观韬视点 | 流量劫持的刑法定性
作者:刘平 陈展姿
流量劫持,通常指不法分子通过某些技术手段,使得用户在访问目标IP地址时产生阻碍而无法正常访问,最常见的情况是跳转到其他页面。通过这种方式,原IP地址的访问量将受到一定程度的削减,而不法分子设置的跳转地址访问量将获得增加。在互联网高速发展的当今,访问量具备可观的经济效益。
关于流量劫持,理论上有几种看法,一种是认为不构成犯罪,仅需要承担民事法律责任;一种是认为构成盗窃罪,因为流量具有法律意义上的财产属性;一种是认为同时构成盗窃罪与破坏计算机信息系统罪,择一重罪论处①;还有观点认为,应当构成非法控制计算机信息系统罪。
以上几种观点的对碰,归结下来就是两对罪名的抉择,即“非法控制计算机信息系统罪与破坏计算机信息系统罪”、以及“盗窃罪与破坏计算机信息系统罪”。
一、非法控制计算机信息系统罪 VS 破坏计算机信息系统罪
究竟是“破坏”还是“非法控制”,这一对罪名在流量劫持这个视域内,可以基于流量劫持的技术原理不同,某种程度上做出区分,比如:
第一种情况,通过攻击、影响DNS服务器方式,污染DNS缓存,进而实现网页跳转目的的不法行为,由于《最高人民法院、最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》(下称“《计算机司法解释》”)第4条专门把域名解析服务器纳入“计算机信息系统”的范围,并对其规定了确切的入罪标准,因此该行为可以以破坏计算机信息系统罪定罪量刑。
第二种情况,如果是通过对访客计算机植入某种代码或程序的方式,获取计算机后台操作权限,将该计算机设置为做出某种指令后会自动跳转到对应页面的状态,则更符合非法控制计算机信息系统罪的特征。原因是:第一,该情形下不法分子获取了后台权限后,对于目标计算机就具备一定程度和范围内的自由控制能力,但DNS污染只是机械地影响DNS服务器,使之缓存错误记录,DNS服务器再将错误的内容直接返回给请求主机,不法分子的控制权限非常有限。第二,破坏计算机信息系统罪从罪刑配置上看,较非法控制计算机信息系统罪而言属于重罪,则应该体现出更为严重的社会危害性。那么,尽管破坏计算机信息系统到何种程度才能以此定罪,目前尚没有具体规定,但基于罪刑相适应原则,应当要求破坏或修改计算机的功能、数据、应用程序当中,最为基础、主要、重要的部分。而搜索功能不属于计算机的主要功能,此时以非法控制计算机信息系统罪定性更合适。该观点也体现在参与编写《计算机司法解释》的最高人民法院研究室刑事处处长喻海松所撰写的《网络犯罪黑灰产业链的样态与规制》一文当中②。
二、盗窃罪 VS 破坏计算机信息系统罪
那么,盗窃罪与破坏计算机信息系统罪,又该如何取舍?
在此,需要先解决一个基础问题:流量是否属于盗窃罪的对象?显然,流量不属于实体财物,与之对应的是“财产性利益”。
关于盗窃罪的对象是否包含财产性利益这一问题,曾存在争议,目前主流学说认为盗窃罪包含财产性利益,但需要受到一定的限制:
“获取财产性利益构成财产犯罪的,只能是行为人的行为现实、具体地取得了该条文中所具体保护的财产性利益,而不是假定地、附条件地取得了该种利益,否则,就不能构成财产犯罪。”③
“作为盗窃罪对象的财物,必须具备三个特征:第一,具有管理可能性。这是相对于被害人而言,如果被害人根本不可能管理,我们就不能说被害人占有了某种财物,因而也不能认定其丧失了某种财物。而且,盗窃罪表现为将他人占有的财物转移给自己或者第三者占有。所以,只有被害人具有管理可能性 (可以占有) 的东西,才可能成为财物。第二,具有转移可能性。这是相对于行为人而言,如果行为人不可能转移被害人管理的财物,就不可能盗窃被害人的财物。 第三,具有价值性。这是相对于保护法益而言,如果一种对象没有任何价值,就不值得刑法保护。”④
总结以上观点,即认为财产性利益成为盗窃罪对象的前提是:该财产性利益应当具备一定程度上的财产特征或财产属性。
那么,流量是否具备财产属性?
