|
【202117090】《付宣豪、黄子超破坏计算机信息系统案》的理解与参照——DNS劫持型流量劫持行为的刑事司法认定
文/李俊;白艳利;石磊
2018年12月25日,最高人民法院发布了第20批指导性案例,包括第102号至第106号共5件指导性案例。这批案例为涉网络犯罪专题指导性案例,总结了审判实践中某些普遍的疑难复杂法律适用问题,有利于进一步明确裁判规则,统一司法尺度。其中,第102号指导案例为《付宣豪、黄子超破坏计算机信息系统案》。为了正确理解和准确参照适用该指导案例,现对该指导案例的选编过程、裁判要点、参照适用等有关情况予以解释和说明。
一、案例选编过程
该案例为上海市高级人民法院研究室推荐报送。上海市浦东新区人民法院审判委员会于2016年第9次会议(2016年8月18日)讨论决定,将该案作为备选指导性案例提交上海高院审判委员会讨论。上海高院审判委员会于2016年第10次会议(2016年10月8日)经讨论,同意将该案作为备选指导性案例向最高法院案例指导工作办公室推荐。2018年4月19日,最高法院研究室室务会经过讨论,同意推荐,并要求征求相关部门意见。最高法院刑三庭、研究室刑事处以及最高人民检察院研究室、公安部法制局均回复同意推荐。12月4日,最高法院刑专会第326次会议讨论通过该案例。12月25日,最高法院以法〔2018〕347号文件将该案例列在第20批指导性案例予以发布。
二、本案例的相关情况
(一)基本案情及裁判结果
2013年底至2014年10月,被告人付宣豪、黄子超等人租赁多台服务器,使用恶意代码修改互联网用户路由器的DNS设置,进而使用户登录2345.com等导航网站时跳转至其设置的5w.com导航网站,被告人付宣豪、黄子超等人再将获取的互联网用户流量出售给杭州久尚科技有限公司(系5w.com导航网站所有者),违法所得合计754762.34元。2014年11月17日,被告人付宣豪接民警电话通知后自动至公安机关,被告人黄子超主动投案,两名被告人到案后均如实供述了上述犯罪事实。被告人及辩护人对罪名及事实均无异议。法院审理期间,两名被告人在亲友的帮助下退缴了全部违法所得。
浦东新区法院于2015年5月20日作出(2015)浦刑初字第1460号刑事判决:一、被告人付宣豪犯破坏计算机信息系统罪,判处有期徒刑3年,缓刑3年。二、被告人黄子超犯破坏计算机信息系统罪,判处有期徒刑3年,缓刑3年。三、扣押在案的作案工具以及退缴在案的违法所得予以没收,上缴国库。一审宣判后,二被告人均未上诉,公诉机关未抗诉,判决已发生法律效力。
(二)相关法律规定、观点
我国刑法第二百八十六条第一款至第三款对破坏计算机信息系统罪早已进行了详尽的规定,刑法修正案(九)又对该罪增设了单位犯罪条款,明确了违反国家规定,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行,或违反国家规定,对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作,或故意制作、传播计算机病毒等破坏性程序,影响计算机系统正常运行,达到后果严重程度的,构成破坏计算机信息系统罪。但对DNS劫持等流量劫持行为是否构成犯罪,构成何罪,学理上和实务中鲜有涉及。由工业和信息化部电信研究院政策与经济研究所与腾讯互联网与社会研究院在首届互联网法律政策论坛上联合发布的《中国互联网法律与政策研究报告(2013)》中,提出流量劫持等新型的不正当竞争行为亟待规制。[1]奇虎360公司与百度公司的流量劫持之争,[2]法院最终认定奇虎360公司的导航网站流量劫持行为,违反了反不正当竞争法规定的诚实信用原则,构成不正当竞争,并判决奇虎360公司承担赔偿责任。在本案判决之前,对于流量劫持的犯罪行为样态及刑事司法定性尚无详尽的研究,公众的认知也主要限于将流量劫持不加区分地划为民事范畴,且因为犯罪主体的专业化、犯罪手法的隐蔽性、证据认定的困难等原因,面临入罪空白的问题。
