流量劫持的常见手段及其法律规制

流量和数据可谓互联网平台的两翼，筑成了平台经营者的重要经营资源和竞争优势之根基。就流量来说，平台企业可以借助自身流量优势来主导和吸引更多的交易机会。因此有个形象的说法，互联网经济本身是一种“眼球经济”，谁能吸引更多的用户访问、谁能更长时间地让用户驻足，谁便有了更强的市场竞争力。为了获得持续的竞争优势，各企业围绕着用户增长拉新拉回、访问频次、留存时长等各项指标，通过产品优化、功能创新、线上活动、线下地推等诸多手段展开流量争夺战。然而，法谚有云“有利益的地方，就有犯人”，在经营实践中有市场主体通过流量劫持的不正当方式进行互联网环境下的拦路抢劫，干扰其他应用程序网络服务的正常运行，抢夺原本属于其他主体的流量利益。就此，本文尝试以用户访问互联网从客户端到服务器端的通信过程及原理为基础，结合典型司法案例对网络环境下常见流量劫持行为及其法律规制方式情况进行综合探析。１流量及流量劫持的概念“流量”缘起于线下的商业场景，对于一家商业店铺，每天有多少人进入，这个人数就是“流量”，又叫作“客流量”。在线下场景中，常用的“客流量”指标包括通过量（多少人经过了店铺门口）、入店量（多少顾客进入了店铺）、平均滞留时长（顾客在商场或某具体商品前的停留时间）、成交率（多少比例的入店顾客实现了购买转化）等。进入互联网时代，“流量”被赋予了更丰富的含义，它基于线上场景，作为互联网平台经营数据的统计工具，对线下数据指标进行了细化、丰富和转化，这对规范国内互联网行业对站点流量的统计和测量及相关指标的应用具有重要的意义。互联网时代的“流量”指标包括但不限于：独立IP地址数（UniqueIP）、独立访客数（UniqueVisitor）、页面浏览量（PageView）、访问次数（NumberofView）以及访问时长等。在线上、线下商业场景中，“流量”体现为一种数据，而在法律语境中，我们则需要讨论“流量”的法律属性是什么。笔者认为“流量”具有法律意义上的财产属性。正如线下店铺，位于十字路口的店铺一定比位于胡同尽头的店铺租金高，这背后是“客流量”在发挥作用，使得“黄金店铺”产生了高于该地区平均租金的溢价。换个角度来说，在店铺选址评估过程中，“客流量”之所以被作为重要的参考指标，就是因为“客流量”代表着潜在的交易机会及未来必将发生的不可否认的更多成交转化。回到互联网环境下，我们会发现流量早已经被前置定价，形成了非常成熟的市场模式。比如，通过oCPM（优化千次展现出价，即广告被展示一千次时收取一次费用）的流量曝光计费模式，短视频类平台为用户提供了提升内容人气和关注度的有偿技术服务。再比如，同样是开屏类的广告投放，不同的互联网平台收费标准不同，不同粉丝段的网络创作者接一条广告的收费标准高低不同，这背后的决定性变量因素是不同的平台、不同的创作者基于自身流量给需求客户所产生的价值差异，体现了流量对应的财产收益的客观现实性。因此，对于主张流量仅代表潜在交易机会，没有办法对该潜在的尚未成交的机会给出一个定价，因而否定流量财产属性的观点，笔者认为是不正确的，该观点并没有看到互联网流量变现的完整链路和其背后对应的商业价值。回到“流量劫持”的概念，在线上商业场景中，行为人利用了不同且多样化的技术实现手段，导致其劫持行为的表现形式也各不相同。在PC互联网时代，我们偶尔会遇到输入A网站域名而实际打开的是B网站，这是一个比较典型的流量劫持场景，常用的手段如域名（DomainNameSystem，DNS）劫持。自2010年起，随着3G、4G网络的发展，我们进入且越来越深入地进入了移动互联网时代，这个时代流量劫持开始出现一些新的场景，诸如通过第三方平台弹窗信息推送服务，诱导用户点击或者利用App唤醒策略机制强制进行应用间跳转的情形。