流量劫持作为一种新型计算机犯罪,根据技术手段及所造成的危害后果的不同,可分为域名劫持与链路劫持。纵观司法实践,刑法视域下流量劫持的入罪标准与罪名适用仍是颇具争议的焦点问题,亟待理论界与实务界予以厘清。关于流量劫持行为的入罪标准,应当提倡运用以法益侵害为指导的刑事违法相对论,入罪核心系判断行为是否侵犯了涉危害计算机信息系统类犯罪的保护法益;关于流量劫持行为的罪名选择,非法控制计算机信息系统罪、非法获取计算机信息系统数据罪、破坏计算机信息系统罪三者之间绝非排他互斥的关系,区分点在于前两种罪名本质上未对计算机信息系统造成破坏。此外,对破坏计算机信息系统罪中的法益判断应力戒当下实践中的过度抽象危险化倾向。
随着计算机网络技术的不断发展,大数据背景下的现代化网络是开放、庞大的巨系统,网络系统构成的复杂性导致了其内部不可避免的安全漏洞,大规模的数据共享、信息传输加剧了网络安全的风险隐患。在当下这个流量为王的时代,流量是互联网企业发展的重要利益载体,一个网站的用户量、浏览量愈大,其获得的投资就愈多,用户黏性与用户转化率亦随之增加。一旦失去了流量入口,互联网企业的衰败便不可避免。因此,为了实现引流效果最大化,网络黑灰产业链随之滋生,不法互联网经营者试图通过各种手段劫持他人流量从中获益,流量劫持行为日益猖獗。随着流量劫持行为社会危害性的加剧,对该类行为予以刑事规制逐步凸显必要性。因此,在刑法视域下,如何正确把握流量劫持的入罪标准及罪名适用,则是当下亟需厘清的问题。
何谓流量劫持,简单来说,是指未经用户许可,运用一定的技术手段,以广告弹窗、主页锁定、网页劫持、流量暗刷、静默安装等模式,来劫持用户远程控制用户的上网行为,违背用户真实访问意图,扰乱干扰用户的网上操作,甚至秘密收集用户个人信息和隐私。随着网络环境愈发复杂,流量劫持的行为模式也愈发多样化,包括浏览器快捷方式篡改、主页配置篡改、hosts劫持、DNS劫持、HTTP劫持、进程Hook、启动劫持、LSP注入、内核数据包劫持等等。在刑法视域下,根据流量劫持的技术手段及所造成的危害后果的不同,本文将流量劫持行为划分为域名劫持和链路劫持。二者的不同之处在于,一是域名劫持通常需通过破坏被劫持网站的服务器终端以达到劫持效果,而链路劫持则主要系在被劫持网站内诱导用户跳转至钓鱼网站;二是域名劫持通常使得用户无法到达目标网站,而链路劫持后用户仍然能够到达目标网站。
域名劫持是指行为人预先入侵并控制目标服务器,获得目标网站域名的解析记录控制权,再通过技术手段修改域名的解析对应结果,导致用户输入该域名进行访问时由目标网站IP地址转到指定的钓鱼网站IP地址,以实现违法获取他人流量的不法目的,该劫持模式的典型代表系DNS(Domain Name System)劫持。简单来说,以某搜索引擎为例,为了便于记忆,用户输入域名()即可访问互联网服务器,但此过程需通过DNS服务器获取域名对应的IP地址(119.75.217.109)来实现,在用户输入域名进行跳转等待的前1-2秒即域名到IP地址的转换过程,此为域名解析。域名解析的一大特点就是即使用户输入了相同的域名,但通过改变解析对应关系,用户访问的服务器IP地址则会发生变化。因此,域名劫持的技术原理系行为人非法获取权限,将用户输入的域名解析到错误的IP地址,使得用户无法访问目标网站,直接导致用户实际访问的钓鱼网站获取本不应获得的流量,甚至分析窃取用户的个人信息。
随着计算机技术的蓬勃发展,计算机域名的DNS管理服务器的安全性却未能受到应有的重视,大多数计算机域名都面临着DNS记录被篡改、服务器故障的风险。在2018年12月25日最高人民法院发布的第20批指导性案例中,第102号指导案例“付某、黄某破坏计算机信息系统案”即为典型的DNS劫持模式,在该案中,被告人使用恶意代码修改用户路由器的DNS设置,通过错误的域名解析使用户即使输入“等导航网站后却无法进行正确跳转,而是自动跳转至被告人设置的“”导航网站,至此实现了行为人的不法目的。
