在司法实务中,流量劫持行为的行为定性争议颇多,究其本质,这一适用困境源于流量劫持行为所侵犯法益含混不清、关联罪名的罪间边界划分模糊等成因。以明确流量劫持行为类型为事实基础,根据作用原理标准,流量劫持可分为域名劫持与数据劫持两种基本行为类型。其中,数据劫持行为尚不具备刑事可罚性,而域名劫持的行为明确指向法益侵害,在罪刑规范上符合该当性。在法益侵犯层面,流量劫持行为所指涉法益较为复杂,应当明确其侵犯的是计算机信息系统安全这一法益;在罪间关系层面,流量劫持行为所涉及的计算机类罪之间并非形成互斥关系,若产生适用分歧,应采用想象竞合的原则进行处断。在大数据时代,互联网具有虚拟开放、高技术含量及发展迅速等多重特性,在带来愈加繁盛的跨行业、跨区域性质贸易市场的同时,能够大幅提高市场交易效率。在繁荣的市场经济背后,流量依托经营者的网络平台进行转移,电子数据伴随着逐渐深入的商业活动而迅速流转,呈现出环环相扣的特征。流量劫持等新型不正当竞争行为所涉及的数据内容,通过高效便捷的数据流转与收集机制,扩散极为迅速,能够带来更加广泛的影响。由于数据流量往往象征着商业机会与经济利益,不法分子为获取非法利益,可能采用流量劫持行为对他人数据流量进行干涉。在这一过程中,不法分子利用多重技术手段实现妨害他人自由浏览网页的目的,类似浏览器插件劫持、HTTP代理过滤、内核数据包劫持等流量劫持手段频现,对他人的正常使用行为形成阻碍,也给互联网运营商造成诸多经济利益损失。可见在互联网竞争中,流量劫持行为的过度使用,已成为互联网领域的“顽疾”之一。传统视角下对于流量劫持行为往往依赖民事途径进行治理。不过,在民事手段不能充分有效发挥治理和预防作用,抑或某种不正当竞争行为满足刑事法所要求的法益侵害性时,为实现有效治理的目的,适用刑事法进行制裁的必要性便已具备。在司法实务中,流量劫持行为入刑的案件相对较少,仅存在十余例刑事判决书,但问题在于,在诸多判决书中,涉及流量劫持行为的行为定性存在较大争议,存在盗窃罪、诈骗罪、帮助信息网络犯罪活动罪、破坏计算机信息系统罪、非法控制计算机信息系统罪等诸多看法。究其本质,这一司法适用困境源于该行为所侵犯的法益过于模糊,是属于秩序性法益还是财产性法益仍有待探究,即使按照指导性案例的意见,以破坏计算机信息系统罪进行定罪处罚,但相关计算机罪名在罪刑规范、行为方式上存在难以划清的问题,以至于流量劫持的行为定性殊为不易。为匡正这一异化现状,笔者在划分流量劫持的行为类型基础上,对于流量劫持行为所侵犯的法益进行厘清,再根据竞合论原理,明晰流量劫持行为的刑事法界定问题。笔者以“流量劫持”为关键词,在威科先行法律数据库进行检索,一共收集到十三例涉及流量劫持的刑事文书,将无关案例进行筛选后发现,尚存在十二例刑事文书。与此同时,相应的民事文书也仅存在五十一例,可见流量劫持行为较少进入司法程序。对于五十余份法律文书进行初步分析,流量劫持案件一方当事人多为法人及其他组织,在审理时间上近80%的案件长达半年以上,在案件标的额上,近50%的案件标的额都在100万以上,可以发现流量劫持案件影响广泛、案情较为复杂,在法律治理效果上存在过度的谦抑性。流量劫持行为应如何定性,在司法实务中存在较大的分歧。笔者通过汇总分析发现,在十二例刑事文书中,有六例以破坏计算机信息系统罪论处,有两例以非法获取计算机信息系统数据罪论处,有一例以非法控制计算机信息系统罪论处,有两例以帮助信息网络犯罪活动罪论处,还有一例以诈骗罪论处。可见在刑事领域中,存在着盗窃罪、诈骗罪等诸多看法。