本案在审理过程中及判决后,学理上和实务中仍存在不同的观点。第一种意见认为,流量劫持行为不构成犯罪,流量劫持行为人仅需要承担民事法律责任。流量劫持行为人构成明显侵权和不正当竞争而承担相应的民事赔偿责任。另外,根据消费者权益保护法的相关规定,消费者享有知悉网络服务真实情况的权利和对网络服务的自主选择权,流量劫持行为明显侵犯了消费者的网络服务自主选择权,流量劫持行为人对网络用户承担赔偿责任。
第二种意见认为,本案中二被告人的行为构成盗窃罪。流量具有法律意义上的财产属性,未经本人许可,他人不能非法劫持。流量劫持行为就是非法窃取他人财产,构成盗窃罪。
第三种意见认为,两名被告人的行为既符合盗窃罪的犯罪构成要件,也符合破坏计算机信息系统罪的犯罪构成要件,应当择一重罪论处,以盗窃罪追究两名被告人的刑事责任。
(三)该案的指导价值
该案例旨在明确DNS劫持行为,破坏计算机信息系统功能,达到后果严重程度的,构成破坏计算机信息系统罪,以及认定后果严重还是后果特别严重的考虑因素和裁量标准。DNS劫持是较为常见的网络安全问题,具有严重的社会危害性,而以往对于DNS劫持行为基本上是做无罪化处理或者按照民事纠纷处理。本案系全国首例流量劫持行为入罪的刑事案件,首次以司法判决的方式确认了DNS劫持流量的行为构成破坏计算机信息系统罪,彰显了样本意义,统一了类案的司法裁判标准,有利于推进网络空间法治建设,有利于打击流量劫持这一网络恶疾,促进互联网行业的健康、有序发展,系2015年度人民法院十大刑事案件之一,取得了良好的法律效果和社会效果。
三、裁判要点的理解与说明
该指导案例的裁判要点确认:1.通过修改路由器、浏览器设置、锁定主页或者弹出新窗口等技术手段,强制网络用户访问指定网站的DNS劫持行为,属于破坏计算机信息系统,后果严重的,构成破坏计算机信息系统罪。2.对于DNS劫持,应当根据造成不能正常运行的计算机信息系统数量、相关计算机信息系统不能正常运行的时间以及所造成的损失或者影响等,认定其是后果严重还是后果特别严重。现围绕与该裁判要点相关的问题逐一解释和说明如下。
(一)DNS劫持的社会危害性
流量劫持行为系互联网安全问题的恶疾、顽疾之一,具有严重的社会危害性,侵犯的是复杂客体。我国刑法虽然将破坏计算机信息系统犯罪列入妨害社会管理秩序罪一章,但其侵害的客体并不限于计算机信息系统的安全等社会管理秩序,也涉及公共安全、公私财产所有权(例如计算机系统所有人的排他性权益:所有权、使用权和处置权等)甚至国防利益等,且客体侵害的反射效果严重,因为基于互联网信息传播的独有特点,其所带来的社会影响迅速而广泛,对公众心理的影响难以消除。对于网络用户而言,流量劫持行为会使其面临购买的流量被无端浪费的经济损失,同时面临主页被篡改、弹窗不断、网页强制跳转等,直接导致网络使用体验感极差,并且因恶意软件、代码强行植入造成计算机信息系统的破坏,可能泄露各类账户、密码等重要个人信息资料,危及网络账户安全。对于网络服务提供商而言,流量劫持行为将影响其网站的用户访问量和市场份额,致使网站用户大量流失,造成经济损失和名誉损害,商业利益受损,更会严重影响互联网行业的健康发展。对于网络管理秩序的维护者而言,流量劫持行为人开发各类木马插件、恶意代码、病毒程序等并恶意传播,隐蔽性强、功能强大、删除困难,且流量劫持行为稍纵即逝,监管尤为困难,严重扰乱了网络运行秩序,增加了互联网的运营、维护成本。DNS劫持作为一种硬性的流量劫持,其危害性尤甚。
(二)DNS劫持行为人的主观故意
