流量劫持行为刑法规制再思考

2021-01-30宋梓源

上海公安高等专科学校学报 2021年4期

宋梓源

（华东政法大学，上海 200042）

亚当·斯密将市场运行的内在规律称为“看不见的手”，在这只手的指引下能够自由配置稀缺资源，实现财富的分配。网络空间内，财富和资源的表现形式并不直接以金钱形式表达，而是以流量这种信息数据作为网络空间资源和财富的象征。在网络空间竞争机制的作用下，流量成为网络运营商争相抢占的高地，流量的多少决定了网络服务提供者市场份额的大小。鉴于流量的重要价值，对流量的劫持成为部分网络运营商增加访问量获取不法利益的惯用手段。在巨大经济利益的驱动下，流量劫持行为衍生出庞大的黑灰产业链，为违法犯罪活动提供重要的资源支持。流量劫持黑灰产业链严重影响着网络公平竞争机制，也威胁着计算机数据安全。伴随着2015年全国首例流量劫持行为入刑，标志着司法机关对流量劫持行为的治理由民事行政等前置法调整走向了刑事制裁。尽管实践中已将流量劫持纳入刑法调整范围，但流量劫持行为样态丰富，其自身的技术性冲击着传统刑法的适应能力。对于该黑灰产业的核心行为如何从法教义学的角度进行定性成为本部分探究的重点。

一、流量劫持行为样态检视

流量一般是指网站的访问量，网络服务提供者通过提供基础服务获取用户资源的访问量，进而以广告等方式谋取利益。①参见肖怡：《流量劫持行为在计算机犯罪中的定性研究》，载《首都师范大学学报（社会科学版）》2020年第1期，第38页。“流量为王”是互联网企业生存的基本逻辑，以网络平台推广为例，其运行的基本模式是根据用户对平台的点击量结算推广费用，点击量越高收益越大。因此，流量本身具有极高的经济价值，是网络空间的重要资源。据统计，截至 2020年6月，我国网站数量已从 2018 年最高峰时的544万个下降至468万个，APP数量也从2018年的452万下降至359万个。①参见中国互联网信息中心：《中国互联网络发展状况统计报告》，第13页。流量见顶使得互联网企业面临着危机，争夺流量市场日益激烈。在此背景下，不法分子为了能够在网络空间中获得有利的地位，流量劫持成为部分网络服务提供者惯用的手段。

（一）流量劫持定义

所谓流量劫持，指的是利用技术手段对浏览器网页进行修改、锁定主页或者以弹窗等方式，强制网络用户访问指定的网站，从而使用户流量被迫流向指定网站的行为。②参见李俊、白艳利、王潇：《流量劫持行为的司法认定》，载《人民法院报》2017年1月5日第7版。行为人获取流量后再将流量卖给流量需求者从而获取经济利益。流量劫持的实施者主要是黑客、电信运营商以及各种渠道的运行商，在流量劫持者、流量中介商以及流量需求者等多方合力下，形成了以流量劫持为核心的黑灰产业链，进行黑产流量交易。流量劫持黑灰产业是网络黑灰产业的重要一部分，也能够为其他类型的黑灰产业提供帮助。黑灰产从业者不仅将流量作为攻击的对象，同时也是其牟利工具。诸如网络赌博、色情产业、诈骗网站等黑灰产业无法以正常途径接入互联网，为了提高用户的访问量和网站的曝光度，这就有赖于流量劫持黑灰产从业者修改浏览器网业数据或者跳出弹窗，使得网络用户被迫跳转至指定的色情、赌博网站以窃取、劫持流量，并利用这些流量为赌博、色情、诈骗等违法犯罪行业提供宣传推广服务。

（二）流量劫持类型

基于网络技术的复杂性，流量劫持案件的表现形式也多种多样。根据流量劫持技术的划分，其主要有以下表现形式：一是DNS域名劫持。该种劫持方式针对的对象是服务器终端，行为人通过恶意解析用户IP地址进行流量劫持行为。其行为效果主要是：网络用户本应按照正常的上网状态进入网站A，但由于用户域名被恶意篡改，使得网络用户最终传输至行为人预设的网站B而无法进入网站A，最终使得网站B获得流量。这种形式的流量劫持对用户计算机信息系统造成破坏，是当前应用最广、破坏性最强的手段，全国首例流量劫持案即是以这种方法实施。二是链路劫持，也被称为数据劫持。即行为人针对用户与网络服务器之间传输的数据进行篡改或者植入恶意代码，将定制的数据拓展至正规网络服务器，从而窃取正规网站用户流量。其行为效果主要是：网络用户在进入目标网站A之前，强行修改用户主页或者以弹窗的形式进入行为人预先设定的网站，然后才能正常进入网站A。此种流量劫持手段不仅会造成流量的流失，也能够窃取用户重要信息，增加信息泄露风险。三是服务端劫持。即针对用户的手机、PC端进行控制，使得用户无法退出特定网站或者进入指定网站，从而获取流量。

