流量劫持罪名认定的困境与纾解——基于数据安全法益的视角

流量劫持不仅会因破坏市场竞争秩序被反不正当竞争法规制,还有可能因参与网络黑灰产业犯罪而落入刑法范畴。基于行为复杂与主体多元的特性,流量劫持的罪名认定存在计算机犯罪与财产犯罪两种典型观点,其背后反映出虚拟财产法益、网络秩序法益与系统安全法益的取舍。基于流量劫持行为过程和应用场景的考量,其本质应为对计算机信息系统或应用程序的数据通信行为加以非法控制,侵害了数据安全法益。破坏计算机信息系统罪所保护的数据安全法益,与流量劫持的侵害法益趋同,具有适用的可行性与必要性;同时需要对数据、应用程序、干扰等入罪要件进行刑法教义学释义。

基于时间特征的HTTPS中间人攻击检测方法

中间人攻击是网络攻击的一种常用手段,其中超文本传输安全(Hypertext Transfer Protocol Secure,HTTPS)协议的中间人攻击危害较大,已有检测方法主要面向单客户端,以证书匹配验证为主要手段,部署成本和性能开销较高。通过分析SSL(Secure Sockets Layer)握手阶段的密钥协商、证书验证等关键报文,提出基于时间特征的HTTPS中间人攻击检测方法,从流量角度提供了一种检测思路,具有更广泛的适用场景。实验结果表明,该方法在互联网环境测试数据集下具有较高的准确率。

《反不正当竞争法》第十二条类型化条款适用研究

文章根据我国既往研究与案件,探讨适用第十二条三项类型化条款。适用第一项,应分别考虑插入链接与目标跳转的行为手段、行为效果,评估插入的链接、弹出的新页面对经营者原页面的影响程度。适用第二项,“误导、欺骗”指足以使用户作出错误认识的行为;“强迫”指明确违背用户意志,致使用户被动接受的行为;“修改”指致使用户对产品或服务作超出用户可接受程度的一切改动;“关闭”指产品或服务的运行或重启功能被取消;“卸载”指产品或服务被从设备或系统中移除。第三项“恶意不兼容”包括:存在行业惯例,行为人违反行业惯例;经营者对行为人存在依赖关系,行为人滥用优势地位。除此以外,市场主体不存在《反不正当竞争法》上的兼容义务。

流量劫持乱象的治理路径研究

流量劫持具有违法性、高额收益性、隐蔽性强、监管难度大等特点,其主要包括客户端流量劫持、DNS劫持、网络链接流量劫持三种常见类型。由于《反不正当竞争法》中的互联网条款不足、行政监管存在短板、损害赔偿责任不足、诉前禁令制度不完善等原因,造成流量劫持乱象频发,破坏了网络经济的正常竞争秩序,侵犯了网络经营者和用户的合法利益。为有效遏制流量劫持网络乱象的滋生蔓延,应采取不断完善法律法规、建立多元主体共治监督机制、加大打击力度、提升技术防御能力、增强电子取证能力等措施实现对流量劫持乱象治理,从而有力促进网络经济的健康发展。

基于拟态防御的VPN流量劫持防御技术

VPN技术能够有效保障通信流量的保密性和完整性,但是近年来出现的名为blind in/on-path的流量劫持攻击利用VPN协议规则,通过将伪造报文注入加密隧道的方式来实施攻击,严重威胁了VPN技术的安全性。针对此类威胁,提出了基于拟态防御的VPN流量劫持防御技术,并设计了拟态VPN架构(Mimic VPN,M-VPN)。该架构由选调器和包含多个异构的VPN加解密节点的节点池组成。首先选调器根据节点的可信度动态地选取若干加解密节点,来并行处理加密流量;然后对各加解密节点的处理结果进行综合裁决;最后将裁决结果作为响应报文以及更新可信度的依据。通过对来自不同节点的同一响应进行裁决,有效阻止了攻击者注入伪造报文。实验仿真结果表明,相比传统的VPN架构,M-VPN可以降低blind in/on-path攻击成功率约12个数量级。

流量劫持的常见手段及其法律规制

互联网时代,平台间的竞争焦点在于流量之争。为了实现用户增长、活跃或者其他商业盈利的目的,流量劫持的技术手段在市场竞争中被不当使用,且劫持行为呈现出形式多样的特点。从技术实现原理来看,客户端响应用户指令和服务器通信过程的各个节点都可能潜伏着劫持者。在司法审判中,依据《反不正当竞争法》互联网专条,这类行为多被予以否定性评价,甚至课以刑罚。此外,由于流量黑灰产违背公序良俗,损害了社会公共利益,围绕流量劫持展开的商业合作亦应属绝对无效。