破坏计算机信息系统罪中行为人的主观方面是故意,即行为人主观方面积极追求或放任自己的行为对计算机信息系统功能进行删除、修改、增加、干扰,或对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作及制作、传播计算机病毒等破坏性程序。本案中两名被告人到案后均供述“共同商量搞DNS劫持能赚钱”“通过植入代码,让用户路由器内的DNS的IP地址设置变更为我们的DNS服务器IP地址,使大量用户跳转到我们想让他们访问的网站”“为了防止杀毒软件报毒而选择DNS劫持”等。两名被告人对实施的流量劫持行为的违法性及危害后果等也有一定的认识,例如二人在聊天记录中提到“最好隐藏窗口执行”“如果想要收益高,用户就得更反感,因为用户体验会越差”等。为逃避侦查,被告人自己使用的电脑均不定期删除记录、重装系统,租用境外服务器并不定期格式化或重启等以销毁作案痕迹。被告人选择劫持导航网站的流量主要也是考虑到“把用户从一个导航网站劫持到另一个导航网站,用户不会很介意,不会引起大批量的投诉和网站的注意”。
(三)流量劫持入罪的客观行为样态
我国刑法第二百八十六条第一款至第三款依次对破坏计算机信息系统罪规定了三种行为样态:一是违反国家规定,对计算机信息系统功能进行删除、修改、增加、干扰;二是违反国家规定,对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作;三是故意制作、传播计算机病毒等破坏性程序。首先需要明确的是,刑法第二百八十六条第二款的规定中数据和应用程序系择一关系,即破坏计算机信息系统中的数据或破坏计算机系统中的应用程序,均可以构成破坏计算机信息系统罪,至于被破坏的数据或应用程序是否可以恢复到被破坏前的状态,并非入罪与否的考量要素。违反本款规定构成破坏计算机信息系统罪的,并不要求达到造成计算机信息系统不能正常运行或影响计算机系统正常运行的结果。[3]
流量劫持有多种技术手法。网络用户访问网站的过程,是用户发出访问请求、到达某网站服务器、服务器返回访问请求给用户、最终网站获得流量、用户获得访问结果的过程。与此相对应,流量劫持主要有三种形式:第一种形式是客户端劫持。主要通过运行恶意插件、病毒、软件以及恶意弹窗等手段来劫持用户对网站的正常访问。第二种形式是DNS劫持。DNS是负责域名解析的服务器,是将网络用户访问的网站域名转化成具体的IP地址的工具。DNS劫持又称域名劫持,是指通过某些手段修改域名解析,使对特定域名的访问由原IP地址转入到篡改后的指定IP,导致用户无法访问原IP地址对应的网站或访问虚假网站,从而实现窃取资料或者破坏网站原有正常服务的目的。第三种形式是运营商劫持。主要指电信、网通等基础电信服务商及互联网服务提供商利用其负责基础网络设施运营、网络数据传输、网络数据接入等便利,将用户访问第三方网站的流量劫持到己方或己方指定的网站,或在第三方网站页面弹出己方或己方指定的广告或其他信息。需要指出的是,对于行为人没有采取技术手段破坏他人计算机系统,而是采取其他手段(如带有误导性的广告、下拉框、菜单或者关键词等)诱导其他网站的潜在用户自行进入特定网站,从而实现流量劫持目的的行为,不宜评价为犯罪行为,可认定为不正当竞争。[4]
本案中两名被告人实施的是DNS劫持。首先,被告人修改互联网用户的路由器DNS设置。架设好租用的DNS服务器,在网上购买广告流量,在弹窗广告内植入能修改用户DNS设置的代码,并以看片神器等名称诱导网络用户点击弹窗广告,从而让用户路由器内DNS的IP地址设置变更为被告人设置的DNS服务器IP地址。其次,将互联网用户访问网站的流量劫持到被告人设置的指定网站。在DNS服务器及其他相关的服务器内进行设置,使得使用“2345.com”等导航网站访问网页的用户被强制跳转到被告人设置的“5w.com”导航网站,从而将用户对其他导航网站的访问流量劫持到被告人设置的“5w.com”导航网站,并根据用户访问数进行结算牟利。在此过程中,两名被告人利用恶意代码攻击DNS解析的行为,明显对网络用户的计算机信息系统中存储的数据进行了修改,符合刑法第二百八十六条第二款规定的违反国家规定,对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作的行为样态。
(四)流量劫持行为入罪的标准
