文/任留存 姜依菲

　　江苏省南通市崇川区人民检察院

　　计算机信息技术迅猛发展，网络安全时刻面临着各种威胁。分布式拒绝服务攻击（Distributed Denial of Service，简称DDOS攻击）具有较强的隐蔽性、高效性、易操作性，为攻击者所青睐，成为危害最广的网络安全问题之一。面对这一问题，我们应揭开DDOS攻击“黑客技术”的神秘面纱，分析DDOS攻击的行为模式，总结其行为特征，对现存的难点加以讨论，以此有效减少DDOS攻击给我们日常生活带来的侵害。

　　一、案例情况

　　甲公司与乙公司均系江苏某市家纺销售电子商务民营企业。为打击竞争对手乙公司，甲公司电子商务平台法定代表人、股东赵某与技术总监、股东钱某商议对乙公司的D网站进行流量攻击，并召集销售总监孙某、销售经理李某商议，决定于2017年双十二当天发起流量攻击。赵某通过DDOS交流的QQ群与周某（未成年，另案处理）建立联系。

　　2017年12月12日上午，赵某雇佣周某先攻击自己公司的网站后攻击D网站。当日13时许，周某在QQ群发布攻击D网站的相关信息，吴某受雇后，通过自己及再雇佣他人的方式对D网站进行攻击，导致腾讯云将网站租用的服务器封堵，致使该网站75分钟内分明显没有流量，不能正常运行。期间，赵某先后通过个人账户及公司账户向周某转款共计人民币2300元，钱某向周某转款人民币800元。周某先后三次向吴某转款共计人民币600元。次日下午，赵某雇佣周某继续攻击D网站半个月，并安排孙某向周某转账8500元。

　　乙公司为应对流量攻击，恢复网站功能，于2017年12月12日14时许向腾讯云购买高防服务包，但未能有效解决被攻击的问题。后又委托丙安防公司进行安全防护、抗DDOS服务。2017年12月20日，乙公司与丙公司补签防护协议，服务期限为一年。2018年1月31日，乙公司提前终止安防服务，并与丙安防公司结算防护费用共计人民币13万余元，包括打折后的日常安全服务费用1万元、按半年服务费用打八折计算抗DDOS基础服务费用为4万余元以及按抗DDOS超出部分的最高流量峰值计算超额服务费用为8万余元。

　　案发后，乙公司提供案发前几年网站注册用户发展情况及相关报道，提供2017年12月12日前D网站数据，显示该网站有注册用户5.2万余名。

　　甲公司、吴某等人破坏计算机信息系统案（简称甲公司案）法院经审理认为，在案证据相互印证形成证据锁链，足以认定D网站不能正常运行的情况是本案行为人攻击行为所致。乙公司所支付的防护费用系被攻击当天至2018年1月31日丙公司提供服务的费用，不宜将该期间的费用全部认定为直接经济损失。乙公司提供案发前多年关于网站用户数的新闻报道、申报材料，结合D网站提供的会员数据，足以认定该网站注册会员数超过1万人。根据《最高人民法院、最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》（以下简称《解释》）的相关规定，甲公司、吴某对计算机信息系统功能进行干扰，造成为一万以上用户提供服务的计算机信息系统不能正常运行累计一小时以上，属于“后果严重”，构成破坏计算机信息系统罪。本案系单位犯罪，赵某、钱某系甲公司直接负责的主管人员、其他直接责任人员，亦构成破坏计算机信息系统罪。

　　二、DOSS攻击案件刑事规制难点

　　DDOS攻击是以计算机信息系统为对象的。最高人民法院、最高人民检察院发布的《解释》第十一条规定，“计算机信息系统”和“计算机系统”是指具备自动处理数据功能的系统，包括计算机、网络设备、通信设备、自动化控制设备等。根据该解释，具有“自动处理数据功能”的通信设备，也属于“计算机信息系统”。虽然，刑法第二百八十五条、第二百八十六条使用了“计算机信息系统”“计算机系统”两种不同表述，但目前宜对这两种表述作统一界定。

　　DDOS攻击由DOS（Denial of Service，拒绝服务）攻击演化而来。DOS攻击是指通过利用各类网络通信协议中所存在的漏洞，使用对应网络通信协议下合理的服务请求来占用过多的服务资源，从而使正常用户无法得到服务响应的一种网络攻击方式。DDOS攻击是DOS攻击的一种特殊形式，是指通过控制“肉鸡”（肉鸡也称“肉机”、“傀儡机”，是指已经被黑客或者其他人员远程控制的服务器或者计算机）等资源，对一个或多个目标发动攻击，致使目标服务器断网或资源用尽，最终停止提供服务。DDOS攻击常伴随敲诈金钱、打击报复、同行恶意竞争等行为。区别于DOS一对一的攻击方式，DDOS由多台分布在不同位置的计算机同时向目标机进行攻击。目前，DDOS攻击刑事案件办理一般具有如下难点：

