现行刑法视野中出租、倒卖僵尸网络行为的尝试性解决方案-牛律师刑事辩护团队,刑事律师,刑事辩护律师,深圳刑事律师,深圳刑事辩护律师

网络犯罪业务专长

网络犯罪系指我国刑法所规定的，针对计算机信息网络或利用计算机信息网络或以网络犯罪为载体实施的，严重危害社会，依法应当受到刑罚处罚的行为。网络犯罪所涉及的范围相当广泛，几乎包括了我国刑法规定的大部分犯罪，而且还滋生了许多新的犯罪形式。如：网络赌博行为、网络盗窃行为、网络色情犯罪行为等。此外，网络犯罪还包括以网络为载体的犯罪行为。牛律师刑事辩护团队律师，与时俱进，积极研究此类新型犯罪，积累了办理此类案件的丰富实战经验和精湛辩护技巧，通过对罪名的抗辩、对社会危害性的抗辩、对法律依据适用的抗辩、对盈利或经营数额的抗辩、对立功的主张、对个人犯罪或单位犯罪的抗辩等，最大限度的维护了当事人的合法权益。

当前位置：首页 → 业务专长 → 网络犯罪 → 现行刑法视野中出租、倒卖僵尸网络行为的尝试性解决方案

现行刑法视野中出租、倒卖僵尸网络行为的尝试性解决方案

2015-04-03 来源：刑辩力机构律师网浏览次数：1003次
关键词：僵尸网络使用盗窃网络犯罪牛律师刑事辩护团队 4006066148

近年来，一系列具有重大社会影响力的网络安全事件背后都浮现出了“僵尸网络”的身影。僵尸网络这一新的网络犯罪形式的出现，表明了网络犯罪已经实现了自身技术手段的升级换代，网络安全领域矛与盾的对决又到了一个新的高度。网络犯罪飞速发展的现状与相应刑法规范的缺失的巨大反差表明，围绕僵尸网络尤其是后续操作行为进行的刑法学思考，与其说是对犯罪演变预期的前瞻性研究，倒不如说是一种补缺性的应对。

一、僵尸网络的概念、特点及其演变

在技术上，僵尸网络的起源最早可以追溯到1990年代末，而直到2003年末，学术界才开始关注这一名词。

（一）僵尸网络的概念和特点

僵尸网络(Botnet)是指采用一种或多种传播手段，将大量主机感染“bot”程序（僵尸程序），从而在控制者和被感染主机之间所形成的一个可一对多控制的网络。Bot程序是“robot”的缩写，是指实现恶意控制功能的程序代码；僵尸计算机就是被植入bot的计算机。[1]工业与信息化产业部颁布的《木马和僵尸网络监测与处置机制》（以下简称《机制》）中对于僵尸网络的定义是，“僵尸网络是指由攻击者通过控制服务器控制的受害计算机群。”当然也有观点认为，僵尸网络(Botnet)是一种从传统恶意代码转化形成的新型攻击方式，它采用多种传播机制，使僵尸程序感染互联网上的大量主机，并通过一对多的命令与控制信道，控制大量僵尸主机(Bot)实现分布式拒绝服务攻击(DDoS)、信息窃取、发送垃圾邮件(Spam)、监听网络流量(SniffingTraffic)、记录键盘(Keylogging)、扩散新的恶意软件、点击欺诈(ClickFraud)、操控在线投票和游戏(Manipulatingonlinepolls/games)等恶意网络行为。[2]

比较以上定义，前两种标准着眼于僵尸网络的静态特征以及外部表现，将僵尸网络界定为非法控制的计算机网络，第三种定义则着眼于僵尸网络的实际用途，将僵尸网络视为一种新型攻击手段。实际上这两种定义类型没有本质区别，从功能上看，僵尸网络就是一种对他人计算机的非法控制状态；从方式上看，僵尸网络是一种综合了过去传统攻击手段的新型破坏方式。我们可以从以下几个方面来理解僵尸网络：