“通常而言,法律发展要滞后于科技的发展,科技的普及应用达到一定程度后,其消极作用到了社会无法容忍的地步时才用刑法予以规制。”[5]刑法具有谦抑性,流量劫持行为虽然具有严重的社会危害性,但要满足破坏计算机信息系统罪的犯罪构成要件,并达到后果严重的程度方能入罪。根据最高人民法院、最高人民检察院《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》,流量劫持行为具有以下四种情形之一的应当认定为后果严重:(1)造成10台以上计算机信息系统的主要软件或者硬件不能正常运行的;(2)对20台以上计算机信息系统中存储、处理或者传输的数据进行删除、修改、增加操作的;(3)违法所得5000元以上或者造成经济损失1万元以上的;(4)造成为100台以上计算机信息系统提供域名解析、身份认证、计费等基础服务或者为一万以上用户提供服务的计算机信息系统不能正常运行累计一小时以上的。在第(1)项标准中,需要指出的是,“计算机信息系统的主要软件或者硬件不能正常运行,不能仅仅理解为计算机信息系统不能启动或者不能进入操作系统等极端情况,而是既包括计算机信息系统主要软件或者硬件的全部功能不能正常运行,也包括计算机信息系统主要软件或者硬件的部分功能不能正常运行”。[6]在第(3)项标准中,经济损失包括危害计算机信息系统犯罪行为给用户直接造成的经济损失,以及用户为恢复数据、功能而支出的必要费用,至于预期利益等间接损失不能计人经济损失的数额。第(4)项标准要适用于特殊类型的计算机信息系统,该类信息系统多为其他计算机信息系统提供基础服务,即使行为人表面上只破坏了一台服务器的功能,但是可能造成大量的计算机信息系统无法正常使用,因此司法解释作出了专门规定。司法实践中,判断是否属于该类计算机信息系统的服务用户数量可以采用如下方法:“有注册用户的按照其注册用户数量统计,没有注册用户的按照其服务对象的数量统计。”[7]此外,对于后果特别严重的认定,在实务中应严格按照该司法解释规定的标准,从严把握。
本案中可以查实的能够量化的危害后果只有违法所得,经济损失及受影响的计算机台数、受影响的时长等均无证据证实。而根据前述司法解释的规定,数额达到违法所得5000元的5倍以上,应当认定为破坏计算机信息系统后果特别严重。据此,本案中,两名被告人的违法所得75万余元,系5000元的五倍以上,依法属于后果特别严重。
(五)本罪与盗窃罪的界分
流量作为一种虚拟财产,会带来相应的经济利益,具有财产属性,且根据刑法第二百八十七条的规定,利用计算机实施金融诈骗、盗窃、贪污、挪用公款、窃取国家秘密或者其他犯罪的,依照本法有关规定定罪处罚,故有观点认为流量等虚拟财产可以成为盗窃罪的犯罪对象,“将非法获取他人虚拟财产的行为认定为财产犯罪具有合理性”。[8]但从我国刑法的体系上看,DNS劫持等流量劫持行为不能认定为盗窃罪,而应认定为破坏计算机信息系统罪。
第一,主观要素不同。破坏计算机信息系统罪主观方面为故意,包括直接故意和间接故意,但行为人的犯罪目的与动机,不影响犯罪的成立。盗窃罪的主观方面是直接故意,盗窃罪是目的犯,要求必须以非法占有为目的。以流量劫持为例,行为人可能是出于非法占有的目的,也可能出于其他任何目的,但其主观目的并不影响破坏计算机信息系统罪的成立。第二,侵犯客体不同。如前所述,破坏计算机信息系统罪侵犯的客体是复杂客体,而盗窃罪的客体是公私财产所有权。本案中,两名被告人利用恶意代码破坏DNS解析的过程,导致网络终端用户流量转向其设置的网站,网络用户的流量并未减少,这个过程中受到侵犯的主要是计算机信息系统的安全。第三,流量等虚拟财产无法估价,其法律意义上的价值难以评价,如果将流量认定为盗窃罪的犯罪对象,在流量尚未出售变现的情形下,将面临因价值无法认定而难以定罪的境地,并不利于打击犯罪。破坏计算机信息系统罪的入罪标准有多种情形,符合其中之一即可认定,对于流量等虚拟财产的保护更为有力和有效。第四,纵观国外的立法,均无将虚拟财产作为盗窃罪等侵犯财产罪的犯罪对象的情形。我国台湾地区有关刑法规定也是将计算机信息系统数据作为一种电磁记录加以保护。从我国的刑事立法来看,通过几次修正案的补充,关于计算机犯罪的相关立法已经相对完备,对于非法获取计算机信息系统数据、非法控制计算机信息系统、破坏计算机信息系统、提供侵入、非法控制计算机信息系统程序、工具等行为已经进行了明确而详尽的规定,在此情况下,适用计算机犯罪的相关条文已能够有效保护计算机信息系统的安全。
