法学研究

流量劫持行为在计算机犯罪中的定性研究

肖 怡

摘 要:实践中对流量劫持行为的刑法定性存在争议,尤其在破坏计算机信息系统罪与非法控制计算机信息系统罪的认定上。破坏计算机信息系统罪须要出现计算机信息系统不能正常使用的严重后果,而非法控制计算机信息系统罪并不须要,虽然其中也可能存在“破坏”行为,但是一种广义的“破坏”,是为达到非法控制计算机目的而必须存在的“更改”行为。此时的“破坏”与非法控制行为之间成立法条竞合关系,适用特别法优于普通法,以非法控制计算机信息系统罪认定。只有当“破坏”程度达到“后果严重”时才出现非法控制计算机和破坏计算机两罪的想象竞合关系,从一重罪。流量劫持行为在刑法上应该进行分类定性,才能符合两种流量劫持行为的差异以及两罪在犯罪构成上的区别。

关键词:流量劫持;破坏计算机;计算机病毒

随着网络的快速发展,劫持流量成为一些网站增加用户访问量、取得更高广告费的惯用手段,有的甚至已经形成一条庞大的流量劫持的地下黑色产业链,严重影响到了计算机用户的上网体验,甚至有泄露个人信息的风险,当然也会严重影响其他网络服务提供商的市场份额,破坏公平竞争。正因为流量劫持行为的社会危害性愈演愈烈,司法对其容忍度已经退无可退,实践中对该行为从公民民事救济,到政府行政处罚,再发展到刑事责任追究。最高人民法院2018年12月公布的指导案例已经充分表明了司法将流量劫持行为入刑的态度。尽管如此,流量劫持行为在刑法中如何定性仍然在考验着传统刑法理论应对新型侵害网络安全行为的适应能力,对于流量劫持行为的各种表现能否为刑法条文所涵盖,我们的解释结论能否实现刑法立法的目的,都值得进一步探究。

一、何为流量劫持行为

(一)流量劫持行为的定义

流量是指互联网的访问量,网络服务提供者一般会提供基础性的服务来积累自己的用户资源,通过提高访问量后就可以通过广告收费达到盈利目的,所以,流量具有极高的经济价值,成为网络公司的重要资源。

而流量劫持行为,是指利用各种恶意软件修改浏览器配置,或者在功能软件上捆绑插件,俗称“变现软件”,用户下载功能软件时即静默下载捆绑插件,然后插件在后台修改或者锁定用户浏览器主页或搜索网站启动页,用户无法删除和更改,或者是自动弹出广告窗口,甚至强制计算机用户访问指定网站或网页,从而造成用户流量被劫持到特定网站或网页。行为人再将劫持获得的流量予以变现,即卖给广告商或者软件推广商等流量需求者,最后实现流量变现的目的,获取不菲的经济利益。

而一旦用户的计算机流量被他人劫持,就会出现诸如用户浏览器主页或者启动页在不知情情况下被修改,点击某个网页或者不点击网页也会跳出来删不掉的广告框,甚至指定前往A网站或网页却只能出现B网站或网页等现象,不同程度地影响了网络用户计算机的正常使用。

实践中有人总把流量劫持与流氓软件、恶意软件的概念相提并论。借助部分学者对相关概念的学理界定,在此做个概念的厘清。流氓软件是指“依托于技术手段,借助广告等社会工程的传播途径,在用户不完全知情或者完全不知情的情况下,强行或者秘密安装到用户计算机上。安装后它可能导致电脑运行变慢、浏览器异常甚至造成系统破坏、硬盘损坏等问题的出现。”李领臣:《流氓软件的法律规制——基于立法论和解释论的视角》,《法治论丛》2007年第2期。当流氓软件发挥强行弹出广告框以及篡改浏览器配置,使用户的浏览器被锁定到某个指定网站或者网页,达到支配用户流量分配的效果时,即成了流量劫持的工具,也有人将之称为“变现软件”,这是种介于病毒和正规软件之间的软件。但是,还有些流氓软件甚至可能被用来收集用户信息,窃取用户隐私,传递用户计算机使用和上网习惯。诸如强制安装“后门程序”,用以收集用户信息,黑客就利用该程序来进行网络诈骗等犯罪活动。再如有的程序采用毁灭式技术攻击杀毒软件,一旦用户电脑有安装杀毒软件或者正在运行杀毒软件,该恶意程序就会自动运行直至计算机死机。这类流氓软件远不止达到流量劫持的效果,还逐渐呈现出病毒化趋势,因此,部分流氓软件仅是可以实现流量劫持目的的一种工具,而另一部分流氓软件却可能达到病毒软件同等的破坏性效果。

