近年来,我国对涉网络犯罪打击力度大大加强,许多存在已久的涉网灰色产业链不断遭受刑事打击,这些灰色产业链必须严格规范自身行为,避免刑事处罚。2015年底上海浦东法院宣判的全国首例“流量劫持”刑事案,将“流量劫持”行为曝光在公众视野,之后各类“流量劫持”行为受到刑法规制。“流量劫持”的具体行为模式众多,难以逐一列举,更无法逐一讨论。概括而言,“流量劫持”行为就是以各种手段强行锁定他人浏览器主页、强行控制他人浏览器访问其他网站、强行占用他人网络流量传输数据、强行向他人计算机推送广告等,这些行为的基本特征就是“用他人流量,为自己牟利”。
“流量劫持”行为根据行为模式、行为针对客体的不同,可能涉嫌破坏计算机信息系统罪、非法获取计算机信息系统数据罪、非法控制计算机信息系统罪等涉计算机犯罪甚至可能构成盗窃罪。今天笔者尝试以“云控木马”型“流量劫持”行为为例,尝试探究“云控木马”型“流量劫持”行为的出罪路径,以期为其他“流量劫持”行为的辩护工作提供思路。
所谓“云控木马”型“流量劫持”,即行为人将木马程序植入某软件,再将软件挂于网站,供互联网用户免费下载使用,在用户安装木马程序后,行为人控制木马程序通过用户IP地址向行为人控制的远程代理服务器发送指令,实现“劫持”用户流量访问特定网站的目的,最后通过不断的回传数据实现反复“劫持”流量,并通过出售流量达到获利目的。具体行为模式见下图(以下将该“云控木马”行为模式简称为“案例”):
一、木马本身不具有非法控制性,则“运控木马”行为不构成非法控制计算机信息系统罪
非法控制计算机信息系统罪的罪状表述为,违反国家规定,侵入前款规定以外的计算机信息系统或者采用其他技术手段,对该计算机信息系统实施非法控制,情节严重的。
可见本罪要求行为人对计算机信息系统实施非法控制。在“云控木马”的整个行为模式中,存在的计算机信息系统包括:用户的计算机信息系统、行为人的远程服务器系统、目标网站系统以及电信网络系统总计四个系统。以下逐一分析“云控木马”对各系统的影响。第一,案例木马程序不具备控制性,其作用仅为搭建用户计算机与行为人远程服务器的联通桥梁,在“桥梁”搭建完毕后,“云控木马”、远程服务器、目标网站三者将形成全新“内循环”系统,该系统的运行不依赖用户计算机系统,也不会影响用户计算机系统的其他功能,因此木马程序不会控制用户计算机信息系统;
第二,案例木马程序不会影响行为人控制的远程服务器系统,即便存在影响行为人也不可能针对自己构成犯罪;
第三,案例中行为人根据目标网站系统的要求进行访问,即使对目标网站系统造成了一定的访问控制,也是在获得目标网站系统的授权的前提下进行的,因此也不构成非法控制目标网站系统的犯罪;
第四,“云控木马”行为本身不针对电信网络系统,其没有控制电信网络系统的功能,因此不可能实现非法控制电信网络系统。
综上,“云控木马”只要不具备控制性,不以控制计算机信息系统为手段,则不可能构成非法控制计算机信息系统罪。
二、只要木马不涉及侵犯用户个人信息,则“云控木马”行为不构成非法获取计算机信息系统数据罪
非法获取计算机信息系统数据罪的罪状表述为,违反国家规定,侵入前款规定以外的计算机信息系统或者采用其他技术手段,获取该计算机信息系统中存储、处理或者传输的数据,情节严重的。
可见一行为要构成本罪,必须获取一定的“数据”,当然这里的“数据”应当理解为对计算机所有人有价值、有使用功能的数据。回归案例,“云控木马”要达到占用用户流量的目的,事实上只需获取用户IP地址即可。但IP地址显然不属于计算机信息系统数据,结合《刑法》条文“计算机信息系统中存储、处理或者传输的数据。”而IP地址只是英特网根据IP协议,为因特网上的每台计算机和其它设备规定的识别符号,因此IP地址不属于任何人,IP地址更像门牌号,其没有秘密性、也没有信息使用价值,因此获取IP地址不属于获取计算机信息系统数据。
另外,通过“云控木马”实现的用户计算机与远程代理服务器、目标网站之间的数据传输亦不属于非法获取计算机信息系统数据。案例中,“云控木马”占用用户IP地址实现与远程代理服务器、目标网站之间数据传送,这里的数据均产生于行为人搭建的“云控木马”系统,其根本不属于用户。当然有人会认为通过“云控木马”在用户计算机中产生的数据应当属于用户,个人认为通过“云控木马”在用户计算机中产生的数据不属于用户。一方面,计算机在用户无意识的情况下产生的数据对用户而言不具有任何价值;另一方面,并非任何计算机中储存或产生的数据所有权都归属于用户,例如软件代码、系统代码等数据就不属于用户,同样软件自动产生的数据亦不属于用户。
