引言
随着当代网络信息技术的迅猛发展,危害计算机信息系统的犯罪模式和手段也日趋复杂,而法律条文固有的抽象性、滞后性等特点使得危害计算机信息系统犯罪行为的准确定性存在较大争议,特别是破坏计算机信息系统罪与非法控制计算机信息系统罪在危害计算机信息系统罪中成为界分难题。为准确适用罪名以更好实现网络犯罪治理现代化,笔者将通过流量劫持型案件来探析两罪之间的区别,希望在司法实践中对此类犯罪行为的准确定性有一定帮助。
一、破坏计算机信息系统罪在司法实践中的适用现状
笔者以“破坏计算机信息系统罪”、“刑事案由”为检索关键词,在北大法宝共检索到自2018至今二审文书共计56篇。通过对涉破坏计算机信息系统罪罪名56份判决文书进行分析,发现在破坏计算机信息系统罪相关案件中,一审法院对于公诉机关指控罪名的改变,以及二审法院改判一审罪名等情况屡见不鲜。在易混淆的罪名中,二审文书在争议焦点和改判事由中体现破坏计算机信息系统罪与非法获取计算机信息系统数据罪定性有关的案件2件;破坏计算机信息系统罪与提供侵入、非法控制计算机信息系统的程序、工具罪定性有关的案件3件;破坏计算机信息系统罪与非法控制计算机信息系统罪定性有关的案件有13件,其中关于“流量劫持”型案件争议最大,存在破坏计算机信息系统罪与非法控制计算机信息系统罪区分捉襟见肘的困境。
二、从三起“流量劫持”案件探析破坏计算机信息系统罪与非法控制计算机信息系统罪的区别
案例一
最高人民法院指导性案例102号付某、黄某破坏计算机信息系统案中,被告人付某、黄某等人租赁多台服务器,使用恶意代码修改互联网用户路由器的 DNS 设置,进而使用户登录“2345.com”等导航网站时跳转至其设置的“5w.com”导航网站,其通过修改路由器、浏览器设置、锁定主页或者弹出新窗口等技术手段,强制网络用户访问指定网站的“DNS 劫持”行为,属于破坏计算机信息系统,后果严重的,构成破坏计算机信息系统罪。
图一 域名解析过程
案例二
最高人民法院指导性案例145号张某等非法控制计算机信息系统案中,被告人张某等人经事先共谋,为赚取赌博网站广告费用相互配合,对存在防护漏洞的目标服务器进行检索、筛查后,向目标服务器植入木马程序(后门程序)进行控制,再使用“菜刀”等软件链接该木马程序,获取目标服务器后台浏览、增加、删除、修改等操作权限,将添加了赌博关键字并设置自动跳转功能的静态网页,上传至目标服务器,提高赌博网站广告被搜索引擎命中几率,其行为被法院判决为非法控制计算机信息系统罪。
图二 渗透的过程
案例三
最高人民检察院指导性案例第33号李某破坏计算机信息系统案中,被告人李某为牟取非法利益,预谋以修改大型互联网网站域名解析指向的方法,劫持互联网流量访问相关赌博网站,获取境外赌博网站广告推广流量提成。利用平台相关功能自动生成了该知名网站二级子域名部分 DNS(域名系统)解析列表,修改该网站子域名的 IP 指向,使其连接至自己租用境外虚拟服务器建立的赌博网站广告发布页面。李某修改IP指向,连接至自己租用境外虚拟服务器建立的赌博网站广告发布页面劫持流量,被法院判决为破坏计算机信息系统罪。
图三 二级域名访问解析
上述三起“流量劫持”型案件被定以不同罪名处罚的关键在于行为人的行为对于计算机信息系统到底达到了“破坏”的程度还是只是“非法控制”的程度,要拨开事实认定的迷雾,实现司法适用中对破坏计算机信息系统罪的准确认定,还是有必要结合计算机网络相关原理,突破技术壁垒,寻找犯罪行为的核心技术特征。
01行为的“破坏性”程度
对于如何把握破坏计算机信息系统罪当中“破坏”的核心特征,学界提出了许多观点。有观点认为应当用短缩的二行为犯来界定罪名,以主观目的作为界分标准,也有学者归纳出“破坏”行为具有不可恢复性、直接性、完全排他性特征,若未达到此种程度则应考虑构成非法控制或其他行为。裁判实践中亦有大量案例将“导致系统不能正常运行”作为区分是否构成破坏的界分标志,聚焦于行为的危害结果来界定罪别。上述观点或从理论、或从实践角度致力于对危害行为进行区分,但鲜有直面行为技术本身进行剖析和解构。笔者认为,危害计算机信息系统相关犯罪均具有一定程度上的“破坏性”,但由于行为的手段、破坏的程度有所不同,导致危害后果和罪名评价有所差异。从技术角度来审视不同计算机犯罪中“破坏性”的差异,可直接归纳出界分犯罪行为的一般结论。