链路劫持又称数据劫持,该劫持模式则是在互联网服务器的数据到达用户所打开浏览器的过程中植入恶意设备,侦听用户与服务器之间的通信数据,达到窃取和篡改用户重要数据的目的。实践中的典型表现为以弹出新窗口的形式在目标界面展示宣传性广告或者直接显示某网站的内容,抑或进行挂马、钓鱼,以达到窃取银行账户或者个人信息的不法目的。由于该种情况通常出现在使用http协议明文传输数据的网站上,因此该种劫持模式又被称为http劫持。
在“陈敏、陈超龙等非法获取计算机信息系统数据、非法控制计算机信息系统案”中,二被告人共谋在互联网上发布虚假招嫖信息实施诈骗,并通过“菜刀”“御剑”“K8”等软件,非法获取网站的控制权限,在网站后台植入木马文件帮助发布虚假招嫖信息。该案即为通过挂马并植入广告的形式,诱导用户点击其指定的钓鱼网站从而获利。
在威科先行法律信息库中以“流量劫持”为全文模糊关键词,共检索出民事判决、裁定书164则,刑事判决、裁定书57则,行政处罚9则,可以看出尽管将流量劫持仅认定为不正当商业利益行为并予以民事规制仍是司法实践的主流做法,但对其予以刑法规制的司法动向初具雏形,同时该行为亦违反了治安管理处罚法,流量劫持系典型的民行刑交叉案件。尽管刑法理论关于刑民交叉、行刑交叉的相关研究已是一方膏腴之地,但流量劫持作为一种新型跨界犯罪,而司法者对流量劫持的技术分析和计算机犯罪相关罪名的条文理解仍有待完善,由此导致司法实践中关于流量劫持的入罪标准与罪名适用仍存分歧。
在流量劫持行为入刑之前,此类行为由于刑法的缺位,故均以民事手段加以制裁。但随着流量在互联网领域竞争力的日益提升,对于一些黑灰产业链地带,单纯的民事救济已无法实现公民个人信息的保护及网络生态环境的治理。作为保护公民权利与义务的最后一道屏障,在民事、行政法律的制裁效果不足以规制某种行为时,刑法有必要对其进行规制。但问题也随之而来,流量劫持的入罪标准是什么?
同样是未经用户同意的跳转行为,在“上海某网络科技有限公司与北京某移动科技有限公司、北京某安全软件有限公司其他不正当竞争纠纷案”中,被告公司利用其开发、运营的驱动精灵软件,在用户安装、运行驱动精灵软件的过程中,利用技术手段,在未经用户同意的情况下将用户在浏览器中设定的某网址导航主页变更为某网址大全,因此法院经审理认为二被告公司通过驱动精灵软件实施的擅自变更网络用户浏览器主页等行为,侵害了用户的知情权与选择权,构成不正当竞争行为。而上文提及的最高法指导案例第102号“付某、黄某破坏计算机信息系统案”中,法院认为使用恶意代码修改互联网用户路由器的DNS设置的系统对网络用户的计算机信息系统功能进行破坏,因而造成计算机信息系统不能正常运行,最终以破坏计算机信息系统罪对二被告人定罪处罚。
而同样是安装恶意软件、植入广告的行为,在“郑某行政处罚决定书”中,郑某伙同他人以安装流量劫持软件的方式,在用户访问网站的浏览器上增加广告透明层,从而获取某广告联盟推广流量提成获取非法利益,赚取广告费的行为被认定违反了治安管理处罚法第29条第2项,系行政违法行为。在上文提及的“陈某、陈超某等非法获取计算机信息系统数据、非法控制计算机信息系统案”中,该类行为则被认定为非法控制计算机信息系统罪。
从上述类比案例中可以看出,尽管流量劫持的行为方式相似,但实践中的制裁手段却大相径庭。在流量劫持行为已然涉刑的今天,对此类行为究竟应当以刑罚责难,抑或仅认定为民事不法或行政违法,仍旧存在界分模糊的问题。尽管最高法颁布的第102号指导案例明确了“通过修改路由器、浏览器设置、锁定主页或者弹出新窗口等技术手段,强制网络用户访问指定网站的‘DNS劫持’行为”构成破坏计算机信息系统罪,但由于该指导案例并未对流量劫持的行为模式作细致化区分,说理部分简化处理了流量劫持行为的定性问题,因此该指导案例在流量劫持行为模式复杂多变的情况下,未能起到充分释法说理的作用,民行刑之间的界限问题依旧未能解决。
刑法修正案(七)在第285条后增设“非法获取计算机信息系统数据罪、非法控制计算机信息系统罪”作第285条第2款、增设“提供侵入、非法控制计算机信息系统程序、工具罪”作第285条第3款。随着计算机犯罪相关罪名的增多,该些犯罪之间既有共性亦存个性,因此正确区分此罪与彼罪界限的前提是准确理解和把握刑法规定的各罪名之间的构成要件。
