控事實與付某案指控事實基本相同（區別僅在于修改用戶DNS時所用的服務器是行為人租賃的還是其任職公司的，這顯然不屬于犯罪構成事實，不應影響定性），因此可以說，施某案與付某案屬于同案。但同案何以不同判，定性何以不同？施某案的第四項指控事實具有不同于前三項的特點（前三項是域名劫持，第四項是鏈路劫持），法院卻對四項指控事實作同樣的定性，這在犯罪構成上需要進一步厘清。

二、流量劫持的含義及類型

所謂流量劫持，是指利用各種惡意軟件修改瀏覽器、鎖定主頁或不停地彈出新窗口等方式，強制網絡用戶訪問某些網站或網頁，從而造成用戶流量被迫流向特定網站或網頁的行為。這種行為造成的情形有：用戶想要打開A網站，卻莫名其妙地跳轉到B網站；用戶鎖定了C網頁為默認主頁，卻鬼使神差地變成了D網頁；用戶想要下載E軟件，下載完后卻發現變成了F軟件；用戶想要打開一個應用，卻跳出一大堆煩人的廣告；等等。流量劫持與偷流量有著本質不同。所謂偷流量，是指未經合法用戶的許可，私自通過其網絡通道訪問互聯網，造成其流量損失的情形。申言之，偷流量相當于盜竊，是對網絡用戶流量的秘密竊取行為；流量劫持相當于綁架，是對網絡用戶流量的公然強制行為。

目前，在互聯網空間中，流量劫持者、流量中介人、流量購買方已經形成了一條龐大的地下黑色流量產業鏈。據不完全統計，全國僅以DNS劫持方式劫持的流量每天就有近千萬個IP。流量劫持之所以成為一個久治不愈的頑疾，與其背后巨大的經濟利益有密切關聯。眾所周知，所謂流量，是指互聯網中的訪問量。流量相當于一個互聯網入口，而互聯網入口能夠決定用戶的行為習慣和上網方式。在大數據時代，互聯網入口具有極高的經濟價值。例如，目前各種手機應用軟件的基本模式就是根據下載量來計算推廣費用，假設一個應用網站界面的獨立訪客數量為每天20萬人次，那么，只要有5%的訪客點擊下載網站界面推薦的應用軟件，推廣商就可以憑此獲得20萬元回報。下載量取決于點擊量，點擊量取決于訪問量，這就是一些不法分子劫持用戶的流量，強制其訪問特定網站或網頁的經濟誘因。

流量劫持有多種表現形態，從不同的角度可以進行不同的劃分。以實施主體為標準，可以將其劃分為網絡服務提供商劫持和第三方劫持；以劫持技術為標準，可以將其劃分為DNS劫持、CDN（內容分發網絡）劫持、網關劫持等。本文主要探討流量劫持的刑事定性問題，因而以行為的危害后果為標準，即根據流量劫持行為造成危害后果的輕重程度不同，將其分為域名劫持和鏈路劫持。域名劫持，是指通過DNS劫持、植入插件等手段，強制用戶偏離目標網站或網頁而進入指定網站或網頁的行為。這是一種針對DNS解析的常見劫持方式。正常情況下，用戶在瀏覽器輸入網址，向網絡運營商發出一個HTTP請求，后者會通過域名解析，提供網絡服務器的IP地址，將用戶導向預定的網站或網頁。但在域名解析被劫持的情況下，目標域名被惡意地解析到其他IP地址，用戶被迫進入其他網站或網頁，因而無法正常上網。鏈路劫持，是指通過跳出彈窗廣告、下拉框、菜單、關鍵詞等手段，誘導用戶先經過中間網站或網頁，然后進入目標網站或網頁的行為。這種劫持主要針對明文傳輸的內容：當用戶發起HTTP請求，服務器返回頁面內容時，鏈路劫持者使服務器經過一個中間網絡，頁面內容被篡改或加塞，強行插入彈窗、廣告等，造成訪問干擾。在域名劫持的情形下，用戶根本不能進入目標網站或網頁，實現不了預期上網目的，其上網自主權被嚴重侵害。在鏈路劫持的情況下，用戶雖然被誘導進入中間網站或網頁，但仍能到達目標網站或網頁，上網自主權并沒有被侵害。從刑法教義學視角看，需要研究的是：這兩種劫持行為是否構成犯罪；如果構成犯罪，則各自觸犯了何種罪名。endprint