恶意软件的定义可以借助2006年11月22日在“中国互联网协会反恶意软件协调工作会议”上对“恶意软件”的界定,是指在未明确提示用户或未经用户许可的情况下,在用户计算机或其他终端上安装运行,侵害用户合法权益的软件,但不包含中国法律法规规定的计算机病毒。特征是强制安装、难以卸载、浏览器劫持、广告弹出、恶意卸载、恶意捆绑。任何之一即可。李领臣:《流氓软件的法律规制——基于立法论和解释论的视角》,《法治论丛》2007年第2期。可以看出,恶意软件和流氓软件在概念上有交叉,都有达到流量劫持效果的作用。若严格限制恶意软件的非病毒程序特征,则流氓软件的范围包含恶意软件。

(二)经用户许可后更改浏览器首页不属于流量劫持行为

在一些变现软件中,捆绑插件的功能软件在安装时,会明确告知用户一旦安装该功能软件,就会更改用户浏览器首页,用户是在点击“许可”的前提下才发生浏览器主页更改。这种情况貌似与劫持流量行为没有关系。但是在实务中,一旦这种捆绑到功能软件上的插件存在“静默下载”的时候,司法实践往往会出现争议和偏差,因为用于更改主页的捆绑插件是在用户不知情的状况下在后台自动下载完成的。捆绑插件具有修改浏览器主页功能,这与功能软件的作用又完全不同,导致实务中出现把这种捆绑插件的静默下载认定为传播破坏性程序的犯罪行为的做法。

但笔者认为,应该将经过用户许可更改浏览器首页的行为从流量劫持行为中排除出去。因为,这是用户在知晓这一插件带来的效果的前提下主动点击安装时,才可能出现捆绑插件的下载,继而出现更改浏览器首页的效果,且捆绑插件作用仅限于此。该效果是用户明知且同意的,即使功能软件上捆绑的插件在后台静默下载,用户从外观并不能感知。但是该插件下载后所能达到的效果和目的,用户是明知且同意的,并主动点击“同意”时,才能启动的下载、安装,继而更改首页的一系列行为。如果把用户看不见界面的下载叫作静默下载,那事实上用户在操作计算机的过程中确实不可能看见后台所有的程序运行情况,只要程序运行最后的结果是为用户知晓并许可的,就不应该被认定为是具有破坏性的程序。

综上,经过用户许可修改浏览器首页之后,在被用户自行修改后未经许可又强行再次改回来的情况下,前面第一次经过许可情况下更改主页获取流量的部分;未经用户许可更改主页,用户又另行选择其他首页更改后,不再强行将用户更改后的首页再次改回指定首页的行为——这些都不应该被认定为是流量劫持的行为。

(三)流量劫持行为的分类

流量劫持主要分为两种方式:第一种方式是指通过修改浏览器配置或者静默植入捆绑插件强行修改用户浏览器主页或者搜索启动页,或者通过强行跳出弹窗广告等手段,使用户上网时必须先经过一个指定的中间网络,然后才能正常进入目标网站或网页。第二种方式是指通过植入插件等手段修改用户计算机信息系统的数据,强制用户访问某些网站或网页,在用户用A导航网站时会强行跳转到B网站。有学者将前者称为链路劫持,后者为域名劫持。叶良芳:《刑法教义学视角下流量劫持行为的性质探究》,《中州学刊》2016年第8期。两种流量劫持行为对用户上网自主权侵犯的程度有所不同,即造成的社会危害性大小不一。在法律评价上会影响对计算机信息系统的正常使用造成破坏性效果的判断。

