利用DDOS攻击行为的司法认定

桑涛

摘 要：由于DDOS攻击模拟海量正常用户不停地访问，造成网络堵塞，使网站无法提供正常服务，经营活动遭到破坏。在此情况下，攻击者往往会向被攻击网站发出勒索要求，这既侵犯了计算机信息系统安全，又侵犯了企业合法权益。对于该类案件办理，司法机关存在争议观点。对此，应正确理解适用具体法律规定，认识到犯罪行为是主客观相统一的产物，对于行为人明确的主观犯意应纳入评价范围。敲诈勒索罪犯罪数额的认定，不以敲诈所得的比特币的价值为准，而应以给被害单位造成的经济损失为准。

关键词：DDOS攻击 比特币 敲诈勒索罪 破坏计算机信息系统罪 破坏生产经营罪

DDOS攻击，学名分布式拒绝服务攻击（英文Distributed Denial of Service，简称DDOS），是指处于不同位置的多个攻击者同时向一个或数个目标发动攻击，或者一个攻击者控制了位于不同位置的多台机器（又称“肉鸡”），并利用这些机器对受害者同时实施攻击。由于攻击模拟海量正常用户不停地访问，造成服务器资源的浪费，正常的访问却被中止。近年来，利用 DDOS 攻击等黑客手段攻击他人网站，并进行敲诈勒索的行为日益猖獗。从法律上说，该种行为既侵犯了计算机信息系统安全，又侵犯了企业合法财产权益，破坏了企业正常生产经营秩序，还可能触犯不同的刑法罪名。司法实践中，对该种行为如何定罪处罚，存在一定争议。

一、基本案情

[案例一]2018年8月1日至8月8日期间，钟某利用境外肉鸡服务器上的攻击软件，以向高速缓存服务器发送伪造数据包的方式（UDP反射型DDOS攻击），攻击某知名企业网站，并用泰国、美国、比利时等国手机号码联系受攻击公司员工，先是索要人民币5万元，后改为索要一个比特币（约人民币5万元）作为停止攻击的条件，导致该公司为保护网站而花费人民币9万元购买了电信公司的云堤（DDOS攻击防护）服务、并花费人民币3.5万元将网站服务器迁入阿里云。2018年8月8日至8月28日期间，钟某利用国内某服务器上的攻击软件控制多台肉鸡，对该公司网站以发送非法数据包的形式进行攻击（CC型DDOS攻击），造成该公司网站无法正常运行，严重影响了公司的正常经营。

[案例二]2017年，刘某通过租用境外云服务器、购买执行攻击指令的服务器、攻击流量等，架设了测试网络服务器防御能力的网站，进而又制作了相应的手机端应用程序。在明知其提供的网站和应用程序可能造成正常服务器被流量攻击的情况下，刘某仍在QQ群中推广该网站，开放网站的注册、充值系统，有偿供他人使用该网站和应用进行反射型DDOS攻击，并将充值金额大小与发起攻击的次数相挂钩。仅仅2个多月，金某、王某等多人便在刘某的网站注册账号，在手机上下载应用程序。刘某通过出售反射型DDOS网络流量攻击服务，向上述人员收取费用3.2万余元，并造成多家公司的服務器不能正常运行。

[案例三]潘某某于2016年7月开始萌生利用DDOS攻击敲诈比特币的想法，后通过境外黑客对国内3家大型交易网站进行DDOS流量攻击，导致网站瘫痪，用户投诉，后两家公司无奈各向潘某某指定的地址打进了22个、44个比特币，遭受经济损失共计人民币23万余元。

二、争议问题

上述三个案例，案例一中，检察机关以破坏计算机信息系统罪提起公诉，一审法院以破坏计算机信息系统罪判处钟某有期徒刑5年6个月，钟某提出上诉，二审法院维持原判。案例二中，检察机关以刘某构成破坏计算机信息系统罪提起公诉，法院认定刘某构成破坏计算机信息系统罪，判处有期徒刑6年4个月，被告人没有提起上诉，判决已经生效。案例三中，检察机关以敲诈勒索罪起诉，法院以敲诈勒索罪判处潘某某有期徒刑3年，并处罚金人民币5000元。