三、對域名劫持應認定為破壞計算機信息系統罪

從付某案和施某案的前三項指控事實來看，行為人均實施了使用惡意代碼修改互聯網用戶路由器的DNS設置的行為，從而使用戶被強制進入指定網站，未能實現預期上網目的。這種流量劫持行為嚴重侵犯了用戶的上網自主權，應屬于域名劫持。對于域名劫持行為，上海市浦東新區人民法院將其認定為破壞計算機信息系統罪，而重慶市渝北區人民法院卻將其認定為非法控制計算機信息系統罪，究竟哪一個法院的定性是正確的呢？對此，需要結合刑法條文和相關司法解釋進行具體分析。

根據我國《刑法》第285條第2款的規定，非法獲取計算機信息系統數據、非法控制計算機信息系統罪的客觀行為有兩種表現：一是獲取計算機信息系統中存儲、處理、傳輸的數據；二是對計算機信息系統實施非法控制。根據我國《刑法》第286條第1款的規定，破壞計算機信息系統罪的客觀行為有三種表現：一是對計算機信息系統的功能進行刪除、修改、增加、干擾，造成計算機信息系統不能正常運行；二是對計算機信息系統中存儲、處理、傳輸的數據和應用程序進行刪除、修改、增加的操作；三是故意制作、傳播計算機病毒等破壞性程序，影響計算機系統正常運行。比較這兩個罪名的行為類型，二者的界限還是比較清晰的：非法獲取計算機信息系統數據、非法控制計算機信息系統罪的特點在于控制，即將他人的計算機信息系統（包括其中的數據）當作本人所有而加以使用或操作，至于有無破壞、干擾計算機信息系統的正常運行則在所不問；而破壞計算機信息系統罪的特點在于破壞，即損壞他人計算機信息系統的軟件或硬件，使其不能正常運行，至于是否控制他人計算機信息系統則在所不問。申言之，非法侵入計算機信息系統后并未破壞計算機信息系統的功能或者數據，而是通過控制計算機信息系統實施特定操作的行為，屬于“非法控制計算機信息系統”。③例如，獲取數據的行為，原則上應認定為非法獲取計算機信息系統數據罪；修改數據和程序的行為，制作、傳播病毒的行為，以及刪除、修改計算機系統功能的行為，原則上應認定為破壞計算機信息系統罪。

一個比較復雜的問題是，對于非法控制計算機信息系統的行為如何定性？所謂非法控制，是指通過各種技術手段使他人的計算機信息系統處于行為人的掌控之下，能夠接受行為人發出的指令，完成相應的操作活動。④根據控制的程度不同，非法控制可以分為完全控制和不完全控制。不完全控制雖然沒有徹底排除權利人的控制權，但在一定程度上影響其操作，因而也是一種非法控制。例如，通過在他人的計算機信息系統中植入木馬程序，指揮其實施網絡攻擊活動等。木馬程序是一種基于遠程控制的黑客工具，其特點是隱蔽性和非授權性，計算機信息系統被植入木馬程序后，系統本身的運行沒有任何問題，但系統的控制權已被部分剝離。從司法實踐來看，在單純的非法控制行為或單純的破壞行為之外，還存在這兩種行為交錯并存的現象。非法控制行為既可能通過破壞計算機信息系統而實現非法控制，也可能不通過破壞計算機信息系統而實現非法控制。同樣，破壞行為既可能通過破壞計算機信息系統而實現對其非法控制，也可能并不對計算機信息系統本身進行控制，而是破壞計算機信息系統，造成其功能全部或部分紊亂。筆者認為，不通過破壞計算機信息系統而實現非法控制的行為應歸屬于非法控制計算機信息系統的行為；僅破壞計算機信息系統但未實現對其非法控制的，應歸屬于破壞計算機信息系統的行為；通過破壞計算機信息系統進而實現非法控制的，應歸屬于破壞計算機信息系統的行為。之所以如此界定，是因為破壞行為注重的是行為手段，非法控制則強調結果狀態，刑法對這兩種行為的評價重點不同，因而設置了不同的罪名。但是，破壞行為可能帶來控制后果，控制后果也可能是破壞行為所致，二者在同一行為事實中完全可能并存。當非法控制計算機信息系統這一結果狀態是破壞計算機信息系統的行為造成時，就構成了想象競合。對此，根據想象競合犯的處斷原則，應擇一重罪處斷。比較我國《刑法》第285條、第286條設置的法定刑，破壞計算機信息系統罪的法定刑明顯重于非法控制計算機信息系統罪的法定刑，因而當某一行為觸犯這兩個罪名時，應當以破壞計算機信息系統罪論處。