上述流量劫持行为是从技术构成上进行分类，有学者主张按照行为模式将流量劫持分为硬性流量劫持和软性流量劫持，③参见袁博：《流量劫持应当如何追责》，载《中国知识产权报》2015年12月9日第008版。前者是利用技术手段对计算机信息系统破坏，应以破坏计算机信息系统罪定罪处罚。后者则是利用非技术手段进行诱导，属于不正当竞争行为。也有学者从流量劫持不正当性程度将其划分为黑色流量劫持和灰色流量劫持。①参见钱海玲、张军强：《流量劫持不正当竞争行为的司法规制》，载《法律适用》2018年第22期，第96页。必须指出不同类型的流量劫持行为对计算机系统破坏程度不一，反映不同的社会危害性并直接影响罪与非罪、此罪与彼罪的评判。尤其是域名劫持和链路劫持这两种流量劫持黑灰产典型行为在法律评价上存在着较大的争议。分类的多样性反映流量劫持黑灰产活动的复杂性，技术的更迭加大了刑法对该行为定性和处罚的难度。

二、流量劫持行为可罚性依据探讨

流量劫持是黑灰产业的核心行为，只有实施该行为才能进行事后的黑产流量交易等。因此，防治流量劫持行为是刑法应对此类型黑灰产业的关键。但值得注意的是流量劫持行为并非天然的具有刑事可罚性。在2015年之前，一直是以民事行政手段进行调整。直到2015年上海市浦东新区人民法院首次将流量劫持行为判定为刑事犯罪，刑法才开始介入该领域。②http://news.cnr.cn/native/gd/20151112/t20151112_520485527.shtml.尽管实践中已经将该行为纳入刑法评价范围，但围绕着流量劫持黑灰产业的刑法规制存在诸多争议，其中对于该行为是否具有刑事处罚的必要性的问题一直萦绕着理论和实践。

（一）流量劫持刑法规制必要性

刑法谦抑性是指能够以其他方式保护法益的时候，不允许以刑法手段规制。③参见张明楷：《论刑法的谦抑性》，载《法商研究（中南政法学院学报）》1995年第4期，第55页。有学者从该角度认为流量劫持行为违反《消费者权益保护法》，侵犯消费者自主选择权，属于不正当竞争行为不构成犯罪，因而仅需要承担民事责任。④参见李俊、白艳利、王潇：《流量劫持行为的司法认定》，载《人民法院报》2017年1月5日第7版。笔者认为以刑法对流量劫持进行规制与刑法的谦抑性并不矛盾。刑法本身的含义是处在变化中的，刑法规制范围的扩张与时代发展相呼应，这并未在实质上违反刑法谦抑性的基本原则。⑤参见储槐植、何群：《刑法谦抑性实践理性辨析》，载《苏州大学学报（哲学社会科学版）》2016年第3期，第61页。具体到流量劫持行为，民法和刑法对其调整的界限并非泾渭分明，需要从其规范目的进行考量。刑法的目的在于保护法益，当行为自身存在危险且危及刑法所保护的利益，自然应由刑法干预。