上文述及的笔者所检索到的刑事判决、裁定书58则中,涉非危害计算机信息系统类犯罪的判例34则,剩余24则判例对流量劫持行为的罪名适用存在巨大差异:认定非法控制计算机信息系统罪的判例6则、认定破坏计算机信息系统罪的判例10则、认定非法获取计算机信息系统数据罪的判例3则、认定非法侵入计算机信息系统罪的判例2则。此外,1则判例认定非法获取计算机信息系统数据罪及非法控制计算机信息系统罪;2则判例认定非法侵入计算机信息系统罪及非法控制计算机信息系统罪。鉴于非法侵入计算机信息系统罪的犯罪对象是国家事务、国防建设、尖端科学技术领域的计算机信息系统,故不在本文讨论范围内。因此,关于流量劫持行为罪名适用部分的争议,则集中在非法破坏计算机信息系统罪、非法控制计算机信息系统罪及非法获取计算机信息系统数据罪三者之间。
尽管全国首例流量劫持入刑案件被纳入指导案例,并以破坏计算机信息系统罪确认了DNS劫持的行为定性,但随后发生的第二、第三例流量劫持案,法院却分别以非法控制计算机信息系统罪及非法获取计算机信息系统数据罪论处。在第二例“施某等非法控制计算机信息系统案”中,被告人与他人合谋,先后几次通过修改互联网域名解析系统的配置文件,致使用户访问被劫持网站时,强行跳转到另外的页面,法院认为此种行为控制了互联网域名解析系统,因而认定被告人等人构成非法控制计算机信息系统罪。同样是在域名解析过程中通过修改路由器DNS设置致使用户无法访问被劫持网站的行为,却出现同案不同判的分流现象,既不利于实现个案正义,也不利于实现法秩序的统一。第三例“雷某、陈某等七人非法获取计算机信息系统数据案”中,被告人私自架设服务器,镜像上网用户的GET数据,并内设流量劫持程序,添加、修改上网用户访问百度时的GET数据,实现访问百度主页的用户被冠以被告人设定好的百度推广ID标识。在经历了一审与二审后,二审法院维持了一审判决,认定上述行为构成非法获取计算机信息系统数据罪。上述三则判例法律适用的巨大差异,不仅暴露了目前涉危害计算机信息系统类犯罪间的法条竞合、法益交叉等立法问题,本质上亦映射了新型计算机网络犯罪理论研究的待改进之处。
流量劫持行为入罪标准的辨析,本质上是该行为所涉罪名与其他法域交叉运用的逻辑厘清。事实上,由于法律思维方式的差异,在规制流量劫持时,民法、行政法与刑法在法秩序统一的基础上各有其侧重点。如果不能正确处理流量劫持的入罪标准,就会导致民事不法、行政违法与刑事犯罪的交织不清,继而导致法律适用错误、定罪量刑偏差的法律后果。笔者认为,运用刑事违法相对论解决流量劫持入罪标准的问题,既能契合刑法的谦抑理念,亦能更好地实现理论与实践的良性互动。
在流量劫持行为的规制过程中,尽管刑法的介入有其必要性与合理性,但并非所有违反其它部门法的行为皆具有刑事违法性,“刑法之所以作出不同于其他法领域的解释,是因为刑法并不是对违反民法、行政法的行为进行处罚,而是依据刑法本身来判定相关法益是否值得保护、是否受到侵害”。何种程度的不法才能被刑法评价为“值得用刑罚加以处罚”的行为?不同法域之间违法性判断的关系如何?该问题直接涉及违法一元论与违法相对论的刑法理论之争,也直接决定了流量劫持的入罪标准。
传统的“违法一元论”并未考量不同法域之间的目的与价值的差异,由此导致的直接弊端是刑法绝对依赖前置法,进而认为前置法违法必然推导出刑事违法,犯罪与一般违法仅是危害量的差别。尽管在传统理论的基础之上衍生出“缓和的违法一元论”,在刑法评价中加入可罚的违法性理论,但鉴于我国的犯罪构成要件体系不同于国外犯罪“只定性不定量”,故该理论要求在违法性阶段再区分“可罚的违法”与“不可罚的违法”在我国的刑事立法中难以独立判断。而“违法多元论”则属于另一种极端,认为刑法评价具有绝对的独立性,某行为即使具有前置法的违法性亦有可能在刑法层面被评价为不构成犯罪,该种理论俨然违反了法秩序统一的原则,亦不利于刑法法益的保护。
而以法益侵害为指导的违法相对论则能够很好地应对上述理论的缺陷。违法相对论认为,违法性概念共通于所有法域之间,故应坚持法秩序的统一性,从整体法秩序的视角进行违法性判断,但由于各个法域的规范目的与价值追求不同,所要求的违法性程度也当然不同,因而正面承认违法判断的相对性要更为“明快”。据此,刑法领域中的违法相对论可以理解为,在法秩序统一的基础上,不同部门法对于违法性的否定具有统一性,而对于违法性的肯定,刑法的评价具有相对独立性。
