|
【202208030】流量劫持的刑法应对
文/吴沈括;李涛
作者单位:北京师范大学法学院北京市海淀区人民检察院第二检察部
摘要:
当前,随着互联网的蓬勃发展,一些不法分子试图通过流量劫持的方式提升网站流量,对此,立法者通过修改反不正当竞争法增设条款的方式予以回应,为流量劫持行为入刑作了铺垫。就流量劫持行为而言,其需在缺乏授权的情况下借助计算机信息系统功能的正常运作来实现,一般应定性为非法控制计算机信息系统罪;但如果行为人因技术上的不当操作或其他原因在实施犯罪过程中导致计算机信息系统功能遭受破坏,则可能构成破坏计算机信息系统罪。
期刊栏目:观察与思考
关键词:流量劫持数据法益罪名适用
当前,随着对网络空间刑事治理力度的加大,越来越多盘踞在网络隐秘角落的犯罪行为走进司法机关的视野,流量劫持便是其中之一。笔者以相关法律规定和技术资料为基础,以互联网发展与法律制衡的不平衡态势为背景,对流量劫持行为进行审视。
一、流量劫持与数据法益
(一)流量劫持的技术原理
在计算机信息学科中,流量被用于代指计算机网络采用数据通信方式传输数据的实现过程,即通过数据通信系统,将携带信息的数据以某种信号方式从信源(发送端)安全、可靠地传输至信宿(接收端)。在数据传输过程中,有一些特定的计算机信息系统或应用程序会承载数据传输的部分工作,如内容分发网络(其作用是尽可能避开互联网上可能影响数据传输速度和稳定性的瓶颈和环节,使内容传输更快、更稳定)、域名解析系统、电信运营商基础网络服务设施等。随着互联网的蓬勃发展,行业人士发现流量同样可以作为用户与网站之间交互行为的数量统计指标。根据工业和信息化部发布的通信行业标准《互联网服务统计指标第1部分:流量基本指标》,流量指标一般包含独立IP地址数、独立访客数、页面浏览量、访问次数、访问时长等。在“流量经济”的理念下,互联网产业的参与主体围绕流量展开商业竞争,通过创新技术,打造丰富多彩的内容信息和服务,提升网站用户数量与流量,进而赚取广告佣金。但在巨额利益的诱惑下,一些不法分子试图通过流量劫持的方式提升网站流量,其主要采用“引诱”和“强迫”两种流量劫持方式。两种方式最大的区别在于是否通过技术否定了用户的自主选择权。
“引诱”型流量劫持本质上依然需要用户的自主意愿和客观行为才能完成流量获取。北京市海淀区法院审理的百度公司诉搜狗公司一案[1]具有一定代表性,该案法院经审理认为:在用户已经选定搜索引擎(百度)的情况下,搜狗输入法未在输入法界面添加与搜索引擎经营者相关的明显标识,而是通过搜索候选词将用户引导至同样没有明显标识的搜狗搜索结果页面,劫持本属于原告的搜索用户流量,应认定为利用技术手段,通过影响用户选择的方式,妨碍原告经营活动的正常进行,构成不正当竞争。而“强迫”型流量劫持是通过技术手段影响流量的传输过程。流量本质上是数据通信,其需要遵守相关的技术规范,行为人通过技术手段在数据通信的关键环节对数据通信过程施加影响,那么就有可能增加、删除、修改或控制数据传输的内容或路径,最终达到强迫用户访问网站、接收数据的目的。这种技术上的非法干预与控制,从计算机网络最底层、基础的数据通信行为层面彻底否定了用户的自主选择权。
值得注意的是,立法者通过修改反不正当竞争法增设条款的方式,对流量劫持问题进行了正面回应。反不正当竞争法第12条第2款第1项明确规定,经营者不得利用技术手段,通过影响用户选择或者其他方式实施未经其他经营者同意的,在其合法提供的网络产品或者服务中插入链接、强制进行目标跳转的行为。该条款实际上涵盖了“引诱”型流量劫持与“强迫”型流量劫持行为,不仅为在民商事领域处理此类案件提供了指引,也为此类流量劫持行为入刑作了铺垫。
(二)流量劫持的行为样态
