数字经济日益发展,新型犯罪行为也日益复杂,危害较大的流量劫持行为就是典型。刑事司法规制流量劫持离不开对行为技术底色的深入分析——
区分技术底色精准惩治流量劫持行为
在法治环境下,数字经济参与主体围绕着数据要素展开商业竞争,通过丰富多彩的信息内容和服务手段吸引用户。但是,随着用户数量红利逐渐消失,数据要素获取成本不断提高。在巨额利益诱惑下,部分具有一定专业技术的参与主体试图通过“搭便车”的方式获取利润,甚至催生了与之相关的犯罪产业链。这其中,危害较大的流量劫持行为就是典型。所谓流量劫持行为,是指不法分子通过技术手段,在数据通信过程中的关键环节,对数据通信过程施加影响,增加、修改、删除或者控制数据传输的内容或路径,非法干预、控制用户自主选择权的行为。该行为不仅破坏网络市场正常经营秩序,甚至可能危害网络安全乃至国家安全。
规制流量劫持行为的相关法律法规
近年来,立法者通过对反不正当竞争法的修改,对流量劫持引发的不正当竞争问题进行了正面回应,该法第12条第2款明确规定:经营者不得利用技术手段,通过影响用户选择或者其他方式,实施未经其他经营者同意,在其合法提供的网络产品或者服务中,插入链接、强制进行目标跳转的行为。2022年3月20日正式施行的《最高人民法院关于适用〈中华人民共和国反不正当竞争法〉若干问题的解释》第21条第1款进一步明确规定:未经其他经营者和用户同意而直接发生的目标跳转,人民法院应当认定为反不正当竞争法第12条第2款第1项规定的“强制进行目标跳转”。上述法律条款及司法解释为民商事领域处理此类行为提供了良好指引。同时,前置法律规范的完善,也有助于司法人员明确犯罪边界,准确审视行为人的行为是否构成犯罪。
流量劫持的行为模式与目的
对网络犯罪行为的规制离不开对行为技术底色的观察。从技术角度观察,流量劫持行为既可以在本地计算机信息系统实施,也可以实施于网络传输关键节点。在本地计算机信息系统上,行为人可以借助计算机病毒、木马程序或者其他恶意程序,干预计算机信息系统或应用程序的正常运行,导致用户在不知情或被迫的情况下实施数据通信行为。网络关键节点在数据通信过程中具有不可替代的作用,如果对其服务功能进行干预、控制,往往可以达到恶意控制的效果。
行为人实施流量劫持行为通常有特定的需求,这种需求与具体的商业模式直接相关。据笔者观察,流量劫持行为大体可以分为“引流”“展示”“替换”三种不同类型。所谓“引流”,是指行为人使用技术手段,通过替换域名解析地址或重定向URL(统一资源定位系统)的方式,致使用户无论输入任何网站地址,最后都会跳转至特定网站;而随着互联网商业广告的充分发展,流量劫持的核心逻辑也从“引流”发展为“强制展示”,展示方式体现为弹窗广告、附加网页等。行为人通过技术手段,在用户正常访问网络的情况下,非法修改或增加数据通信信息,从而达到强迫用户接收广告信息的目的。这种“展示”型流量劫持行为极易误导用户,且隐蔽性极强,在绝大多数情况下,用户并未意识到自己的流量已经被劫持,而是误以为相关广告或网页属于其所访问的网站提供的内容。而“替换”型流量劫持则瞄准了企业营销、推广费用。以App推广为例,App厂商会在提供推广商的App中附加唯一可识别ID,当用户从某推广商下载、使用App后,App厂商通过收集、识别ID判断用户下载的渠道,以此作为计算推广商奖励分成的依据。“替换”型流量劫持的主要逻辑是通过技术手段,对用户点击的下载链接进行替换,从而达到非法目的。
规制流量劫持行为的典型判例及司法完善
审视刑事司法实践,对于流量劫持行为适用的罪名主要集中于非法控制计算机信息系统罪、破坏计算机信息系统罪。笔者选取了两例间隔时间较长而又各具代表性的案例,试图通过对裁判文书的解读,总结司法机关规制流量劫持行为的内在逻辑及发展趋势。