这个问题在立法上,目前“尚无明确的前置法律规定,特别是,《民法典》第 127 条尚未明确承认数据、网络虚拟财产的财产属性 (‘法律对数据、网络虚拟财产的保护有规定的,依照其规定。’)。基于刑法 ‘二次法’ 的属性要求,在前置法律规定不明的情况下,对于盗窃网络流量案件适用盗窃罪尚需慎重。”②
《数据安全法》第7条规定:“国家保护个人、组织与数据有关的权益,鼓励数据依法合理有效利用,保障数据依法有序自由流动,促进以数据为关键要素的数字经济发展。”
《深圳经济特区数据条例》第 4 条规定: “自然人、 法人和非法人组织对其合法处理数据形成的数据产品和服务享有法律、行政法规及本条例规定的财产权益。”
《上海市数据条例》第 12 条第 2 款规定: “本市依法保护自然人、 法人和非法人组织在使用、 加工等数据处理活动中形成的法定或者约定的财产权益,以及在数字经济发展中有关数据创新活动取得的合法财产权益。”
通过以上规定可以看出,法律层面对于明确数据财产权这一问题采取了非常谨慎的态度,地方法规也巧妙绕开了核心问题,转而对处理数据后,所形成的产品、服务、活动等的财产权益进行规定,而没有直接规定数据本身的财产权。
这个问题随着互联网的发展,必然会引起争议,但是从法律、地方法规、司法解释中都未能找到具体的规定,这片空白并非立法者的疏忽,反而是出于他们对千变万化且不断更迭的现实情况做出的审慎处理。那么,作为参与到具体案件中的司法者和辩护律师,所要做的就是根据每个案件的不同,对具体的罪与非罪、此罪与彼罪,做出合理的甄别和判断,这也是我们辩护的空间。
下面,笔者试图从数据和流量产生的方式本身,推敲流量显现财产特征的几种情形,以期从更为细致的技术层面促进这一问题的解决。
三、流量是否具备财产属性
在进入正式讨论之前,需要明确“流量”的含义。
“流量”又称网络流量,设备连接网络后会进行各项操作,并产生相应的数据,在一定时间、特定端口中产生的数据量,即为流量。这一概念,可以近似地用车流量、人流量等概念辅助理解。网络流量,可以简单理解为特定情况下的数据集合量。
再做更进一步的通俗理解:当我们需要访问某一网站,我们需要将这种访问请求以数据包的形式传送给目标网站,也即,当我们的主机(称为A)发现目的主机(称为B)不在本地网络中,就需要把数据包转发给A所在网络的网关,再由该网关转发给B所在网络的网关,该网关再转发给B。网关的作用,类似于一道门,数据的穿行都需要经过这道“门”,因此网关英文名称写作“Gateway”。
上述数据流向可简化为:A→A处的网关→B处的网关→B。
在这个过程中,有三种情况可能会产生财产效益:
第一种情况,是流量的消耗,通俗来讲,我们定期会为手机充值流量套餐,目的就在于此。我们的主机向网关发送数据包的过程,会产生上传流量。这个步骤是为了告诉服务器:主机的身份、地址、和目的等信息,也就是要告诉服务器需求,服务器才会为我们寻找需要的数据。当然,上传流量很小,一般小于下载流量。当我们找到了所需要的数据,需要加载、缓存到本地进行查看,或者是直接下载到本地,这个时候就会产生下载流量。
通过以上的通俗理解,不难看出,这种情况下的流量具有财产属性。因为,此时的数据就好比池中的水,这池子水为我所有(比如充值的流量会给予特定的手机号且由该号唯一所有,把流量分享给其他手机号则属于处分行为),我可以自己选择是否消耗这池中的水,一旦池中的水消耗殆尽,我们就需要“添水”(比如购买流量)。换言之,我们对流量具有占有权、控制权和处分权,符合财产权的一些基本特征。尽管在当前的法律体系下,数据尚未获得财产权地位,但数据属于法律未曾禁止的一种财产法益。