第一,实施流量劫持的场景。流量传输的技术标准决定了流量劫持行为发生在信源、数据传输关键节点、信宿等场景中。从行为对象看,流量劫持均针对计算机信息系统或应用程序实施。从行为危害角度看,对信源、信宿实施的犯罪行为往往仅影响单一主体,而针对数据传输关键节点实施的犯罪行为会借由关键节点的服务性功能影响广泛、不特定的网络用户。实践中,CDN(内容分发网络)、DNS(域名解析系统)、电信运营商基础网络服务设施都可以作为流量劫持行为的切入点。如我国第一起流量劫持入刑案付某某等破坏计算机信息系统案[2]中,行为人利用DNS解析域名的特性,通过修改DNS设置,使用户在访问固定网站时被强制跳转至行为人预先设定的网页,达到流量劫持的目的。
第二,流量劫持的盈利模式。流量劫持的盈利方式决定了流量劫持的行为样态,且与具体商业模式直接相关。根据常见的互联网商业模式,大体可以将流量劫持的盈利模式分为“引流”“展示”和“替换”三种。引流型流量劫持是指行为人通过技术手段,影响网站的域名解析,使用户无论输入的网站地址如何,最终都会跳转至特定网站。这种方式可以在短时间内提升网站流量,但因为劫持方式简单、粗暴,且劫持行为易被察觉,现已销声匿迹。随着互联网商业广告的发展,流量劫持的核心逻辑从强迫用户登录网站转变为强迫用户接收广告,多以弹窗广告、附加网页等方式展现。这种展示型流量劫持行为极易误导用户,且不易暴露,在绝大多数情况下,用户可能并未意识到自己的流量已经被劫持,而会误以为相关广告或网页是其所访问网站提供的内容。而替换型流量劫持常见于应用程序分发领域。一般而言,企业会通过不同的分发渠道对应用程序进行推广,在此过程中,为了统计每个分发渠道具体的应用程序下载量、用户数量等数据,企业会给每个分发渠道制作附带有可识别ID的安装包,当用户下载安装包后,该App会将可识别ID回传给企业,从而完成数据统计。替换型流量劫持的主要逻辑就是通过技术手段,将不同渠道的安装包进行替换、混用。这种行为主要侵犯的是分发渠道的经济利益,违法行为更加隐蔽。
(三)流量劫持的刑法应对基础——数据法益
任意数据从产生之初即承载着两类不同的法益:第一类法益是数据作为一种承载形式所具备的独立法益,即数据安全;第二类法益是数据所承载的信息内容内涵的法益,可能涉及个人信息、财产性权益、隐私等。同时,必须意识到,无论是改变数据的知晓状态或可支配性,抑或是获取计算机信息系统控制权,又或是影响计算机信息系统的正常运行状态,都需要在客观层面对数据进行操作。这正是计算机犯罪行为最核心的特点,也是区分相关涉危害计算机信息系统安全罪名与其他传统罪名的关键。
对数据法益的认识可划分为两个阶段。在网络互联技术出现之前,计算机信息系统相互之间无法传输数据,呈现数据“孤岛”状态,数据活动行为在单一的计算机信息系统环境下完成,数据法益更多被视为一种附属于计算机信息系统安全的要素。而随着网络互联技术的出现,数据法益在原有的基础上出现了新的特点:首先,网络互联技术的出现为数据传输提供了可能性,数据从“孤岛”走向了网络,数据活动的形式也愈加丰富,涉及的内容更加多样;其次,数据传输行为受到网络互联技术标准的规范;再次,数据传输行为使数据法益具备了新的内容与概念,数据法益具备了走向公共领域的可能性;最后,数据安全从个体计算机信息系统安全问题演变为数据流转全过程的安全问题。
需要承认的是,对于数据法益的探讨,在当前国内依旧缺乏体系与共识。有学者对相关数据法益的论述总结后认为,“个人数据经常汇集多方主体的不同性质的权益。相应的主体之中既有公法益主体,又有私法益主体,而私法益主体中既有自然人,又有公司等组织。同时,对于单一的主体而言,个人数据既可能涉及人身权利,也可能涉及财产权益。”[3]其以数据指向的具体法益为标准,总结了国内刑法对数据保护采取的四种模式,即经济秩序保护模式、人格权保护模式、物权保护模式和公共秩序保护模式。
二、流量劫持行为的罪名适用选择——以短缩的二行为犯为视角