第一个案例是最高人民法院指导案例102号,即付某某、黄某某破坏计算机信息系统案。2013年底至2014年10月,被告人付某某、黄某某等人租赁多台服务器,使用恶意代码修改互联网用户路由器的DNS(域名系统)设置,进而使用户在登录某导航网站时跳转至其设置的特定导航网站,被告人付某某、黄某某等人再将获取的互联网用户流量出售给某公司(系特定导航网站所有者),获取违法所得。在适用具体法律条款时,法院认为:被告人付某某、黄某某违反国家规定,对计算机信息系统中存储的数据进行修改,后果特别严重,依照我国刑法第286条、第25条第1款的规定,均已构成破坏计算机信息系统罪。作为首例流量劫持指导案例,该案的判决具有一定的前瞻性。因为,从数据通信过程和互联网架构来看,以DNS(域名系统)为代表性的关键节点有着无可替代的基础性作用,其重要性不言自明,通过适用重罪进一步强调对这一类型对象的保护无可厚非。但是,也要注意到:计算机信息系统功能与数据安全互相交织,却又各自具有独立的价值,在计算机信息系统功能没有遭受破坏的情况下,将修改、删除、增加数据引发的结果评价为计算机信息系统功能整体的非正常运行,逻辑上并不周密。
第二个案例是北京市海淀区检察院办理的某科技公司、马某等破坏计算机信息系统案。该案中,被告单位某科技公司制作和传播的源代码程序与某免费软件捆绑下载运行后,在用户不知情的情况下针对特定浏览器安装插件,而插件的功能就是修改用户浏览器启动页,并阻止用户自行更改,从而达到劫持用户浏览器的目的。法院在审理案件过程中,借助司法鉴定报告等证据,对被告单位技术行为进行深入分析,并在判决中详细论述了罪名的适用逻辑,清晰揭示了流量劫持行为的违法性。法官并没有将被告单位增加、删除、修改数据,制作、传播破坏性程序等行为简单认定为刑法第286条规定的破坏计算机信息系统罪,其认为:涉案源代码程序运行后在未经用户授权的情况下,静默下载安装某浏览器插件的行为,属于非法控制计算机信息系统;而某浏览器插件未经用户允许,擅自修改用户浏览器启动页,且用户难以自行更改,这一行为则导致用户无法根据其本人意愿选择浏览器启动页,这是对用户计算机信息系统原有功能的破坏,属于破坏计算机信息系统的行为。同时,法官着眼于控制行为与破坏行为之间的逻辑关系,认定该源代码程序的非法控制功能服务于破坏功能,二者之间具有手段和目的的牵连关系,仅以非法控制计算机信息系统罪来评价被告单位的上述行为不完整、不全面,因而对于制作、传播该源代码程序的行为应采用从一重处罚的原则,即应以破坏计算机信息系统罪对被告单位及各被告人定罪处罚。笔者认为,从最高法指导案例102号到上述某科技公司、马某等破坏计算机信息系统案,尽管罪名适用一致,但司法人员的裁判逻辑却不尽相同。随着司法人员专业能力不断增强,其对计算机信息系统安全法益的理解也更加深入,刑法理念随之不断进步,打击对象更加明确,司法人员有意识地在司法实践中区分不同类型的流量劫持行为,并针对性地适用相应罪名。
随着数字经济日益发展,新型犯罪行为日益复杂,立法者、司法实务人员必须在互联网发展过程中不断审视刑法与客观实际的契合度,不断反思、完善刑法理论。在罪名的适用上,司法机关必须注意刑法语义与技术规范之间的差异所带来的影响,要坚持以犯罪构成理论为基本的立足点。刑事司法规制流量劫持行为时,要注意区分流量劫持行为的技术底色,不宜机械适用刑法第286条第2款,以避免导致刑法体系的混乱。而面对罪名适用差异化的问题,仍然需要运用司法解释、指导性案例等制度,进一步明确基础法益、立法本意,从而统一认识。
(作者分别为北京师范大学法学院副教授、北京市海淀区人民检察院检察官)