第二种情况,是网站元素的存储。举个例子,某网站页面由两个元素组成:一张大小为2M的艺术字图片标题,和一张大小为4M的照片。当我点进该网站,我的主机会在瞬间为我完成数据包的上传和下载动作,我之所以能够点开网站后看到这两张图片,正是因为我下载缓存了这两张图片。当然,实际情况可能更加复杂,有可能只下载了图片的缩略图,但我们姑且按照总共6M来计算。对于网站而言,他将这两个元素上传到服务器后,供访问者自由下载,当我消耗了6M的流量后,网站方不需要再上传或者下载数据,他们并未产生流量的损耗。不过,他们在使用服务器存储网站元素时,需要购买流量服务。仍然以前面的某网站为例,单次的访问需要从服务器下载6M的数据,如果网站方预计每个月会产生100次的访问量,那么,他就需要购买每个月600M以上的服务器存储和下载服务。这种情况下,数据毫无疑问会产生直接的经济价值,原理如同第一种情况所述。
这两种情况虽不涉及到“流量劫持”问题,但可以辅助我们理解“流量”的含义。
第三种情况,是网站流量的计算,相当于知名度,也是本文所想探讨的重点。网站所有者最关心的问题就是:单位时间内我的网站产生了多少访问量?在互联网时代,这直接关系到网站经营者的经济效益。访问量的计算,有多种维度。比如前文谈及的例子,每个月100次访问量,单次访问需要下载6M的数据,那么可以计算得知每个月有600M访问流量。但是,这种计算有时不符合我们的实际需求,因为在现实中,网站有多个元素,每个元素点击进去又可能是另外一个子网页,涉及另外一些元素。当某个访客把所有元素依次点击一遍,就可能产生巨大的流量,但实际上却只有一个访客。这种时候,我们需要从其他维度来计算访问量,才能更符合网络营销的需求,而不是机械地计算实际数据流量。常用的统计指标包括网站的独立用户数量、总用户数量(含重复访问者)、网页浏览数量、每个用户的页面浏览数量、用户在网站的平均停留时间等。“根据 2011年中国工业和信息化部《互联网服务统计指标》第1部分 2.6—2.8的内容,流量是应用服务商用来统计用户行为的方式。此外,页面嵌入统计代码模式、Cookie 统计模式、独立 IP 数、独立访客数、页面浏览量、访问次数等都是测算访问量和用户量的参数。互联网企业通过对这些指标统计方式的综合运用计算流量。”⑤
这种情况下,网站方获得了某种由访问量带来的经济效益,这种经济效益是间接的、人为赋予的,网站方无法控制流量的产生、转移、消失,因为访客是否访问该网站,是访客的自由,如果网站方想流量转移出去,要么植入木马程序造成强制跳转(非法手段),要么使用夸张的宣传、营销手段吸引访客点击(是否点击仍然是访客的自由)。“在法律上财产强调所有权……不论它是有形还是无形的,财产的基本要素之一就是所拥有之物具有可转移性。”⑥因此,这种形式的所谓“流量”,并没有实际的财产属性或特征,网站方更不具有财产权,只是数据流转中产生一种附属价值,并不能简单地将其与财产等同。当流量回归到最小单位,也就是某一条访问数据,此时属于个人信息保护范围,流量会失去它的经济价值。
有观点认为,“平台公司虽然不直接对用户信息享有所有权,但可在用户享有知情权并建立交易关系的情况下使用其相关信息。流量是在该有权占有的基础上形成的新型财产,独立于与之建立法律关系的用户。”“作为一项财产权,信息权的权利核心内容表现为支配和排他,即信息权人对自己的信息产品所享有的占有、使用、收益、处分的权利。具体到流量这一信息集合产品,是指平台经营者对流量进行支配并排除他人干涉的权利,表现为对流量的占有、使用、收益、处分。其中,占有是基于技术手段对流量产生过程中所需数据的合法控制,既包括基于 ‘告知 —— 同意’ 框架下取得的用户数量,又包括对用户在线使用平台产品过程中信息数据的保留和提存,以及用户数据信息的处理形式等平台网站对网站经营权的运营行为;使用是指针对流量性能和用途进行的合法利用,既包括平台网站正常运营需要的流量使用,又包括为网站盈利需要的各种使用等;收益是指基于对流量使用而为平台网站带来的经济效益,例如前文中在平台后端设计各种盈利模式的行为,尤其是实践中的针对流量的 ‘交易’—— 导流行为既是对流量处分权的行使,也属于收益权的实现。”⑤