甚至也有部分学者认为,流量劫持仅仅属于不正当竞争行为,无需纳入刑法的打击范围内,仅仅通过民事途径即可解决。可见流量劫持的定性问题,俨然处于众说纷纭的状态。为明确案件的定性与治理,有必要结合具体判例进行分析。2015年作出判决的付某、黄某破坏计算机信息系统一案,被视为我国首例流量劫持入刑案。在本案中,被告人恶意篡改用户端口路由器的域名设置,使他人在访问特定网站时,会强制跳转至付某等人预先设置的指定网址,作案手段符合域名劫持行为的行为特性。法院观点认为,行为人通过实施域名劫持行为,破坏了目标网站所提供服务的正常运转,并通过转卖用户流量牟利,应当评价为破坏网络用户的计算机信息系统功能的行为,符合破坏计算机信息系统罪的行为构成。不过在本案的审理过程中,起初审判人员对于流量劫持这一行为的定罪存在分歧,存在盗窃罪、破坏计算机信息系统罪等不同观点,最终以本案构成破坏计算机信息系统罪为判决结果。然而,裁判文书缺乏对不构成盗窃罪的释法说理,在本案中,行为人是否构成盗窃罪并形成想象竞合关系仍然不置可否。本案作为最高法的指导性判例,原本的作用在于定分止争,明确流量劫持行为的定性问题,但是问题在于,尽管这一指导性案例能够指明流量劫持的行为定性,但由于判决书中的说理部分仍然较为薄弱,缺乏明确的规范性说理过程,未能彻底解决问题。同时颇为遗憾的是,该指导性案例也并未起到理想中的效果,紧跟其后的陈某勇案,便做出了不同的判决结果。陈某勇案的主要案情为:陈某勇在未经授权下,镜像电信公司主干网服务器中的用户数据,同时在服务器上插入程序,变更用户访问百度的数据,使用户通过带有陈某勇的推广码的百度地址访问百度,一旦用户点击了百度付费广告链接,陈某勇即可获利。可见,行为人的行为模式仍然是通过篡改程序劫持用户数据从而指向特定网址的方式,显然该行为模式符合流量劫持的典型行为特征,若根据指导性案例的观点,理应以破坏计算机信息系统罪论处,但法院最后认定被告人构成非法控制计算机罪信息系统罪。此外,在司法实务中,还存在诈骗罪等判决结果,显然司法实务中对于流量劫持行为的定性并不统一。在沈某诈骗一案中,被告人沈某在服务器中非法植入相关流量劫持程序,诱使网民点击,并在网民上网设备上植入特定cookie,当被植入特定cookie的网民进行网络购物时,各电商误认为这些交易系来自X网站推广,因此将返利费用支付给X网站。沈某通过事先与X网站的协议进行分成,达到通过网络广告推广流量获利非法利益的目的。在本案中,行为人采取流量劫持的行为手段,非法获取推广返利,与陈某勇案中的行为手段、非法目的存在一致性,但在判决结果上,却呈现出较大的差异性。总之,流量劫持行为的司法适用呈现出模棱两可的现实障碍,这一分歧现状既不利于形成统一的流量劫持行为裁判规则,促进司法判决结果的一致性、体系性、适当性,也不利于准确贯彻罪责刑相适应原则,维护司法判决的既判力与权威性。正如有学者提出,指导性案例中的“域名劫持行为”无法涵盖其他流量劫持的行为类型,因而单独罪名无法解决全部流量劫持行为的定性问题。流量劫持行为的刑法定性,有必要在探明司法适用现状困境成因的基础上,基于类型思维的考量,分门别类地对于流量劫持行为进行规范认定,从而实现治理的针对性及有效性。诚如前述,流量劫持行为的刑法定性呈现出较为多元化的趋势,单一罪名无法准确概括流量劫持行为的行为本质。而究其原因,主要在于流量劫持行为所侵犯法益存在含混性的特征以及部分罪名之间的罪间边界尚未厘清。