上述场景的实例体现了流量劫持行为的典型特征，即把其他主体的网络产品或者服务作为导流的入口，将原本属于其他平台的用户或“引诱”或“劫持”到自己的经营领域，以实现自有平台流量和日活跃用户的增长，进而通过日活跃用户的提升来促成更多交易机会的达成。结合《反不正当竞争法》第十二条（互联网专条）的规定，笔者将流量劫持定义为：行为人利用技术手段，通过欺骗、诱导或强制方式使得用户意向访问目标发生跳转，或者实施其他妨碍和破坏其他经营者合法提供的网络产品或者服务，进而非法获取流量的行为。２流量劫持技术分析、常见手法及其表现形式用户使用终端设备进行网络浏览，本质上是客户端与服务端进行数据通信的过程，数据在客户端与服务端之间进行传输和回传，我们可以说无数个此类数据流转链路构成了流量。流量劫持的行为本质是，通过将流量劫持到劫持人指定的目标，或者在通信传输的数据包中植入“脏”数据来实现获取、控制流量的目的，进而实现己方利益。然而，要对流量劫持建立起全面认识，我们首先需要了解流量背后客户端和服务端进行通信的技术原理，如图1所示。图1客户端和服务端通信的技术原理客户端和服务端进行通信的技术实现方式可提炼为4步：第一步，客户端通过DNS服务器进行域名解析，获得网络地址（UniformResourceLocator，URL）中包含域名的IP地址，这个IP地址是目标（官方）下载服务器的IP地址；第二步，客户端通过DNS服务器解析的IP地址访问官方下载服务器，与官方下载服务器进行通信会话，并告知官方下载服务器其需要获取的数据；第三步，下载服务器在与客户端完成相互验证、协商加密和生成会话密钥等协商会话过程后，就会向客户端传输对应的数据；第四步，由客户端向用户呈现其所需要的内容。以用户浏览网站的场景为例，用户打开网站时，浏览器会根据域名解析的IP地址与下载服务器建立连接，从而建立流（管道），网页的数据通过这个管道不断地流向用户的浏览器，浏览器得到这些数据后，立即进行解析、排版、绘制，经过整个渲染过程后，用户就看到了呈现在浏览器窗口内的网页。在图1中，除了客户端、DNS服务器、官方下载服务器，我们引入了运营商（电信、联通、移动等）网关的概念。顾名思义，网关就是一个网络连接到另一个网络的“关卡”，网关的功能是对收到的信息进行数据再打包，以保证适应目的系统的需求。通过上述客户端和服务端的通信原理，我们可以看到，在用户通过客户端下达需求指令的那一刻开始，数据包即在系统中流过层层节点，在路由的“领路”下流向官方下载服务器。这一过程中，在所有数据包可能经过的路口或途中，都可能潜伏着劫持者。以DNS服务器为例，流量劫持的具体实现路径如图2所示。DNS服务器决策确定了客户端下载请求的IP走向，若DNS服务器被劫持，劫持方则具备控制DNS服务器向客户端提供IP数据的能力。通常情况下，劫持方会向客户端提供一个虚假IP，控制用户访问通过网关走向“非目标”服务器，进而使得用户的下载请求换来劫持方所控制或指定的数据资源。图2DNS劫持接上述说明，笔者尝试以运营商网关作为核心的流量劫持路径（见图3）为例，再进一步明示其背后的技术实现原理。运营商网关是客户端与下载服务器之间的数据传输通道，在数据通过运营商网关进行传输的过程中，运营商同样具备对数据包进行调包或者植入额外数据的能力，进而实现替包、替换展示广告、插入自己的广告等劫持效果，进而实现自身不法利益。图3运营商网关劫持为了抵制流量劫持的行为，2015年12月25日，今日头条、小米科技等6家公司共同发声，呼吁有关运营商严格打击流量劫持问题。声明中，6家公司指出了流量劫持中两大典型的类别，即域名劫持和数据劫持。这里的域名劫持、数据劫持是从技术层面对流量劫持的类型/手段进行的分类，仍然是两个比较粗放的类别划分。笔者尝试对流量劫持技术类型/手段进行更为细致的分类研究，以期发现流量劫持类型/手段的多样形态，为实践中发生的流量劫持行为的定向排查和防御提供针对性指引。