该理论的合理之处在于,其立足于法秩序统一的立场,兼顾了部门法的制约性与刑法的相对独立性。就部门法的制约性来看,从古代“出乎礼而入于法”到如今的“出乎他法而入于刑法”,刑法所坚守的即为其具有的最后保障功能,只有在其他部门法得到充分运用且规制不能的前提下,才能运用刑罚这一维护社会秩序最强有力的手段予以规制,因此被其他部门法评价为不具有违法性的行为不能在刑法上被认定为犯罪。就刑法的相对独立性来看,在法益保护主义的视角下,具有其他部门法不法性的行为不必然科以刑法上的否定评价。若被其他部门法评价为具有违法性的行为并未造成对刑法所保护法益的侵犯,则允许刑法作出不同于其他法域的独立评价。
在竞争法领域下,基于规范市场竞争秩序而搭建的反不正当竞争法的宗旨在于保护因不正当竞争而利益受损的主体,本质上系对商业道德的维护。2019年修订的反不正当竞争法第12条,其中第2款规定了“经营者不得利用技术手段,通过影响用户选择或者其他方式,实施下列妨碍、破坏其他经营者合法提供的网络产品或者服务正常运行的行为”,并通过“列举规定+兜底条款”的方式对互联网领域不正当竞争行为予以规制,其中第1项“未经其他经营者同意,在其合法提供的网络产品或者服务中,插入链接、强制进行目标跳转”规定了插入链接、强制进行目标跳转的两种流量劫持行为。由于插入链接、强制进行目标跳转的行为极有可能同时满足涉危害计算机信息系统类犯罪的构成要件,因此该行为模式下的流量劫持完全可能既构成不正当竞争行为,又成立犯罪。目前,存在观点将流量劫持分为硬性流量劫持与软性流量劫持,认为鉴于软性流量劫持一般并未采取技术手段破坏他人计算机系统,故构成不正当竞争,而硬性流量劫持则构成破坏计算机信息系统罪。亦有观点根据流量劫持的行为模式进行区分认定,认为域名劫持同时触犯了非法控制计算机信息系统罪及破坏计算机信息系统罪,应按照想象竞合犯的处罚原则,以破坏计算机信息系统罪定罪处罚,而链路劫持中用户系被强制“借道”,分流了网络供应商的客户访问量,应认定为不正当竞争行为。
侵犯计算机信息系统犯罪相关罪名所保护的法益为计算机信息系统的安全,此观点已成为学术共识。上述观点虽对于流量劫持的划分略有不同,但无论是依照行为手段划分,抑或依照行为模式划分,本质上仍彰显了刑事违法相对论的认定逻辑。根据刑事违法相对论,罪与非罪的核心观点仍系在法秩序统一的基础上,对行为是否侵犯了计算机信息系统的安全进行刑法评价。无论构成了本文所探讨的哪一类相关罪名,无疑都对计算机信息系统的安全造成了破坏。因此,流量劫持行为入罪的另一个问题便是对该类行为的法益侵害性的判断。
治安管理处罚法第29条明确规定了侵犯计算机信息系统的四种行为方式,除了第一种行为方式“违反国家规定,侵入计算机信息系统,造成危害的”之外,其余三种行为方式则同刑法第286条破坏计算机信息系统的前3款,行政违法与刑事犯罪的差别仅在于是否具备“后果严重”的情节。对于“后果严重”如何进行规范解释,行政违法与刑事犯罪的界限究竟是“量”的差别抑或“质”的突破,理论上存在“量的区别说”“质的区别说”两种观点。
“量的区别说”以违法一元论为基础,其核心论点是前置法“定性”、刑事法“定量”,即行政违法与刑事犯罪的区别界限,在于违法程度和危害程度的差别。“质的区别说”以违法相对论为基础,立足于刑法的规范保护目的,认为刑法更注重实质判断,而实质判断正具有将虽然具备构成要件但不具有法益侵害性的行为排除在犯罪之外的功能。笔者认为,若认为行政违法与刑事犯罪的界限仅存在量的区别是极为不妥的,此种区分不仅有机械释法之嫌,且无法契合刑事司法实践要求。只有认为行政违法与刑事犯罪之间存在质的区别,才能在契合法秩序统一的原理下,做出独立的、实质的刑法判断。