信息安全之Web劫持与流量劫持法律治理研究

网络安全事关党的长期执政,事关国家长治久安,事关经济社会发展和人民群众切身利益.习近平总书记强调指出,没有网络安全就没有国家安全,没有信息化就没有现代化.数据安全与个人隐私受到了前所未有的挑战,各种新奇的攻击技术层出不穷.运营商的各种劫持、频繁的广告弹窗、访问特定网站被重定向到了非法网站、常用网页被篡改、输入法弹出广告、WiFi共享劫持、网络"爬虫"、Web"钓鱼"、"人肉搜索"、反射放大劫持等现象,均可能与Web劫持或流量劫持有关(Web劫持与流量劫持并不等同,但拟用Web劫持这一概念来替代两者).无论是Web劫持还是流量劫持,究其本质是对数据的控制(用户自身的数据、用户需要访问的数据和传输中的数据);通过控制数据的流向,可以获得巨大的财产利益.如何界定数据控制行为的合法性,控制行为的边界,需要通过什么路径来进行有效治理,以及需要由谁来承担责任,承担什么责任;拟从技术和法律2个层面对互联网核心系统(DNS)与HTTP劫持对互联网安全所产生的重要影响尝试进行.试图从法律角度(民事侵权与违约、刑事犯罪以及公益诉讼角度)提出一些解决办法.劫持本质还是数据安全问题,如何才能更好地保护我们的数据安全和个人隐私,这关乎国家安全,需要我们全社会的高度重视,共同参与.

“流量劫持”行为的类型重释与责任界定研究

与“流量劫持”行为涉及的技术基础的复杂性相联系,当前司法实践中“流量劫持”案件的处理存在劫持行为种类划分过于繁琐、案件刑民界限模糊、同案不同判的问题。传统以“手段强制性”为标准划分的“软、硬劫持”类型,与文义解释规则不相合,应当在文义上将“流量劫持”解释为以“强制性手段”实施的劫持行为,进而以“是否具有可自动恢复性”为标准赋予“软、硬劫持”类型行为全新的内涵。为廓清“流量劫持”行为的刑民责任,应当抛弃“情节严重”的认定标准,提倡以“计算机信息系统秩序法益可损性”为标准,对“流量劫持”行为的刑民责任做类型化处理。

流量劫持行为的刑法定性与治理对策

随着WIFI技术的普及,流量劫持行为尽管出现了新的行为样态,但始终围绕着“破坏—侵入—控制”的行为链条。从被害人角度出发分析流量劫持行为对不同主体的危害程度,可以证成目前司法解释采用违法所得或实际损失的划分方法的合理性。司法实践中流量劫持行为的定性存在非法控制计算机信息系统罪和破坏计算机信息系统罪之争,可以运用牵连犯原理加以合理解释。互联网企业的流量因被劫持导致经济利益受损,因此在立法和释法中应当注意平衡预防性,避免出现过多“僵尸条款”以及各罪之间的不协调。在具体操作中,既要强调技术治理,同时也要多元主体联动,网络经营平台也应化消极为积极。

刑法学视域下侵害网络流量问题研究

信息时代网络流量的重要性日益凸显,但侵害网络流量的行为也日渐增多,因此对网络流量的保护亟待加强。网络流量是一种财物、虚拟财产,它可能成为犯罪对象,刑法应将其纳入规制范围,而由于现实生活的复杂性,对侵害网络流量的行为应具体问题具体分析,以确定其罪名。

网络不正当竞争损害赔偿研究——以流量、数据为视角

损害赔偿作为主要的民事责任承担方式,构成了权利人弥补损失、寻求救济的重要途径,任何权利的确切价值都必须按照“实现该权利后可获得的救济”进行度量,1因此,损害赔偿数额的确定也成为大部分案件的必经环节。然而,互联网时代下,流量、数据代替实物成为企业最重要的资产,这就导致不管是企业之间的竞争还是诉讼案件的索赔大都以其为轴心展开,那么,当流量、数据作为损害赔偿的依据时,如何确定其价值、如何据此计算损害赔偿数额就成为司法审判的一大难题。本文从流量、数据的重要性出发,通过对相应司法案例进行研究,在总结目前流量、数据不正当竞争损害赔偿司法现状的基础上,探寻由不正当夺取流量、数据的行为所导致的损失构成及相应的计算方法,以求为司法实践提供有益参考。

流量劫持的刑法规制思考——以第102号指导性案例为视角

随着网络时代的高速发展,流量劫持已经成为危害广泛的网络安全问题。以前的司法审判倾向于将流量劫持定性为不正当竞争行为,但第102号指导性案例的发布则释放出趋于刑法规制的信号。流量劫持主要包括DNS劫持、CDN劫持、网关劫持、客户端劫持,特点是高度隐蔽性、证据收集难度大、行为性质有争议。流量劫持的犯罪客体有虚拟财产说、计算机信息系统管理秩序说、计算机信息系统安全说。在司法实践中,对流量劫持规制模式的选择,需要依据硬性流量劫持和软性流量劫持予以区分,同时以第102号指导性案例为指引,通过刑法予以规制,坚决遏制流量劫持这一"技术越界"行为,利用刑法的强制力保障计算机信息系统的安全与稳定。