需要说明的是，无论流量劫持的类型/手段怎样变化、怎样创新，都离不开前文中提到的定义范围。就中国互联网发展近三十年历程中出现过且可查的流量劫持的类型/手段，本文从中选择了较为常见的几类予以重点介绍，具体如下。2.1域名劫持域名劫持又称DNS劫持，是常见且非常具有生命力的一类劫持方式，其指通过某些手段修改域名解析，使对特定域名的访问由目标IP地址转接到被篡改后的指定IP的行为。域名劫持通过使用户无法按照最初意向访问目标IP地址对应的网站或访问虚假网站，进而实现劫持者获取流量、窃取数据或者蓄意破坏网站原有的正常服务并最终利用流量实现不法利益的目的。曾入选最高人民法院指导性案例的全国首例“流量劫持”入刑案件——付某某、黄某某破坏计算机信息系统案即为域名劫持的典型案例，后文中笔者将对该案例做进一步介绍。2.2CDN缓存污染内容分发网络（ContentDeliveryNetwork，CDN）的工作原理是将源站的内容缓存在各地部署的边缘节点服务器（又称为缓存代理服务器）上，用户请求资源时，可利用DNS服务找到离用户最近的机房，就近通过边缘节点服务器获得所需内容数据，而不用每个用户的请求都返回源站服务器获取，进而实现了降低网络拥堵，提高用户访问速度的效果，CDN缓存污染如图4所示。在网站建设过程中，CDN的应用已经变得非常普及，很多大型互联网企业在部署内容时，都会将静态内容部署在节点服务器上。图4CDN缓存污染从上述分析我们可以看到，CDN技术本来就是一种“相对善意”的DNS流量劫持手段，但其可能也会受到恶意的攻击，如果攻击者获得对CDN服务器的控制权，则可以将任意内容注入到边缘节点服务器上的文件中（或完全替换掉原文件）实现缓存污染，进而达到流量劫持的目的。2.3HTTP劫持超文本传输协议（HyperTextTransferProtocol，HTTP）劫持是指HTTP协议在数据传输过程中，被第三方窃取、伪造或篡改，产生嵌入广告或者窃取用户隐私的效果。起初设计HTTP协议是为了传输超文本文件，因当时没有太强的加密传输数据的需求，所以HTTP一直保持着明文传输数据的特征，整个过程完全没有安全性可言。理论上，如果数据传输使用的是HTTP协议，那么在数据传输的整个过程中HTTP劫持都可能发生。当运营商作为“中间人”时，便是运营商劫持。换言之，HTTP劫持形式可以理解为运营商劫持的一种细分手段类型，如图5所示。图5HTTP劫持2.4iOS跳转协议劫持用户在使用移动应用程序的过程中，不同应用间跳转的需求场景是非常常见的，比如在消费场景跳转到第三方支付机构App（如支付宝、微信）完成支付；在互联网平台大型活动中常见的从一个主会场App跳转到另一个分会场App（本机已经安装欲跳转应用的情形），或者通过站内H5跳转到应用商店并显示应用程序下载页面（本机没有安装欲跳转应用的情形）完成目标应用程序的保活和拉新。在技术实现原理上，iOS中打开一个应用程序只需要拿到这个应用程序的协议头，然后完成相关配置即可[4]。这背后离不开URLScheme的应用，它是iOS系统应用开发者常用的技术开发协议，主要用途在于识别特定目标应用程序，以最终实现App之间的顺利跳转。在iOS的应用生态中，Scheme相当于App在该生态中的唯一身份标识，应用在App互联互通跳转的时候，通过识别专属Scheme就能找到并跳转到相应的App。根据URLScheme使用指引可知，iOS开发者除不得设定为通用的URLScheme外（包括http、tel、facetime等以及苹果自带应用的URLScheme），有权自定义URLScheme，只要URL的字符串与开发者在应用中自定义的URLScheme相同，便可以从外部打开该应用。这一跳转逻辑在实践中多被投机之人利用，当A产品冒用了B产品的跳转协议的时候，就会导致系统无法识别用户的目的地B产品，由此可能错误地跳转至A产品。