付宣豪、黄子超“DNS劫持”案,是我国第一起“流量劫持”被判刑的案件。根据最高人民法院12月25日发布一批依法严惩网络犯罪指导性案例,其中包括三个破坏计算机信息系统罪的案例。
黑客
其中一件案例为付宣豪、黄子超“DNS劫持”,这是我国第一起“流量劫持”被判刑的案件。此前此类案件大多以不正当竞争案处理,且此后的类似刑事案件往往不同法院判处不同罪名。而此次最高法发布指导性案例,可谓对“流量劫持”刑案定罪一锤定音。
此外,最高法还通过两件案例,延展了对何为“计算机信息系统”的解释,将基于物联网技术的机械远程监控系统、空气采样器纳入其中,更利于维护企业财产权益和环保力度。
“这批指导性案例,在新的技术条件、新的应用场景中为网络犯罪的刑事司法裁判明确了呼应技术发展的工作方向,提供了顺应时代演进的裁断思路。”中国互联网协会研究中心秘书长、北京师范大学刑事法律科学研究院副教授吴沈括说。
最高人民法院研究室副主任周加海12月25日介绍,最高法院正在就拒不履行信息网络安全管理义务罪、非法利用信息网络罪和帮助信息网络犯罪活动罪这三个《刑法修正案(九)》新增的新型网络犯罪,起草制定司法解释,并且已经基本完成了调研和征求意见工作,预计在2019年上半年就可以正式对外发布。
“流量劫持”罪名确定
2013年底至2014年10月,被告人付宣豪、黄子超等人租赁多台服务器,使用恶意代码修改互联网用户路由器的DNS设置,进而使用户登录“2345.com”等导航网站时跳转至其设置的“5w.com”导航网站。
流量劫持
被告人付宣豪、黄子超等人再将获取的互联网用户流量出售给杭州久尚科技有限公司(系“5w.com”导航网站所有者),违法所得超75万元。
上海市浦东新区人民法院于2015年5月20日判决两人犯破坏计算机信息系统罪,分别判处有期徒刑三年,缓刑三年。
周加海介绍:“这个案例旨在明确‘DNS劫持’行为破坏计算机信息系统功能,达到后果严重程度的,构成破坏计算机信息系统罪。”
这也是我国第一起“流量劫持”入刑案件。在此之前,此类行为多以民事纠纷解决,比如2013年百度起诉奇虎360,后者在百度搜索栏的关联词列表里添加了奇虎360自营网站的关联词。法院认定这一“搭便车”行为属于不正当竞争。
值得注意的是,浦东法院作出刑事判决后不久,2015年11月和2017年,重庆市渝北区人民法院、沙坪坝区人民法院也先后作出了两例“流量劫持”刑事判决,但被告人被以非法控制计算机信息系统罪、非法获取计算机信息系统数据罪定罪。
“之前是否适用本罪的确有些争议。这个指导性案例认为通过修改路由器、浏览器设置、锁定主页或者弹出新窗口等技术手段,强制网络用户访问指定网站的‘DNS劫持’行为,是对网络用户的计算机信息系统功能进行破坏,造成计算机信息系统不能正常运行,符合破坏计算机信息系统罪的客观行为要件。”中国法学会法治研究所副研究员刘金瑞告诉21世纪经济报道记者。
新应用场景的罪名适用
另外两个破坏计算机信息系统罪的案例,也在各自领域具有开创性意义。
在出售的泵车上加装“机械远程监控系统”,是中联重科、三一重工等工程机械设备商早已采取的技术措施,针对的是“按揭销售”的泵车,客户如有拖欠、赖账等情况,就会通过远程监控系统进行“锁机”,泵车接收到“锁机”指令后依然能发动,但不能作业,或者作业功率较低。
2014年5月间,被告人徐强使用“GPS干扰器”先后为五台中联重科泵车解除锁定。徐强违法所得4.5万元。2015年12月17日,湖南省长沙市岳麓区法院作出判决:徐强犯破坏计算机信息系统罪,判刑二年六个月。另一个案例也非常典型。西安市长安区环境空气自动监测站(以下简称长安子站)系环保部确定的西安市13个国控空气站点之一。2016年2月至3月间,西安市环保局长安分局环境监测站站长李森、副站长张锋勃多次进入长安子站内,用棉纱堵塞采样器的方法,干扰子站内环境空气质量自动监测系统的数据采集功能。
长安子站自动监测数据多次出现异常,多个时间段内监测数据严重失真,这些数据被传输至国家环境空气质量自动监测总站,向社会公布,并用于环保部编制全国74个城市空气质量状况评价、排名。
此后,包括李森、张锋勃在内,上至西安市环保局长安分局局长、下至该局聘用人员共5人被判处破坏计算机信息系统罪,获刑一年十个月至一年三个月不等。
“这两个指导案例进一步阐释了认定破坏计算机信息系统罪时‘计算机信息系统’的含义,也是遵循了两高司法解释的规定,其中规定计算机信息系统是指具备自动处理数据功能的系统,包括计算机、网络设备、通信设备、自动化控制设备等。”刘金瑞告诉21世纪经济报道记者。
“两个案例在行为对象上,明确企业的机械远程监控系统以及环境质量监测系统属于计算机信息系统,及时针对新技术催生的新的应用场景,统一回应了由此伴生的刑事司法定性新问题。”吴沈括告诉记者。
周加海介绍,从2014年1月到2018年11月间,全国法院审结了危害计算机信息系统安全刑事案件1866件,生效判决人数3263人。2017年6月1日以来,全国法院审结侵犯公民个人信息刑事案件2971件,生效判决人数是5734人,有力维护了网络安全和人民群众的合法权益。