二、流量劫持行为刑法定性的现状研究

(一)司法实务的处理态度

起初,由于流量劫持手法的隐蔽性、证据认定的困难性以及危害后果的可控性,司法对其基本采取无罪化处理,主要靠技术监管。后来,对于严重的流量劫持行为给竞争对手造成损害的,在其他公司启动民事救济程序下,法院一般会针对网络服务商的不正当竞争行为做出民事赔偿的裁决。例如,2013年,360公司对百度搜索结果进行了标注甚至纂改,并向用户宣传安装自己的浏览器,百度因此向法院起诉360。法院认定360对百度搜索结果进行插标,干扰了他人互联网产品或服务的正常运行,判令360公司赔偿百度40万元。2015年年底,百度与搜狗围绕流量劫持问题也发生诉讼,法院认定搜狗构成不正当竞争,责令其赔偿百度的经济损失。再如,2015年“双十一”之前,天猫、淘宝向浦东法院提出诉前行为保全申请,请求法院禁止“帮5买”网站继续以“帮5淘”网页插件的形式对申请人实施流量劫持行为。上述案例通过民事诉讼救济维护了互联网企业的公平竞争秩序,但从保护用户的合法权益和网络安全角度,司法实务是从对流量劫持行为进行刑法规制开始的。

2015年5月20日,在上海浦东法院审理的域名劫持案被认为是国内首例流量劫持的刑事案件。该案是被告人使用恶意代码修改用户路由器的域名设置,使用户登录网页时只能被动跳转到指定的导航网站,再将获取的流量出售给其他公司获利。本案被告人被以破坏计算机罪定罪。案例首次以构成犯罪的方式确认了流量劫持行为的定性。有学者认为“该行为后果不仅导致了用户的流量流失而遭受经济损失,而且也因恶意软件的强行植入造成计算机系统的破坏,给网络的正常运行带来极大的安全隐患,所以符合刑法第286条关于破坏计算机信息系统罪构成要件”。刘艳红:《网络时代刑法客观解释新塑造:“主观的客观解释论”》,《法律科学(西北政法大学学报)》2017年第5期。

然而,2015年11月11日全国第二例流量劫持案(在重庆渝北区法院宣判)并未如此认定。被告人仍然是进入某公司的域名系统,将劫持的网站域名指向特定的IP地址,从而获得指定网站的推广费。但被告人最终被以非法控制计算机罪定罪。

几乎同样的行为,发生时间也差不多,但在国内不同的法院被以不同的罪名论处,也有人认为应该构成盗窃罪,甚至还有人提出应该仅承担民事责任,属于侵权和不正当竞争,因为侵犯了消费者网络服务自主选择权,承担民事赔偿责任即可。

2018年12月25日最高人民法院发布了第102号指导案例:2013年底至2014年10月,被告人付宣豪、黄子超等人实施了域名劫持的行为,使用户试图访问的IP地址被转入到篡改后的指定IP地址。这样一来,用户在登录“2345.com”等导航网站时就会被迫跳转至其设置的“5w.com”导航网站,行为人再将劫持获取的用户流量出售。上海市浦东新区人民法院于2015年5月20日做出(2015)浦刑初字第1460号刑事判决,认定被告人付宣豪、黄子超构成破坏计算机罪。参见《付某某、黄乙破坏计算机信息系统一审判决书》,中国裁判文书网:http://wenshu.court.gov.cn.

最高法该指导性判例认为:域名劫持对网络用户的计算机信息系统功能进行了破坏,造成计算机信息系统不能正常运行,符合破坏计算机罪的客观行为要件。该指导性案例一出,形成鲜明的标杆效应。流量劫持行为在司法中似乎就此终止了犯罪化与非犯罪化以及何种罪名之争。然而,尽管最高法指导性案例能果断解决刑事审判中法官罪名适用的纠结,直接参考指导性案例罪名进行判决,但是许多判决书中“法院认为……”部分的论证似乎缺失了应有的事实与法律上的说理过程。指导性案例中的“域名劫持行为”是否能完全取代各种类型的流量劫持行为?是否有了指导性案例就能解决所有的流量劫持犯罪定性?流量劫持行为的刑法定性是否有分类研究的必要?这一系列问题“既折射出当前立法应对新型网络犯罪的规范不足,更反映网络犯罪理论研究的深层次短板”。孙道萃:《流量劫持的刑法规制及完善》,《中国检察官》2016年第4期。