　　（一）侦查取证难

　　首先，DDOS攻击行为模式隐蔽。攻击者可以控制成百上千台计算机同时高频次地对目标机攻击。一方面，“肉鸡”数量众多难以通过预设反向追踪查明控制机，高频次的攻击亦能混淆追踪隐藏攻击者；另一方面，“肉鸡”同时发送大量无效请求数据包，相关IP信息经过多级跳转难以识别来源。于此同时，攻击者一旦将攻击命令传送到主控机上即可关闭网络或者离开，甚至将攻击所用的服务器置于海外，大大增加其隐蔽性。

　　其次，DDOS攻击案件证据收集难。DDOS攻击作为一种新型的犯罪方式，相关证据的搜集和固定缺乏规范，侦查人员难以及时、准确收集、固定证据。即便及时追踪，鉴于存在大量服务器，且服务器存放位置跨地域性明显，也使得证据难以及时固定，导致相关证据的收集过多依赖于言词证据，若非主动交代，难以搜寻。

　　（二）因果关系证明难

　　在DDOS攻击案件中，需要证明攻击系行为人操作攻击机进行的。在这一因果关系证明中存在两个难点，第一如何证明受到的攻击来源于攻击机，第二如何证明攻击行为系行为人实施的。一般而言，证明攻击行为和被攻击事件的因果关系，需要收集攻击设备日志与被攻击设备日志，且攻击设备上攻击日志与被攻击设备上被攻击的日志相互对应。现实中，且不说成百上千的“肉鸡”IP具有虚假性增加了侦破案件的难度，即便通过反向追踪找到控制机的真实IP，也无法直接证实系犯罪嫌疑人发起的攻击。同时，司法实践中还存在侦查人员无法及时收集相关数据，甚至因为技术原因无法穷尽收集相关数据，无法达到“排除一切合理怀疑”的证明要求，使得攻击行为和攻击结果、攻击结果和攻击人之间的因果关系难以证明。

　　（三）事实认定难

　　DDOS攻击案在犯罪事实认定上存在经济损失认定、用户数认定等争议。首先，DDOS攻击的犯罪行为由于攻击者、攻击行为、被攻击者的不同，导致损害后果的多样性、程度的差异性、评估的技术性以及责任的不确定性，因此实际损失的大小与范围确定非常困难。虽然《解释》第十一条对“经济损失”有所规定，但司法实践中经济损失的确定缺乏客观、明确、可操作的标准，致使各诉讼参与人、公检法等对经济损失数额的认定存在重大分歧。其次，虽然《解释》规定被攻击的计算机系统是为1万到5万以上用户提供服务的计算机信息系统，但却未明确如何认定用户数。该用户数是注册用户还是实际接受服务的用户，是否需要排除僵尸用户？具体如何根据计算机系统情况、如何结合用户数、如何作出判定仍缺乏操作性。

　　（四）法律适用难

　　DDOS攻击案件刑事法律适用存在行为性质认定及罪数适用争议。首先，受DDOS攻击后目标系统资源被严重占用，不能为正常用户提供服务，这实质上是一种干扰计算机信息系统功能，造成计算机信息系统不能正常运行的行为，可能构成破坏计算机信息系统罪。其次，行为人单纯出于报复、泄愤动机进行DDOS攻击的情况较为少见，更多的是通过实施DDOS攻击行为来实现其他目的。实践中，DDOS攻击常伴随敲诈金钱、打击报复、同行恶意竞争等行为。这时就面临着一罪还是数罪，此罪还是彼罪的法律适用问题。

　　三、DDOS攻击案法律适用探析

　　基于甲公司案，综合DDOS攻击刑事规制难点，笔者就DDOS攻击案证明方式、经济损失认定、用户数认定及罪数的法律适用等问题进行如下分析：

　　（一）DDOS攻击案证明方法的尝试

　　由于客观原因无法查明攻击机或穷尽收集肉鸡，或者因为技术原因，勘验检查工作无法穷尽收集所有数据等情况，致使DDOS攻击刑事案件难以达到“排除一切合理怀疑”的证明标准。例如在甲公司案中，在未查明攻击工具，亦无法穷尽查证相同时间段有无存在其他攻击者的情形下，黑客吴某通过自己及再雇佣他人的方式攻击D网站，攻击行为与D网站不能正常运行之间的因果关系又该如何认定？