流量劫持类型多样，并非所有流量劫持都需要由刑法进行规制。在实践多发的案件中，尤以DNS劫持危害最大。DNS劫持属于硬性劫持，能够直接对计算机信息系统进行破坏，篡改用户主页，强行植入恶意代码。从范围上看，其侵害对象具有广泛性，不仅威胁用户网络使用安全，也会将增加互联网运营商的维护成本造成经济损失，更是对网络空间秩序的破坏。流量是互联网企业赖以生存的基础，以非法手段窃取流量，将直接导致企业用户流失，根本上影响企业的正常经营。流量劫持黑灰产业的目的行为除了获取流量还在于非法获取身份信息和资金，对公民的信息和财产安全同样造成了威胁。黑灰产业从业者通过DNS劫持网页，复制被害人将要登录的网页信息，并创建虚假官方网站或者支付链接，诱骗被害人输入用户信息或者支付资金，以套取信息和财产。此外，网络秩序维护者为了应对层出不穷的流量劫持行为，必然会增加其监管、运营成本，不利于网络秩序的维护。事实上，DNS劫持事件已经屡见不鲜。2009年，巴西最大的银行Bandesco遭到DNS劫持，致使近1%的银行客户受到攻击，成为震惊世界的“银行劫案”。2013年，国内安全防线被DNS劫持攻破，导致数百万用户受到感染。2014年，国家顶级域名故障，大部分网站受到影响，造成的损失无法弥补。①参见《有效防止DNS劫持 360极速浏览器12.0新版加入DoH支持》，https://ishare.ifeng.com/c/s/7rwJTDJIC5h，（访问日期：2021年7月22日）。可见，部分流量劫持行为不仅在横向上波及范围广，在纵向上破坏程度深。从比较法的角度，域外已有针对流量劫持的刑事立法。世界上第一部有关打击网络犯罪的国际公约《网络犯罪公约》第二章第二条规定，当针对整个计算机系统或其任何部分的访问是未经授权而故意进行时，每一签约方应采取本国法律下认定犯罪行为必要的立法的和其他手段。②Cyber-Crime Convention&2(2001).流量劫持行为人在进入计算机信息系统的时候，显然是未经主机授权的，可以按照本公约规定进行刑法适用。尽管条约内容并没有直接明确流量劫持行为，但也能体现世界各国对该行为防范力度。综上所述，流量劫持带来的刑事风险不仅直接威胁着网络秩序，也对公私财产安全造成损害，且这种侵害反射效果严重，有必要以刑法手段进行规制。

（二）流量劫持刑法规制优势

流量劫持并非刑法上塑造的概念，该现象早已有之。长期以来，司法机关将流量劫持行为视为不正当竞争行为，多借助民商事手段进行调整。例如某科技有限公司等与某信息服务有限公司等不正当竞争纠纷上诉案中，法院依据《不正当竞争法》对行为进行定性。③北京知识产权法院（2015）京知民终字某号知识产权判决书。在陈某诉杭州某软件服务有限公司网络服务合同纠纷案中，法院以《合同法》中的诚实信用原则作为双方责任承担的依据。④浙江省杭州市中级人民法院（2018）浙01民终某民事判决书。而民事救济的主要方式主要是赔偿和申请诉前禁令。不可否认，民事手段的调整在一定程度上能够维护网络空间自由竞争以及当事人双方的合法权益。但伴随着部分流量劫持手段如DNS劫持的升级，不法分子产业化模式的运营，使得单纯的民事救济欠缺威慑力，无法体现维护网络秩序的正面效应，容易造成法律适用的真空地带。

一方面，以民事途径救济无法维护网络秩序及网络用户的整体利益，刑法规制能够契合保障网络安全的时代需求，提高刑法适用力。根据混淆学理论中的蝴蝶效应，一些看似微小的变化，可能带来巨大的改变。在网络广泛普及的今天，流量劫持行为给网络安全带来了巨大的挑战。民事救济以赔偿为主，但在利益的驱动下，往往获利大于损失，在一定程度上放纵了流量劫持行为。而刑法的适用能够弥补前置法的不足为流量劫持行为划定红线。此外，以刑事手段规制能够提高刑法应对新型犯罪行为的适用活性。现阶段对流量劫持行为应对的罪名主要是计算机类相关的犯罪，包括破坏计算机信息系统罪、非法控制计算机信息系统罪等5个罪名。其中，破坏计算机信息系统罪自1997年设立以来长期处于备而不用的状态，这与网络发展的进程有关。搁置破坏计算机信息系统罪而不启用，侧面反应司法保护理念的延迟和对新型网络犯罪立法更新的不足。①参见孙道萃：《“流量劫持”的刑法规制及完善》，载《中国检察官》2016年第4期，第77页。在2016年之前，仅有零星的案件以破坏计算机信息系统罪论处。而截至2021年已经有1602件相关案例。②笔者以“破坏计算机信息系统罪”为关键词在北大法宝进行检索。这是因为在网络空间中法律用语的含义不断扩张，计算机犯罪的外延也在扩大。为了应对新型网络犯罪，《刑法修正案（七）》增设了非法控制计算机信息系统罪。这一修订在一定程度上丰富了计算机类犯罪内涵，但也引起了该类犯罪司法竞合的难题。侵犯计算机类犯罪长期以碎片化状态存在，并没有形成层次体系。尤其是当下对“非法获取”“非法控制”“破坏”之间的关系存在不同的理解。流量劫持行为是对计算机信息系统的侵犯且类型多样，对其刑法适用能够明确计算机类相关犯罪的内在逻辑，厘清计算机各罪名适用边界。

