网络流量劫持行为的法律性质

（一）网络流量劫持技术原理

若想要理解流量劫持是怎么在技术层面实现的，首先需要了解流量背后客户端和服务端进行通信的技术原理。

客户端就是你的手机或电脑里的浏览器和应用，它的主要功能是向互联网服务器发出访问请求，而服务器则负责把客户端需要的信息（包括访问的目标网站地址）反馈回去。服务器就像是网络世界当中的服务生，你需要什么菜，它就上什么菜。

那么，网络流量是怎么被劫持的？从技术层面理解，客户端和服务端通信的技术原理可分5步：一，客户端向服务器发出网站访问请求；二，服务器反馈网络域名解析，客户端获得网络地址（包含IP地址），这个IP地址是目标（官方）下载服务器的IP地址；三，客户端通过IP地址访问官方下载服务器，与官方下载服务器建立通信会话，告知其需要的数据；四，官方下载服务器在与客户端完成验证、加密和生成会话密钥等过程后，会向客户端传输对应的数据，产生数据流；五，由客户端接收数据后向用户呈现其访问内容。

理解了客户端和服务端通信的技术原理，我们可以知道，流量劫持行为可能发生在通信中数据包可能经过的路口或途中。例如客户端向服务器发出访问，但是反馈回来的网络域名解析是网络流量劫持者提供的，那么客户端通过IP地址访问的就不是目标（官方）服务器，此时流量就被劫持了。

（二）网络流量劫持的分类

1.域名（DNS）劫持。DNS服务器是指域名服务器，域名的表现形式就是网址，比如阿里巴巴的“alibaba.com”，既是网址，也是阿里巴巴公司的在网络上的名称。简单来说，域名是人类方便使用且能够被计算机识别并读取的IP地址数串转化而来。例如，www.wikipedia.org是一个域名，和IP地址208.80.152.2相对应。DNS就像一个自动的电话号码簿，我们可以直接拨打wikipedia的名字来代替电话号码（IP地址）。我们直接调用网站的名字以后，DNS就会将便于人类使用的名字转化成其识别的IP地址。那么域名（DNS）劫持，就是通过使用户无法按照最初意向访问目标IP地址对应的网站或访问虚假网站，进而实现劫持者获取流量、窃取数据或者蓄意破坏网站原有的正常服务并最终利用流量实现不法利益的目的。

2.CDN缓存污染。即ContentDeliveryNetwork，内容分发网络，是指将源站的内容缓存在各地部署的边缘节点服务器，用户发出请求时，可利用DNS服务找到离用户最近的机房，就近通过边缘节点服务器获得所需数据，这种方式避免所有的用户都返回到源站服务器获取数据，从而降低拥堵，提升速度。而CDN劫持就是通过侵入边缘节点服务器，缓存其他数据造成缓存污染，在用户访问的数据内夹杂其他数据，最终实现劫持流量，推到极端，如果攻击者获得了CDN服务器的控制权，则可以任意注入甚至改变边缘节点服务器上的文件的数据，严重者将涉及破坏计算机信息系统犯罪。

3.HTTP劫持。超文本传输协议（HyperTextTransferProtocol，HTTP）劫持是指HTTP协议在数据传输过程中，被第三方窃取、伪造或篡改，产生嵌入广告或者窃取用户隐私的效果。客户端与服务器进行数据传输使用的是HTTP协议，那么在数据传输的整个过程中HTTP劫持都可能发生。当运营商作为“中间人”时，便是运营商劫持。

4.iOS跳转协议劫持。iOS中打开一个应用程序只需要拿到这个应用程序的协议头（比如支付宝的“alipays：//”），然后完成相关配置即可。这背后离不开URL Scheme的应用，它是iOS系统应用开发者常用的技术开发协议，主要用途在于识别特定目标应用程序，以最终实现App之间的顺利跳转。以iOS系统为例，通过取得不同应用程序的协议头（一种身份识别，相当于马甲），就可以实现在某一应用程序的运行中打开另一外部应用程序。利用该跳转逻辑，现实中侵权人就是通过这种方式顶替了目标应用程序，强制进行应用间的跳转，获取了流量。

5.运营商劫持。即网关劫持，是指提供宽带服务的网络业务提供商（如电信、移动、联通三大运营商），利用负责基础网络设施运营、网络数据传输、接入等便利，对用户的数据包进行替换或篡改的行为。该行为将导致用户访问第三方网站的流量劫持到己方或己方指定的网站，或在第三方网站页面弹出己方广告，并从中获利。还有一种情况是运营商自己利用业务便利对底层通道传输的数据进行强行插入弹窗或嵌入广告等操作获得非法利益。