首先,前置法领域对于法秩序违反的认定,采用的是形式思维,只要违反了相关行政法律规范,即一种“不服从”,此种判断逻辑与刑法的实质判断逻辑相差甚远。尽管刑法基于罪刑法定的原则在具体罪名构成要件的认定中亦需在逻辑位阶上前置进行形式判断,但该判断需基于已侵犯罪名所保护法益的基础之上进行。因此,尽管量的区别说能够直观地根据程度的不同区分入罪与否,提高司法效率,然而若仅拘泥于形式判断,则缺乏实质违法性的价值评价,导致不当扩大刑罚处罚范围,将一些并未侵犯法益的行为科以刑责。
其次,量的区别说无法有效处理实践中的具体适用问题。例如在“陈启商等破坏计算机信息系统案”中,被告人对某客户端App炒股大赛页面广告位进行劫持,用户访问该炒股大赛页面时,页面会强制弹出被告人设置的某网网店广告,影响炒股大赛页面的正常显示。一审法院在认可被告人等人的流量劫持行为未造成某网运营计算机信息系统无法正常运行后,依据“该行为造成某App炒股大赛页面出现空白、强制弹出弹窗广告等后果,致使部分用户访问某App炒股大赛页面、进行相应操作的目的未能实现”,认定上述行为造成其他严重后果,构成破坏计算机信息系统罪。二审法院亦支持了一审法院观点,认为上诉人“违反国家规定,对计算机信息系统中传输的数据进行修改、添加等操作,危害网络安全,造成其他严重后果,其行为已构成破坏计算机信息系统罪”,进而对“其他严重后果”的解释为“流量劫持行为持续时间长,涉及范围广,不仅影响到用户的上网体验,更威胁到网络运行的数据安全”,据此认为原审认定其行为造成其他严重后果,并无不当。该案显然采用了量的区别说的思维模式,认为涉案行为在违反了前置法规定的基础上,随着行为持续时间的增长和涉及范围的扩大即可实现量变到质变的突破,最终构成破坏计算机信息系统罪。而实际上,无论涉案行为持续时间多长、涉及范围多广,该案行为均无法造成东方财富网运营计算机信息系统无法正常运行的后果,没有侵犯破坏计算机信息系统罪的法益,自然远未达到刑法苛责的范围。因此,流量劫持行为入刑需跳脱出形式判断,“无不能产生有”,违反了前置法的行为在没有侵犯刑法保护法益时,法律评价必须止步于刑法,量的区别说在实务运用中欠缺合理性。
鉴于治安管理处罚法更强调对国家相关管理秩序的维护,只要存在违反治安管理处罚法的行为便是对行政管理秩序的违反,其立足点与刑法完全不同,如若刑法评价完全依附于行政评价,那么则完全丧失了刑法评价的相对独立性,“是否构成犯罪并不直接取决于这种行政不法‘量’的多少,而是要看行为是否侵犯了秩序背后的法益”。因此,在上述“陈启商等破坏计算机信息系统案”中,被告人等人流量劫持行为构成破坏计算机信息系统罪的入罪核心,是判断上述行为是否侵犯该罪保护的法益,即计算机信息系统的安全。在法院审查后得出“被告人陈某某等人的流量劫持行为未造成东方财富网运营计算机信息系统无法正常运行”后,依据质的区别说,则无须进行后续认定,合理出罪。
鉴于非法控制计算机信息系统罪与非法获取计算机信息系统数据罪的设立初衷在于弥补破坏计算机信息系统罪的处罚漏洞,因此实践中三者之前不可避免地出现重合、交叉情况。并且就危害计算机信息系统类犯罪行为的路径而言,往往需经过侵入、控制、获取最终至破坏的系列路径,或仅止于控制、获取,或已达到破坏程度,危害程度的不同决定着罪名适用的不同。
所谓“非法控制”,是指通过某些技术手段,操控权利人的计算机信息系统,使得控的计算机信息系统能够接受其发出的指令,完成相应的操作活动。而“非法控制”的本质,依据最高人民法院胡云腾法官所言,系“未经授权或者超越授权,控制计算机信息系统执行特定的操作”。关于控制程度,存在观点认为应对非法控制计算机信息系统罪中的非法控制行为,作严格的限定解释,本罪中的非法控制行为应当具有排他性支配程度,或者是严重占用权利人计算机系统资源。在检索判例后发现,6则构成本罪的判例中,典型的单纯捕获“肉鸡”的行为亦会被认定为属本罪中的“非法控制”。例如“吴某、贺某、付某等非法控制计算机信息系统罪案”中,被告人购买被非法控制的“web-shell”(网站后台的管理权限),以达到为某赌博网站进行网络推广的非法目的。在该案中,即使流量劫持的行为未对权利人的计算机系统达到排他的控制程度,亦最终被二审法院认定为构成本罪。可以看出,刑事司法活动中亦倾向于将此种情形归于非法控制的范围内。