在付某案和施某案的前三項指控事實中，行為人使用惡意代碼修改互聯網用戶路由器的DNS設置，從而導致用戶上網時被引導到其強制指定的網站，不能正常上網。從某種角度來看，既然用戶上網被“綁架”，不能自由地瀏覽網頁，當然是被非法控制了。事實上，行為人已經控制了用戶計算機系統的域名解析系統且后果嚴重，因而觸犯了非法控制計算機信息系統罪。但是，行為人使用惡意代碼修改互聯網用戶路由器的DNS設置，該行為是否又屬于我國《刑法》第286條規定的破壞計算機信息系統罪呢？對此需要進一步分析。首先，可以肯定的是，這是一種破壞計算機信息系統的行為。其次，行為人并未傳播計算機病毒等程序，因而其行為顯然不屬于“故意制作、傳播計算機病毒等破壞性程序”。再次，行為人使用惡意代碼修改用戶路由器的DNS設置（其中有存儲的數據），這屬于“對計算機信息系統中存儲、處理或者傳輸的數據和應用程序進行刪除、修改、增加的操作”。最后，行為人修改用戶路由器的DNS設置是通過操控網絡服務提供商的計算機終端進行的，是對網絡服務提供商的計算機信息系統功能的修改和干擾，因而可以認定為“對計算機信息系統功能進行刪除、修改、增加、干擾”。以上四方面分析表明，使用惡意代碼修改互聯網用戶路由器的DNS設置的行為，完全可以被我國《刑法》第286條所涵攝。

需要說明的是，雖然修改DNS設置的行為直接針對的是域名解析服務器、路由器等基礎設施，而非計算機信息系統本身，但這些設施是計算機信息系統正常運行所必不可少的附屬設備，因而對這些設施功能的破壞完全可以認定為對計算機信息系統功能的破壞。對此，2011年8月最高人民法院、最高人民檢察院發布的《關于辦理危害計算機信息系統安全刑事案件應用法律若干問題的解釋》第4條第1款亦明確規定，“對二十臺以上計算機信息系統中存儲、處理或者傳輸的數據進行刪除、修改、增加操作的”，“造成為一百臺以上計算機信息系統提供域名解析、身份認證、計費等基礎服務或者為一萬以上用戶提供服務的計算機信息系統不能正常運行累計一小時以上的”，屬于破壞計算機信息系統的功能、數據或者應用程序的行為。endprint

綜上，使用惡意代碼修改互聯網用戶路由器的DNS設置的行為破壞了計算機信息系統的正常功能，觸犯了破壞計算機信息系統罪。行為人基于爭搶客戶流量的非法目的，實施了一個犯罪行為，但觸犯了兩個不同的罪名，應當根據想象競合犯的處罰原則，以破壞計算機信息系統罪這一重罪論處。

四、對鏈路劫持應認定為不正當競爭行為

在施某案的第四項指控事實中，行為人通過修改域名解析配置文件，誘導用戶通過其指定的網站域名訪問目標網站。在這種情形下，用戶上網并不存在實際障礙，上網目的仍能實現，只是被強制“借道”。這種流量劫持行為并不妨礙用戶的上網自主權，因而應歸屬于鏈路劫持。

對于鏈路劫持，重慶市渝北區人民法院認定為非法控制計算機信息系統罪，這是否準確，值得進一步探究。如前所述，非法控制計算機信息系統罪的特點在于完全或部分操控他人的計算機信息系統。而在施某案中，是否開機、是否關機、是否上網、上哪個網站等完全取決于用戶的意愿，行為人沒有任何施加干預的能力。行為人所能干預的，是在用戶上網時強制其經過特定的通道——行為人指定的網站域名，但對用戶的上網速度、瀏覽體驗、費用支付等并無任何實際影響。考慮到這種“搭便車”行為對用戶計算機信息系統的操作和運行的控制極其微弱，對用戶上網自主權的侵犯幾乎沒有，因而不宜認定為非法控制計算機信息系統罪。

對于鏈路劫持行為，是否可以認定為破壞計算機信息系統罪呢？本文亦持否定觀點。如前所述，破壞計算機信息系統罪在客觀方面必須實施我國《刑法》第286條規定的三種行為之一，而鏈路劫持行為并未制作、傳播計算機病毒等破壞性程序，因而不屬于該罪的第三種行為類型。這一行為也不屬于該罪的第一種、第二種行為類型。根據我國《刑法》第286條，無論是對計算機信息系統的功能進行刪除、修改、增加、干擾，還是對計算機信息系統中存儲、處理、傳輸的數據和應用程序進行刪除、修改、增加操作，都必須“后果嚴重”，才構成犯罪。在施某案中，行為人在DNS系統中修改域名解析配置文件，強行加入推廣商代碼，這屬于“對計算機信息系統的功能進行修改”和“對計算機信息系統中存儲的數據進行修改”，但這樣的修改并未造成計算機信息系統不能正常運行，因而不具備“后果嚴重”的要件，不應認定為破壞計算機信息系統罪。

