流量劫持的刑法评价及入罪思路研究必赢唯一官方网站

　　bwin必赢

　　上海法院官方司法案例及政策研究发布平台，《上海审判实践》网络版，法律共同体学术及司改交流平台。

　　作者吴昉昱系上海市徐汇区人民法院审判监督庭法官助理，中国人民大学刑法学博士。

　　流量劫持系新类型的计算机犯罪，如何认识流量劫持行为的危害性，明确罪与非罪、此罪与彼罪，是司法实践中亟待解决的问题。首先，从罪与非罪角度，对流量劫持入刑的案例予以梳理和分析，得出流量劫持在司法实践中存在劫持手段认定对技术要求较高、侵害主体涉及面广、罪名适用存在争议等问题，有必要予以刑法规制。其次，从此罪与彼罪角度，适用具体罪名的基础是明确流量劫持的技术手段及发展历程。流量劫持最初类型主要是运营商劫持，其中以DNS劫持和HTTP劫持为典型，后续异化为以流量劫持为媒介实施诈骗、盗窃等传统犯罪。再次，从具体罪名的适用困境角度，破坏计算机信息系统罪与非法控制计算机信息系统罪可能存在交叉，前者为实害犯，构成要件中的“严重后果”应当解释为由破坏计算机信息系统行为必然产生，后者指将他人计算机系统内的数据当作本人所有而加以获取或者控制的行为，且是情节犯，达到“情节严重”标准的才入罪。最后，提出流量劫持刑法规制的应然路径，即一个前提、两条道路，扩大解释计算机信息系统，针对原始和异化的流量劫持，以计算机犯罪和传统犯罪罪名分别予以规制。

　　流量劫持是指不法分子通过修改互联网用户的计算机信息系统设置，使用户在输入相关域名时跳转到被指定域名，从而使流量被迫流向指定网站并从中牟利的现象。司法实践中，流量劫持案件最初以百度搜索引擎网站与搜狗输入法之间一系列不正当竞争纠纷诉讼案件为典型。随着劫持手段不断发展，流量劫持对计算机信息系统的危害也愈加明显，2015年上海市浦东新区人民法院作出首例流量劫持案件入刑的判决以来，因行为人实施流量劫持行为被诉至法院的案件逐步增多，引起刑法学界和实务部门的关注。本文以流量劫持为切入点，从刑法教义学视角分析破坏计算机信息系统罪、非法获取计算机信息系统数据、非法控制计算机信息系统罪及相关罪名，拟为探索不同类型流量劫持的刑法适用规则提供一些思考。

　　截至2018年8月24日，在中国裁判文书网的刑事案件类别下，以“流量劫持”为关键词检索，共查询到4个案例。

　　2013年底至2014年10月，被告人付某、黄某等人租赁多台服务器，使用恶意代码修改互联网用户路由器的DNS设置，进而使用户登录某导航网站时跳转至其设置的特定导航网站，两名被告人再将获取的互联网用户流量出售给该特定导航网站所有者，违法所得合计人民币75万余元。2014年11月17日，被告人付宣豪接民警电话通知后自动至公安机关，被告人黄子超主动投案，二被告人到案后均如实供述了上述犯罪事实。被告人付某、宣某，因涉嫌破坏计算机信息系统罪被公安机关刑事拘留，后以破坏计算机信息系统罪诉至法院，最终两名被告人以破坏计算机信息系统罪定罪处刑。

　　2013年至2014年期间，被告人高某某与李某某商定，利用施某某网络运营商重庆公司工作的职务便利，进入DNS系统实施DNS域名劫持。高某某、李某某将需要劫持的网站域名和需要被指向的网站IP地址发给施某，由施某利用网络运营商的DNS系统修改域名解析配置文件，进行某私服游戏的域名劫持。2014年6月，被告人唐某某与被告人赵某负责收集四个网站域名的IP访问流量，获取上述网站的推广费。被告人唐某某与施某共谋实施流量劫持行为，由施某利用其在运营商DNS系统修改域名解析配置文件，当该运营商的重庆用户访问上述四个网站时，自动加入推广商代码。综上，被告人施某实际违法所得共计157。1万元，被告人唐某某实际违法所得共计50万元，被告人高某某实际违法所得共计18万余元，被告人李某某实际违法所得共计14万元。被告人施某、唐某某、高某某、李某某因涉嫌破坏计算机信息系统罪被公安机关刑事拘留，后以非法控制计算机信息系统罪诉至法院，最终被告人均以非法控制计算机信息系统罪定罪处刑。