6.客户端劫持。客户端劫持是指通过运行恶意插件、弹窗、病毒及软件等诸多手段来劫持用户对网站的正常访问。2022年9月，国家网信办发布实施的《互联网弹窗信息推送服务管理规定》对弹窗类的劫持形式进行了明确性的禁止性规定。未来趋势是对这类客观端劫持行为将加大监督及处罚力度。

7.SDK劫持。SDK即SoftwareDevelopmentKit，软件开发工具包，是移动应用开发过程中非常有益的效率工具，是一组或N组可以植入App以特定功能的程序代码集。其功能包括但不限于手机语音识别、微信的生活服务、软件的第三方登录及身份认证等。SDK劫持是指SDK开发者在SDK中植入恶意代码，当用户在使用这些带有恶意代码SDK的程序时，其网络访问路径被劫持到特定的渠道。除此之外，这些SDK还可能会在后台运行，悄悄访问网站、点击广告甚至窃取用户信息。这类案件中控制用户手机的行为若被认定为“非法控制”计算机信息系统，则可能构成非法控制计算机信息系统罪。

网络流量如同无数条错综复杂的河流，用户的每一个网络访问指令，至少要穿行多种诸如DNS服务器、客户端、网关等环节关口，至于为了实现特定产品功能而接入的其他第三方软件程序则不胜枚举，而劫持行为则可能会发生在任意的一个节点。有阳光的地方就有黑暗，从网络诞生之初就伴随着网络攻击的出现。因此在这种现实客观背景之下，需要对网络流量劫持行为的法律性质进行分析。

（一）流量劫持行为是否构成侵权或不正当竞争

首先，在互联网经济时代，流量具有切实的价值属性，流量劫持行为侵犯的是网络经营者的流量，给网络经营者带来损失，符合侵权的基本构成要件。其次，《反不正当竞争法》第十二条第二款第（一）项中：“（利用网络从事生产经营活动的）经营者不得利用技术手段，通过影响用户选择或者其他方式，实施下列妨碍、破坏其他经营者合法提供的网络产品或者服务正常运行的行为：（一）未经其他经营者同意，在其合法提供的网络产品或者服务中，插入链接、强制进行目标跳转。”值得我们关注的是，第十二条是新修订的《反不正当竞争法》中的“互联网专条”，它的诞生旨在判定不同于传统工业时代语境下的互联网竞争行为的正当性。同时，2022年3月20日起施行的《反不正当竞争法司法解释》第二十一条对上述条款予以进一步的解释：“未经其他经营者和用户同意而直接发生的目标跳转，人民法院应当认定为反不正当竞争法第十二条第二款第一项规定的强制进行目标跳转。仅插入链接，目标跳转由用户触发的，人民法院应当综合考虑插入链接的具体方式、是否具有合理理由以及对用户利益和其他经营者利益的影响等因素，认定该行为是否违反《反不正当竞争法》第十二条第二款第一项的规定。”

由此可见，司法解释对流量劫持的技术实现手段进行了两种界定，即“强制进行目标跳转”“插入链接”，明确这两类行为原则上应认定构成不正当竞争；对于仅插入链接，目标跳转由用户触发的，人民法院应当综合考虑多种因素，综合判定其是否属于不正当竞争。然而，对于其他流量劫持类型如何认定，《反不正当竞争法》第十二条第四项的兜底性条款并不能完全应对不断出现的新型不正当竞争行为。

案例1.淘宝诉“帮5买”不正当竞争纠纷案。

上海载和网络科技有限公司（以下简称载和公司）是购物助手“帮5买”的网站所有人及经营者｡载信软件（上海）有限公司（以下简称载信公司）受载和公司委托，开发了一款名为“帮5淘”的网页插件｡用户安装该插件后，打开淘宝网和天猫商城网页时，会跳出“帮5买”网站的广告栏和搜索框，可经点击而搜索，或是商品详情页出现“帮5买扫一扫立减1元”图标和“现金立减”等按钮，该些按钮被嵌入超链接，一经点击则自动跳转到“帮5买”网站，由此，用户在该网站完成交易，并由该网站代替用户向淘宝、天猫商户购买商品，再由淘宝、天猫商户向用户发货｡2015年10月，浙江淘宝网络有限公司向上海浦东区法院申请责令载和公司、载信公司停止实施不正当竞争行为，后又以上述行为构成不正当竞争为由起诉。