當然，鏈路劫持行為干擾了網絡服務提供商的合法經營活動，分流了其網絡客戶訪問量，侵犯了其商業利益，故應認定為不正當競爭。在施某案中，如果沒有行為人修改域名配置文件的行為，用戶上網就將全部經過網絡服務提供商提供的域名網站而非行為人提供的域名網站，網絡服務提供商的交易機會就將大大增加，因此，鏈路劫持行為構成不正當競爭，應依據反不正當競爭法予以處理。

應當注意的是，施某案中的鏈路劫持行為具有一定的特殊性，即其是通過修改計算機信息系統的功能來實現分流客戶的目的的。這種行為對計算機信息系統的功能是有影響的，具有一定的破壞性。實踐中，更常見的鏈路劫持行為（如通過誤導性廣告、下拉提示詞、吸附懸浮窗等方式誘導用戶進入特定網站，從而達到分流客戶的目的）一般缺乏這種輕度破壞性，因而危害性更低。最典型的鏈路劫持行為是，行為人使用競爭對手的產品或服務的關鍵詞作為自己的檢索關鍵詞，如“百度訴奇虎360違反Robots協議案”“天貓和淘寶訴‘幫5買網站劫持流量案”中就存在這種情形。這種情形下用戶對進入行為人誘導的網站、購買行為人推薦的商品是存在明確認知的，用戶的上網自主權并未受到任何侵犯，只是在上網途中被“強制推銷”，因而更不宜將這種情形下的鏈路劫持認定為犯罪。但是，這種在他人商業區域內恣意爭搶交易機會的行為破壞了公平競爭秩序，侵犯了他人商業利益，因而構成不正當競爭。“這種行為即使沒有導致消費者發生混淆，但在客觀上會使得消費者發生‘分流，從而在減少他人商業機會的基礎上增加自己的出場概率，實為‘從競爭對手那里搶奪商業機會，此消彼長，一舉兩得。”⑤對于這種不正當競爭行為，予以一定的監管是必要的，但尚無動用刑法的必要。尤需強調的是，根據我國現行法律，對于這種行為，并沒有一個合適的罪名可以適用。

五、結語

長期以來，對于流量劫持行為，網絡服務提供商主要依靠技術監管和民事訴訟手段來維護合法權益。從有效治理的角度，充分發揮行政法、民商法的事前規制和事后救濟功能應是今后努力的方向。當然，刑法的事后威懾功能也是不可或缺的。不過，在決定動用刑法時，應當秉承法條至上、規則主義和嚴格解釋原則，抑制刑事類推和寬泛解釋的沖動。這也是刑法教義學的要義所在。“刑法教義學將現行刑法視為信仰的來源，現行刑法的規定既是刑法教義學者的解釋對象，也是解釋根據。在解釋刑法時，不允許以非法律的東西為基礎。對刑法教義學者而言，現行刑法就是《圣經》。”⑥流量劫持行為的表現形態多樣、危害程度不一，在對個案進行刑事歸責時，既要厘清行為事實能否為刑法條文所涵攝，又要考察解釋結論能否維護刑法規范的效力。⑦

注釋

①參見《付某某、黃乙破壞計算機信息系統一審判決書》，中國裁判文書網，http：//wenshu.court.gov.cn/content/content？DocID=89496fcc-189d-49e2-8c53-2bdf19d51434，2015年8月11日。②參見《施碩等非法控制計算機信息系統一審判決書》，中國裁判文書網，http：//wenshu.court.gov.cn/content/content？DocID=13d9d7ce-3f31-4718-9af2-4395948a7cc5，2015年12月18日。③參見喻海松：《〈關于辦理危害計算機信息系統安全刑事案件應用法律若干問題的解釋〉的理解與適用》，《人民司法》2011年第19期。④參見全國人大常委會法制工作委員會刑法室編：《〈中華人民共和國刑法〉條文說明、立法理由和相關規定》，北京大學出版社，2009年，第591頁。⑤袁博：《論“流量劫持”的民刑法律責任》，《上海法治報》2015年11月25日。⑥馮軍：《刑法教義學的立場和方法》，《中外法學》2014年第1期。⑦例如，我國《刑法》第285條、第286條中的“計算機信息系統中存儲、處理或者傳輸的數據”是僅限于從外部采集后輸入系統的數據，還是包括系統運行過程中自行產生的痕跡、記錄等數據？對此，從刑法教義學的視角考察，這兩個條文的規范目的是“維護計算機信息系統正常運行”，無疑應將其中的“數據”限制為從外部采集后輸入系統的數據。

責任編輯：鄧林endprint