胡树琪

[摘要]僵尸网络（botnet）可以为攻击者提供隐蔽且高效的一对多控制机制，攻击者不断的实现技术的升级换代，直至今日仍处于迅猛发展状态之中。租售僵尸网络控制权行为的现实危害性不可小觑。我国通过扩大解释传统犯罪掩饰、隐瞒犯罪所得、犯罪所得收益罪规制此类行为，但该扩大解释具有一定的缺陷与不足。在网络犯罪体系逐步替代传统犯罪体系已为渐进趋势的情形下，对租售僵尸网络控制权行为进行网络犯罪专门立法，具有一定的合理性与可行性。

[关键词]网络犯罪 僵尸网络控制权 刑事立法

僵尸网络（botnet）作为一种严重的因特网安全威胁，已成为安全领域研究者所共同关注的热点焦点。自1999年第一个具有僵尸网络特性的恶意代码PrettyPark现身因特网，到2002年因SDbot和Agobot源码的发布和广泛流传，僵尸网络犯罪接连不断地出现在人们的视野当中。由于僵尸网络（botnet）能为攻击者提供隐匿、灵活且高效的一对多控制机制，僵尸网络得到了攻击者的青睐和进一步的发展，近年来不断的实现技术的升级换代。2017年10月30日，360安全中心发布预警称，新型IoT僵尸网络来袭，监测显示，目前已有近200万台设备被感染，且每天新增感染量达2300多次。随着僵尸网络犯罪的迅猛发展，对僵尸网络犯罪行为进行理性的刑法学思考迫在眉睫。

一、租售“僵尸网络”控制权行为概述

1.“僵尸网络”的概念与特点

僵尸网络（Botnet）是指采用一种或多种传播手段，将大量主机感染bot程序（僵尸程序）病毒，从而在控制者和被感染主机之间所形成的一个可一对多控制的网络。攻击者通过各种途径传播僵尸程序感染互联网上的大量主机，而被感染的主机将通过一个控制信道接收攻击者的指令，组成一个僵尸网络。之所以用僵尸网络这个名字，是为了更形象地让人们认识到这类危害的特点：众多的计算机在不知不觉中如同中国古老传说中的僵尸群一样被人驱赶和指挥着，成为被人利用的一种工具。也有学者总结，僵尸网络（botnet）是攻击者出于恶意目的，传播僵尸程序控制大量主机，并通过一对多的命令与控制信道所组成的网络。僵尸网络是从传统恶意代码形态包括计算机病毒、网络蠕虫、特洛伊木马和后门工具的基础上进化，并通过相互融合发展而成的目前最为复杂的攻击方式之一。

通过以上定义可以发现，僵尸网络与木马程序二者脉脉相通。僵尸网络是在木马程序的基本之上发展而来的对他人计算机的非法控制状态，可以说，其与木马程序本质上为同一事物。但“僵尸网络”相较于“木马程序”也具有不同的特性：其一，僵尸网络可以形成一个可一对多控制的网络，而木马程序只能形成一对一的控制网络。其二，僵尸程序的传播方式较木马程序更为广泛。早期僵尸程序的传播主要以远程漏洞攻击、弱口令扫描入侵、文件共享和盘传播方式为主。但近年来，随着防御机制的不断完善，原有传播方法难以达到理想效果。

僵尸网络的攻击过程主要分为传播、加入与控制三个步骤。首先通过僵尸程序侵入被控制的僵尸主机；其次，使控制者和被感染主机之间所形成的一个可一对多控制的网络。最后，攻击者会找到一个主机作为僵尸网络的中心服务器，攻击者通过控制中心服务器向被感染的主机发送定义好的控制指令，从而使被感染的主机实施破坏活动。总体而言，僵尸网络是一种进化升级版的网络攻击手段。

2.租售“僵尸网络”控制权行为的表现形式与现实危害

由于僵尸网络控制权可以带来经济利益与价值，导致僵尸网络的控制权可以作为“商品”进行出租、售卖。需要厘清的是，该行为出租、售卖的是对被僵尸程序感染的计算机系统进行操作的权利，而不是计算机信息系统本身；该行为也不同于利用被感染的计算机系统进行的犯罪行为，而是利用被感染的计算机系统进行犯罪行为的帮助，预备行为。

即使该行为为利用被感染计算机系统进行犯罪行为的帮助/预备行为，该行为的危害性也远大于直接的犯罪行为，不可小觑。基于僵尸网络可以实现一对多控制的网络，且该控制权具有独占性与排他性的特性，僵尸网络控制权的出租、售卖并不影响用户本人对电脑的使用，并且可以多次进行出租、售卖。理论上来说，僵尸网络可以无期限、无次数的出租、售卖。因此，在多次出租、售卖之后，租入、购买僵尸网络控制权的人则可能成倍数增长，且每个租入、购买僵尸网络控制权的人都可以通过利用该控制权实施犯罪行为。可以说，出租、售卖“僵尸网络”控制权行为所带来的现实危害性与破坏性要远远大于单独的木马程序与入侵行为，也要远远大于后续犯罪侵害行为。

二、租售“僵尸网络”控制权行为的实然保护模式

1.掩饰、隐瞒犯罪所得、犯罪所得收益罪的扩张适用

面对危害巨大的租售僵尸网络行为，立法者通过扩张解释掩饰、隐瞒犯罪所得、犯罪所得收益罪对该行为规制。从一定意义上讲，租售“僵尸网络”控制权行为与掩饰、隐瞒犯罪所得、犯罪所得收益罪在行为方式上较为相似。掩饰、隐瞒犯罪所得、犯罪所得收益罪的犯罪流程主要是，通過上游犯罪行为产生犯罪所得、犯罪所得收益，并对产生的所得物、所得收益进行处理、流转。与此相类似，租售“僵尸网络”控制权的犯罪过程也是如此，通过上游犯罪非法控制计算机信息系统犯罪获得僵尸网络的控制权，并对该犯罪行为的所生之物进行处理、流转。