流量劫持案件中“将得流量”的认定标准

流量劫持是指运用商业手段或者技术措施劫持本应属于经营主体的交易机会,诱导或者迫使用户使用劫持者的网络服务,且具有不正当性的行为.当前流量劫持案件的焦点问题之一,也是判断的难点即在于“将得流量”的认定,“将得流量”作为判断流量劫持的前置要件,同时也为“行为手段不正当性”的判断打下基础.通过分析流量劫持的典型案例,对于“将得流量”的认定应当从竞争双方的使用关系、被劫持者的成本收益比、用户的心理预期和行业惯例等方面综合考量.

基于Android应用程序安装包隐蔽下载劫持漏洞

在Android应用程序安装包的发布、下载过程中,往往很容易受到下载劫持攻击。受到常规下载劫持攻击的服务器往往能够通过流量分析发现攻击行为,但是,隐蔽下载劫持攻击则无法通过该方法进行发现。通过对真实案例的发现和分析,提出一种Android应用程序安装包隐蔽下载劫持漏洞。攻击者利用该漏洞在用户与服务器之间部署中间人设备,隐蔽下载劫持攻击,使受到劫持的服务器难以通过现有的分析方法发现该攻击行为。对该漏洞的产生原因、危害范围、利用机制等进行了分析,并试图从分布式检测、集中分析和主动预防方面提出解决方案。

流量劫持行为及其竞争法规制

流量劫持是互联网企业间常见的不正当流量竞争行为,也是目前互联网企业争端的主要事由之一。但是由于流量劫持的具体行为多样且演变迅速,且被我国《反不正当竞争法》立法确认的时间较短,司法机关在裁处相关纠纷时存在衡量标准不同、规制路径不清的问题。通过梳理近期典型案例与理论研究,提炼出流量劫持司法规制四步走,涉及主体界定、竞争关系界定、客观行为违法性界定和损害结果界定。在此基础上,针对我国《反不正当竞争法》存在的制度问题,还应引进惩罚性赔偿制度和积极适用诉前禁令制度。

流量劫持行为刑法规制再思考

流量劫持行为是新类型计算机犯罪,以流量劫持行为为核心已经衍生出庞大的黑灰产业链。根据流量劫持类型的不同,可以将其划分为域名劫持和链路劫持。流量劫持带来的刑事风险威胁有着多元化的法益,以刑事手段规制具有必要性和优势性。实践中对流量劫持行为定性存在争议,主要围绕如何认定破坏计算机信息系统罪和非法控制计算机信息系统罪。为厘清两个罪名的关系,应将"非法控制"解释为非排他性的破坏行为,并以阶层式的思维对这两个罪名进行理解适用。

竞争法视野下互联网流量劫持行为法律问题研究

我国对于互联网流量劫持行为的认识并不具体,往往简单地当作一种新型不正当竞争行为而将其忽视。本文从其表现方式、法律认定及解决办法等角度对该行为进行分析。惩罚性赔偿制度一定程度上为互联网流量劫持行为这一问题提供了可参考的解决建议,可在保障被侵害人受损利益得到弥补的同时最大限度遏制不正当竞争行为的再次发生。

互联网思维影响下的网络运维安全研究

互联网访问路径上存在多个中间环节。在互联网思维影响下,攻击者除了可直接从攻击受害者身上获取利益之外,还可通过攻击结果从第三方获取利益或通过对信息的再加工获取利益,如流量劫持。为确保用户的业务安全,需要更关注数据流的运维安全,投入更多的资源。通过从技术和管理两个两方面建立全景的安全视野,减少安全管理的盲点。

流量劫持的刑事定性研究

对于流量劫持行为的刑事定性,目前学界和司法实务中都存在争议。流量劫持可分为硬性流量劫持和软性流量劫持。软性流量劫持通常采用诱导的方式,对计算机信息系统安全以及用户操作影响较小,无须以刑事手段加以规制。而硬性流量劫持具有强制性,影响计算机信息的正常运行并对计算机信息系统的安全造成较大威胁,应以刑法加以规制。在硬性流量劫持中,以计算机信息系统为对象和以计算机信息系统为媒介的行为应当分别认定,二者侵害的法益以及犯罪目的不同,应当分别适用破坏计算机信息系统罪和传统犯罪罪名。

基于个人信息商业化应用场景的合规策略(下)

二个人信息的商业化应用场景及合规策略(一)收集环节1.商业化应用场景一般情况下是在提供产品或服务的过程中直接收集个人信息,或者是经营者为自身经营需要合法从第三方处获得个人信息。上述收集模式反映的是数据的内部性,收集目的是为了满足内部经营需求。数据之所以产业化,是因为发展了数据外部性。