综上,若“云控木马”仅实现搭建新的数据产生、互传功能系统作用的,不盗取用户私人数据,则不可能构成非法获取计算机信息系统数据罪。
三、只要木马本身不具有破坏性,且不影响计算机信息系统正常使用,则“云控木马”行为不构成破坏计算机信息系统罪
我国《刑法》第二百八十六条规定“破坏计算机信息系统罪是指违反国家规定,对计算机信息系统功能或计算机信息系统中存储、处理或者传输的数据和应用程序进行破坏,或者故意制作、传播计算机病毒等破坏性程序,影响计算机系统正常运行,后果严重的行为。”
按照第二百八十六条第规定,案例行为是否构成本罪,关键要看案例行为是否破坏计算机数据、是否破环计算机应用程序、是否传播破坏性程序、是否影响计算机系统正常运行。以下逐一分析:
第一,关于是否破坏计算机数据:根据上文的分析“云控木马”行为属于“另起炉灶”再建新系统,其一切功能的实现均在新系统内部完成,不会造成用户计算机数据的任何损失,因此不可能涉嫌破坏计算机数据。
第二,关于是否破坏计算机应用程序:“云控木马”功能的实现不依靠用户计算机中的其他程序,更不影响计算机程序的正常使用,因此也不可能涉嫌破坏计算机应用程序。
第三,关于是否传播破坏性程序:破坏性程序的基本特征是传播性、隐蔽性、感染性、破坏性等,“云控木马”不具备这些特征,其不能自动复制、主动攻击,既然“云控木马”不存在破坏性,则可认定“云控木马”不是破坏性程序。
第四,关于是否影响计算机系统正常运行:案例中需要讨论的两个系统是用户计算机信息系统与电信网络系统,其中电信网络系统是不是计算机信息系统实务界尚存争议,但该争议不是本文的讨论重点,暂且忽略。“云控木马”的功能仅仅是占用用户流量,访问目标网站。因此只有在“云控木马”过度占用流量造成用户计算机系统、电信网络系统瘫痪或无法正常使用时,才会影响计算机系统正常运行。因此需要对“云控木马”占用流量设置上限阀值,且必须保证用户使用流量优先,这样就可以保证用户计算机系统、电信网络系统的正常使用,排除涉刑可能性。
综上,只要保证“云控木马”本身不具有破坏性,且对占用流量设置合理的上限阀值,就能排除涉嫌破坏计算机信息系统罪的可能性。
四、平等协议、合理使用下的“云控木马”行为不构成盗窃罪
实践中已有判例将盗用他人流量的行为认定为盗窃罪,而“云控木马”行为本质就是“用他人流量,为自己牟利”,即盗用流量,因此“云控木马”行为极有可能构成盗窃罪。盗窃罪的构成要件是“以非法占有为目的,盗窃他人财物”,若想排除“云控木马”行为涉嫌盗窃罪的可能性,则占用流量行为必须获得用户许可。
案例中“云控木马”系绑定软件供用户免费使用,因此只要在软件安装许可协议中向用户明确需以闲置流量使用权等价交换软件免费使用权,则可以视为获得用户许可。那么之后只要在安装许可协议约定的权限范围内使用用户流量,就不会有涉嫌盗窃罪的风险。
值得注意的是,一般木马程序即使绑定软件,其在安装完成后均与软件单独工作,也就是说用户在卸载软件后,木马程序不会随着软件的卸载而失去功能。如果用户卸载软件,可以视为用户终止授权,那么“云控木马”行为人再继续使用“云控木马”占用流量,依然会有被认定为盗窃罪的可能性。但是,“云控木马”行为人不可能知道用户是否卸载了软件,或者用户何时卸载了软件。若要避免这种“被动涉刑”的情况,则需要设置相应的软件卸载说明,即在用户卸载软件时对用户进行删除木马程序的提醒和引导,如果用户在明确告知后仍不删木马,可以认为用户自愿继续让行为人使用流量。
综上,占用他人流量获利的行为,必须获得授权。在平等协议、使用有度的前提下“云控木马”行为完全可以排除涉嫌盗窃罪的可能性。
综上所述,在授权协议范围内,合理、等价的“云控木马”行为不会涉嫌任何犯罪,其他模式的“流量劫持”行为在此条件下亦不应当涉嫌任何犯罪。当然,行为人对第三方出售流量时,必须对第三方流量使用合法性进行必要的评估,否则可能涉嫌第三方犯罪的共犯或者帮助信息网络犯罪活动罪。