　　2014年下半年，被告人陈某、王某、谢某违规在中国移动湖南公司主干网机房架设服务器，植入软件镜像该主干网服务器中上网用户的80端口（万维网传输信息的协议）、8080端口（用于万维网代理服务）的GET数据（请求数据）等上网用户的上网数据，将上网用户访问百度时的ID修改为被告人设定好的百度推广ID标识，非法牟取百度网推广收益。截止案发，被告人陈某等共违法所得人民币250万余元。2015年下半年，被告人于某、雷某、罗某等人发现利用技术漏洞通过获取QQ用户的Cookies数据可以进行淘宝网址推广获利，遂与联系被告人陈某，利用其部署的服务器抓取QQ用户的Cookies数据并购买。期间，违法所得人民币107万余元。被告人陈某某、王某、谢某、于某某因涉嫌非法侵入计算机信息系统罪公安机关刑事拘留，后以非法获取计算机信息系统数据罪批捕，最终两名被告人以非法获取计算机信息系统数据罪定罪处刑。

　　自2014年底，被告人沈某在成果网上注册多个账号，通过被告人张某等人在运营商的DPI过滤服务器植入具有域名、流量劫持等功能的程序，捕获不特定上网用户的实时上网流量功能，并实现网页重定向，完成域名跳转劫持。嗣后，通过成果网推广交易的电商误认为这些交易是成果网推广的，将本应支付给其他真实推广平台网站的返利费用和终端消费客户直接购买无需支付的推广费用全部先支付给成果网，再给沈捷。截止案发，被告人通过上述方式骗取电商的推广返利费共计人民币270万余元。

　　从行为手段看，上述四个案例均为DNS流量劫持，但修改DNS设置代码的手段略有不同。案例二直接用网络运营商员工的权限，修改运营商服务器的DNS系统，进而修改域名解析配置文件，将需要劫持的网站域名指向需推广的IP地址。案例一和案例三利用在运营商核心机房内假设服务器，镜像DNS系统并植入修改域名解析的软件。案例四则利用网络运营商员工权限，在DPI服务器上植入流量劫持程序软件，实现流量劫持。

　　从行为目的看，前三个案例中，被告人劫持流量的主要目的是将用户对其他网站的访问流量劫持到需推广的网站，并根据用户访问数与需推广网站进行结算牟利。而案例四则并非利用劫持的流量与网站直接结算，而是通过流量劫持，虚构需要推广的网站流量显著增加的事实，骗取广告公司（第三方）的推广费，牟利手法更为隐蔽。

　　对用户而言，其面临着网络安全风险，流量劫持行为因篡改用户主页、强制跳转不仅导致用户网络使用体验感下降，还因恶意软件、代码强行植入增加了各类账户、密码等重要个人信息资料的泄露风险。对网站经营者而言，其遭受了经济损失。流量劫持行为将影响原网站的用户访问量和市场份额，致使网站用户大量流失。对网络运营商而言，其增加了监管成本，非法获取DNS服务器权限等行为，增加了互联网的运营、维护成本。

　　以上四则均为流量劫持入刑案例，但罪名却不尽相同。如案例二中，被告人施某、唐某某、高某某、李某某的刑拘罪名为破坏计算机信息系统罪，而逮捕罪名和判决罪名均为非法控制计算机信息系统罪。案例三中，被告人陈某某、王某、谢某、于某某因非法侵入计算机信息系统罪公安机关刑事拘留，后逮捕罪名和判决罪名均为非法获取计算机信息系统数据罪。

　　究其根源，刑事案件定罪量刑的前提是准确认识案件的主客观事实，流量劫持的事实认定对司法人员提出较高的要求，也对计算机犯罪相关罪名的理解适应提出更高的要求。表现为：一方面，电子证据极易灭失，如案例四中，被告人沈某、刘某、张某等得知公安机关正在调查相关情况，为掩盖犯罪真相，逃避司法调查，在案发前销毁涉案程序文件、被告人之间网络聊天记录等大量关键证据，严重妨碍司法机关侦查；另一方面也表明亟待从刑法角度对流量劫持案件进行深入分析。上述三例典型案件中，被告人均实施了“流量劫持”行为，却以不同的罪名被科以刑罚，表明不同案例中的“流量劫持”行为尚存争议，从更深层上反映出司法实践中适用计算机犯罪相关罪名时对条文规定的理解也存在争议。

　　流量劫持经历了以计算机及网络为对象到以计算机和网络为媒介实施犯罪的技术演进，不同的流量劫持行为阶段，刑法规制的思路不同。因此，办理流量劫持案件，必须以明确流量劫持的技术手段为基础。

　　最初，计算机专业人士利用恶意软件修改浏览器设置、锁定主页、强制弹出新窗口等，强制用户访问目标网站进行流量劫持，这些方式容易被用户发现和修正必赢唯一官方网站。为更有效地实现流量劫持，采取不易为用户感知的行为方式，危害性最大的是运营商劫持，根据引流方式不同又分为DNS劫持和HTTP劫持两类。

