近日，随着公安机关“净网2020”专项行动的不断推进，各地公安机关打处了各种类型的网络灰黑产犯罪行为。由于目前互联网核心的发展方向及盈利模式普遍集中在数据和流量两大核心点，目前被打处的“灰黑产业”基本也是围绕着数据和流量所展开的。而其中，流量劫持产业链则是颇具互联网特质的黑色产业链之一。

流量是网络企业盈利的重要要素，为了以更低的成本获得更高的访问量和推广率，部分广告商选择以不法手段劫持、误导、替换用户的正常访问流量，严重损害了相关网站的信息系统安全以及多数互联网用户的访问自主权。但由于流量劫持存在多种不同的技术模式，不同技术模式的流量劫持对于信息网络安全所产生的影响也具有显著的差别，因此对于不同类型的流量劫持该以何种罪名论处，如何准确评价流量劫持类行为的社会危害性，这些都是目前司法实践中值得深入探讨且急需解决的问题。笔者结合最近代理的相关流量劫持类黑灰产刑事案件，结合不同类型流量劫持模式的技术特征，对该类型犯罪可能涉及的刑事责任作一探讨。

// 何谓“流量劫持”？

/// 

TOPIC

所谓“流量劫持”，是指行为人通过某种技术手段，强制用户访问某些网站，将用户的访问流量恶意导向广告或其他的非法网站，致使用户的访问流量被诱导或劫持。相信网络用户在上网时一般都会有如下的经历：访问网站时经常会出现无论如何关闭不了的小窗广告；访问特定的网页时却被莫名其妙导航到了其他网站；在打开网页时被频繁的弹出从未打开过的广告网站，遭受莫名其妙的广告轰炸。如果你遇到过这些情形，那么毫无疑问，你成为了流量劫持的受害者。这种流量劫持的行为有些类似于有损市容的牛皮癣小广告，流量劫持的主要目的就是通过影响、操纵用户对于网站的访问行为，强令或诱导用户访问特定的网页为不法广告商的服务器引入流量、提供非法的网络推广，从而获得利益。

流量劫持与流量盗窃是完全不同的概念。所谓流量盗窃主要是通过盗用或者恶意增加用户上网流量的方式，致使原用户的上网资费增多或者运营商应收取的上网资费减少的行为，这种情形多数存在于移动互联网领域。可见流量劫持实际上与上网流量资费无任何关系，行为人的目的并不在此。

//流量劫持的典型技术类型

/// 

TOPIC

根据技术特征的不同，流量劫持大致可以分为域名劫持和链路劫持两种类型，前者是对域名系统进行修改从而达到劫持用户流量的目的，而后者主要通过链路来实现用户流量的强制分流。

域名劫持又可细分为DNS劫持和CDN劫持。DNS（Domain Name System）劫持是较为常见的一种以网络攻击技术为基础的流量劫持方式，即攻击者通过攻击域名解析服务器（DNS），或伪造域名解析服务器（DNS）的方法，把目标网站域名解析到错误的IP地址从而实现用户无法访问目标网站的目的或者蓄意或恶意要求用户访问指定IP地址（网站）的目的。

而CDN（Content Delivery Network）劫持则是DNS劫持的变种。通常开发者在部署网站时，会把网站部署在自己企业对应的机房内。比如著名的美团公司在北京就有若干机房。离机房近的用户，则可以快速下载到网站的内容，包括静态资源，但是对于距离机房远的用户，由于距离客观的存在，他们下载网站的内容时，速度就不那么理想了。如果远距离的用户能够就近访问一台服务器，下载内容，那么就可以很大程度上缓解线路和距离带来的问题，这样的服务器，就被称作 CDN 服务器。而将用户引导至CDN 服务器上，依然需要依赖于 DNS 服务，我们只要利用 DNS 服务，对不同地区的用户，返回不同的 IP 地址，就可以将流量导流至相应的 CDN 服务器。如果攻击者获得了对 CDN 的控制权，则可以将任意恶意内容注入到 CDN 上的文件中（或完全替换掉文件），则可能潜在地攻击所有从该 CDN 获取文件的站点。

而链路劫持是指第三方（可能是运营商、黑客）通过在用户至服务器之间，植入恶意设备或者控制网络设备的手段，侦听用户和服务器之间的数据传输，并通过技术手段控制相关的数据传输过程，以达到窃取用户重要数据（包括用户密码，用户身份数据等等）或向用户定向传输非法数据的目的。目前，链路劫持的主要流程是通过非法手段在本地运营商的服务器旁架设监听设备，对通过该运营商服务器传输的数据进行监听解析，再以伪造数据包或修改数据包的手段实现流量劫持。伪造数据包劫持的原理是抢在用户所要访问的服务器给予响应之前，给予用户虚假的响应，由于虚假的响应先于真实的响应对客户端进行应答，客户端会自动忽略真实的响应而接受虚假的响应。伪造的数据包一般分为两种，一种是http重定向即发送带有302代码的响应包，达到的效果是使客户端所要访问的网页重定向至新的网页；另一种是伪造数据包，使用户在客户端打开非访问目标的广告网页或其他非法网站。而修改数据包的原理是直接对真实的回应包进行解包修改，注入广告代码后，发送给客户端，实现的效果是广告小窗口、弹窗。

//流量劫持行为的法律规制及

刑事责任评析

/// 

TOPIC

由于两大类典型的流量劫持技术模式存在着显著的不同，在实践中针对不同类型的流量劫持行为进行法律规制和刑事责任的认定，也应当结合不同的技术模式对于信息网络安全存在的影响进行区分处理。