实际上，在上述案件办理过程中，司法机关都存在不同的认识。总体上看，有三种类型的争议。

第一种观点认为，此类行为均构成破坏计算机信息系统罪。主要理由是，使用黑客手段进行DDOS攻击相对方网站，造成企业网站无法正常运行，其行为本身就已经对计算机信息系统造成了破坏，案例二以此罪名认定无争议，而同时向被害单位进行敲诈勒索，勒索行为与破坏行为之间是典型的手段和目的的牵连关系，根据牵连犯“从一重定罪处罚”原则，应当认定为破坏计算机信息系统罪，因为如果不认定为该罪名，则会出现案例一与案例三中敲诈勒索相比，敲诈勒索未遂的，反而比勒索既遂达23万元人民币处罚更重的情况，明显超出国民预期。

第二种观点认为，上述行为均构成破坏生产经营罪。主要理由是，使用DDOS网络攻击行为，其后果是因造成对方公司网站无法正常运行而影响生产经营活动，造成重大经济损失，破坏了生产经营，其行为符合“以其他方法破坏生产经营”的情形，勒索财物、造成企业防护成本提高等行为都可以作为破坏生产经营的情节予以考虑。

第三种观点认为，案例二构成破坏计算机信息系统罪，案例一和案例三是以网络攻击作为手段勒索他人财物，构成敲诈勒索罪。理由是：行为人的犯罪目的是通过攻击被害网站进而敲诈勒索，敲诈勒索是目的，DDOS攻击是手段。而对于此种行为，刑法第287条规定，利用计算机实施金融诈骗、盗窃、贪污、挪用公款、盗取国家秘密或者其他犯罪的，依照本法有关规定定罪处罚。根据该规定，凡是利用计算机来实施金融诈骗、盗窃、贪污、挪用公款、窃取国家秘密或者其他犯罪的，不论手段行为是否构成相关计算机犯罪，均应以金融诈骗罪、盗窃罪、贪污罪、挪用公款罪等目的犯罪定罪处罚。

三、对DDOS攻击行为的定性探讨与刑法规制

针对上述争议，笔者认为，争议的产生原因既有对法律适用的理解差异，也有立法技术层面的问题，还有近年来财产犯罪量刑方面的变化。从法律规定以及罪责刑相适应的角度看，笔者更倾向于第三种观点，理由如下：

首先，犯罪行为是主客观相统一的产物。三个案例尽管在客观上都产生了破坏生产经营的危害后果，但破坏生产经营罪主观方面主要是基于“泄愤报复或者其他个人目的”，属于刑法上的目的犯，在无法查清行为人具有上述目的的情况下，一般可以对其破坏计算机信息系统行为进行单独评价，而不认定为破坏生产经营罪。而在行为人明确实施敲诈勒索行为的情况下，侵犯财产权的目的更加明确，应当以敲诈勒索罪对该行为进行评价。