流量劫持行为如何加以定性,首要任务在于厘清该行为所侵犯的法益,否则会导致该行为在定性时毫无章法可循。结合司法实务进行归纳,流量劫持行为可能触犯财产犯罪、网络犯罪等类罪,在网络犯罪中,因侵犯法益的具体指向存在差异,不仅包括以一般性、抽象性、概括性的信息网络管理秩序为法益内容的帮助信息网络犯罪活动罪等罪名,也包括以较为具体的计算机信息系统安全秩序为法益内容的非法获取计算机信息系统数据罪,破坏计算机信息系统罪等罪名。可见,实务界认为流量劫持行为所侵犯的法益,存在着财产法益、网络秩序法益、计算机信息系统安全法益等内容。严格而言,计算机犯罪属于网络犯罪的具体类型之一,但由于计算机信息安全法益较之一般性的网络秩序法益,更具针对性和细致性,因而两者并非完全一致,结合司法实务的定罪样态,网络秩序法益存在进一步细化的必要性。据此,流量劫持行为所侵犯法益的理论争讼,可以划分为三种基本观点:虚拟财产说、网络秩序说、系统安全说。其一,虚拟财产说。该观点认为流量劫持行为所侵犯的对象为流量,而流量属于虚拟财产。在沈某、刘某海等诈骗一案中,被告人知悉成果网具有通过网络广告推广流量获利的途径,在相关服务器中植入流量劫持程序,捕获上网用户的数据流量,被该程序捕获到的用户在指定网站下单购物时,商家误认为这些交易系成果网的推广,从而进行推广返利。在该案中,法官认为流量劫持行为属于诈骗罪的手段行为,并不值得单独评价。最终法院认定,被告人沈某、刘某海结伙,利用技术手段,修改计算机数据,使被害人陷入认识错误进行推广返利,骗取他人钱款,构成诈骗罪。可以看出,这一行为路径显然也符合诈骗罪的行为构造,因此可以通过诈骗罪进行定罪处罚。不过这一定看似并不存在问题,但结合前述陈某勇案来看,在这两例案件中,虽然案情极为相似,均以获取返利为目的,使用了流量劫持手段,而案件定性却相差甚远,显然司法人员对于流量劫持行为所侵犯法益也存在不同意见。在虚拟财产说的支持者看来,流量是用来衡量访问用户数量和浏览页面数量的指标,是对于特定网站的价值评价,具备独立的地位及财产价值、并不属于系统安全的附庸。若采纳本观点,符合刑法打击流量劫持行为的规范意旨。并且,在现实生活中,企业被流量劫持后的主要损失,主要在于用户数量的大量流失,因而仅以涉计算机相关罪名进行定罪处罚,缺乏一定的合理性。不过本说并非完美无瑕,其问题在于难以规制那些并不以流量作为犯罪对象的流量劫持行为,如利用流量劫持将目标用户引导至其预先设立的山寨网页以窃取用户的账号信息的行为等。这一学说保护范围较为狭窄,无助于实现数据流量保护的全面性。其二,网络秩序说。网络秩序说认为流量劫持行为妨害了网络秩序的正常运转,网络秩序作为社会秩序的具体类型之一,刑事立法早已确认了对其的保护机制。流量劫持行为未经授权擅自篡改计算机程序、非法控制流量走向,对于网络秩序的稳定和谐造成了不利的影响。本说的支持者认为,相较于计算机系统安全法益,网络秩序法益则更为抽象化、宽泛化,能够涵盖前者。因此,流量劫持行为的刑法定性并非排斥计算机罪名的成立,而是充分发挥竞合论原理的一般性作用,该说认为流量劫持行为能够同时触犯多个网络罪名,从而形成想象竞合关系。正如在王某帮助信息网络犯罪活动一案中,王某得知他人欲利用流量服务器进行流量劫持,遂提供互联网接入及服务器托管事宜,显然王某与他人成立共同犯罪,王某的行为在共同犯罪中体现一定的参与性与从属性。因而严格来说,构成破坏计算机信息系统罪的帮助犯,同时触犯了帮助信息网络犯罪活动罪这一实质预备罪。但问题在于网络秩序安全法益属于抽象的秩序性法益,难以衡量流量劫持造成的法益损害,在具体损失的认定标准上不一致,因此司法实务中的辩护意见多从损失数额出发,从而达到减轻被告人刑事责任的目的。