需要特别提示的是，根据测试，就同一跳转协议头，在移动设备上先安装的应用程序会有优先跳转的情况发生，不过这只是一个大概率事件，并不是绝对的。但是无论概率发生情形如何，都不影响对此不当行为的定性。就侵权人通过将移动应用程序客户端的“URLScheme”规则中输入其他移动应用（具有较高的用户流量是这类应用的特点）对应的协议名称，强制进行应用间跳转，在司法实践中出现了多例典型案件，包括支付宝诉“家政加”App案、淘宝诉“易车”App案。2.5运营商劫持运营商劫持是指提供宽带服务的网络业务提供商（如电信、移动、联通三大运营商），利用负责基础网络设施运营、网络数据传输、网络数据接入等便利，对用户的数据包进行替换或篡改的行为。该类型劫持会导致将用户访问第三方网站的流量劫持到己方或己方指定的网站，或在第三方网站页面弹出己方或己方指定的广告或其他信息，并最终实现己方不法利益。在用户访问网络服务时，接入运营商的网络设备想要上网，都需要经过运营商的网关转接，只有经过转接，网络用户的访问需求才能连接至官方下载服务器。网关能把访问需求正常放行，也能利用302跳转的机制将访问需求“劫持”到其他第三方服务器去进行数据下载及进行后续反向传输动作。当然，从官方下载服务器传输返回的数据在到达用户浏览器之前，运营商也可利用业务便利对底层通道传输的数据进行强行插入弹窗或嵌入广告等操作，甚至还可能有后台静默的流量暗刷情形出现。2.6客户端劫持客户端劫持是指通过运行恶意插件、恶意弹窗、病毒及软件等诸多手段来劫持用户对网络平台的正常访问。2022年9月，国家网信办发布实施的《互联网弹窗信息推送服务管理规定》对弹窗类的劫持形式进行了明确性的禁止性规定，其中明令禁止通过弹窗信息推送服务诱导用户点击，实施流量造假、流量劫持。可以看到，未来监管侧必将会对这类违规操作行为加大监督及处罚力度。2.7SDK劫持软件开发工具包（SoftwareDevelopmentKit，SDK）是移动应用开发过程中非常有益的提效工具，属于一种可以植入App以实现部分必要功能的标准化程序模块。这些功能包括系统登录、数据采集、内容推荐、广告发布、地图应用等，大量的App通过SDK实现特定功能，提供便捷服务，满足用户需求。SDK劫持是指SDK开发者在SDK中植入恶意代码，当用户在使用这些带有恶意代码SDK的App或者终端设备时，其网络访问路径被劫持到特定渠道的流量劫持情形。除此之外，有些SDK可能还会在后台静默运行，悄悄访问网站、点击广告或间断性推送商业广告、窃取用户信息。关于SDK劫持行为，欧某某等30人非法控制计算机信息系统案是较为典型的司法案例。该案件明确了未经允许以预装方式植入“广告SDK”，进而控制用户手机的行为属“非法控制”的法律定性。这一判决对非法弹送广告、获取用户信息、静默下载等互联网黑灰产业链予以精准打击。３流量劫持的法律规制通过上面的介绍，我们更加清楚地认识到用户的网络访问及内容消费行为并非单点、单线程、孤立闭环的过程，用户一个简单的网络访问指令会“穿过”DNS服务器、客户端、网关等诸多环节关口，甚至包括为了实现特定产品功能而接入的第三方SDK，并在一系列的数据流转和相互作用下实现对用户检索信息的反馈，而劫持行为当然也可能发生于相应节点。网络与网络攻击，二者相伴存在，即便技术再发展我们也不可能杜绝网络攻击的行为。正如360董事长兼CEO周鸿祎所述，在数字化、信息化时代，软件在定义整个世界，世界的基础都是架构在软件之上，所以漏洞不可穷尽，漏洞也不可全部修补，一定存在着我们尚未发现的漏洞被别人利用，因而就没有攻不破的网络。在此客观现实背景下，为了保障网络安全环境的建设和社会生产的稳定进行，法必须适时发挥其指引和强制作用，规制违法或犯罪人的行为，保障权利人正当合法权益的实现。