劳东燕 | 首例“压力测试”DDoS攻击案评析:“非法控制”与“破坏”计算机信息系统行为关系之辨清

一、案情简介

2018年8月,浙江省苍南县人民法院对“首例利用境外‘压力测试’平台实施破坏计算机信息系统案”进行判决。被告人在境外平台注册账号购买“压力测试”服务后,只需简单输入攻击目标的IP地址、攻击类型和攻击端口,就可发起DDoS攻击,相较于传统攻击方式,成本更低,力度更强,危害更大。法院以“提供侵入、非法控制计算机信息系统程序、工具罪”对提供DDoS攻击软件的人员判处刑罚,为有效打击网络攻击犯罪,构筑全面网络安全体系具有指导意义,曾被公安部评为2017年打击网络违法犯罪10起典型案例之一。

二、专家评析

当前实务中,对计算机信息系统实施破坏与侵害的方式之一,是利用DDoS(Distributed Denial of Service)对目标系统发动攻击。DDoS一般称为分布式拒绝服务,其攻击策略侧重于通过“僵尸主机”(即被攻击者入侵过或可间接利用的主机),向受害主机发送大量看似合法的网络包,造成网络阻塞或服务器资源耗尽,从而导致合法用户无法正常访问服务器的网络资源。

相比于一般的破坏方式,这种方式的技术含量更高,相应地,对计算机信息系统的安全运行的威胁也越大。尤其是,随着网络黑灰产业的发展,此种技术工具越来越易于获得。因而,如何从源头上对此类行为进行有效打击,为计算机信息系统的运行筑起一道安全的屏障,是刑事司法实务面临的重大命题。

浙江省苍南县人民法院先后处理的两起案件,即李锦琦、唐璠破坏计算机信息系统案与蔚肖南提供侵入、非法控制计算机信息系统程序、工具案,涉及的便是利用DDoS的程序,对他人的计算机信息系统发动攻击,致使相关网站在特定的时段之内无法正常运行。

在前案中,被告人李锦琦教唆被告人唐璠,使用DDoS攻击工具,对被害人的购物网站多次进行流量攻击,导致网站不能正常访问,由此而导致经济损失。在后案中,被告人蔚肖南经营提供DDoS攻击服务与出售DDoS发包软件等业务,先后多次将DDoS软件出售给他人,共计交易289笔,违法所得计人民币近12万元。

对于前案,法院认定两被告人构成破坏计算机信息系统罪;对于后案,法院是以提供侵入、非法控制计算机信息系统程序、工具罪对行为人进行定罪。苍南县人民法院就两案所做的判决,对于今后此类行为的处理,无疑具有重要的参考意义。

利用DDoS软件,对相应网站发动攻击,致使网站无法正常运营的行为,无疑属于对计算机信息系统功能进行干扰的行为。值得思考的是,该行为在构成破坏计算机信息系统行为的同时,是否也构成非法控制计算机信息系统的行为?对这一问题的回答,将直接影响出售DDoS软件的行为,能否构成提供侵入、非法控制计算机信息系统程序、工具罪的认定。

如果认为《刑法》第286条中的“破坏”与第285条中的“非法控制”之间构成排斥关系或独立关系,则在明知DDoS软件属于网络攻击程序的情况下,仍将软件予以出售的行为,只能构成破坏计算机信息系统罪的帮助犯。

反之,若是认为“破坏”(至少是特定类型的破坏行为)也可实质性地评价为“非法控制”,则出售DDoS软件的行为,应属于破坏计算机信息系统罪的帮助犯与提供侵入、非法控制计算机信息系统程序、工具罪的正犯的想象竞合。在此种情况下,究竟是按破坏计算机信息系统罪的帮助犯,还是提供侵入、非法控制计算机信息系统程序、工具罪的正犯来处罚,取决于按何者认定处罚更重。

一般认为,刑法第285条第3款规定的提供侵入、非法控制计算机信息系统程序、工具罪,属于帮助行为正犯化的现象。由于立法将提供侵入、非法控制计算机信息系统程序、工具的行为单独定罪,此类帮助行为便不能再以第285条第1款的非法侵入计算机信息系统罪与第285条第2款的非法控制计算机信息系统罪来处理,而应当认定为提供侵入、非法控制计算机信息系统程序、工具罪的正犯。对此,理论上与实务中并无争议。

问题在于,从提供侵入、非法控制计算机信息系统程序、工具罪的立法表述与条文所处的具体位置来看,显然不能认为该罪同时将提供破坏计算机信息系统程序、工具的帮助行为也予以了正犯化。如此一来,便会产生这样的疑问:提供破坏计算机信息系统程序、工具的行为,能否直接适用第285条第3款的规定?

在蔚肖南案中,苍南法院以帮助行为正犯化为由,认定被告人构成提供侵入、非法控制计算机信息系统程序、工具罪,其言下之意是,运用DDoS对他人网站进行攻击的行为,也属于非法控制计算机信息系统的行为。而在李锦琦、唐璠案中,苍南法院又认为,运用DDoS对他人网站进行攻击的行为,属于破坏计算机信息系统的行为。若要使两案的处理结论合乎刑法的法理逻辑,便需对如下问题进行论证,即此类攻击行为能否同时评价为非法控制计算信息系统的行为。苍南法院在两案的判决中并未论及这一问题。

应当说,以攻击的方式导致网站无法运行,由于受被告人帮助的相关行为人在特定时段内取得对网站的事实性控制,排除了权利人对相应的计算机信息系统的合法支配,在此种意义上,将这样的破坏方式实质地评价为“非法控制”并无不可。这意味着,第285条中的“非法控制”与第286条中的“破坏”,并非排斥关系或独立关系,而是存在包容关系或是交叉关系。接下来要思考的是,对于蔚肖南出售DDoS软件的行为,究竟是以破坏计算机信息系统罪的帮助犯来处罚,还是以提供侵入、非法控制计算机信息系统程序、工具罪来处罚合适。

虽说帮助犯在经验层面经常被认定为是从犯,从而需要适用“应当从轻、减轻或免除处罚”的法定情节,但从刑法立法的规定来看,帮助犯在规范层面也完全可认定为主犯。如此一来,破坏计算机信息系统罪便属于其中的处罚较重条款,因本罪基本犯与加重犯的法定刑都高于提供侵入、非法控制计算机信息系统程序、工具罪的法定刑,故从理论上而言,对蔚肖南的行为应认定为破坏计算机信息系统罪。

当然,如果坚守共犯从属性的原理,在蔚肖南案中,法院认定被告人构成提供侵入、非法控制计算机信息系统程序、工具罪,也有其合理性。该案中,由于实施破坏行为的正犯未必达到罪量情节的要求,从而符合破坏计算机信息系统罪的构成要件,故回避共同犯罪认定的难题,而以提供侵入、非法控制计算机信息系统程序、工具罪来定罪,也不失为是合乎实践理性的选择。

发表评论

相关文章