司法实践中,考虑到对计算机信息系统非法控制的手段多种多样,刑法第285条第2款非法控制计算机信息系统罪在立法设计上采用了空白罪状,为司法实践预留了解释的空间。有学者对涉嫌非法控制计算机信息系统罪的相关案例分析归纳后发现,该罪名成了“口袋罪”,[4]可以用于评价所有非法获取计算机信息系统数据的行为。在体系化立法的前提下,兜底罪名的设计无可厚非,司法实践中也需要以空白罪状包容形式多样的犯罪行为。但一般而言,立法者为避免空白罪状与同体系下的其他罪名产生竞合,会进一步细化非兜底性罪名的犯罪构成,设置合理的“要素”以进行区分。因此,刑法第286条分别从计算机信息系统的功能性、数据和应用程序、破坏性程序方面着手,对破坏计算机信息系统罪的客观要件进行相应的设计。
区别于传统犯罪,计算机犯罪行为受限于技术架构,法律无法脱离技术架构实现对技术行为的规制,因此法律用语必须符合技术规范,否则容易产生错配的现象。在计算机信息技术语境下,数据是计算机信息系统的基本元素,无论是计算机信息系统还是应用程序,都由数据构成。虽然从语义上看,功能性程序、应用程序、破坏性程序是三种不同类别的行为对象,但如果对技术架构进行考察,可以发现任何通过计算机信息系统本身机能达成的破坏计算机信息系统的行为,都离不开对计算机信息系统储存、处理或传输数据的操作行为,这种逻辑恰恰契合刑法第286条第2款的规定。而该条第2款较之第1款和第3款,又缺乏“造成计算机信息系统不能正常运行”这一限制构成要件,进一步降低了入罪门槛。因此,司法工作人员可能使用刑法第286条第2款认定计算机犯罪行为,从而导致刑法第285条第2款空置。
非法获取数据、非法控制计算机信息系统与在此基础之上构成的破坏计算机信息系统的行为,实际上是一种行为与目的的关系,深究两者之间的具体联系可以发现,刑法第286条第2款与刑法第285条第2款之间的逻辑关系符合“短缩的二行为犯”模型。德国刑法从目的与行为的关系角度出发,提出了短缩的二行为犯理论,其主要意义在于,通过设立判断规则,在特定的犯罪中,承认行为人主观上特定目的对犯罪构成的影响。有学者认为,短缩的二行为犯的基本特点是,完整的犯罪行为原本由两个行为组成,但刑法规定只要行为人以实施第二个行为为目的实施了第一个行为,就以犯罪(既遂)论处;如果行为人不以实施第二个行为为目的,即使客观上实施了第一个行为,也不成立犯罪(或者仅成立其他犯罪)。[5]短缩的二行为犯理论进一步考虑了主观目的这一要素,从而在法律机能上实现了对罪与非罪、此罪与彼罪更加精细化的判断。将此理论适用于刑法第285条第2款与第286条第2款之辨析时,不难得出以下结论:当行为人实施了修改、删除、增加数据的行为时,在行为人的主观故意可以确定的情况下,对行为人主观目的的考察将成为区分此罪与彼罪的要点。其可能产生以下结果:第一,经过判断,行为人主观上仅存在非法控制计算机信息系统的目的,其后续的其他行为需要依赖于所支配的计算机信息系统具备的正常性功能实现,并未进一步对控制的计算机信息系统实施其他行为的,则应仅定性为非法控制计算机信息系统罪。第二,经过判断,行为人主观上同时存在破坏与控制计算机信息系统的目的,可以认定控制行为服务于破坏目的,则一般应定性为破坏计算机信息系统行为,在此基础之上,结合刑法第287条的注意规定,予以准确定罪量刑。在短缩的二行为犯理论下,刑法第285条第2款与第286条第2款的适用问题从关注表面客观行为深入至考察行为人的主观目的。而计算机信息系统的技术架构决定了计算机信息系统和应用程序的任一功能均指向一种明确的、客观的计算机技术行为,而功能本身又是一种主观意志的体现,因此我们近乎可以认为,计算机技术行为本身具备刑法判断所强调的“主客观相一致”特质。