其次，上述案例一、三行为均存在敲诈勒索与破坏计算机信息系统行为竞合问题，在这种情况下，司法实践中之所以会产生敲诈勒索罪与破坏计算机信息系统罪认定不统一的问题，主要原因在于对刑法第287条如何适用的理解方面产生争议。对于刑法上存在竞合、牵连关系的行为如何处理，一般遵循“从一重罪处罚”的原则，但法律有特别规定时，应当依照法律的特别规定处理，如过失致人死亡罪、诈骗罪中规定“本法另有规定的，依照规定”;如徇私枉法等罪中“司法工作人员收受贿赂、有前三款行为的，同时又构成本法第三百八十五条规定之罪的，依照处罚较重的规定定罪处罚”;拒不履行信息网络安全管理义务罪中“有前两款行为，同时构成其他犯罪的，依照处罚较重的规定定罪处罚。”而刑法第287条的规定却比较特殊，是“利用计算机实施金融诈骗、盗窃、贪污、挪用公款、盗取国家秘密或者其他犯罪的，依照本法有关规定定罪处罚”。那么，这里的“依照本法有关规定定罪处罚”，究竟是指按照刑法中从一重罪处罚的原则去处罚，还是按照金融诈骗、盗窃、贪污、挪用公款等具体罪名去处罚呢？实践中认识很不统一，因为两种观点在刑法中都能够找到“有关规定”。依一般理解，当手段行为与目的行为存在牵连关系时，应按目的行为认定一罪，且目的行为处刑上会较手段行为重。但由于刑法第287条系1997年刑法所确立，而且在相当长的一个时期内，这一条文的适用基本处于“休眠”状态，直到今天网络犯罪数量大幅度攀升，这一问题才日渐突出。同时，从1997年至今，刑法在对个罪入罪门槛、死刑适用、法定刑升格条件等，都已经作出了较大幅度的调整，而破坏计算机信息系统罪定罪量刑标准变化不大，此时出现依目的行为定罪，刑期却明显低于手段行为的结果也就不足为奇了，然而，这却可能与刑法设置该法条的初衷产生冲突。这些都是实践中对此类案件在定罪中存在争议的重要原因，尚需立法与司法解释的明确，而在具体适用时，仍然需要遵循法条的规定。

再次，法律适用的效果来看，笔者认为应当将该类行为认定为敲诈勒索罪。这是因為，随着近年来网络犯罪的泛工具化，大量犯罪是通过网络手段所实施的，在这种情况下简单以“从一重罪处罚”，可能会造成有大量案件都按破坏计算机信息系统罪定罪处理，既不符合客观实际，也会造成一些罪名就此“休眠”，不能够实现准确评价、打击犯罪，还可能将一部分刑法罪名因犯罪手段的不同而“同案不同判”，如同样是盗窃行为，使用线下手段盗窃的定盗窃罪，使用网络手段盗窃的却定破坏计算机信息系统罪，导致新的司法不公。

也有人认为，刑法第287条所规定的“利用计算机实施”金融诈骗、盗窃、贪污、挪用公款、盗取国家秘密或者其他犯罪，与通过“破坏计算机信息系统”方式实施犯罪具有不同含义和内容，“利用计算机实施”指的是使用计算机作为犯罪工具，“破坏计算机信息系统”指的是将计算机系统破坏掉。从这个意义上说，将计算机信息系统破坏掉进而再敲诈勒索或者盗窃的，就应当构成破坏计算机信息系统罪。笔者认为这一观点也不准确。实际上，破坏计算机信息系统的行为，恰恰是利用计算机所实施的，如DDOS攻击行为，就是使用自己租用或者控制的计算机实施的，不能因为中间介入了一个破坏计算机信息系统的手段，就忽视其攻击他人计算机信息系统的目的是什么。因此，二者并无本质的区别。

最后，还需要对比特币的属性以及敲诈勒索罪犯罪数额如何认定进行明确。比特币究竟是否属于刑法中评价的财物？2017年9月4日中国人民银行、中央网信办、工业和信息化部、工商总局、银监会、证监会、保监会联合发布的《关于防范代币发行融资风险的公告》中，已经明确在国内禁止比特币为代表的代币交易。2013年“两高”《关于办理盗窃刑事案件适用法律若干问题的解释》出台时，之所以未将盗窃虚拟财产以盗窃论处，主要考虑到虚拟财产的本质一是具有虚拟性，二是具有可再生性，不会因为使用而有所减少，因而属于计算机信息系统数据，所以认为包括虚拟货币在内的虚拟财产不是财物。在案例三中，潘某某也曾反复向合议庭陈述称，比特币在目前国内是违法的虚拟物品，本身没有价值，各级物价部门对比特币都没有一个价格认定结论，完全靠各个交易平台自己进行认定、确定兑换率，因此不应认定自己敲诈的比特币具有相应财产属性价值，也就不应根据这个价值来认定自己的刑罚。但检察机关和法院在认定本案时，并没有认定敲诈所得的比特币的价值是多少，而是以其敲诈行为给被害单位造成的经济损失来认定了本案的犯罪数额，可以说有效地避开了这一争议。