另一方面，流量劫持行为具有高度的隐蔽性，以民事途径救济，将加大当事人举证责任难度，刑事手段的介入能够在一定程度上化解这一困境。所谓高度隐蔽性是指攻击范围的广泛性、攻击速度的快速性、伪装的迷惑性等。③参见陈禹衡：《流量劫持的刑法规制思考——以第102号指导性案例为视角》，载《西南石油大学学报（社会科学版）》2019年第6期，第79页。这些特性无疑增大了对该行为的反制难度。民事诉讼举证的基本原则在于谁主张谁举证。流量劫持作为新兴的行为类型，其证据的收集和固定尚没有相关的经验，普通民事主体难以对这种专业性极强的证据进行收集。流量劫持行为人多将站点设置在境外，一般需要多部门配合才能完成证据的收集。没有救济的权利不是权利。刑法的介入能够使司法机关整合相关的资源对流量劫持的证据进行收集，例如在陈某等破坏计算机信息系统罪案中，被告人陈某在接受调查时指使共犯人删除相关程序、数据等，公安机关通过张某放置在安徽合肥某机房的服务器内才查获涉案DPI程序。涉及的证据包括劫持报告即是对劫持现象及劫持元素进行监测的客观记录。④上海市第一中级人民法院（2019）沪01刑终某号刑事裁定书。尽管如此，这些证据的获取仍然遭到了辩护人的质疑，并以证据过于抽象作为辩护的理由。流量劫持证据收集难度可见一斑。需要指出的是证据的收集优势并非刑事介入的唯一理由，但不可否认，司法救济的可操作性也是必须考量的重要因素。民事手段将使被害人救济困难，难以有效维护自身的合法权益，将造成司法救济的空白地带，放任这种现象的发生。在司法机关的支持下，刑事介入能联合多部门，最大限度排除技术上的障碍从而收集保全证据以维护公众利益，相比民事手段具有更大的优势。

三、流量劫持刑法制裁路径

（一）刑法适用现状

围绕着流量劫持行为刑法定性问题，不可避免地需要对司法类案的处理进行探究。2015年，全国首例流量劫持案宣判。在该案中，被告人付某、黄某实施的是“流量劫持”中的DNS劫持，其通过将用户访问“2345.com”等导航网站的流量劫持到其设置的“5w.com”导航网站以此获得流量，而用户无法正常访问目标网站。上海法院最终认定被告人是对网络用户的计算机信息系统中存储、处理的数据实施了修改、增删，构成破坏计算机信息系统罪。⑤上海市浦东新区人民法院（2015）浦刑初字某号刑事判决书。同年的11月份，重庆法院审理另一起流量劫持案件，却以非法控制计算机信息系统罪定罪处刑。在该案中，被告人施某也是实施了流量劫持的行为。根据裁判文书显示，其不仅实施了DNS域名劫持，还实施了通过修改xxxx网站DNS系统，使用户实际是通过特定网站域名访问到目标网站，以获取流量的链路劫持。①重庆市渝北区人民法院（2015）渝北法刑初字某号刑事判决书。在这两起案件中，行为人均实施了流量劫持行为，但手段略不相同。法院作出了不同的定性，有同案不同判之虞。

2018年，最高人民法院发布指导性判例，并将付某破坏计算机信息系统罪案收入其中。指导性判例认为，行为人实施的DNS劫持是对计算机信息系统功能的破坏，致使计算机信息系统不能正常运行，因而应以破坏计算机信息系统罪定罪处刑。该指导性判例一出即产生标杆性作用。笔者以“流量劫持”为关键词在北大法宝上进行检索，从2018至2021年三年间出现5例流量劫持案件，均以破坏计算机信息系统罪定性。指导性判例似乎结束了流量劫持性质的争议，但其论证过程只是简单就破坏计算机信息系统的构成要件进行阐述，并没有将事实和法律紧密结合起来。流量劫持类型复杂，是否破坏计算机信息系统罪能够涵摄除DNS劫持以外的流量劫持行为？指导性判例并没有深入探究。关于流量劫持刑法定性在理论和实践中都引起了极大的争议，究其原因是因为流量劫持事实本身的区别导致定性的困难，还是非法控制计算机信息系统罪和破坏计算机信息系统罪边界不明尚需探讨。一系列问题折射出计算机类犯罪之间的内在脉络并没有被厘清，难以统一适用罪名合理规制流量劫持黑灰产业。