然而笔者认为,将远程使用控制权且不干扰权利人使用的情形排除在本罪之外,不仅会脱离“控制”的文本之义,不当限缩本罪的适用范围,将一些无需由刑法苛责的情形涵盖在内,并且排他控制权利人的计算机信息系统必然会导致计算机系统无法正常运行,一旦要求构成本罪需排他控制权利人的计算机信息系统,则会导致控制与破坏的界限更加暧昧,同时亦会进一步导致本罪与破坏计算机信息系统罪的适用难题。
所谓“非法获取”,包括从他人计算机信息系统中窃取,如直接侵入他人计算机信息系统,秘密复制他人存储的信息;也包括骗取,如设立假冒网站,在受骗用户登录时,要求用户输入账号、密码等信息。仅“知悉”状态是否构成本罪,需取决于行为人是否经授权获取数据。若行为人侵入权利人的计算机信息系统,即使仅知悉数据,没有取得对数据的实际占有,仍属于非法获取他人数据;然而,若某企业技术人员知悉注册用户的账号密码,则不属于非法获取他人数据;但若该技术人员进一步通过其他技术手段拷贝、下载等方式获取用户的其他数据,则属于超越权限非法获取他人数据。“北京某科技股份有限公司、周某、黄某等非法获取计算机信息系统数据罪案”中,被告单位在经营过程中获取运营商服务器的登录许可,后恶意部署计算机应用程序采集并保存、调用运营商服务器中的用户登录×××数据等信息,后开展精准广告营销业务过程中,通过×××数据非法登录用户账号,爬取用户订单信息、强制添加好友、强行推送广告。法院经审理认为,“数据的采集、保存行为系超越授权的操作,且直接服务于后续的数据非法使用,应认定为具有刑事违法性”。由此可知,非法获取计算机信息系统数据罪的核心系超越授权范围之外或未经授权,当下实际控制或将来随时可以占有使用权利人计算机信息系统内相关数据的状态。
正如上文所言,非法控制计算机信息系统罪与非法获取计算机信息系统数据罪的设立有效惩治了利用计算机信息系统实施远未达到破坏计算机信息系统罪的行为,但是三者之间绝非排他互斥的关系,而是存在竞合部分。与“控制”“获取”不同,“破坏”的典型行为表现为对计算机信息系统功能进行删除、修改、增加、干扰,在“某有限责任公司等破坏计算机信息系统罪案”中,辩护人发表辩护意见认为该案应定性为非法控制计算机信息系统罪,法院经审理后则认为被告单位制作、传播的源代码程序既具有非法控制他人计算机信息系统的功能,也具有破坏他人计算机信息系统的功能,仅以非法控制计算机信息系统罪来评价被告单位的上述行为不完整、不全面,从本案而言,该源代码程序的非法控制功能服务于破坏功能,二者之间具有手段和目的的牵连关系,因而对于制作、传播该源代码程序的行为应采用从一重处罚的原则。在流量劫持行为中,不仅会产生“控制”与“破坏”的竞合,亦会产生“获取”与“破坏”的竞合,尽管在刑法理论中涉危害计算机信息系统类犯罪罪名并非典型的牵连犯,但在实务中应当严格审视,谨防将本具有牵连关系的两个独立行为数罪并罚。
刑法的任务是什么,理论上存在法益保护说与规范维持说两种观点。曾经,法益保护说一度占据有利地位,然而随着近年风险社会的到来,规范维持说对法益保护说造成了客观有力的冲击。规范维持说对法益保护说的批判点在于,后者意味着当启动刑罚时,法益已经受到侵害,此时刑法仅能起到事后追诉与处罚的作用,对法益的实际保护十分有限。而规范维持说强调“刑法禁止特定行为”,存在两种类型,一类认为犯罪的本质在于对规范的违反,刑法的目的即为保护规范;另一类不反对刑法的目的在于保护法益,但主张同时考虑行为的规范违反性,试图在事前发挥刑法的规范作用,进而能够更好地保护法益。
法益保护说与规范维持说的冲突直接体现在对刑法第286条第2款的理解。该条前3款规定了构成破坏计算机信息系统罪的三种行为方式,分别为:(1)对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行;(2)对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作;(3)故意制作、传播计算机病毒等破坏性程序,影响计算机系统正常运行。上述三种行为方式虽呈耦合形态,却唯有第二种行为方式未规定是否需造成计算机信息系统不能正常运行的具体危险,由此导致了理论界与司法界的争议,即该条第2款的行为,是否至少需要具备一定的“破坏性”?