(二)刑法理论中的不同界说

同是流量劫持,司法中的有罪判决在定性上却存在较大差异,尽管有指导性案例指导司法实务,但理论研究并未因此而停息。究竟是因为流量劫持行为本身尚有区别而导致的犯罪定性不同,还是暴露了非法控制计算机罪与破坏计算机罪在理论构成上仍存在分界不清的问题,这都急需刑法研究进一步厘清。

目前来看,认为流量劫持行为构成盗窃罪的理由似乎是明显不足的,对用户而言,虽然购买的流量浪费到了不想访问的网站,但是并没有不符合实际用量计算流量,或者说没有排除他人对物的支配的特征。李俊、白艳利、王潇:《流量劫持行为的司法认定》,《人民法院报》2017年1月5日第07版。所以,对于流量劫持行为的定性争议主要集中在破坏计算机罪和非法控制计算机罪两个罪名上。

一部分观点倾向指导性案例的结论,认为“流量劫持行为客观上导致计算机信息系统被植入恶意软件,并危害网络的正常运行,是对计算机信息系统的破坏。……必然对网络用户的计算机信息系统中存储、处理的数据进行修改增删等行为,从而具备破坏计算机罪的客观条件。……据此,流量劫持破坏正常或完整的网络数据运行与程序活动,也直接破坏网络空间安全。因而构成破坏计算机罪”。孙道萃:《流量劫持的刑法规制及完善》,《中国检察官》2016年第4期。但是也有观点认为由于流氓软件与计算机病毒的界定缺乏规范性指导文件,导致实践中盲目将所有流氓软件都认定为是病毒软件,因而在流量劫持案件中以破坏计算机罪论处,这是一种司法冒进。于冲:《流氓软件的刑法评价思路及其入罪化思考》,《云南大学学报(法学版)》2015年第2期。

还有观点对不同的流量劫持行为进行了不同的定性,认为通过劫持域名完成的流量劫持行为应该构成破坏计算机罪,而通过链路劫持完成的流量劫持行为只是违反不正当竞争的行为,不构成犯罪。因为域名劫持使用户根本不能进入目标网站或网页,上网自主权被严重侵害,既触犯了非法控制计算机罪,又触犯了破坏计算机罪,应按照想象竞合犯处断原则,以破坏一罪论处。链路劫持仅对用户上网造成一定的干扰,法益侵害程度较低且不能充足相关犯罪的构成要件,因而不应以犯罪论处。但这种行为侵犯了网络服务提供商的公平竞争利益,构成不正当竞争。叶良芳:《刑法教义学视角下流量劫持行为的性质探究》,《中州学刊》2016年第8期。

总之,对于流量劫持这一严重威胁信息网络安全的违法行为在动用刑法手段制裁时仍然存在一系列学理困惑,在当前网络信息时代背景下,对于流量劫持行为究竟应该如何正确定性,不仅成为司法实践中无法回避的事实,更是亟待刑法理论做出进一步回应的重要问题。

三、刑法对流量劫持行为应该予以分类定性

(一)破坏计算机罪和非法控制计算机罪的区别

根据《刑法》第二百八十五条之规定,非法控制计算机罪是指对计算机信息系统实施非法控制,情节严重的行为。根据《刑法》第二百八十六条之规定,破坏计算机罪有三种表现形式,具备其中之一即可。根据《中华人民共和国刑法》第二百八十六条的规定,破坏计算机信息系统罪有三种表现形式:一是指违反国家规定,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行,后果严重的行为;二是违反国家规定,对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作,后果严重的行为;三是故意制作、传播计算机病毒等破坏性程序,影响计算机系统正常运行,后果严重的行为。2011年6月20日两高发布的《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》(下文简称《解释》)第五条对破坏计算机罪中破坏计算机系统功能、数据或者应用程序的计算机病毒等破坏性程序做了限制,具有三个特征之一即可。根据《解释》,计算机病毒等破坏性程序具有以下特征之一:第一,能够通过网络、存储介质、文件等媒介,将自身的部分、全部或者变种进行复制、传播;第二,能够在预先设定条件下自动触发;第三,其他专门设计用于破坏计算机系统功能、数据或者应用程序的程序。