　　鉴于DDOS攻击案的特殊情况，笔者认为可以借鉴毒品犯罪认定方式，调整认定方法。在证据裁判原则的要求下，裁判者应当使用证据证明待证事实，从而得出唯一的结论。认定方法的调整意味着裁判者在认定特定犯罪构成要件时可根据被证明的基础事实直接认定推定事实的成立，但允许被告人提出反证。在甲公司案中，先通过证据证实D网站被DDOS攻击致使不能正常运行一小时以上的事实存在，然后通过各被告人微信聊天记录显示的攻击时间和腾讯云工单显示被攻击时间相吻合，多次转账时间与D网站被攻击时间相符合等综合认定该危害后果系本案被告人所为。

　　（二）经济损失的认定

　　《解释》第十一条规定的经济损失，包括危害计算机信息系统犯罪行为给用户直接造成的经济损失，以及用户为恢复数据、功能而支出的必要费用。基于此，间接经济损失或是实施犯罪行为时尚未实际发生的经济损失不能认定为本罪的经济损失。就直接经济损失而言，由于网络数据具有修复性，能否认定为经济损失，关键在于对网站等网络设备的侵害是否达到了不能再使用的程度。已经不能使用的，应当认定为经济损失；仅仅删除了相关数据，网站经过修复仍能正常使用的，则不应直接认定为经济损失。就恢复费用而言，仅指恢复因攻击而产生问题的费用，不包括为了解决既存问题而支出的服务费用。

　　本案中，乙公司为应对流量攻击，恢复网站功能向腾讯云购买高防服务包，后因未能有效解决被攻击的问题，委托安防公司进行安全防护。因双十二对于电商平台而言是特殊的时间节点，D网站受到攻击后，即便具有自行恢复功能，也需要一定的时间。乙公司为及时恢复网站功能、减少损失，当天先后购买腾讯云高防服务、雇佣安防公司进行防护所支出的费用属于为恢复数据、功能而支出的必要费用。另外，由于抗DDOS基础服务费是按照半年的费用为基础打八折进行计算所得，不宜全部认定为“必要费用”。

　　（三）用户数量的认定

　　根据检例第33号李丙龙破坏计算机信息系统案的指导意义，认定遭受破坏的计算机信息系统服务用户数，可以根据计算机信息系统的功能和使用特点，结合网站注册用户、浏览用户等具体情况，作出客观判断。笔者认为，对“用户数”应当作形式解释而不是实质解释。首先，破坏计算机信息系统罪保护的法益是计算机系统的安全，而非正在使用计算机系统的用户。“1万/5万以上用户”是对被破坏的计算机系统承载能力的描述，即计算机系统本身能够提供服务的用户数量。其次，参考《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第十一条第三款的规定“对批量公民个人信息的条数，根据查获的数量直接认定，但是有证据证明信息不真实或者重复的除外。”因此，可以将剔除明显重复用户之后的注册用户数认定为用户数。

　　本案中，由于侦查机关取证时间距案发时间较长，因未能及时采取封存、备份等保护电子数据完整性的方法，致使提取的电子数据原始性、完整性难以确保。但结合侦查机关提取的电子数据，乙公司提供证明用户数的鉴定文书以及显示网站用户情况及增长情况的申报材料、新闻报道等证据，综合、客观地认定该网站用户数达到1万以上，而网站注册用户5万以上的证据不足。

　　（四）罪数的认定

　　对于存在牵连关系的，应如何认定罪数，刑事审判参考案例和指导性案例之间存在差异。刑事审判参考1202号案例-赵宏铃等盗窃案认为我国《刑法》第两百八十七条系对利用计算机实施犯罪的例外规定，认为凡是利用计算机实施金融诈骗、盗窃、贪污、挪用公款、窃取国家秘密或者其他犯罪的，不论手段行为是否构成相关计算机犯罪，均以构成的目的犯罪定罪处罚。检例第35号曾兴亮、王玉生破坏计算机信息系统案则指出，在这类犯罪案件中，成立牵连犯的，应当从一重罪处断。

　　鉴于指导性案例系裁判已经发生法律效力且经最高检（或最高法）按照规定程序确认并发布的具有普遍指导作用的案例，司法实践中的类似案件，应当参照执行。故根据检例第35号指导性案例的指导意义，我们认为《刑法》第两百八十七条仅是一种提示性规定，而非法律拟制。该提示性规定为此类案件具体适用法律提供了依据，即牵连犯应当从一重罪处断。