通过检索案例可知,现有流量劫持的司法判例对构成第286条第2款的行为,均采用了抽象危险化的法益判断方式:
案情:被告人与被告单位开发回头客劫持系统2.0版本,并将劫持代码挂到客户公司网站,用户通过百度搜索进入上述网站后,点击回退按钮无法回到百度搜索页面,而是跳转到被告人指定的客户公司网站,强制用户访问目标网站。
裁判观点:被告单位利用劫持代码,对计算机信息系统中存储、处理的数据进行修改、增删的操作,后果严重,构成破坏计算机信息系统罪。
案情:被告人对某客户端App炒股大赛页面广告位进行劫持,用户访问该炒股大赛页面时,页面会强制弹出被告人设置的淘宝网网店广告,影响炒股大赛页面的正常显示。
裁判观点:一审法院认为,被告人等人的流量劫持行为虽然未造成该网站运营计算机信息系统无法正常运行,但因流量劫持行为造成该炒股大赛页面出现空白、强制弹出弹窗广告等后果,致使部分用户访问炒股大赛页面、进行相应操作的目的未能实现,上述流量劫持行为严重干扰了用户上网体验,侵害了这部分用户正常浏览和使用操作该APP的合法权利,造成了该App对受流量劫持干扰的部分用户未能发挥相应功能,影响了网站经营者的合法经营;二审法院认为,流量劫持行为持续时间长,涉及范围广,不仅影响到用户的上网体验,更威胁到网络运行的数据安全,原审认定其行为造成其他严重后果,并无不当。
对比以上案例,可见目前的司法实践在认定涉及刑法第286条第2款的行为时,并不会预先判断流量劫持行为是否造成计算机信息系统不能正常运行,而是仅依据行为方式符合该罪的条文规定加以认定。而在“陈启商等破坏计算机信息系统案”中,一审法院甚至肯定了被告人等人的行为并未造成网站运营计算机信息系统无法正常运行,却转而将“操作目的未能实现”“干扰用户上网体验”“影响网站经营者的合法经营”等概括的影响等同于破坏计算机信息系统罪中对计算机系统的破坏,实则有类推解释之嫌。可见,由于流量劫持行为所涉侵犯计算机信息系统的罪名皆通过空白刑法规范与行政法规相衔接,因此在入罪过程中可能会陷入“以刑代罚”的误区,即只要形式上行为满足刑法具体条文的规定,则不考虑行为是否实际造成法益侵害,运用规范维持说认定为犯罪行为,由此产生的结果即为对此类空白罪状的解释过程中出现法益的过度“抽象危险化”理解。
在理论探究层面,亦有学者认为,该条第2款中的“后果严重”不包括造成计算机信息系统的正常运行,而是主要指用户重要的计算机数据和资料遭到不可恢复的严重破坏,影响其正常的工作和生活,因数据和应用程序被破坏而造成重大经济损失等。办理“陈启商等破坏计算机信息系统案”的法官甚至撰文表示“若行为导致计算机用户的终端显示,特别是作为网站的基本元素并承载各种网站应用平台的网页显示遭受破坏,使该部分用户上网体验遭受损失及其目的无法实现的,便可以认为计算机网络通信系统功能不能正常运行”。司法实践及上述解读实际上已肆意扩大了破坏计算机信息系统罪的保护法益,由计算机信息系统的安全扩大至包括计算机信息系统数据和应用程序的数据法益,甚至将用户的上网体验皆纳入其中,更强调规范的维持而非法益的保护,导致了该罪的“口袋化”倾向。实际上,“刑法第286条破坏计算机信息系统罪主要是针对系统本身的破坏,而非仅仅对数据完整性或数据效用的侵害”。笔者亦认为,对破坏计算机信息系统罪的适用,尤其是其中第2款行为的认定,尤其应当避免片面强调规范违反,而忽视了行为的法益侵害性。