对此，《反不正当竞争法》第十二条规定：“经营者不得利用技术手段，通过影响用户选择或者其他方式，实施下列妨碍、破坏其他经营者合法提供的网络产品或者服务正常运行的行为：（一）未经其他经营者同意，在其合法提供的网络产品或者服务中，插入链接、强制进行目标跳转。”该项内容即是针对流量劫持所作的规范。同时，2022年3月20日起施行的《反不正当竞争法司法解释》第二十一条对上述条款予以进一步的解释：“未经其他经营者和用户同意而直接发生的目标跳转，人民法院应当认定为反不正当竞争法第十二条第二款第一项规定的‘强制进行目标跳转’。仅插入链接，目标跳转由用户触发的，人民法院应当综合考虑插入链接的具体方式、是否具有合理理由以及对用户利益和其他经营者利益的影响等因素，认定该行为是否违反《反不正当竞争法》第十二条第二款第一项的规定。”据此，我们可以总结出《反不正当竞争法司法解释》对流量劫持的技术实现手段进行了两种类型的界定，即“强制进行目标跳转”“插入链接”。严格来说，这两种类型化的表述窄于我们上文从互联网通信原理出发对流量劫持的常见手法及其表现形式的实践总结。例如，在数据包中植入恶意广告、利用第三方平台推送诱导弹窗等操作难以归类到某一种技术类型中。因此司法解释在弥补成文法律局限性方面起到了重要作用。与此同时，随着互联网时代的发展，网络技术、产品技术和商业模式发生着迅猛的升级和迭代，对以往典型个案的归纳、提炼的司法解释也难免具有局限性。为了保障条款的包容性和规制场景的多样性，《反不正当竞争法》第十二条第四项的兜底性条款为应对不断出现的新型不正当竞争行为提供了规制依据。3.1流量劫持的司法审判现状截至2022年5月，笔者以“流量劫持”为检索关键词，在“威科先行—司法大数据”平台共计检索到63份裁判文书，经过逐一筛选，其中涉及流量劫持事实的共有33份（民事21份、刑事12份）。笔者选取了其中具有代表性的案例，对当下流量劫持新类型案件的司法治理现状及案件呈现的特点作进一步探析。3.1.1浙江淘宝网络有限公司等诉北京易车信息科技有限公司不正当竞争纠纷案易车公司将其运营的App应用客户端的URLScheme规则设置为对应淘宝应用的协议头“taobao”，用户下载使用易车App后，通过支付宝、钉钉、浏览器等应用程序打开淘宝App时，会出现提示框提示支付宝、钉钉、浏览器等应用程序想要打开“易车”，并提供“取消”“打开”两种选择项，点击“打开”后直接跳转至易车App。法院审理后认为，易车App通过自定义唤醒协议的技术措施，在没有正当理由的情况下将用户选择淘宝App的访问目标强制引流至其运营的易车App，且用户只能选择打开或取消。在这种应用目标强制跳转的情景下，用户虽然可以选择取消易车App的访问，但无法再选择访问淘宝App，只能放弃原定访问目标。这种应用访问目标间的跳转，就用户而言具有迫使其放弃原定应用访问目标选择的强制性，就淘宝App而言也丧失了原本可正常接受消费者选择的可能。易车App的被诉行为，违背了诚信原则和商业道德，具有不正当性。这一案件对互联网平台的技术和产品人员有较强的启示意义，若移动应用开发者设置的URLScheme与其他App相同，导致网络用户无法成功从第三方App跳转至目标App，只能选择是否打开其开发的移动应用程序，即便两个使用相同URLScheme的网络平台不存在竞争关系，后者擅自修改URLScheme与他方一致，进而试图引流用户的“碰瓷”行为，也会面临被认定为不正当竞争的风险。3.1.2百度搜索与搜狗输入法不正当竞争纠纷上诉案本案中，用户通过安卓手机自带的浏览器或第三方浏览器地址栏访问百度网后，使用安卓手机端搜狗输入法应用程序在百度网搜索框中输入关键词拼音字符的时候，搜狗输入法键盘上方会显示搜索候选词和输入候选词上下两排候选词，当用户点击上排搜索候选词后，会跳转至搜狗搜索结果页面。法院经审理认为，该行为劫持了百度网流量，违反了《反不正当竞争法》的规定，构成不正当竞争。