1.两罪的构成分析

根据刑法条文规定,对破坏计算机罪的第一种“对计算机信息系统功能进行删除、修改、增加、干扰”的行为用了“造成计算机信息系统不能正常运行”来限定;对第三种“故意制作、传播计算机病毒等破坏性程序”的行为用了“影响计算机系统正常运行”来限定。虽然表述不同,但都可以理解为造成计算机信息系统不能正常运行的后果。但对第二种“对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作”的行为没有从计算机信息系统的正常使用方面对其效果予以限定。笔者认为,第二种行为后果也应该达到与“造成计算机信息系统不能正常运行”同等或相似的程度。因为从对同类行为配置同种程度法定刑的科学立法角度,同一犯罪的多种行为表现都应该达到同种程度的社会危害性。而第一种、第三种行为表述中明确写明破坏效果,第二种行为中不明确写明,原因可以认为是第一种行为中对系统功能的删除、修改、增加、干扰,相对效果比较模糊,不是都能使重要的计算机系统功能遭受严重损害,所以须要限定为达到计算机信息系统不能正常使用的程度;第三种行为中制作、传播计算机病毒等破坏性程序也未必一定使计算机信息系统不能正常运行。而第二种行为中对系统数据和应用程序的删除、修改、增加,从效果讲,一般都能使用户重要的数据和资料遭到不可恢复的严重破坏,影响正常的工作和生活,这意味着该行为基本都能影响到计算机信息系统的正常运行,所以,立法不再赘述。总之,破坏计算机罪的三种“破坏”行为都应该达到“造成计算机信息系统不能正常运行或不能按照设计要求运行”的后果。

对于这里的“不能正常运行”,根据立法目的作解释,不能仅仅理解为计算机信息系统不能启动或者不能进入操作系统等极端情况。根据《计算机信息系统安全保护条例》,计算机信息系统是指“由计算机及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统”。根据1994年发布的《计算机信息系统安全保护条例》第2条。所以,须将这里的“不能正常运行”解释为是对计算机信息系统的采集、加工、存储、传输、检索等功能造成不能正常运行的状态。对于这里的“数据”也不能作扩大解释,不能将对计算机信息系统数据所做出的任何修改、删除、新增的行为都解释为“破坏”。只有危及计算机信息系统功能的正常运行和安全状态时才构成破坏。所以,破坏的计算机数据,是指计算机输入信息、输出信息,以及计算机以某种方式处理的其他信息;破坏的应用程序,是指计算机为了某种特定用途而编写的某种程序。皮勇:《关于中国网络犯罪刑事立法的研究报告》,《刑法论丛》2011年第3期,第211页。

而《解释》第四条进一步对“破坏计算机罪”中的“后果严重”规定了量化标准,“从造成主要软件或者硬件不能正常运行的计算机数量,对存储、处理或者传输的数据进行删除、修改、增加操作的计算机数量,以及违法所得或者造成的经济损失金额,甚至从提供域名解析、身份认证、计费等基础服务或者为一万以上用户提供服务的计算机信息系统不能正常运行累计一小时以上的计算机数量几个方面”,《最高人民法院最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》第4条。对“后果严重”加以了列举式说明。但需要注意的是,这里无论何种“严重”程度,都不能脱离作为结果犯,破坏计算机罪须要破坏行为“造成计算机信息系统不能正常使用”这个后果为构罪前提。

而非法控制计算机罪,法条以简单罪状的形式予以规定。我们可以将“非法控制”解释为:通过技术手段发出指令,使用户的计算机信息系统处于行为人的掌控之下,为行为人控制和使用。本罪的构成行为是“控制使用”,而不是“不能正常运行”。相对而言,控制使用的理解更倾向于行为达到的某种状态。《解释》中对于非法控制计算机罪的“严重情节”也有以“经济损失”为标准。即使这一点上和破坏计算机罪其中一个标准完全一样,但是它们依附的行为性质是不同的。非法控制计算机罪造成的经济损失并非是指造成计算机信息系统不能正常使用而发生的损失。