同时刑法也规定了提供侵入、非法控制计算机信息系统程序、工具罪,在共犯形态上,若认为帮助犯提供技术支持构成帮助信息网络犯罪活动罪,那么会忽视前者的增设目的。其三,系统安全说。系统安全说认为流量劫持行为实际上损害的法益是计算机信息系统的安全,这一观点颇受理论界与实务界的赞同,是目前的优势学说。从历史嬗变的角度而言,在早期,流量劫持行为常见于企业的市场竞争措施之中,诸多企业并不认为该行为妨碍了网络秩序或者计算机系统安全,这就导致了在早期的司法实务中,流量劫持行为一般以不正当竞争行为加以认定,并不通过刑事法加以处罚。但是实际上,流量劫持行为在行使过程中,发现并利用计算机防御系统的漏洞,给黑客提供方便,可能会影响计算机信息系统安全这一法益。此外,部分流量劫持行为通过技术手段,意图在于盗取用户账号、窃取用户信息,并非为了篡夺数据流量,但该行为严重威胁了用户计算机系统的安全,以计算机罪名以外的网络犯罪或者财产犯罪定性可能不够恰当。正如我国首例流量入刑案件,作为最高法的指导性判例之一,将流量劫持行为的入罪途径限定为破坏计算机信息系统罪,正是采取了系统安全说的观点。具体而言,流量劫持行为的操作意图在于获取流量,为了实现这一不法目的,通过技术手段修改计算机配置、植入修改程序,实则在盗取数据结果发生之前,已然破坏了计算机系统的正常运行,导致权利人原本设定的计算机程序无法正常工作,严重妨碍了网络活动的有序进行。即流量劫持行为首先破坏了计算机信息系统安全,然后才导致数据流量的大量流失,因而只得通过相关计算机罪名加以处罚,显然刑事法打击流量劫持行为的初衷在于维护计算机系统安全。综上所述,正是因为流量劫持行为所侵犯法益呈现出“剪不断、理还乱”的特征,导致了在司法实务中对于流量劫持行为的定性较为混乱。
在司法实务中,对于流量劫持的行为认定,司法人员似乎对于案件事实与涵射过程存在不同看法。具体而言,在施某案中,施某利用职务便利,对于传奇私服游戏进行域名劫持,修改分公司计算机系统数据,致使用户在访问分公司名下网站时,自动加入推广商的代码,法院最终以非法控制计算机信息系统罪认定;在颜某、刘某案中,被告人使用非法软件对获取的流量数据进行网站劫持,将联通手机用户访问的网站劫持到境外赌博网站,为境外赌博网站进行推广牟利,法院则以破坏计算机信息系统罪认定;而在陈某勇案中,被告人采用流量劫持手段,获取企业数据进行百度推广牟利,法院最终以非法获取计算机信息系统数据罪认定。通过上述案例,诸多案件虽然均构成计算机罪名,但司法人员可能缺乏对于流量劫持行为的类型界定及作用机理的整体性把握,以至于在演绎推理过程中,所寻找的大前提处于模棱两可的样态,缺乏对于案件事实的深入揣摩。此外,计算机罪名中存在诸多具体各罪,罪间关系缺乏明确的界定,从而加剧了这一混乱的司法适用现状。比如涉及非法控制计算机信息系统罪与破坏计算机信息系统罪的区分时,所谓“破坏”,指变更计算机系统程序,而使其系统功能无法正常实现的行为,而非法控制行为也同样涉及对于计算机系统功能的控制与利用,即非法控制行为与破坏行为往往属于伴随关系,如何对于两罪进行准确区分,立法上虽然对于非法控制这一行为方式进行了简单列举,但表述过于抽象以致于无法进行区分,也同样缺乏有关司法解释进行补充性规定。诚如前述,结合司法实务,可见司法人员也缺乏对于罪名中行为要素的规范理解,比如将非法控制行为解释为完全控制系统且能够排除权利人控制。但这一解释结论会导致非法控制的范围过于狭隘,将很多违反权利人意志的非法操控行为排除在非法控制的范围外,而又基于处罚必要性,将该类行为不合理地纳入其他计算机罪名中,严重挤压了非法控制计算机信息系统罪的适用空间,以致于本罪名沦为“僵尸条款”,但排除权利主体控制权这一条件意味着该行为符合破坏计算机信息系统罪的行为构成,也会导致两罪的罪间边界无法加以区分。因此何谓“非法控制”?何谓“破坏”?显然控制与破坏之间的行为关系亟待厘清。在司法实务中,由于流量劫持行为的行为性质不够明确,罪间边界较为模糊、侵犯法益较为复杂等原因,对其犯罪构成要件的认定,司法实务中难以确定统一意见,因此亟待对上述问题予以解决。