1、域名劫持类行为的刑事责任——破坏计算机信息系统罪

由于DNS域名劫持的主要技术特征是通过控制并修改域名解析服务器对应的IP表单，使得原域名解析系统无法正常的进行网站域名的解析，进而致使用户无法访问被劫持的原网站，造成了域名解析系统及原网站的计算机信息系统无法正常运行。因此， DNS劫持行为，符合破坏计算机信息系统罪第一款所规定的：“对计算机信息系统的功能进行删除、修改、增加和干扰，造成计算机信息系统不能正常运行” 的情形，应当以破坏计算机信息系统罪论处。最高人民检察院第33号指导案例《李丙龙破坏计算机信息系统案》中，确认了该种认定思路，同时亦指出：“对于域名劫持的行为通常依据《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》第四条第四款的规定，结合计算机信息系统的功能和使用特点，结合网站注册用户、浏览用户等具体情况，客观的认定遭到破坏的计算机信息系统服务用户数。”

而对于CDN劫持，虽然行为人没有直接攻击DNS域名解析服务器，但行为人通过非法控制CDN服务器的方式，对于CDN服务器内部缓存的计算机信息系统数据进行了增加、删除、修改，注入了特定的广告内容或非法网站内容。因此，CDN劫持行为符合破坏计算机信息系统罪第二款所规定的：“对计算机信息系统中存储处理和传输的数据和应用程序进行删除、修改、增加的行为（该情况不强调破坏的程度和后果）”的情形，应当以破坏计算机信息系统罪论处。

2、链路劫持类行为的刑事责任——非法控制计算机信息系统罪

链路劫持的主要技术特征是通过链路上运营商的专属网关劫持用户流量，其行为人通常是不同电信运营商内部的员工与技术人员。相关人员通过在运营商内部的专属网关处架接旁路服务器和码流交换机，以实现对于网络链路上的访问行为的监听，并达到控制目标网络链路的目的。然后，行为人通过中断访问、虚假响应或者替换页面等方式，实现在用户客户端进行广告弹窗或者在用户目标网站页面弹出广告浮窗或者替换用户的访问页面，以实现虚假广告的投放和非法网站的导流之目的。

但在链路劫持的全过程中，行为人并不存在对于终端服务器的破坏，并未致使用户端及网站服务器不能正常使用的情形。同时，行为人也并未像CDN劫持一样修改其他系统服务器的数据和应用程序。链路劫持的整个技术节点都是建立在对于网络链路的控制基础上，在用户客户端与广告商服务器数据交互的过程中，对于用户拟访问网站的请求进行虚假的响应，或者对于服务器返回运营商的数据包进行添加虚假广告信息或非法网站信息，进而使得用户在无意识的情形下，在本地客户端解析到了虚假广告信息或非法网站信息。该种行为，行为人主观上系为了获取网络链路的控制权，客观上利用对于网络链路的控制权违背用户意志在用户端非法的打开了广告页面或非法网站，本质上侵害了用户对计算机系统及相关信息的管理权与控制权。

同时，需要注意的是，以伪造TCP数据包或在原TCP数据包中增加非法广告信息的行为，虽然增加了向用户定向传输的数据内容，但该种行为并不属于破坏计算机信息系统罪第二款所规定的对于计算机信息系统中存储、处理和传输的数据和应用程序进行删除、修改、增加的行为。破坏计算机信息系统罪该条所针对的犯罪对象是特定的数据或者应用程序，需要实现的犯罪结果是对于数据或应用程序的增加、删除、修改。而数据实际上是由信息和数据冗余所组成的，结合最高人民检察院第34号指导案例《李骏杰等破坏计算机信息系统案》、（2016）渝05刑终261号《李洪贵买卖国家机关证件罪、破坏计算机信息系统罪案》及（2014）闽刑终字第253号《曾上仕破坏计算机信息系统罪案》等相关案例的裁判要旨，破坏计算机信息系统罪中对于计算机信息系统内储存、处理、传输的数据进行增加、删除、修改的，需要影响相关数据所记载、传递的信息内容的变化。而链路劫持过程中，对于整个链路上所传输的数据本身，行为人并未做任何的变动，而是在控制了网络链路的基础上，在未经用户请求的情况下，向用户强制传输广告或非法网站数据。简而言之，破坏计算机信息系统罪所要求的对于传输数据的增加，不同于该种情形下增加向特定计算机信息系统所传输的数据，核心区别技术行为是否会引起对原数据本身记载、传递的信息内容的变化。因此，该种链路劫持的行为，以非法控制计算机信息系统罪论处更为适宜。由于两大类典型的流量劫持技术模式存在着显著的不同，在实践中针对不同类型的流量劫持行为进行法律规制和刑事责任的认定，也应当结合不同的技术模式对于信息网络安全存在的影响进行区分处理。

结语

由于网络技术飞速发展与立法普遍滞后之间不可调和的矛盾，对于新类型的信息网络犯罪行为的定性和追责，必须建立在充分评价相关犯罪行为技术特征的行为本质的基础上，进而明确相关犯罪行为的核心的非法技术节点。同时，需要利用刑法解释学的方法，准确评价相关计算机网络犯罪的构成要件的合理内涵与外延，进而明确立法本意。这样才能将罪刑法定、罪责刑相适应、主客观相统一等刑法基本原则更好的体现在对于网络灰黑产的打击过程中，实现打击网络灰黑产与维护互联网行业创新行为之间的统一。

作者｜王建波

靖霖刑事律师机构副主席

浙江靖霖律师事务所副主任

作者｜陈沛文

靖霖刑事律师机构 网络犯罪研究与辩护部主任

靖霖刑事律师机构