2.两罪的本质区别

根据刑法对破坏计算机罪的规定,法律对其构成行为都有要求达到“后果严重”的条件,可见,破坏计算机罪属结果犯,而非法控制计算机罪是行为犯,不需要“破坏”结果,只需要达到计算机系统被控制的程度的“严重情节”即可。

那么破坏计算机罪须要的“严重后果”是什么呢?如何认定这里的“破坏”程度呢?如果以相关计算机犯罪行为做个危害程度的排序,应该是:“破坏”—侵入—控制—破坏。侵入是对计算机最轻程度的犯罪,只要求单纯地进入他人计算机系统,表现为行为人有能力使用计算机信息系统中的资源。所以根据刑法规定,这类犯罪只有在侵入国家机关计算机时,社会危害性才能高到值得用刑法规范的程度。然后是控制,最后才是最严重的“破坏”程度。但是所有的这些侵入、控制、破坏行为,最初一定有最轻程度的对计算机系统的“破坏”,我们可以称之为是一种广义的“破坏”,只要对计算机系统数据有所更改,就能称作这种广义的“破坏”。外力只有通过更改数据才能先进入计算机系统,进而对其予以控制,甚至破坏其功能。

所以,“非法控制计算机罪”中任何形式的非法控制,可以说如果不先对计算机数据或者程序做一定程度的改动是无法做到的。但是“非法控制”中改动的程度也仅在于无权第三人对用户计算机信息系统的非法操控、使用,以自己的意志左右电脑的运作或者掌控电脑数据或者程序,同时从一定程度上排斥甚至侵犯了用户对计算机系统掌握和使用的权限。这其中的数据改动只是最基础的广义的“破坏”,只是通过一定的“破坏”达到非法控制用户计算机的目的即可,没有达到“破坏计算机罪”所要求的造成计算机系统不能正常运行的危害程度。虽然无权第三人非法控制了用户计算机全部或者某个功能或程序,但是用户自身还是可以基本上正常使用计算机的,虽然有一定影响。这也就印证了为何“非法控制计算机罪”的法定刑配置相对“破坏计算机罪”更低。后者中的“破坏”强调对计算机数据更改的程度达到了使计算机信息系统具有不可恢复性、损失严重性和毁坏持续性。这个“破坏”程度是超过所有计算机犯罪首先要具有的广义程度的“破坏”的,对该罪配置较高的法定刑是为达到罪责刑的高度统一。

3.两罪的司法适用

综上,不能一看到有更改计算机系统数据的行为就直接认定为“破坏计算机罪”。如果机械地适用“破坏计算机罪”的条文“对计算机信息系统功能进行删除、修改、增加、干扰”或者“对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作”,就会将对计算机信息数据的“更改”认定为是“对数据的修改”行为,但该行为却并非必然构成破坏计算机罪。正如前文所言,即使有数据更改,但未达到使计算机信息系统不能正常使用状态的“破坏”程度,所以,也只能理解符合广义的“破坏”之意,考虑该行为有没有达到非法控制计算机信息系统的程度,从而判断是否认定为非法控制计算机罪。

同样,如果某种病毒程序或侵入行为,没有使系统的核心功能瘫痪,只是给数据的准确性造成了一定程度的破坏,或者系统可以为他人所部分操纵,也只能成立非法控制计算机罪。因为即使制作或传播的程序或软件,能够通过网络、存储介质、文件等媒介,将自身的部分、全部或者变种进行复制、传播,或者能够在预先设定的条件下自动触发,但从效果来看并没有达到破坏计算机罪要求的影响计算机系统正常运行、后果严重的程度时,也不能认为构成破坏计算机罪。所以,并非一见到病毒等破坏性程序,就一定认定为破坏计算机罪,非法控制计算机罪也会涉及利用木马程序、病毒软件达到控制计算机的效果,何况是刑法定性并不确定的流氓软件、恶意软件、能劫持流量的变现软件等。