在流量劫持案件中,可以通过短缩的二行为犯理论对犯罪行为进行明确的区分,这样对行为人增加、删除、修改数据行为的定性也更清晰。就流量劫持行为而言,其需在缺乏授权的情况下,借助计算机信息系统功能的正常运作来实现,因此一般应定性为非法控制计算机信息系统罪。但是,如果行为人因为技术上的不当操作或其他原因(如在通讯链路上的计算机信息系统内安装木马、病毒程序等),在实施犯罪行为的过程中,导致数据通信链路上的计算机信息系统功能遭受破坏,则其行为可能构成破坏计算机信息系统罪。
三、流量劫持的刑法规制与检察应对
第一,构建符合网络时代特征的新型数据法益。在前置行政法规缺位的情况下,刑法的适当扩大化有助于遏制犯罪态势,维护网络空间秩序,但网络犯罪圈的扩大必须以明确法益保护为基本原则。立法者应重新审视计算机信息系统安全这一传统法益,并构建符合网络时代特征的新型数据法益。新型数据法益实际上是多种法益的组合,由一项核心法益要素与三项基础法益要素构成。其核心法益要素为数据所承载之信息涉及的具体法益内容,三项基础法益要素是指数据的知悉权、支配权、传输安全,此三项法益也可以统称为数据安全法益。构建这种新型数据法益结构具有以下优势:其一,新型数据法益是一种概念,并不以重新立法为前提,这样可以最大程度确保刑法的稳定性;其二,新型数据法益的构建逻辑契合法律、计算机两种学科的要求,核心法益要素承载了传统法益的概念,而三项基础法益要素的确立则来源于计算机学科对数据安全要素的界定;其三,司法工作人员可借助核心法益有效解决犯罪竞合问题,而三项基础法益又对数据、计算机信息系统进行了全面保护。
第二,将侵犯计算机关键信息基础设施的行为独立入罪。网络安全法中提出了关键信息基础设施的概念,从行刑衔接的角度而言,刑法应对此予以回应,建议将承载数据传输服务的关键计算机信息系统作为特殊保护对象,将其从计算机犯罪的一般对象中独立出来,降低侵犯关键信息基础设施行为的入罪标准。
第三,加强检察队伍专业化建设。近年来,我国在治理计算机和网络犯罪方面取得了一定成效,但仍有一些问题亟须解决,专业化能力的缺乏已成为制约案件办理的主要阻力。长期来看,检察机关应针对网络犯罪的特点优化工作机制,重新构建人才培养体系和标准,以应对专业化之困境;中期而言,检察机关应通过发布指导性案例、案件办理指南等对计算机和网络犯罪的类型、相关专业化知识、案件办理经验进行普及、推广,革新检察人员的知识体系;在当下,检察机关应集中力量,在部分地区迅速打造出一批专门办理计算机与网络犯罪案件的检察队伍,发挥好领头羊作用,以点带面,对计算机和网络犯罪进行有效打击。
第四,重视互联网企业在打击计算机和网络犯罪中的重要作用。检察机关如果能在刑事诉讼活动中依法引导互联网企业发挥自身优势,助力案件办理,将会产生事半功倍的效果。同时,检察机关的办案经验也会成为互联网企业对抗计算机和网络犯罪的宝贵财富,进而辐射至广大用户,最大程度维护网络空间合法秩序。
[编辑:张倩]
【注释】
*本文系2020年最高人民检察院检察理论研究网络犯罪研究课题《流量劫持的刑法应对》(GJ2020WLA02)的成果。吴沈括,北京师范大学法学院副教授、博士生导师;李涛,北京市海淀区人民检察院第二检察部检察官助理。
[1]参见北京百度网讯科技有限公司等与北京搜狗科技发展有限公司等不正当竞争纠纷案,北京市海淀区人民法院(2017)京0108民初7967号民事判决书。
[2]参见付某某等破坏计算机信息系统案,上海市浦东新区人民法院(2015)浦刑初字第1460号刑事判决书。
[3]劳东燕:《个人数据的刑法保护模式》,载《比较法研究》2020年第5期。
[4]参见杨志琼:《非法获取计算机信息系统数据罪“口袋化”的实证分析及其处理路径》,载《法学评论》2018年第6期。
[5]参见张明楷:《论短缩的二行为犯》,载《中国法学》2004年第3期。
|