流量劫持,按照官方定义,是指攻击者通过技术手段,非法拦截、修改或控制用户上网的行为,以此达到网络流量的引流甚至诱导用户安装木马程序、获取用户数据的非法行为(详见最高检一厅《网络犯罪案件技术法律术语解释汇编(一)》)。如果要用一个通俗而不太准确的说法来解释,那就是行为人使用非法手段促使网民访问相关网站,这些网站可能是同类网站,比如网民原本访问2345.com,被劫持到同类型的导航网站,也可能是非法网站,比如赌博网站、色情网站等。
从是否使用技术手段来区分,流量劫持大致可分为强制性流量劫持和非强制性流量劫持。非强制性流量劫持,指的是那些带有误导性质的广告弹窗、下拉框或者关键词,强制性劫持按照技术手法来划分,大致可分为客户端劫持、DNS劫持和运营商劫持三种。
结合法律法规和办案经验,笔者认为律师办理流量劫持案件,可从以下方着手:
第一,审查指控当事人犯罪事实的证据链是否完整
流量劫持是典型的网络犯罪,网络犯罪案件的取证具有较大的技术障碍,主要体现在取证不及时、取证手段落后及专业技术人才欠缺等问题,具体到流量劫持案件中,网上虚拟身份信息、ip地址与犯罪嫌疑人是否具有同一性、被劫持流量的流向路径是否与犯罪嫌疑人相关等等都是主要的指控事实,这些指控事实的证明要求办案人员及时扣押相关的载体和提取相应的电子数据,但司法实务中往往出现取证不完整、证据固定不规范、错过最佳取证时机、鉴定意见存在若干问题等原因,致使上述指控缺乏完整证据链予以支撑。从辩护的角度而言,通过对证据的审查可以判断在案证据能否证明当事人是否确实实施了流量劫持行为,寻找相应的辩护空间。
第二,审查犯罪嫌疑人是否达到入罪标准
以DNS劫持涉嫌破坏计算机信息系统罪的案件为例,《刑法》第286条规定破坏计算机信息系统罪要达到“后果严重”的程度,何谓“后果严重”,《关于办理危害计算机信息系统安全形势案件应用法律若干问题的解释》第四条规定了五种情形,分别是“(一)造成十台以上计算机信息系统的主要软件或者硬件不能正常运行的;(二)对二十台以上计算机信息系统中存储、处理或者传输的数据进行删除、修改、增加操作的;(三)违法所得五千元以上或者造成经济损失一万元以上的;(四)造成为一百台以上计算机信息系统提供域名解析、身份认证、计费等基础服务或者为一万以上用户提供服务的计算机信息系统不能正常运行累计一小时以上的;(五)造成其他严重后果的”。
由于此类案件的犯案人员大多具有技术背景,使得办案机关证实嫌疑人达到构罪标准的取证难度变大,在部分案件中,上述立案标准除了违法所得外,其他能够量化的标准诸如经济损失及受影响的计算机台数、受影响的时长等经常面临证据不足的情况。基于存疑有利于被告人的原则,辩护律师可从证据入手,审查犯罪嫌疑人是否达到入罪标准。
第三,区分流量劫持种类寻找罪名适用的辩护空间
对于带有诱导性质的广告弹窗等非强制性流量劫持行为,虽然可以起到诱导网站潜在用户自行进入特定网站进而达到流量劫持的目的,但该行为本身不会对计算机信息系统功能起到增删改或干扰的作用,也不具备控制用户计算机信息系统的功能,如果其本身不是为涉赌涉黄等违法网站引流,该行为不宜作犯罪评价,存在无罪辩护的空间。
在强制性劫持方面,可视案件具体情况进行轻罪辩护。最高法指导案例102号明确了DNS劫持行为涉嫌破坏计算机信息系统罪,但并非所有的流量劫持行为都是DNS劫持,对于其他类型的流量劫持行为,可争取改判非法控制计算机信息系统罪、非法获取计算机信息系统数据罪等其他相对较轻的罪名。除此之外,即便是DNS流量劫持,由于技术的复杂性,也并非所有案件都符合破坏计算机信息系统罪的犯罪构成要件,辩护律师可从技术层面审查还证据链的完整性,将个案具体情况与指导性案例进行实质化对比,以争取轻罪辩护,最大化实现当事人的合法权益。
综上,笔者认为,流量劫持案件的辩护主要得从证据入手,审查在案证据能否证明相关犯罪事实,在证据确实充分的情形下,也可寻找轻罪辩护的空间。