（二）流量劫持案件分类制裁

1.“破坏”与“非法控制”关系再思考

破坏计算机信息系统罪有三种表现形式，分别是对计算机信息系统功能的破坏、对计算机信息数据、应用程序破坏和制造传播计算机病毒破坏计算机系统。非法控制计算机信息系统罪的行为模式单一，只要实施非法控制，情节严重即构成本罪。

从刑法条文出发，破坏计算机信息系统罪重在“破坏”这一行为手段，而非法控制计算机信息系统罪强调“控制”这一结果状态。②参见叶良芳：《刑法教义学视角下流量劫持行为的性质探究》，载《中州学刊》2016年第8期，第47页。依据文字表述，对二者关系的界定并不困难。但是，计算机信息系统是由数据组成的，控制计算机信息系统不可避免会对数据进行删除、修改或者增加，而破坏计算机信息系统罪的行为方式也包含对数据的破坏。那么此时，两罪之间的边界将模糊。具体到流量劫持行为，其并非对计算机信息系统功能的破坏也不属于制造病毒的行为，只能归属对计算机信息系统数据、应用程序修改的行为。这就要求明确非法控制计算机信息系统罪“破坏”和破坏计算机信息系统罪“破坏”之间的界限。

一方面，从立法目的分析，非法控制计算机信息系统罪和破坏计算机信息系统罪的“破坏”是递进的关系。在《刑法修正案（七）》出台前，我国规制计算机类犯罪的罪名是非法侵入计算机信息系统罪和破坏计算机信息系统罪，这两个罪名分别从源头和末端进行规制。这种保护体系罪名设置是轻轻重重的关系，即从较轻的侵入行为直接到较重的破坏行为，在此之间并没有过渡地带，容易造成处罚漏洞。《刑法修正案（七）》新增非法控制计算机信息系统罪，丰富了刑法的保护体系，形成入侵—控制—破坏的闭环结构，使得入侵和破坏之间有中间性罪名从而填补漏洞。这一中间性罪名非法控制计算机信息系统罪就是在没有对计算机信息系统造成任何破坏的入侵行为和致使计算机不能正常运行的破坏行为之间寻求一种平衡。因此，非法控制是建立在广义的破坏行为之上，当破坏的程度能够控制计算机信息系统的时候应以非法控制计算机信息系统罪定罪处刑，而如果这种破坏的程度较高，致使计算机信息系统不能正常运行，非法控制下的“破坏”行为性质就会升级，应按照破坏计算机信息系统罪定罪处刑。按照这一从低到高递进式的结构，能够准确区分这两个罪名的区别，避免出现司法适用混乱的现象。