流量劫持行为在传统视角上,通常被认定为互联网不正当竞争行为,通过民事途径加以治理。而从刑法的角度出发,该类行为也可能因触犯刑法计算机相关的罪名被定罪处罚,存在入罪的可能性。民事不法与刑事犯罪并不是对立互斥的关系,而是因为违法性程度的差异存在递进关系。流量劫持行为可能不仅仅属于民事违法行为,在满足不正当竞争的成立条件的同时,也可能构成刑事犯罪。但若对于该行为加以刑事处罚,则需要满足刑法分则具体罪名(以计算机罪名为主)的构成要件且具备刑事可罚性方可入罪。具体而言,流量劫持行为在符合形式违法性的同时,也应当满足“严重后果”或者是“情节严重”这一要件,同时一般而言,这些入罪条件包括计算机运行异常、功能丧失、数据被篡改等具体内容,可见刑事犯罪存在一定的门槛要求,并非所有流量劫持行为都能一概入罪,这与当前流量劫持行为入罪的谦抑性表征息息相关,为了能够明晰罪与非罪界限,理应对于不同类型的流量劫持行为加以划分,从而决定应该适用何种部门法进行规制。结合司法实务,常见的实施劫持的手段包括浏览器快捷方式篡改、主页配置篡改、hosts劫持、DNS劫持、HTTP劫持、进程Hook、启动劫持等等。虽然众多技术手段发挥作用的节点不同,但根据流量劫持的技术实现方式,可以将其划分为两种类型,一是域名劫持,二是数据劫持。其一,域名劫持。域名劫持是指不法分子利用技术手段通过攻击服务器终端,从而对于域名进行解析,非法获取权限、植入虚假信息,把用户输入的请求结果返回值解析到错误的地址,从而导致用户无法访问目标网站,改变网络数据流向的行为。其二,数据劫持。数据劫持,又称链路劫持,其表现形式为当用户进行访问或者修改操作时,网站强行注入一段代码拦截该行为,并传回经提前设定的嵌入式广告、弹窗,干扰用户正常使用的行为。在商业竞争过程中,部分经营者可能会采取非法注入代码的行为方式,将平台的预设的页面进行阻拦,进而破坏平台赖以生存的衍生营利模式,扰乱其商业生态,间接损害其通过正常经营建立起来的竞争优势。综上所述,流量劫持行为可以根据技术手段的作用原理进行区分,包括域名劫持和数据劫持两种类型。在域名劫持中,不法分子通过绑定程序、注入代码等行为方式,劫持用户流量至第三方网站,干扰用户正常使用,同时该行为往往伴随着公共信息遗失、计算机运行障碍,甚至危及国家信息安全,具有较高程度的实质违法性。因而在违法性程度上,已经无法简单以不正当竞争行为加以评价,而是满足了刑事违法性的要求。而数据劫持的典型特征是依靠技术手段对用户的选择产生影响,从而对其他市场主体的正常经营活动产生干扰。数据劫持并未采取强制手段,截流用户数据,从而导入第三方网站。大多数情况下其采取的更多的是一种柔和的方式,通过误导性广告、默认选项、下拉框等方式进行劫持,诱导用户自行进行错误操作。作为一种典型的不正当竞争行为,数据劫持行为对于公平竞争关系的破坏更多的对于消费者认知层面的混淆,客观上使消费者发生“分流”这一效果,从而在提高自身出场率的同时,减损其他竞争者的商业机会,并从之获得商业竞争力与广告收益等利益。可以看出,尽管数据劫持行为诱导用户进行误操作,在一定程度上影响了用户的浏览体验,但其并非严重限制用户的上网自主权,也并未妨害计算机系统的正常运行,无法满足计算机罪名的结果要求。故对于数据劫持行为,通过反不正当竞争法进行规制较为妥善,无需借助刑罚进行规制。