第一，僵尸网络是借助僵尸程序实现的一个可控制的网络。根据《机制》的定义，木马是指由攻击者安装在受害者计算机上秘密运行并用于窃取信息及远程控制的程序。根据该定义，僵尸程序和木马程序应当是同一事物。但是，僵尸程序和普通的木马程序不同的是，普通的木马程序只能实现木马传播者和受侵害的计算机之间一对一的控制关系，而且侵入者对网络的危害仅限于感染木马程序的计算机；但是僵尸程序却能够通过不断的传播和复制，使所有被侵入的计算机同时被侵入者控制，从而形成一个控制网络。所谓“控制网络”，是就其功能意义而言的，不同于我们通常理解的物理意义上具有拓扑结构的网络。当然，随着僵尸程序的不断扩散或被查杀，组成僵尸网络的计算机数量也在不断的变动中。

第二，僵尸网络是通过僵尸程序采取恶意传播的方式形成的，具体包括发送垃圾邮件、发送欺骗信息、通过下载传播等。另外，僵尸程序自身也能够像病毒和蠕虫程序那样自我复制。僵尸程序在入侵过程中借助了大量社会工程学的手段，以诱骗潜在的受害者安装僵尸程序。比如，用户被提供了一个有趣的视频文件，但是需要再下载一个专门的解码器，最终的结果是，用户下载了相关的文件后仍然没有看到视频文件，但是僵尸程序已经在用户电脑中扎下根来。用户计算机从此成为僵尸网络的一个终端组成部分。[3]

第三，也是僵尸网络的最主要特点，就是可以一对多地执行相同的恶意行为，比如后面介绍的DDoS攻击、同时对许多用户发送大量的垃圾邮件。正是这种一对多的控制关系，使得攻击者能够以极低价格高效地控制大量的资源为其服务，这也是僵尸网络攻击模式近年来受到黑客青睐的根本原因。[4]换言之，僵尸网络与之前网络犯罪模式的显著不同之处在于，它既是一个网络犯罪手段，同时也是网络犯罪的平台。利用该平台，攻击者能够发起各种各样的破坏行为，由于平台的搭建使得这些破坏行为产生聚合，造成比传统破坏行为更大的危害，并且使得攻击的防范难度增大。这种犯罪的平台效应使得僵尸网络成为有史以来最为严重的网络犯罪形式之一。[5]

（二）僵尸网络的演变及形成过程

作为一种较为智能的网络攻击手段，僵尸网络也处于不断的发展和演变过程中。在早期的IRC聊天网络中，管理员为了防止频道被滥用，更好地实现管理权限、记录频道事件等一系列功能，编写了智能程序来完成这一系列的服务。于是在1993年，在IRC聊天网络中出现了Bot工具——“Eggdrop”，这是第一个bot程序，能够帮助用户方便地使用IRC聊天网络。这种bot的功能是良性的，是出于服务的目的，然而这个设计思路却为黑客所利用，他们编写出了带有恶意的Bot工具，开始对大量的受害主机进行控制，利用他们的资源以达到恶意目标。Botnet是随着自动智能程序的应用而逐渐发展起来的。1990年代末，随着分布式拒绝服务攻击(DDoS)概念的成熟，出现了大量分布式拒绝服务攻击工具（例如TFN、TFN2K和Trinoo等），攻击者利用这些工具控制大量的被感染主机，发动分布式拒绝服务攻击。而这些被控主机从一定意义上来说已经具有了Botnet的雏形。[6]早在2003年，僵尸网络就已经引起了国内外互联网研究人员和网络安全监管者的关注，并对其开展了相关的研究工作。2004年，我国内地爆发了首起僵尸网络事件，从此僵尸网络正式成为成熟的新型互联网安全威胁和犯罪模式。

从技术层面讲，僵尸网络的组建大致需要传播、加入和控制三个阶段。传播阶段也就是木马程序侵入计算机系统的过程。一个僵尸网络首先要具备数量不等的被控制计算机，这有赖于木马程序的扩散，通常会采取主动攻击漏洞、邮件病毒、恶意网站脚本、特洛伊木马等多种攻击和传播手段。从这几种传播手段可以看出，在僵尸网络的形成中传播方式与蠕虫病毒以及功能复杂的间谍软件很相近。传播木马程序的过程，也就是侵入他人计算机信息系统的过程，对于侵入计算机的行为，我国刑法具有相应的处罚依据。而建立僵尸网络的多数木马程序，其目的仅在于传播和控制，其对计算机系统功能的破坏是非常有限的，因此许多木马程序并不属于刑法第286条中的“破坏性程序”。