此外.租售“僵尸网络”控制权行为的犯罪对象“僵尸网络”控制权虽具有电子数据属性（虚拟性），但同样可以产生经济价值与利益。刑法对于此类无形、没有实物载体的网络中的财产性利益当然也具有保护的必要性。虽然有学者对“犯罪所得”的理解不尽一致，认为“犯罪所得，即使从被害人处非法取得的物品，例如盗窃、诈骗的财物等，是犯罪分子实施犯罪行为追求的目的物”。H仅将“犯罪所得”局限于具有物理实体意义的物品。但笔者认为，此种观点并不可取。《最高人民法院关于审理掩饰、隐瞒犯罪所得、犯罪所得收益刑事案件适用法律若干问题的解释》理解与适用一书中，明确指出犯罪所得既可以是有体物，也可以是无体物。在早期，我国刑事立法也已承认无体物可以成为盗窃等犯罪的犯罪对象。法律较之于现实社会永远具有滞后性，社会发展也永远会衍生出新的需要，立法者通过解释法律适应社会发展的脚步永远不会也不能停止。尤其是在科技迅速发展的今天，传统刑法当然有必要通过扩张解释适应时代的需要，满足对新型事务的评价规制，不可固步自封。因此，可以说，扩张解释掩饰、隐瞒犯罪所得、犯罪所得收益罪以此打击租售“僵尸网络”控制权行为具有一定的合理性。

2.扩张适用的缺陷与不足

虽然通过扩张解释掩饰、隐瞒犯罪所得、犯罪所得收益罪以此打击租售“僵尸网络”控制权行为具有一定的合理性，但也存在一些无法回避的问题。

首先，扩张解释掩饰、隐瞒犯罪所得、犯罪所得收益罪以此打击租售“僵尸网络”控制权行为，与掩饰、隐瞒犯罪所得、犯罪所得收益罪的本质迥然有异。刑法规制租售“僵尸网络”控制权行为的主要目的并不在于打击上游犯罪，而是遏制租售僵尸网络控制权行为本身所带来的社会危害性。二者立法意旨不可同日而语。虽然并不影响犯罪构成要件，但在面临疑难复杂问题时，往往难以得到妥当的解决。

其次，掩饰、隐瞒犯罪所得、犯罪所得收益罪中“犯罪所得”必须为“他人的犯罪所得”。这就意味着要求将本罪犯罪与事后不可罚行为区分开来。犯罪所得是指由上游犯罪行为（他人的犯罪行为）所取得的财物，而“僵尸网络”控制权是由上游犯罪非法控制计算机信息系统罪犯罪所生之物。若上游犯罪行为人实施租售僵尸网络控制权行为，该行为属于事后不可罚行为，不能认定为他人的犯罪所得：若由上游犯罪行为人以外的其他人实施租售僵尸网络控制权行为，该僵尸网络的控制权属于上游犯罪所产生的直接后果，不属于犯罪所得的范围。

最后，租售“僵尸网络”控制权行为的犯罪对象为僵尸网络的控制权，而不是该僵尸网络控制权所产生的经济利益。但该控制权只是一种权利，并可以与被感染用户对电脑控制权并存，该控制权的租售并不影响用户本人对电脑的使用、控制。而对于掩饰、隐瞒犯罪所得、犯罪所得收益罪而言，其犯罪对象为上游犯罪所得，以对犯罪对象具有独占性为必要。二者犯罪对象属性不同。

三、租售“僵尸网络”控制权行为的应然保护模式探索

在扩张解释掩饰、隐瞒犯罪所得、犯罪所得收益罪仍无法合理规制租售“僵尸网络”控制权行为时，探索新的保护模式就极为必要。而新模式的探索，离不开对租售僵尸网络控制权行为性质的理解与认定。有学者认为，僵尸网络的后续犯罪行为为“使用盗窃”行为，僵尸网络控制权行为的本质为“使用盗窃的帮助行为”。

笔者认为，这一理解抓住了问题的本质，具有合理性。僵尸网络控制权不具有独占性，可以与用户使用权共存是其最关键的属性特征。通过控制僵尸网络所实施的后续犯罪行为，例如窃取用户个人信息等，并不排除用户本人对该资源的占有与使用。因此，将僵尸网络的后续犯罪认定为“使用盗窃”行为合理且准确。有鉴于此，可以将租售僵尸网络控制權的行为理解为后续犯罪行为的帮助行为，刑法处罚租售僵尸网络控制权行为的路径在于帮助行为的正犯化。

另一方面，笔者认为，也可以类比非法买卖枪支、非法贩卖个人信息等罪进行理解。由于租售僵尸网络控制权行为侵害了刑法所要保护的重要法益，该行为本身即为刑法所禁止，由此设立罪名予以规制。

因此，对租售僵尸网络控制权行为进行网络犯罪专门立法，既符合刑法学基本原理，贴合立法者立法倾向性，也顺应了时代发生发展规律。但需要注意的是，若独立对租售僵尸网络控制权行为设立罪名，有过于浪费立法资源之嫌。该行为属于非法提供网络资源行为的一种类行为，在立法时，将其属行为非法提供网络资源行为入罪更为妥当。