本案争议焦点主要为以下几点：一、原被告间是否存在竞争关系；二、被告的行为是否给原告造成损害；三、被控行为是否具有正面的市场效应｡针对第一个争议，法院认为虽然双方提供的服务并不完全相同，但用户来源与覆盖面十分相似｡并且购物助手的存在需以购物网站的运营为前提，因此原、被告关联紧密，存在竞争关系｡针对第二个诉讼请求，法院指出，原告通过多年经营，积累了一定商誉和固定用户，使其在同行业中具备竞争优势，该优势应属于反不正当竞争法的保护范围｡ 两被告实施了争夺用户流量人口的行为，会降低原告网站的用户粘性，给原告造成损失；被告行为容易导致消费者的混淆，利用消费者购买更低价格商品的消费心理推广其购物助手，具有明显的“搭便车”特点，可能导致用户评价降低，原告商誉因此受到损害｡ 被告的上述行为违反了诚实信用原则，也有违该行业公认的商业道德，应就此予以赔偿。针对第三个争议焦点，法院认为，互联网领域很多所谓的干扰行为，在技术上往往有一定的创新之处，既可能给其他经营者的利益造成损害，但同时也会为消费者带来福利或提升公共利益的保障水平｡购物网站应对购物助手这一商业模式零容忍态度，除非其对网站的商业运营与用户评价造成不利影响。最终法院从兼顾行业利益与社会整体利益的角度而言，认定“帮5淘”购物助手的涉案行为构成不正当竞争。二审驳回被告的上诉，维持原判。

（二）流量劫持行为是否构成刑事犯罪

关于流量劫持的刑事法律规制，有观点认为不构成刑事犯罪，仅应承担民事法律责任；另一种则认为构成破坏计算机信息系统罪或非法获取计算机信息系统数据罪，或是被认定为盗窃罪（基于流量具有价值属性的观点）以及盗窃罪与其他网络犯罪的竞合。其实，这几种观点都具有其可采之处。但对于网络流量劫持行为，要具体分析劫持行为的类型以及对个人、计算机信息系统以及网络秩序造成的影响或侵害后果，从而认定其是否涉嫌刑事犯罪。

1.网络流量劫持行为造成计算机信息系统不能正常运行，涉嫌破坏计算机信息系统罪。

案例2.检例第33号李丙龙破坏计算机信息系统案。

2014年10月20日，李丙龙首先骗取了某知名网站的域名解析服务管理权限，第二日，通过其在域名解析服务网站平台注册的账号，利用该平台自动生成了该知名网站二级子域名部分DNS（域名系统）解析列表，修改该网站子域名的IP指向，使其连接至自己租用境外虚拟服务器建立的赌博网站广告发布页面，结果导致该网站在长达4个小时左右无法正常发挥其服务功能，当日访问量从12.3万减少至4.43万。这是一个典型的域名劫持，李丙龙通过骗取管理权限利用域名服务器生成了其自己的DNS（域名系统）解析列表，然后将其反馈给客户端，客户端使用李丙龙反馈的IP地址访问的不是官方服务器，而是其境外赌博网站，从而劫持了流量。这种以修改域名解析服务器指向的方式劫持域名，造成计算机信息系统不能正常运行，是破坏计算机信息系统的行为。

2.以流量劫持的方式获取数据或为了劫持流量非法控制计算机信息系统的域名解析系统，后果严重的构成非法控制计算机信息系统罪。

案例3.施某某等非法控制计算机信息系统案，案号（2015）渝北法刑初字第00666号。

施某某利用其负责公司网络域名解析的便利，按照指定需要劫持的网站和网络IP地址，修改xx重庆分公司的互联网域名解析系统的配置文件，致使在用户访问被劫持的网站时，强行跳转到另外的页面。其通过控制域名服务器信息系统劫持网络流量的行为已经构成非法控制计算机信息系统，后果特别严重，被司法机关认定为非法控制计算机信息系统罪。

3.采用其他技术手段非法获取计算机信息系统中存储、处理或传输的数据的行为被认定为非法获取计算机信息系统犯罪。

案例4.雷某某、陈某某等七人非法获取计算机信息系统数据案，案号（2016）渝0106刑初1393号。

本案被告人违反国家规定，采用其他技术手段，获取中国移动通信集团湖南有限公司计算机信息系统中存储、处理或者传输的QQ用户的Cookies数据3103035个，违法所得人民币100余万元，情节特别严重。司法机关在这里基于当事人的犯罪目标作出判断，进而得出了非法获取计算机信息系统数据罪的裁判结果。