另一方面，从两个罪名的构成要件进行分析，两者“破坏”的程度达到的要求不同。根据破坏计算机信息系统罪的刑法规定，其第一种行为类型破坏计算机信息系统功能，以“造成计算机信息系统不能正常运行”作为成立该行为的限定条件。第三种行为类型制造、传播病毒也以“影响计算机系统正常运行”为条件。尽管用词不同，但都强调对计算机破坏结果上的不能正常运行。值得注意的是，其第二种对数据和应用程序修改、删除、增加的行为并没有以计算机是否正常运行为限定。对此应从刑法条文的立法目的，将该行为的结果理解为与其他两种行为同样的破坏效果。刑法采取了叙明罪状的模式详细列举了各个行为，从刑法体系的协调上，这三类行为的最终效果应当相同。对计算机信息系统功能的干扰和制造、传播病毒本身并不一定达到“破坏”的程度，所以需要以“不能正常运行”“影响正常运行”作为限定。立法上没有对第二种行为模式进行限定，那么对计算机信息系统数据和应用程序的修改、删除、增加，从效果上讲，要达到“破坏”的程度，就不可能是任何数据和应用程序的破坏，必须对数据和应用程序进行限定。换言之，只有对数据或者应用程序的增改修直接影响计算机信息系统的正常运行或者不能运行的严重结果，才能以本罪进行规制。如对计算机信息系统关键数据、程序修改直接造成计算机运行系统的崩溃或者运行中断。①参见周立波：《破坏计算机信息系统罪司法实践分析与刑法规范调适—基于100个司法判例的实证考察》，载《法治研究》，2018年第4期，第72页。有学者主张对数据进行扩大解释，将与计算机运行无关的数据也应纳入保护范畴，以应对流量劫持行为。②参见陈禹衡：《“控制”“获取”还是“破坏”—流量劫持的罪名辨析》载《西北民族大学学报（哲学社会科学版）》2019年第6期，第100页。笔者认为，不当扩张数据的范围，使得所有涉及数据的相关行为都将犯罪化。如果不加以限定，诸如刷单、批量注册账户等在形式上对计算机数据修增加的行为也能够以该罪论处，造成破坏计算机信息系统罪的泛化，在适用上也不利于与其他计算机类犯罪的划分。此外，构成破坏计算机信息系统罪还要求后果严重，《计算机安全解释》对后果严重的五种情形进行了列举。③《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》第四条规定，“（一）造成十台以上计算机信息系统的主要软件或者硬件不能正常运行的。（二）对二十台以上计算机信息系统中存储、处理或者传输的数据进行删除、修改、增加操作的。（三）违法所得五千元以上或者造成经济损失一万元以上的。（四）造成为一百台以上计算机信息系统提供域名解析、身份认证、计费等基础服务或者为一万以上用户提供服务的计算机信息系统不能正常运行累计一小时以上的。（五）造成其他严重后果的。”但需要注意的是后果严重是以计算机信息系统不能正常运这一结果为前提的，即这两者之间必须具有因果关系，否则不应以本罪论处。

对于非法控制计算机信息系统罪，刑法采取了简单罪状对其描述。该罪的核心行为在于非法控制。非法控制强调的是一种状态，其行为效果不同于破坏计算机信息系统罪的“不能正常运行”。非法控制计算机信息系统罪和非法获取计算机信息系统数据罪规定在同一条文中，说明其社会危害性具有相似性，后者的社会危害性体现在对数据的侵犯上，而前者应认为是对计算机信息系统的控制使用。前面已经提及，在侵犯计算机类犯罪体系中，控制行为和破坏行为是递进的关系。关于“控制”和“破坏”区别，笔者以财产性犯罪体系为坐标系参照适用，在财产犯罪中，有取得型财产犯罪和破坏性财产犯罪，后者以故意毁坏财物罪为典型。破坏计算机信息系统罪的效果等同于故意毁坏财物罪，是对计算机信息系统终局性排他性的破坏。而非法控制计算机信息系统罪更像是对财产的非法占有。按照通说观点，非法占有包含了对财物的利用和排除他人占有的效果。但计算机信息系统具有虚拟性，其不能够被实际占有，只能对计算机信息系统实施控制，而控制的目的在于利用。并且这种控制使用不应包括完全排他性使用，而是指受控制下的计算机信息系统虽然在运行上受到限制，仍能正常运行。不同于物理性的财物，对财物毁坏和非法占有会产生不一样的效果。基于计算机的特性，如果控制后完全排除了用户使用，则其效果与对计算机信息系统破坏并无不同。这是因为从广义上讲，对计算机信息系统的非法控制会导致对计算机信息系统的破坏，如果将其排他性控制包括在内，实质上就达到破坏计算机信息系统罪的要求。另外，从法定刑配置的角度，破坏计算机信息系统罪与非法控制计算机信息系统罪的破坏效果不可能相同。作此解释，能够不可否认，非法控制也是对计算机信息系统数据或者应用程序增修改，但这种增修改并没有导致计算机信息系统无法运行，只是未经许可取得计算机系统的控制权，通过有限度的破坏实现其控制的目的。构成非法控制计算机信息系统罪还以情节严重为要件。《计算机安全解释》对“情节严重”作了详细的说明，但应当注意到，在《计算机安全解释》第一条有关非法控制计算机信息系统“情节严重”的情形中第（四）款规定的经济损失和《计算机安全解释》第四条有关破坏计算机信息系统“后果严重”第（三）款的规定一致，对此应注意区分造成经济损失的原因行为，前者是基于非法控制，后者则是破坏。由此可见，非法控制计算机信息系统罪相较于破坏计算机信息系统罪是低位阶和高位阶的关系，两者在“破坏”行为上具有共性。从破坏程度上区分，非法控制计算机信息系统罪达到了控制使用，而破坏计算机信息系统罪则是导致计算机不能正常运行。