　　DNS劫持是通过获取路由控制权限，修改路由网关的DNS和域名解析结果，从而使对该域名的访问由原IP地址转入到行为人指定的IP地址的行为。DNS劫持直接修改用户域名请求记录，技术要求低，权限要求高。以案例二为例，行为人利用网络运营商的DNS权限修改域名配置文件，当用户上网时，网页自动跳转至被推广网站。HTTP会话劫持则是指用户一次正常的Web服务器访问过程中，“入侵者”作为第三方参与到通信过程中，即“入侵者”从正常通信过程中获取到所需数据，并冒充一方主机，欺骗另一方主机，接管会话。此类劫持对权限要求较低，具有较强的操作性。以案例四中具体手法为例，行为人利用运营商服务器或者植入服务器的软件利用分析DPI解析内容（尤其是报文协议）进行检测，一旦发现是HTTP请求则拦截处理，并强制修改用户HTTP数据包的请求域名部分，使网页自动跳转从而实现流量劫持。

　　网络犯罪经历了以计算机和网络为犯罪对象到以计算机和网络为犯罪媒介的发展历程，即最初的计算机犯罪以破坏、非法控制计算机为主，因此触犯的主要是破坏计算机信息系统罪、非法控制计算机信息系统罪等，随着社会进步、技术发展，传统犯罪借助网络平台大量滋生。与之类似，流量劫持的异化阶段也是以流量劫持行为作为媒介实施，如案例四中，行为人通过流量劫持实施诈骗行为。可以预见，随着原始版本流量劫持犯罪成本的增加，未来更多的案件时异化的流量劫持犯罪，对计算机犯罪的司法适用将提出新的挑战，因此有必要对现行刑法规制流量劫持的常见罪名及存在的困境予以分析。

　　我国对互联网犯罪的规制，以实行行为作为着眼点，对“侵入—获取—控制—破坏—帮助”计算机信息系统的行为都予以了规制。与流量劫持密切相关的是两个罪名，一是破坏计算机信息系统罪，二是非法获取计算机信息系统数据罪。

　　《中华人民共和国刑法》第286条破坏计算机信息系统罪规制的是三种“破坏”行为：一是对计算机信息系统功能进行删除、修改、增加必赢唯一官方网站、干扰，造成计算机信息系统不能正常运行的行为；二是对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改必赢唯一官方网站、增加的操作的行为；三是故意制作、传播计算机病毒等破坏性程序，影响计算机系统正常运行的行为。流量劫持的目的是将原本属于其他网站的流量引导到需推广网站，因此主要通过修改计算机系统或者计算机系统中的数据和应用程序实现。无论是DNS劫持还是HTTP劫持，只要以植入软件、恶意代码等形式对计算机系统或者计算机系统中的数据和应用程序造成严重破坏，即构成破坏计算机信息系统罪。

　　“严重后果”是否需要与计算机信息系统安全破坏之间有直接或间接的联系？根据第286条第2款可以有两种理解：一种是后果严重或者不需要与计算机系统的数据和应用程序被删除、修改、增加有直接因果关系，只要行为人实施删除、修改、增加计算机信息系统中的数据和应用程序行为，并且达到后果严重，即可入罪。另一种则是严重后果必须是由行为人实施删除、修改、增加计算机信息系统中的数据和应用程序直接导致，即被告人必须直接以劫持的流量从推广网站处获利才构成本罪。如有学者认为，破坏计算机信息系统数据和应用程序情形下的严重后果，主要指严重破坏计算机信息系统的有效运行、影响正常工作和生活的，因计算机信息系统的数据和应用程序被破坏而造成重大经济损失的。有学者进一步指出刑法对于第286条第2款，必须明确行为人实施的对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作行为与危害后果之间存在必然的因果关系，所谓必然因果关系是指实行行为已经造成实际损失和必然遭受损失。依照第一种说法，被告人实施了以案例四中的手法实施流量劫持行为，尽管被告人以劫持的流量骗取广告公司，而非直接从推广网站处获利，也构成破坏计算机信息系统罪。反之，案例四则不构成破坏计算机系统信息罪。

　　毋庸置疑，破坏计算机信息系统罪属于结果犯，司法实践中的争议焦点是，《解释》第4条第3款规定的“违法所得5000元以上或者造成经济损失1万元以上的”是否是计算机信息系统安全遭到破坏或影响而产生。质言之，第4条第3款规定的，违法所得或者经济损失是否与计算机信息系统安全遭到破坏有直接因果关系。本文认为，严重后果应当限缩解释为由破坏计算机信息系统行为直接产生，即第286条第2款的严重后果也必须理解为“因为删除、修改、增加计算机信息系统中的数据和应用程序导致计算机信息系统中的数据和应用程序受到破。

上一篇：bwin全国出现大面积DNS服务器故障 域名被劫持

下一篇：DNS安全：警惕域名bwinDNS被劫持攻击