厘清法益的目的在于解决流量劫持行为的定性问题,诚如前述,结合司法实务,若采取不同的学说观点,会产生不同的判决结果。若涉及网络秩序或者计算机系统安全之争也情有可原,严格来说计算机系统安全属于网络秩序的一部分,两者具有一定的种属关系,因而在定罪时,应当以描述更为准确,更加具有针对性的计算机罪名论处,帮助信息网络犯罪活动罪更多作为密集法网的兜底性罪名而存在,因此有计算机罪名能够准确涵盖案件事实时,优先以计算机相关罪名论处。但流量劫持行为也可能触犯财产犯罪,由于财产犯罪与计算机罪名存在较大差异性,理应加以明确。有学者认为,流量劫持行为导致用户流量流失,从而给被害人带来经济损失,同时也会影响计算机系统的正常运转,影响计算机信息系统安全。该观点明确了流量劫持行为会带来经济损失与系统破坏双重损失,但并未论证为何不构成盗窃罪,因而合理性值得怀疑。首先应该肯定的是破坏计算机信息系统罪与盗窃罪并非互斥关系,两者具有构成想象竞合犯的可能性。但若仅仅简单地认定流量劫持行为构成此罪,而缺乏不构成彼罪的理由,也会导致流量劫持行为的罪间边界存在一定的模糊性。流量劫持行为是否能构成财产犯罪,有必要从构成财产犯罪的前提性条件出发,对流量是否为财物进行理解。法律之所以赋予某种事物以公开且稳定的财产权,恰恰在于其能够持续激励权利人创造、改进和更好地使用,实现稀缺资源的配置,产生更大的效用。流量作为一种量化企业所提供服务受欢迎程度和经济利益驱使的标准,虽不能带来直接的经济利益,但数据时代下流量早已成为了评价互联网企业盈利能力的标杆之一。有学者指出:流量需要电信运营商前期成本的投入以及带来后续的经济利益,应视为可以出售获利的财物。此外,流量还具有价值兑现的功能,企业通过向来访的用户提供服务和产品,或广告商由于企业网站拥有的流量而进行投放广告等,都属于流量价值兑现的方式。从上述特点来看,显然流量具备一定的价值性、转移可能性与管理可能性,能够作为刑法规范意义下的财产性利益,符合财产犯罪的前提性条件。流量劫持行为是否构成盗窃罪?针对这一问题,首先,应当区分流量劫持行为的作用对象。对于互联网用户而言,其通过点击指定网址而获取相应的网络服务,但由于流量劫持行为的不法作用,使得网络用户的操作目的落空,原本的标的网址被劫持,强行跳转为不法分子事先设定的网址,用户的数据流量在这一过程中未能发挥理想中的功能。诚如前述,流量具备一定的经济价值,能够评价为刑法中的财产性利益,因此可以发现流量劫持行为确实侵犯了财产性利益,但这种财产性利益的丧失是否可以归属于用户,仍然值得探究。此外,在用户键入指定网站后,数据流量将得到一定程度的特定化,转变为不同类型的网络服务,而使原本的静态模式产生变化。正如有学者认为,“网络流量”的内在价值在不断转变,缺乏固定性、稳定性和可量化性,如何准确计算数据流量的损失数额难以明确,加之随着5G时代的到来,购买网络流量的有偿服务在价格上愈加低廉,同样存在对用户提供不限流量的相关服务,因而是否达到入刑点值得商榷。举例而言,某用户在APP开启界面点击了当前界面的广告,强制跳转至下载链接,致使数据流量的流转目的落空,但这并不意味着广告商的广告行为属于犯罪行为。因此,对于互联网用户而言,并不能构成盗窃罪。而对于互联网运营商是否能构成盗窃罪?