搜狗输入法的这种设置显然是利用技术手段实现的，且不属于《反不正当竞争法》第十二条第二款第一项中列举的情形，最终应以第四项“兜底性条款”予以裁判。而“兜底性条款”又缺乏实质性的构成要件，需要借助一般性条款加以解释、补充。目前，实践中已形成了“互联网专条+一般条款”的裁判范式。虽然在形式上此类案件不再适用一般条款，但其构成要件中已涵盖了一般条款的构成元素。该裁判思路在《反不正当竞争法司法解释》的征求意见稿中有所提及，但终稿没有保留。本案法院亦明确指出，根据法律适用的逻辑，如果一行为可以适用《反不正当竞争法》某一具体条款调整，那么原则上就不再适用《反不正当竞争法》第二条原则性条款调整。但由于第十二条第四项未具体列明实质性构成要件，只能发挥一般指示类概括性规定之功能，故适用该项条款，需要结合反不正当竞争法第二条原则性条款的构成元素和判断范式进行。3.1.3付某某、黄某某破坏计算机信息系统案付某某、黄某某等人租赁多台服务器，使用恶意代码修改网络用户路由器的DNS设置，进而使网络用户通过浏览器登录“2345.com”等导航网站时强制跳转至其设置的“5”导航网站，并利用劫持的网络用户流量对外出售获利。就此，法院认定被告人利用恶意代码攻击DNS解析的行为，明显对互联网用户的计算机信息系统中存储的数据进行了修改，符合《刑法》第二百八十六条第二款规定的违反国家规定，对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作的行为样态，构成破坏计算机信息系统罪。结合以上典型案例我们看出，流量劫持这一新型案件具有技术性高、形式手段多样且危害后果严重等特点，不仅影响了平台用户访问的稳定性和黏性，使得潜在交易机会被掠夺，给平台经营者带来经济损失，而且严重影响了平台用户的体验，无形中减损了合法经营者的竞争优势。因此进一步澄清针对流量劫持行为的法律规制手段，对于治理网络乱象、维护互联网平台经济的健康发展、净化网络空间尤为重要。3.2流量劫持的竞争法规制3.2.1“强制性目标跳转”原则上应认定属于不正当竞争行为从《反不正当竞争法》第十二条及配套司法解释规定来看，“强制进行目标跳转”的认定标准采用的是平台经营者和网络用户“双重同意”的判断标准，其中“强制”意味着这种跳转是建立在未双重同意基础上的自动化操作。其具有如下特点：未经其他提供合法网络产品或服务的经营者的同意；未经用户同意；重新跳转的目标网站或应用与用户原意向进入的网站或应用不符，且这种跳转具有强制性、自动性，不受用户左右。因此，笔者认为法院在认定“强制目标跳转”不正当竞争纠纷时，应重点考察行为人实施的强制跳转行为是否违背其他经营者意愿，是否损害用户的知情权与选择权。3.2.2“插入链接”应考虑多种因素，综合认定是否属于不正当竞争行为相比“强制进行目标跳转”来说，“插入链接”的行为手段的不法性判断较为复杂。行为人出于劫持流量的意图仅插入链接，目标跳转由网络用户触发，该种场景是否应认定为不正当竞争行为，《反不正当竞争法司法解释》给出了进行判断的原则性思路，最终应由法院结合流量劫持的具体事实综合考虑插入链接的具体方式、是否具有合理理由以及对用户利益和其他经营者利益的影响等因素予以认定。值得一提的是，关于“用户触发”的条款在该司法解释的征求意见稿中原表述为目标跳转由“用户主动触发”，但最终发布的正式施行版中去掉了“主动”二字。笔者认为这一删改的原因在于用户是否“主动”这一事实存在举证困难的问题，因此去掉此二字以避免“混淆视听”，但是用户的“主动性”操作对于行为人行为的不法性或者不正当性的认定至关重要。对此，《反不正当竞争法》第十二条第二款在列举具体行为形态之前，也先对行为实施方式这一前提进行了明确，即“利用技术手段，通过影响用户选择或者其他方式”，这一规定足见在不正当竞争行为责任认定规避上，用户“自主性”或者“选择性”不可或缺且应贯穿用户互联网消费行为的始终。