在加入阶段，每一个被感染主机都会随着隐藏在自身上的木马程序的发作而加入到僵尸网络中去。通常攻击者会找到一个主机作为僵尸网络的中继服务器，通过遥控中继服务器来达到对僵尸网络的控制，在控制阶段，攻击者就会通过向中继服务器发出各种指令，来遥控僵尸主机实施各种破坏活动。在我国，被僵尸程序控制的主机还有一个称谓——“肉鸡”，即被侵入的计算机在控制者手中就像任人宰割的肉鸡一样。这一称呼形象地表明了被侵入计算机在僵尸网络中的真实地位。“传播—加入—控制”，是建立僵尸网络的最简单流程。

二、僵尸网络及其后续行为的现实危害

僵尸网络的危害性表现在两方面：对内，它可以方便地侵入被控制的僵尸主机，并窃取僵尸主机的上网账号、网游账号和密码、信用卡资料等其他一切可以利用的资源；对外，它可以利用僵尸网络作为平台和跳板，对僵尸网络以外的计算机信息系统和网站实施犯罪活动。僵尸网络的这一特性使得它较之以前的网络犯罪模式具有无与伦比的优越性。在微观的犯罪手段上，僵尸网络并没有明显的飞跃和进步，但是它可以借助自己建立的犯罪平台，将各种犯罪攻击和入侵技术手段进行有机整合，因此，其犯罪聚合产生的破坏作用远远大于单独的网络攻击和入侵行为。僵尸网络不但危害被控制的计算机，还威胁其他众多的计算机信息系统，它的犯罪的“平台效应”才是真正可怕的地方。比如2007年冬，一撮黑客控制了全球26000个网站，并让访问者在不知情的情况下被转到含有恶意代码的网站；在中国，仅2008年5月一个月内，国家计算机网络应急技术处理协调中心就在中国大陆发现了75967个僵尸网络对应的客户端。[7]

网络犯罪逐步趋于集团化、组织化的内在动因是逐利性。僵尸网络同样如此，单纯的对计算机的控制行为，不但对用户个人的危害有限，对僵尸网络控制者来说也没有太多利益而言，僵尸网络的真正危害在于建立僵尸网络后的后续行为；如果再把它放在黑客产业链下这一宏观的背景下就会发现，僵尸网络远是当前最大的网络安全威胁。

（一）僵尸网络的后续犯罪行为

僵尸网络的后续操作行为，是指犯罪分子建立僵尸网络后，利用僵尸网络再次实施的操作行为，由于这些行为一般都具有违法、犯罪的性质，因此笔者称为后续犯罪行为。后续犯罪行为是僵尸网络盈利的主要来源，也是目前最具破坏性的网络犯罪行为。

2009年7月，著名的网络安全服务提供商卡巴斯基在其网站上发表了《僵尸网络的经济效益》(TheeconomicsofBotnets)的文章，文章指出，大量的僵尸网络建立的目的只有一个：“钱”。僵尸网络的收入来源包括DDoS攻击、窃取机密信息(theftofconfidentialinformation)、发送垃圾邮件、网络钓鱼(phishing)、搜索引擎作弊(SEO)、广告点击欺诈以及传播恶意软件和广告软件(distributionofadwareandmaliciousprograms)。上述行为都可以给犯罪分子带来利益，而且可以同时实施这些行为。[3]

DDoS攻击是威力强大的攻击手段，在网络中时常有人租借僵尸网络实施DDoS攻击，到竞争对手那里“砸场子”，5·19断网事件的起因即是一家私服网站租用81台服务器对竞争对手的私服服务器进行DDoS攻击，当事人为此花费了28万元。[8]目前国内租用一个G的流量每小时需要两三千元，与此相对应，建立20G的防护动辄需要500万元以上，许多互联网企业对此不堪重负。[9]据卡巴斯基估计，2008年互联网上大约发生了19万起DDoS攻击，犯罪分子获利约两千万美元。这一数字尚且不包括以攻击为威胁的敲诈收入。[3]

窃取的个人信息来自于僵尸网络控制的僵尸主机，包括银行账户、个人身份信息、电子邮件地址等。每一个类型的信息在黑市上都有数额不等的价码。而通过网络钓鱼①获得的年收入可以达到上百万美元。据卡巴斯基实验室估计，世界上80%的垃圾邮件都是通过僵尸网络发送的，在2008年，僵尸网络发送垃圾邮件的收入为7.8亿美元。[3]

