东城院:流量劫持入罪为哪般?
日前,全国首例流量劫持刑事案在上海市浦东新区法院宣判,法院以破坏计算机信息系统罪,分别判处两名被告人有期徒刑三年,缓刑三年,扣押作案工具,违法所得予以没收。流量劫持对广大网络用户究竟有何危害?劫持流量又会承担何种法律责任?
流量劫持≠偷流量
所谓“流量劫持”,是指利用各种恶意软件修改浏览器、锁定主页或不停弹出新窗口,强制网络用户访问某些网站,从而造成用户流量被迫流向特定网页的情形。
流量劫持与“偷流量”有着本质不同,“偷流量”是指网络数据提供商计算的网络流量超出了实际用量,或者个别软件未经使用者允许,私下访问网络造成流量损失。流量劫持有多种技术手法,较为常见的是DNS劫持。DNS是负责域名解析的服务器,是将网络用户访问的网站域名转化成具体的IP地址的工具。一旦黑客采用各类恶意软件破坏了DNS解析的过程,网络用户流量都会转向黑客指定的虚假网站。因此,“偷流量”是对网络用户流量的“秘密窃取行为”,而流量劫持则是对网络用户流量的“绑架行为”。
流量劫持危及账户安全
对网络用户来说,流量劫持不仅造成用户购买来的流量浪费的财产损失,还会导致网页跳转、弹窗不断,网络浏览体验感差,更严重的可能泄露个人信息、危及网络账户安全。
在网络用户被劫持流量后,原本想访问A网站,实际上打开的是被黑客控制的B网站。如果黑客将A、B两网站主页做相同处理,网络用户填写的各类账户、密码等个人信息资料都有可能暴露无遗,导致网络盗窃案件发生。
对网络服务商来说,流量劫持篡改域名解析进程,插播恶意链接,扰乱了网络服务提供商的合法经营活动。在前述劫持流量刑事案件中,被告人使用恶意代码修改网络用户DNS设置,使得网络用户在登录某导航网站时,跳转至其设置的另一网站,被告人再向跳转网站出售流量,先后获利70余万元。对于正常开展经营的导航网站来讲,由于被告人的流量劫持,损失了网络用户访问量,陷于被不正当竞争的困境。
对网络管理秩序的维护者来说,流量劫持行为人开发出了各类木马插件、病毒程序并恶意传播,扰乱了正常的互联网管理秩序,增加了互联网整体运营成本。
维权方式以民事诉讼为主
其实,早在首例流量劫持案件入罪之前,网络服务提供商就通过提起民事诉讼的方式来维权了。流量劫持行为人承担的民事法律责任包括两个方面:一方面是因为开展不正当竞争,侵犯网络公司合法权益的民事赔偿责任。如在百度公司诉青岛联通公司流量劫持案中,青岛联通网络用户在百度输入搜索关键词后,总要先进入一个持续近10秒钟的广告页面,此后才能进入相应的百度搜索结果页面。青岛联通公司就因为劫持百度搜索引擎的客户流量,构成明显侵权和不正当竞争而承担相应的民事法律责任。
另一方面,流量劫持行为人应向广大网络用户承担民事法律责任。流量劫持行为虽然是对网络服务提供商域名解析过程的曲解,但是却耗费了网络用户的巨额流量,侵犯了消费者的合法权益,甚至侵犯了网络用户的个人信息。根据消费者权益保护法的相关规定,消费者享有知悉网络服务真实情况的权利和对网络服务的自主选择权。流量劫持行为明显侵犯了消费者的网络服务自主选择权。因此,虽然司法实践中鲜见网络用户直接提起诉讼追究流量劫持行为人民事责任的案例,但这并不妨碍流量劫持行为人应有的赔偿责任。
不同方式后果触犯不同罪名
根据流量劫持行为方式以及造成危害后果的不同,可能触犯不同性质的刑事犯罪。现行刑法第286条规定:违反国家规定,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行,或者对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作,后果严重的,均构成破坏计算机信息系统罪。
就采用DNS劫持软件破坏域名解析过程的刑事案件来说,行为人利用恶意软件攻击DNS解析过程,必然会对网络用户的计算机信息系统中存储、处理的数据进行修改、增删,也就符合了破坏计算机信息系统数据罪的客观构成要件。
根据2011年最高人民法院、最高人民检察院《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》,破坏计算机信息系统功能、数据或者应用程序,造成10台以上计算机信息系统的主要软件或者硬件不能正常运行的,或者对20台以上计算机信息系统中存储、处理或者传输的数据进行删除、修改、增加操作的,或者违法所得5000元以上或者造成经济损失1万元以上,或者造成为100台以上计算机信息系统提供域名解析、身份认证、计费等基础服务或者为1万以上用户提供服务的计算机信息系统不能正常运行累计1小时以上的,均属于刑法第286条规定的“后果严重”,应当定罪处罚。
根据刑法第287条规定,利用计算机实施金融诈骗、盗窃、贪污、挪用公款、窃取国家秘密或者其他犯罪的,依照有关规定定罪处罚。对于采用流量劫持的方式窃取网络用户银行账户、密码实施盗窃行为的,应当依据刑法第264条盗窃罪定罪处罚。对于流量劫持侵犯网络用户其他个人信息的,则可能构成刑法第253条非法获取公民个人信息罪。
追究刑责存在现实难题
虽然规制流量劫持的刑事立法相当完备,但是真正要将流量劫持认定为犯罪,仍然存在不少司法疑难问题。首先,互联网信息包罗万象,而流量劫持通常较为隐蔽,难以被司法机关发觉,这就需要网络用户提供线索举报,但就目前来讲,由于尚未意识到流量劫持潜在的巨大危害,极少有网络用户举报,而多是依赖于网络服务提供商的线索提供。
其次,流量劫持案件的侦破涉及大量电子证据,数据恢复和固定难度大。该类案件中涉案公司电脑或服务器中记载的电子数据,是认定案件事实的重要证据,而相关证据一旦被销毁,难以通过技术手段予以恢复,况且不少服务器架设于境外,更是增加了电子数据查证的困难。
此外,流量劫持案件中涉及的金钱往来通常是以网上电子化形式进行,关联的账目可能既包括合法经营收入,也包括流量劫持获利,这就给认定涉案数额带来困难,不易判定是否达到破坏计算机信息系统数据“后果严重”的入罪标准。