2. 区别对待流量劫持行为

实践中，流量劫持行为样态丰富，但主要是DNS域名劫持和链路劫持这两种形式。厘清非法控制计算机信息系统罪和破坏计算机信息系统罪之间的关系后，如何对流量劫持行为进行规制？笔者认为应针对不同流量劫持行为区别对待。

就DNS域名劫持而言，笔者认为应以破坏计算机信息系统罪定性。根据已有的司法判例显示，行为人实施DNS劫持的共同点是使得用户无法正常访问目标网站。如在陈某等破坏计算机信息系统罪案中，被告人陈某等人通过DNS劫持方式，对东方财富APP炒股大赛页面广告位进行劫持操作，东方财富APP部分用户访问炒股大赛页面时，页面会被强制弹出其设置的广告，致使无法正常显示东方财富APP炒股大赛页面，用户无法正常浏览与操作。在成都某有限公司、余某、余某破坏计算机信息系统罪案中，被告人以DNS劫持，百度搜索进入上述网站后，点击回退按钮无法回到百度搜索页面，而是跳转到被告人指定的客户公司网站，强制网络用户访问指定网站，造成用户被劫持。此类流量劫持行为利用恶意代码对用户计算机信息系统数据和应用程序进行增修改，使得用户无法进行其他操作，造成用户不能进入目标网站。DNS劫持必然符合广义上对计算机信息系统的破坏行为，那么评价的重点应落脚在是否造成影响计算机信息系统正常运行。在DNS劫持案件中，“用户无法正常操作”是这一行为的后果。“无法正常操作”意味着行为人不仅排除了用户对计算机信息系统的使用，更造成信息系统的无法正常运行。前面提到，非法控制计算机信息系统罪的“破坏”行为应以控制使用为限且不排斥用户的正常使用。显然，DNS劫持的破坏行为已经超越了控制适用的界限，达到了破坏计算机信息系统罪的要求。但需要注意的是，计算机信息系统不能正常运行，并不是仅指计算机不能启动等极端情形。《计算机安全解释》第十一条所称的计算机信息系统包括了网络设备、通信设备等。DNS劫持是对计算机信息系统外接网络设备的破坏，致使其不能正常运行，应以破坏计算机信息系统罪定罪处刑。

链路劫持应以非法控制计算机信息系统罪定性。对于链路劫持多数观点主张应按照不正当竞争作非罪化处理。①参见孙道萃：《“流量劫持”的刑法规制及完善》，载《中国检察官》2016年第4期，第77页。但笔者认为应以整体性的思维看待计算机类犯罪，合理的犯罪构成必须符合体系性，而非要素性。②参见付立庆：《犯罪构成理论：比较研究与路径选择》，法律出版社2010年版，第60页。非理性将链路劫持排除在外，不能体现计算机类犯罪的层次性。由于链路劫持并不会使用户无法操作，因此其破坏程度没有达到使计算机无法正常运行的程度，显然是不构成破坏计算机信息系统罪的。但是链路劫持行为影响用户正常上网路径，使得用户无法自行更改界面或者强制进入特定通道，可以视为违背用户意愿的非法利用行为。链路劫持是恶意对计算机信息系统数据进行修改实现的，不可避免会对计算机系统造成破坏，这种破坏的程度在于非法取得权限，对计算机信息系统控制利用。在其行为操控之下，用户必须通过指定路径才能访问页面，体现了链路劫持行为人对计算机信息系统的主导、操纵地位，完全符合“非法控制”的行为特质。此外，链路劫持行为并非终局性破坏计算机信息系统，恰恰相反其在于控制利用。链路劫持行为过程中也对信息数据作了修改，但并非影响计算机信息系统的关键数据，可以非法控制计算机信息系统罪中的“其他技术手段”加以规制。行为人利用被控制的计算机信息系统进行广告推广等服务，以获取流量。在这个意义上，其类似于财产犯罪中的非法占有，即通过非法占有计算机信息系统后对其利用获取收益。因此，对该行为以非法控制计算机信息系统罪论处能够表明其行为特质，也能够符合罪刑相适用的要求。在破坏计算机信息系统罪逐渐沦为口袋罪名的背景下，非法控制计算机信息系统罪的适用可以缓和这一矛盾，避免计算机犯罪的“碎片化”。