笔者认为，这一关键要件的判断最终要通过实际的用户与产品的交互场景做出相应事实认定。3.3流量劫持的刑事法律规制关于流量劫持的刑事法律规制，学理上和实务中仍存在不同的观点。一种是认为不构成犯罪，仅应承担民事法律责任；一种是认为构成盗窃罪，这是因为流量具有法律意义上的财产属性；一种是认为同时构成盗窃罪与破坏计算机信息系统罪，应择一重罪论处。在笔者检索到的33份流量劫持类案件中，刑事类案件12份，占比已超过1/3。其中，根据涉案事实行为的不同，多将其认定为破坏计算机信息系统罪、非法获取计算机信息系统数据、非法控制计算机系统罪。由此看来，关于流量劫持是否应课处刑罚在司法实践中已经不是亟待讨论的问题。根据过往案件的审判经验，对于涉刑类流量劫持新型案件有3个特点：一是危害后果较严重。因恶意软件、代码的强行植入，致使计算机信息系统被破坏，额外增加平台方的维护成本以及对抗成本。二是案件事实查明难。网络犯罪智能性高、隐蔽性强，且随着对流量劫持行为打击力度的加强，不法分子的反侦察能力逐渐增强，行为人在实施犯罪行为后，会不定期通过删除记录、重装系统等手段销毁数字证据和痕迹，电子证据极易灭失，给案件事实查明带来困难。第三，法律适用要求高。行为人可以通过在不同级别域名对应的域名服务器乃至用户端设备上植入特定程序实现流量劫持，期间任何一个环节的计算机设备都可能被植入特定程序。因此，流量劫持行为可能触犯破坏计算机信息系统罪、非法控制计算机系统罪、非法获取计算机信息系统数据罪等不同罪名，司法实践中对相关罪名的理解存在争议，对法律适用能力要求较高。3.4流量劫持类商业合作的民事法律效力认定正如上文所述，流量是互联网时代的稀缺资源，人人追求，有需求的地方就有市场，于是“暗刷流量”“机器自动点赞、自动评论”“产品保活”等网络黑产应运而生。笔者认为，互联网经济本身即是一种“眼球经济”，同样也应该是“诚信经济”“健康经济”，其赖以发展之基石是真实活跃、真实存在的网络用户与数据，流量造假无疑会破坏公平竞争的市场秩序。因此，针对此种网络黑产商业性合作的法律效力的正确认定和评价，对于促进市场经济发展和规范互联网平台有序竞争具有十分重大的引导性意义。在常某某与许某、第三人马某某网络服务合同纠纷案中，北京互联网法院认为，真实的流量商业转化过程为“用户—流量—利益”，该过程可激发产业创新、鼓励诚实劳动、增强投资信心、繁荣网络市场、惠及网络用户。然而，虚假流量会无形中伤害同业竞争者，使得其诚实劳动最终不被价值所激励，也干扰投资者对网络产品价值及市场前景的判断，破坏正常有序的市场竞争秩序，同时，还会欺骗、误导用户选择与其预期不相符的互联网产品，久而久之，造成“劣币驱逐良币”的负面后果，并最终减损广大互联网用户或者说消费者的福祉。因此来说，“暗刷流量”的交易，违背公序良俗，损害了社会公共利益，常某某与许某、第三人马某某签署的网络服务合同应属绝对无效。这一个案的处理表明了司法的否定态度，发挥出司法裁判的价值导向和社会指引功能。有意见可能会认为，在“引诱”类流量劫持（如利用弹窗信息推送服务、诱导用户点击）的行为场景下，由于是真实用户通过自行点击动作对产品进行的真实访问，属于真实的流量，不宜否定性评价。笔者认为这一认识是不正确的，流量应是网络用户基于对一款互联网产品或服务的使用需求或喜好，通过自发自愿的点击、搜索、链接、浏览等进入目标平台产品或平台服务的经营页面或者延伸经营范围（指合法的互联网产品投放渠道）进而使用平台产品或平台服务的物理动作。因此，“引诱”类流量劫持系通过误导或者欺骗等手段取得了网络用户的同意，由于侵犯了网络用户的知情权和选择权，相关行为不应给予合法评价，由此产生的流量也不应予以保护。最后笔者认为，为了全面有效地规制流量劫持这一网络黑灰产行为，除了动用法的约束力