首先,一味强调规范本身的重要性,在某些情况下将会不当扩大刑罚的处罚范围,即一行为即使没有侵犯法益,也可能动用刑法处罚。然而,即便是规范维持说,也未完全否定法益保护的价值。应当说,即使是规范的维持,最终目的仍然是为了保护法益,一行为若不具有法益侵害性,无论其行为方式多么贴合罪状表述,都不可能入罪。
其次,即便是行政犯,其目的也并非仅在于强制国民服从命令,而是为了保护某种权利或利益。侵犯计算机信息系统犯罪相关罪名皆为行政犯,因此有观点认为行政犯具有天然的法益性欠缺属性,仅指对国家行政法规的单纯不服从,行政犯中无法坚持法益的价值衡量及其对犯罪成立的限制作用。事实上,行政犯与抽象危险犯从来就非等同关系,只是包含了对行政法规范的一定违反性。即使是行政犯,也存在其特定的法益保护对象,“维护规范效力只是一种表面现象,真正的目的仍然是保护法益”。
最后,对法益侵害应进行实质性解释。不可否认,单纯对某种秩序的违反抑或对某种社会关系的破坏,也同样具有一定的“危害性”,如将这类秩序与关系理解为刑法所保护的法益,似乎也并无不妥。例如,金融犯罪破坏了“金融管理秩序”,职务犯罪侵犯了“国家工作人员职务行为的廉洁性”……然而,如果将此类“危害”视同判断某一行为是否需要入罪时的“法益侵害”,则势必造成犯罪圈 的无限扩大。例如,冒用他人信用卡的行为属信用卡诈骗行为,信用卡不得借予他人使用,也为信用卡管理规范所明文规定。而若据此将亲属间借用信用卡的行为一概入罪,显然有违公众的普遍感情及社会的朴素正义观念。任何不法行为,均会触及现有秩序的边沿,也均可能改变既存的某种社会关系。因此,在法无特别规定的前提下,应仅指具有实害性的侵害。
针对此,最高人民法院曾于2020年12月29日发布了第26批指导性案例,其中指导案例第145号“张竣杰等非法控制计算机信息系统案”即明确了“对目标服务器的数据实施了修改、增加的侵犯行为,但未造成该信息系统功能实质性的破坏,或不能正常运行,也未对该信息系统内有价值的数据进行增加、删改,其行为不属于破坏计算机信息系统犯罪中的对计算机信息系统中存储、处理或者传输的数据进行删除、修改、增加的行为,应认定为非法控制计算机信息系统罪”。由此可见,最高人民法院亦支持破坏计算机信息系统罪保护的法益仅为信息系统本身,而非意图保护由此衍生的数据或应用程序。
近年来,随着流量劫持行为的频发,以及最高人民法院第102号指导性案例的颁发,我国司法机关惩治网络流量造假的力度大大增加,涉危害计算机信息系统类犯罪的罪名也被广泛运用其中。然而,首先需要明确的是,鉴于第102号指导性案例系DNS劫持,仅系若干流量劫持行为模式中典型的具有刑事违法性的行为,而司法实践中,流量劫持的行为模式形态各异,不能因流量劫持足以入罪而将其他并不具有刑事违法性的流量劫持行为均予以刑事手段制裁。在判断过程中,不仅需充分发挥行政法、反不正当竞争法的事前规制和事后救济功能,只有在其他部门法管控失灵的情况下,方可考虑借助刑法对相关行为予以处罚,还应当结合涉危害计算机信息系统类犯罪罪名的构成要件对流量劫持行为作实质判断,通过刑法的二次评价将尚未侵犯相关法益的行为排除在刑事犯罪范畴外。在罪名选择上,要防止破坏计算机信息系统罪的口袋化倾向,即使流量劫持行为具有构成该罪的外观,也要严格把握该罪的规范构造,将破坏计算机信息系统罪的保护法益限缩于防止计算机信息系统功能遭受实质性的破坏。
原标题:《王思维 桂雅婷|刑法视域下流量劫持行为的规制路径——以涉危害计算机信息系统类犯罪的24则刑事判例为视角》
本文为澎湃号作者或机构在澎湃新闻上传并发布,仅代表该作者或机构观点,不代表澎湃新闻的观点或立场,澎湃新闻仅提供信息发布平台。申请澎湃号请用电脑访问。