四、参照适用时应注意的问题
本案判决后,理论界也有观点认为非法控制计算机信息系统罪的控制行为与破坏计算机信息系统罪的破坏行为在客观上有重合,也有观点认为2015年11月重庆市渝北区人民法院作出的非法控制互联网域名解析系统的刑事判决[9]系第二例流量劫持入罪案例,但却认定为非法控制计算机信息系统罪,[10]两罪之间的界限比较模糊。但从刑法的体系、立法背景及立法目的来看,两罪之间还是有明显区别的。非法控制计算机信息系统罪是刑法修正案(七)增设的罪名,主要是针对并未破坏计算机信息系统数据或者应用程序,但是却能通过控制计算机信息系统实施特定操作的行为。具体而言,非法控制是指通过各种技术手段,使他人计算机信息系统处于其掌控之中,能够接受其发出的指令,完成相应的操作活动。[11]实践中,典型的非法控制行为主要是行为人通过侵入等技术手段控制大量的计算机信息系统,组建“僵尸网络”,或使被控制的计算机信息系统按照其发出的指令实施网络攻击等活动。本案中,行为人通过使用恶意代码修改互联网用户路由器的DNS设置,进而使用户登录“2345.com”等导航网站时跳转至其设置的“5w.com”导航网站,但行为人并不能向互联网用户的计算机信息系统发出其他指令,也无法主动控制、操纵互联网用户的计算机信息系统,因此符合破坏计算机信息罪的犯罪构成要件。
需要说明的是,本案发生在刑法修正案(九)通过之前,当时破坏计算机信息系统罪只规定了自然人犯罪,没有规定单位犯罪,故无法对参与的单位进行刑事处罚。2015年8月29日通过并于2015年11月1日开始实施的刑法修正案(九)在刑法第二百八十六条中增加一款作为第四款:“单位犯前三款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照第一款的规定处罚”。据此,在2015年11月1日以后发生的DNS劫持等犯罪行为,符合单位犯罪要件的,对单位也应追究刑事责任。
【注释】
作者单位:上海市浦东新区人民法院 最高人民法院
[1]张维:“流量劫持客户端干扰等亟待规制”,载2014年7月16日《法制日报》。
[2]袁博:“流量劫持应当如何追责”,载2015年12月9日《中国知识产权报》。
[3]冯江:《刑法全厚细》(第四版),中国法制出版社2018年版,第960页。
[4]袁博:“流量劫持应当如何追责”,载2015年12月9日《中国知识产权报》。
[5]谢国刚:“关于破坏计算机信息系统罪的理论思考”,载《宜宾学院学报》2006年第9期。
[6]喻海松:“解读《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》”,载李少平主编:《解读最高人民法院司法解释、指导性案例(刑事卷·下)》,人民法院出版社2016年版,第662页。
[7]喻海松:“解读《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》”,载李少平主编:《解读最高人民法院司法解释、指导性案例(刑事卷·下)》,人民法院出版社2016年版,第663页。
[8]张明楷:“非法获取虚拟财产的行为性质”,载《法学》2015年第3期。
[9]参见(2015)渝法刑初字第00666号判决书。
[10]孙道萃:“流量劫持的刑法规制及完善”,载《中国检察官》2016年第4期。
[11]全国人大常委会法制工作委员会刑法室编,臧铁伟、李寿伟主编:《中华人民共和国刑法修正案(九)条文说明、立法理由及相关规定》,北京大学出版社2016年版,第201页。
|