僵尸网络的另一个用途是恶意使用搜索引擎优化(SEO)。网站管理员使用搜索引擎优化(SEO)来提高其网站在搜索结果中的排名，排名越高，就意味着通过搜索引擎访问其网站的用户越多。非法的搜索引擎优化价格是300美元。而由于僵尸网络控制了大量主机，还可以用来传播恶意程序和广告软件。很多提供在线广告服务的公司会为用户安装相应的软件并承担安全的费用。传播恶意程序的网络犯罪分子也使用同样的方法，为每一次恶意软件的安装付费。此外，由于网络广告的费用是按点击量结算的，僵尸网络还可以通过制造虚假点击来欺骗广告公司，从而获得大量的利润。[3]马克思的闻名世界的公式“商品—货币—商品”在僵尸网络这里变成了“僵尸网络—货币—僵尸网络”，由此造成了巨大的经济损失。例如2007年4月，北京联众公司托管在上海和石家庄IDC机房的13台服务器遭到大规模拒绝式服务攻击，致使服务器全部瘫痪，在此服务器上运行的网络游戏被迫停止服务，造成的经济损失约为3460万元。而根据犯罪学的一般原理，犯罪行为造成的实际损失远远数倍于犯罪分子的实际收益。在中国，据国家计算机网络应急处理中心估计，仅仅一个木马黑色产业链条的年产值就已经超过了2.38亿元，由此造成的损失超过了76亿元。[10]

但是，如果我们把僵尸网络放在木马产业链中时就会发现，单纯的后续犯罪行为以及损失数字还不是问题的全部。

（二）木马产业链视角中的僵尸网络

“产业链”原本是产业经济学中的概念，是各个产业部门之间基于一定的技术经济关联，并依据特定的逻辑关系和时空布局关系客观形成的链条式关联关系形态。木马产业链一词至少包含两层意思：一是木马犯罪已经实现了商业化应用，二是木马犯罪的商业化应用已经形成完整的因果链条。木马产业链标志着网络犯罪不再是早期恶作剧、炫耀式的动机，而完全成为以追求非法经济利益为目的的犯罪活动。在经济利益的驱动下，犯罪分子自发地进行犯罪方式的组合。“木马产业链”近年来在媒体中的曝光率非常高，而在互联网安全领域，木马产业链已经成为网络监管者和网络安全服务提供商的头号敌人。僵尸网络的繁盛，和木马产业链是分不开的。僵尸网络是木马产业链的下游产品，在越来越注重产业化和分工化的今天，僵尸网络从组建到实施后续操作的整个流程都不再由同一拨人完成。打一个形象化的比方，僵尸网络如同流水线上的汽车，在这条流水线上有许多道工序，一个工序可能仅负责装备轮胎等单一工作，但是各个工序的通力合作最终打造出来了成熟的产品（见图1）。

图1僵尸网络产业链

僵尸网络在世界各国都是存在运作分工的，尤其是后续的犯罪行为往往并不是由僵尸网络建立者实施的，但是，如果我们考察目前国内围绕僵尸网络的木马产业链运作水平，那么完全有理由相信，至少在这一领域，中国是绝对不逊色于网络应用程度较为先进的发达国家的。木马产业链的存在，客观上也增加了刑法介入的难度。