从广义“破坏”与“非法控制”的内在逻辑看,应当是普通与特殊的关系。“非法控制”显然可以作为广义“破坏”的特殊行为对待。由于广义“破坏”具有很强包容性而成为法条竞合的内因。然后根据法条竞合的特别法优于普通法原则,认定非法控制计算机罪。

只有当一种破坏计算机信息系统的行为严重到一定程度,出现特定后果,即造成计算机信息系统不能正常使用的时候,才符合破坏计算机罪的构成要件。比如,如果使用危害严重的僵尸、肉鸡类计算机病毒控制他人计算机信息系统造成严重破坏计算机信息系统功能的后果时,非法控制计算机罪与破坏计算机罪之间就成为了想象竞合关系。因为这时的非法控制行为和破坏行为之间存在交错并存的现象,非法控制中存在破坏后果,破坏后果也建立在非法控制基础之上,所以这时面对一个案件在选择罪名的时候,应该充分结合犯罪构成,以及两罪之间的想象竞合关系,从一重罪,以破坏计算机罪认定。

司法实践中存在将破坏计算机罪的“后果严重”认定标准降低的趋势,导致该罪的认定模糊,对“破坏”的解释无限扩张等现象,偏离了该罪的文本含义和规范构造。应当严格将“后果严重”限制在于计算机信息系统安全具有关联性的后果,将计算机信息系统数据浓缩为核心数据和核心应用程序。使破坏计算机信息系统一罪回归本来含义,实现刑事司法调整的精确性。俞小海:《破坏计算机罪之司法实践分析与规范含义重构》,《交大法学》2015年第3期。不能给破坏计算机罪赋予无边的解释力和适用力,否则该罪很容易成为网络信息时代的口袋罪。

(二)流量劫持行为定性的分类研究

1.按照破坏计算机罪认定的行为

根据前文对流量劫持行为的两种分类,一类是使用恶意代码进行域名劫持致使用户访问被劫持的网站时,强行跳转到另外的页面,用户实际访问的页面与用户输入的网址不同,这其实违背计算机信息系统合法用户的意志。这种流量劫持行为不仅仅是对计算机信息系统中的数据和应用程序进行了删除等操作,或者对网络服务提供商的计算机信息系统功能进行修改和干扰,更重要的是这类行为中用户往往最终不能前往目标网站或者网页,对计算机信息系统的正常使用造成了严重影响。当然还要注意的是,流量劫持行为和流量劫持软件还不完全是一回事。流量劫持行为构成破坏计算机罪是因为触犯该罪的第一或第二种行为构成,更改了系统功能或系统数据。但流量劫持软件是用以达到劫持流量目的的程序软件,往往是在功能软件上捆绑静默下载的插件,比如俗称的变现软件。只有制作、传播该类流量劫持软件时才可能触犯破坏计算机罪,而且要求这类软件在计算机程序中也要有破坏计算机功能或者毁坏数据,影响计算机使用的后果。要么具有类似计算机病毒的隐蔽性、破坏性、可传播性、可继发性和可潜伏性等特点,邢永杰:《破坏计算机罪疑难问题探析》,《社会科学家》2010年第7期。要么具有其他破坏性程序的寄生性、传染性、可触发性等特点,只有具有破坏不特定的、大范围的、大量计算机信息系统的实际能力,才能符合破坏计算机罪的“后果严重”的构成要件。

当然,上述破坏计算机信息系统的行为中也会含有非法控制之意,因为这里的破坏也导致了用户正常的网络运行控制权的丧失。这种情况下,就是两种行为的想象竞合关系,自然应该从一重罪,认定为破坏计算机罪。

2.按照非法控制计算机罪认定的行为

而进行链路劫持的行为,只是通过影响用户上网时的路径,以误导性广告、下拉提示词、吸附悬浮窗或者未经用户许可修改用户计算机浏览器首页或者启动页,或者强行锁死该指定页,使用户无法自行更改等方式诱导或者强制用户经过特定通道,从而达到违背用户意志而非法获取流量的目的。从行为过程看,必然有一定程度的“破坏”,但这恰好属于上文所说的广义的“破坏”,但不是“破坏计算机罪”中要求出现的“破坏”后果。因为,这类流量劫持行为即使有一定功能或者数据的更改手段,但仅仅是针对不特定终端系统的更改,并未在计算机信息系统内部对信息进行采集、加工、存储、传输、检索等主要功能进行实质性破坏。且软件程序更改的数据实质上是一种下载包中包含的程序数据,这是计算机系统之外的为某种功能实现的封闭式行为,不能被称为刑法中计算机信息系统存储、处理或者传播的数据和应用程序。使用的软件程序其破坏性和可复制性也远远没有达到破坏计算机罪中计算机病毒所要求达到的破坏程度,大部分的目的是为了实施广告推广,这也不符合破坏计算机罪的立法目的。