笔者同样并不赞同,盗窃罪的行为构造在于打破占有,建立新的占有秩序。而“流量劫持”则是通过“分流”来实现不法利益,其作用效果并非直接篡夺财产利益,而是获得相应的商业机会。与占有转移行为并不相同,互联网用户一旦被不法手段强制进行页面跳转,也就意味着用户的数据流量并未进入运营商的网站领域,互联网运营商缺乏对于数据流量占有的可能性,因而不存在“建立新的占有秩序”这一状态,从而不符合盗窃罪的行为构造,针对运营商而言的盗窃罪也不成立。那么,流量劫持行为是否构成诈骗罪?之所以部分学者认为构成本罪,原因在于将流量劫持行为视为获取流量的手段行为,被后续行为所吸收,这一定罪忽视了计算机安全法益的独立地位,与立法原意相违背,在当前已然没有了市场。因此,流量劫持行为并不构成财产犯罪。综合来看,笔者认为流量劫持犯罪侵害的法益是计算机信息系统安全,这一观点能够实现互联网秩序的有序运行,侧重于对于计算机系统安全进行保护,兼顾对于数据权益与网络秩序进行保护,避免了其他学说存在的不足。当然,这也并非意味着本说完全没有问题,若以计算机系统安全作为保护法益,会存在损失数额难以量化的缺陷,不过这一缺陷,伴随着大数据行政、大数据执法技术的不断深化,可以迎刃而解。通过采用建立数据模型的方式,测算并估计得到模拟损失数额,未必不能实现精准量化的效果。
在流量劫持行为所触犯的计算机罪名之中,存在破坏计算机信息系统罪与非法控制计算机信息系统罪之争,一般而言,存在排他互斥与竞合两种观点。结合司法实务,流量劫持案件的争议焦点往往围绕着案件定性展开,以何种计算机罪名进行定性陷入争论不休的状态。正因如此,造成两罪名之间在司法实践中形成了一种排他互斥关系的假象。但实际上,非法控制计算机信息系统罪的立法初衷就是弥补破坏计算机信息系统罪的部分处罚漏洞,为实现这一目的,两罪在规范构造与行为模式上存在差异,但这并不意味着两罪处于完全对立的局面。司法实践中的认定方式并不准确。因此,流量劫持行为应当如何认定,首先需要对于破坏行为与控制行为的关系进行厘清。胡云腾法官认为,在非法侵入计算机信息系统后,并未破坏其中的功能或者数据,而是通过控制计算机进行操作获利的行为被称为“非法控制计算机信息系统”。笔者并不反对上述观点,非法控制行为的行为侧重在于控制他人计算机信息系统,在未经权利人同意的情况下,进行越权操作,从而获取不法利益。非法控制行为所导致的随附结果,并非严格限制在妨害系统正常运行、篡改系统程序数据等内容,因而非法控制行为仅仅要求“情节严重”作为入罪标准。由于破坏行为要求出现妨害计算机系统运行的不利后果,显然非法控制行为起到补充性的作用。当涉及控制行为与破坏行为的关系时,还有学者提出,从理论上来看,流量劫持行为的所有行为类型本质相同,都在于无权使用或者越权使用他人计算机系统。这些不法行为均妨害了网络用户的自由使用权,全部可以评价为非法控制行为,因此,该观点认为两罪属于法条竞合中的包容竞合关系。甚至有学者认为控制行为完全可以被破坏计算机信息系统罪中的干扰行为所包括,没有必要单独增设一罪。但上述观点的缺陷在于并未精细化认定流量劫持行为的作用机理,对于所有行为类型均加以同种处罚,不仅忽视了流量劫持行为本身的违法性界限,导致罪与非罪区分标准不清,而且混淆了罪间边界,以至于无法准确区分并解决单纯控制而未破坏系统以及单纯破坏计算机系统的行为定性问题,因而显得并不妥当。此外,司法实务中也存在新的观点。