在这个观点中,有两个值得商榷的地方:
第一,用户什么时候表示了“同意”?“同意”内容包括什么?通常来讲,由于计算机不具备人类语言,只能按照一定的程序逻辑运行,因此数据的流转需要遵守一定的规范,以常见的HTTP协议为例。HTTP 协议是以 ASCII 码传输,建立在 TCP/IP 协议之上的应用层规范,规范把HTTP 请求分为三个部分:状态行、请求头、消息主体。在这个过程中,我们会产生一定的数据,数据包含了主机信息和请求内容等,由于HTTP协议早已公开并获得公认,可以理解为,当我们打开某个网站时,也就默许了这些请求的数据会提交到服务器上,以获得对方网站数据的交割。在这个过程中,我们“同意”的内容仅限于打开网站所需的限度范围内。而至于其他的数据分析、保留、处理等权利需求,往往是通过网站方与用户签订某些《知情同意书》来明确的。而实践中,甚少有网站落实这一“告知”环节,更多的是通过“公示”来完成,“同意”也就无从谈起。那么在这种情况下,网站方对于流量(即用户数据)的占有,可以说缺乏了合意基础,并非合法占有,也就无法认为此时的数据属于网站方的“财产”。
第二,所谓“导流”的含义是什么?该观点中并未阐明“导流”的含义,事实上这不是一个正式的法律或计算机、互联网用语,而是一个新媒体营销用语,对此尚没有权威的定义,通常理解为,将某网站上的流量引导到另一个网站中。如何引导?若排除流量劫持,在合法运营中,网站无法强制用户点击网站中的某个链接,所以所谓的“导流”,最常见的做法是在网站内排布其他网站的轮播图文,或者安插弹窗等,用带有诱导性的图文内容、或者点击奖励等方式,引导客户点击,达到导流的目的。举例而言,我点击“A”网站产生了流量,又通过点击“A”网站中的链接,进入“a”网站,假设两个网站都占有了我的数据,并且我对此表示同意,那么在这个过程中,我进入“A”网站以及后来进入“a”网站,其实需要做两次“同意”的动作。依此理解,流量并非是被“A”网站“转移”给“a”网站,而是我分别对两个网站做了两次授权。
综上所述,在第一、二种情况下,流量作为一种财产性利益,具有财产属性,符合作为盗窃罪对象的限制条件,但这两种情况都不属于“流量劫持”这一命题所涉及的情况;第三种情况处在“流量劫持”命题范围内,但此时的流量不具有财产属性,难以作为盗窃罪的对象。
在这种情况下,加之目前尚无前置立法,把盗窃罪纳入流量劫持案件的刑法定性考虑范围,是不可取的。当然,现实千变万化,流量劫持的概念有可能随着技术发展不断延伸,我们看待问题的角度也应当随之变化。
在流量劫持案件中,通过对技术原理的理解,可以区分非法控制计算机信息系统罪和破坏计算机信息系统罪;而在盗窃罪与破坏计算机信息系统罪的抉择中,本文观点是择后者为宜,根据罪刑法定的基本原则,对盗窃罪对象的解释应当维持在合理范围内,避免对其不当的扩大解释,以维护刑法的谦抑性。
① 李俊、白艳利、石磊:《<付宣豪、黄子超破坏计算机信息系统案>的理解与参照--DNS劫持型流量劫持行为的刑事司法认定》,载《人民司法(案例)》2021年第17期。
② 喻海松:《网络犯罪黑灰产业链的样态与规制》,载《国家检察官学院学报》2021年第1期。
③ 黎宏:《论盗窃财产性利益》,载《清华法学》2013年第6期。
④ 张明楷:《论盗窃财产性利益》,载《中外法学》2016年第6期。
⑤ 季境:《互联网新型财产利益形态的法律建构——以流量确权规则的提出为视角》,载《 法律科学(西北政法大学学报)》2016年第3期。
⑥ 《大美百科全书》,台北:光复书局,1993年,第453页。