用户浏览器首页,是指用户打开浏览器时默认打开的网站页面。在用户操作计算机的过程中,用户可以随时根据个人的需求,将不同的网站页面设置为浏览器首页。而绝大多数用户对浏览器首页的设置并不关注,或设置为空页,或进入首页之后立即跳转到其他网站,首页设置为任何网页,对这些用户而言没有任何意义。所以,可以说这一行为并未直接对用户使用浏览器造成实质性阻碍,用户对网页的浏览依然可以通过浏览器进行,并没有造成用户计算机不能正常运行,甚至达到破坏的程度。只能说在未经用户同意的前提下,对该首页进行了非法控制,从锁定浏览器首页为指定网页这个方面“控制了计算机功能,改变了用户上网习惯和途径,影响的是登录网络时页面使用的便捷性、直接性和简洁度”。于冲:《流氓软件的刑法评价思路及其入罪化思考》,《云南大学学报(法学版)》2015年第2期。但并没有达到使用户不能正常运行计算机的严重后果。所以,上述行为本质上并不符合破坏计算机罪的构成。

在处理方式上,正如前文论证的非法控制计算机罪和广义的“破坏”行为会形成法条竞合关系,根据特别法优于普通法原则,应该认定为非法控制计算机罪。注意,这里的“破坏”并非“破坏计算机罪”要求的“破坏”后果。如果,错误地以“从一重罪”认定,那么凡是达到2.5万元人民币的违法收入就要面临“五年以上,直到十五年的有期徒刑”,恐怕有违罪刑均衡原则。在实践中,这种情况从国内到国外,以更改用户浏览器首页或者安插一个广告插件来劫持流量的方式,可以说是普遍现象,劫持流量不是新事物,成为互联网盈利的衍生物,正因为社会危害性日益明显,才逐渐入刑,但客观上讲社会危害性并没有达到极其严重的程度。因此考虑到两罪悬殊较大的法定刑配置,对于仅仅是对用户的浏览器首页进行控制,进而获取一定流量,对绝大多数用户的使用体验而言并没有明显降低,对用户计算机的正常使用并没有太大程度的影响,用户的计算机功能仍然基本完备。虽然,不能以法不责众来免责,但是从罪刑相适应以及符合立法目的角度考虑,普通型未经许可更改浏览器首页的流量劫持行为更符合“非法控制计算机罪”的法定刑配置。当然,尽管有广义的“破坏”之意,但并没有达到非法控制他人计算机信息系统的程度,在排除“非法侵入”类犯罪行为之后,不构成任何罪名才是符合罪刑法定原则的。

综上,尽管流量劫持行为的社会危害性不容忽视,但无论司法机关治理网络犯罪的决心有多大,都必须将这种具体的司法行为限制在罪刑法定原则之内。我们不应将破坏计算机罪作为一把“万能钥匙”来处理计算机信息安全方面的刑事保护问题,刑法调整计算机信息安全领域的维度应当在遵循各罪文本含义和规范构造的前提下展开。不能将破坏计算机罪作为一个口袋罪使用,却将非法控制计算机罪空置,因为尽管带来了司法“便利性”,但无疑不具有正当性。对于流量劫持行为予以具体分类对待,严格遵守罪刑法定原则,科学处理此罪与彼罪之间的竞合关系,才能对其正确地刑法定性。

中图分类号:D914

文献标识码:A

文章编号:1004-9142(2020)01-0037-08

收稿日期:2019-09-08

作者简介:肖怡,女,四川乐山人,首都师范大学政法学院副教授,法学博士。(北京 100048)

(责任编辑:新中)