02行为是否对网络通信协议产生实质性影响
就目前危害计算机信息系统的犯罪,均极大程度依赖“通信网络”这一主要载体,网络是计算机系统的核心功能之一,在计算机网络中实现通信必须依靠网络通信协议。根据协议和功能的不同,可以将计算机网络划分为多层次的体系结构,如应用层、运输层、网络层等(如下图1所示)借助上述结构,某种实行行为是否构成对计算机信息系统的“破坏”,取决于其非法行为是否对计算机相应体系结构中的协议和功能产生实质改变,也就是说,如果实质性影响到上述结构中任意一层的功能实现,则构成对计算机信息系统的破坏,否则应当考虑该行为仅系控制、侵入或者其他行为。
图四 计算机网络关于OSI七层模型与TCP/IP关系解释图
以前述三起“流量劫持”型案件为例,此类行为往往集中发生在网络数据交换过程中,最终作用于计算机网络体系结构中的应用层层面。但是,不同行为人所采取的“劫持”行为对应用层的破坏程度也有所不同,有的流量劫持行为的实现,并未实际破坏到应用层的协议,也未实际改变进程间通信和交互的规则;而有的行为是必须通过破坏应用层协议(如域名系统DNS协议等)进而影响其实质的功能,达到劫持流量的目的。因此,上述三个流量劫持型案件因劫持行为对应用层协议的影响不同才会被判处不同罪名。
具体而言,最高人民法院指导性案例102号中,行为人通过“修改互联网用户路由器的DNS设置,使用户登录‘2345.com’等导航网站时跳转至其设置的‘5w.com’导航网站”。该行为系对于计算机网络结构里应用层中域名系统DNS协议本身的修改,DNS协议的功能在于从域名中解析出IP地址,故而该行为使得互联网上的主机名称转换IP地址的功能受损,导致所有登录“2345.com”的用户都会跳转至其设置的“5w.com”,该行为破坏了计算机网络的功能,构成刑法第286条第一款的对计算机信息系统功能的破坏。与此相类似的是最高人民检察院指导性案例第33号,行为人修改IP指向,连接至自己租用境外虚拟服务器建立的赌博网站广告发布页面劫持流量。该行为也是改变了“通信网络”的应用层中协议的具体映射关系,使得所有访问该网站子域名的用户最终都会被强制跳转到赌博网站,致使原网站无法正常运行,该种行为也最终被认定为对计算机信息系统网络功能的破坏。
与之迥异的是,最高人民法院指导性案例145号中被告人“以木马程序获取目标服务器后台权限,将添加了赌博关键字并设置自动跳转功能的静态网页”,提高广告命中率,则被评价为非法控制行为。该行为虽也发生在应用层之上,但仅是上传了新的网页链接代码,并未对应用层中的相关协议进行篡改,未改变通信进程交互规则。故而其结果仅是目标服务器在点击后发生相关网页的跳转,实际的网页解析关系、指向内容均未受改变,其他点击该网页的网络用户仍旧能打开原始网页。该案一审被认定为“破坏”,二审法院予以改判,称此行为系“在进行非法控制基础上的修改、增加计算机信息系统的某些数据,未对计算机网络功能产生实质影响,”二审法院的评价结果与本节的技术分析结果完全印证。
三、总结
通过前文所述,实行行为是否构成对计算机信息系统的“破坏”,需要验证该行为对通信协议进程是否产生实质性影响,首先破坏的对象应是计算机系统中的功能,其次该破坏行为须使得被破坏的功能丧失原有效能,如协议进程无法正常进行,才能构成对计算机信息系统的破坏,否则应当考虑该行为仅系控制、侵入或者其他行为。
律师简介
官久兴,大成成都办公室党委副书记、刑事专业组负责人,成都市律协第八届刑事诉讼专业委员会秘书长,四川大学法学院模拟法庭教学导师,大成中国区刑事专业委员会理事。拥有二十余年的法律从业经验,擅长经济犯罪、职务犯罪、网络犯罪、非法经营、涉增值税、传销、非吸、有组织类犯罪刑事案件的辩护,对涉众型案件的辩护有深入研究。成功办理过四川某液化石油气公司非法经营涉案千万不起诉案件;合同诈骗三百万无罪辩护成功案、某地区国土部门负责人滥用职权不起诉。