在北京某公司等破坏计算机信息系统一案中,法院观点认为,被告单位制作、传播的源代码程序,能够在用户不知情的情况下安装特定插件,修改用户浏览器启动页,并阻止用户自行更改,从而达到劫持用户浏览器的目的,由此可见,被告单位的行为属于非法控制计算机信息系统,同时这一行为导致用户无法根据其本人意愿选择浏览器启动页,是对于用户计算机信息系统原有功能的破坏,属于破坏计算机信息系统的行为。因此,被告单位所制作程序既具有非法控制他人计算机信息系统的功能,也具有破坏他人计算机信息系统的功能,仅以非法控制计算机信息系统罪来评价被告单位的上述行为不完整、不全面。从本案而言,该源代码程序的非法控制功能服务于破坏功能,二者之间具有手段和目的的牵连关系,因而对于制作、传播该源代码程序的行为应采用从一重处罚的原则,即应以破坏计算机信息系统罪论处。显然,司法人员虽然考虑到非法控制行为与破坏行为有所差别,认为其构成牵连犯。但实际上,控制行为和破坏行为并非那么泾渭分明。举例而言,通过技术手段的形式,使权利主体无法有效利用计算机系统,可以称之为非法控制行为,且这种控制状态具有排他性,排除了权利主体的控制权,这又何尝不是一种破坏行为,计算机系统虽然还能进行运转,但对于权利主体而言,已然丧失了继续利用的控制权,满足破坏计算机信息系统罪的行为构成要求。因而对于两罪的界分,通过竞合论加以解决较为妥当。笔者以为,两罪之间应当属于想象竞合关系,控制行为与破坏行为并非以对立排斥的形式而存在,相反两者属于相互依存、交叉重叠的行为关系,也因此控制行为可以实现单纯控制,也可以带来破坏结果。而破坏结果的产生也并非一定依托于控制行为的发生,能够控制他人计算机系统,也同样能够进行破坏。两者可以单独存在,也可以同时存在。结合具体案件事实,可以存在不同的呈现方式,因而属于想象竞合。部分法官也秉持这一看法,具体而言,由于控制行为的控制程度有所区分,既可以是完全排除权利人的控制,也可以是部分排除权利人的控制,甚至在不妨碍计算机信息系统正常使用的情形下,可以通过远程操控计算机实施一定的行为。而对于计算机系统的破坏也存在多种情形,既存在直接破坏计算机信息系统,造成其功能全部或部分紊乱的破坏行为,也存在通过控制他人的计算机系统而导致的计算机系统不能正常使用的行为。严格来说,两罪应当属于想象竞合的关系。根据想象竞合犯从一重罪处罚的处断原则,由于破坏计算机信息系统罪的法定刑明显高于非法控制计算机信息系统罪的法定刑。因此,当流量劫持行为触犯两罪时,应以破坏计算机信息系统罪论处。互联网技术在高速发展中呈现出深度性与多元性,流量劫持行为借助这一科技媒介呈现出实现技术手段的先进性、侵犯法益的复杂性等特征,因而在社会危害性层面日益上涨,值得引起相关部门加以审慎对待。不过司法实务在治理这一行为时却呈现出了一定的谦抑性,可能意味着司法人员不仅未能准确厘清流量劫持行为的作用机理,而且错误理解了相应罪名罪刑规范的立法目的。为了妥善解决流量劫持行为的定性问题,有必要结合司法实务,针对性地解决相关案例中所呈现出的问题。流量劫持的行为类型较为多元,通过类型化界分确认罪与非罪的界限,又因流量劫持行为所侵犯的法益较为复杂,通过法益理论准确厘清法益内容,当涉及案件最终定性时,通过竞合论对于相关罪名的罪刑规范加以诠释,从而为流量劫持行为的司法适用确立统一标准。往期精彩回顾
王婕琼 郑林贝|侵犯著作权罪保护法益的价值选择——基于对人工智能生成物作品属性之争的思考吕丹丹|产业链视角下生成式人工智能服务中主体类型及义务分配杨心雨 李睿|“被遗忘权”的定位与实现——以新兴(型)权利的证成标准为视角王梦旭|智能化法律解释:大数据与人工智能在司法解释与案例中的技术路径与应用上海市法学会官网
http://www.sls.org.cn