木马产业链的源头是木马程序，这也是建立僵尸网络的最基本条件。目前网络上有大量的程序员专门从事木马程序的编写，他们还可以根据客户的需要编写特种程序以及进行程序的升级工作。木马程序编写完毕后，以数额不等的价格卖给“包马人”。这个环节称为“木马制作环节”。“包马人”是木马产业链的核心角色，也是僵尸网络的建立者，还负责僵尸网络的维护、僵尸网络的后续犯罪行为，以及犯罪成果的变现（比如将搜集的用户账号信息转卖牟利）。如前所述，木马程序的传播和侵入，通常会采取主动攻击漏洞、邮件病毒、恶意网站脚本、特洛伊木马等多种手段，为了实现木马程序顺利进入被害者的计算机中，包马人一般会选择和“网络流量商”合作，从网络流量商处购买网页挂马等业务，将木马程序移植进用户的计算机中。这个环节称为流量交易环节。流量交易环节包括很多不良网站的站长，例如色情网站和一些个人网站，他们把访问者出卖给“包马人”，主动在自己网站“挂马”换取金钱；此外还有一些善于入侵“拿站”的黑客，他们也受雇于“包马人”，攻击访问量高同时安全性较差的各类网站，为“包马人”挂马提供平台。[11]一旦大量电脑感染木马程序，则僵尸网络宣告组建完成。包马人从此可以实施后续的犯罪行为。比如与“流氓软件商”合作强制给用户安装流氓软件、与网站服务商实施虚假点击、搜索引擎优化等。僵尸网络拥有者可能会将僵尸网络临时租借给他人，供他人实施DDoS攻击等，也会将僵尸网络卖给僵尸网络代理商，而代理商既可能自己使用，也可能专门从事僵尸网络的倒卖、出租，从而赚取其中差价或者租金，这一过程我们可以称为僵尸网络的流通环节，从整体上它仍然属于后续操作行为的一部分。流通环节其作用类似于现实生活中的物流商和掮客，它沟通了木马产业链的上下级联系，解除了僵尸网络所有者“销赃”的后顾之忧，解决了信息不对称的难题，从而保证木马产业链的维续。单纯的贩卖僵尸网络的行为，表面上看只是一个中介和中间行为，但是当我们从木马产业链的角度考察，就会发现它的社会危害性在某种程度绝不亚于僵尸网络本身。这也是本文思考的重点。

以上的介绍还不是僵尸网络的全部，因为针对每一个主干环节还可以分出若干小的产业链来。在木马制作环节，还有一类人称为“漏洞挖掘者”，他们专门负责寻找网站和应用软件的漏洞，帮助木马制作者制作针锋相对的木马程序，这一个环节被称为“漏洞交易环节”。鉴于网络游戏在国内的普及，针对网络游戏也衍生出了小的产业链来。僵尸网络控制者将搜集的用户游戏账号和密码打包卖给批发商，行话叫做“装信封”，由于信封内的信息成色不一，批发商会对信封作一次“深加工”，然后将有价值的信息再次转卖给零售商，从零售商那里购买网络游戏账号和密码的就是普通游戏玩家了。另外，在黑客和木马产业的巨大经济诱惑面前，许多人跃跃欲试，于是在木马产业链的更上游，又出现了专门从事黑客技术培训的行业来。此外，僵尸网络的触角已经不限于电脑终端了，随着3G时代的带来，上网手机也成了僵尸网络的侵害对象。[12]

总之，在利益最大化原则的驱动下，木马产业链会在纵向和横向上无限延伸开来，这就是目前国内木马产业链的全部图景。我们有理由相信，木马犯罪的水平已经远远超过了我国网络应用的水平，更有理由相信，利用刑法打击和惩处围绕僵尸网络的系列犯罪行为，已经刻不容缓。在《刑法修正案（七）》增设了新的打击计算机和网络犯罪的条款后，目前关于僵尸网络犯罪的多数环节都能找到明确的处罚依据，但是针对僵尸网络的倒卖、出租环节，笔者不无遗憾的指出，目前仍然存在立法的空白。倒卖、出租僵尸网络的危害性绝不亚于建立僵尸网络本身，因此对倒卖、出租僵尸网络的刑法解决方案，理所当然地成为本文思考和研究的重点。

三、现行刑法视野中出租、倒卖僵尸网络行为的尝试性解决方案

客观地讲，作为一个孤立个案的僵尸网络犯罪也许没有那么复杂的产业流程，但是总体而言，涉及僵尸网络犯罪的产业化程度已经到了令人瞠目结舌的地步。僵尸网络的主要危害体现在后续犯罪行为的操作上，很明显，以经济利益驱动的犯罪行为其主观恶性和客观危害都要大于恶作剧式的网络犯罪，因为在这类犯罪中犯罪分子更有发挥自己“聪明才智”的积极性和主动性。木马产业链下的僵尸网络犯罪则预示着存在网络共同犯罪的可能。应当说，僵尸网络的严重社会危害性已经引起了立法者的关注。2009年2月28日通过的《刑法修正案（七）》第九条规定，在刑法第285条中增加两款作为第二款、第三款：“违反国家规定，侵入前款规定以外的计算机信息系统或者采用其他技术手段，获取该计算机信息系统中存储、处理或者传输的数据，或者对该计算机信息系统实施非法控制，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。”“提供专门用于侵入、非法控制计算机信息系统的程序、工具，或者明知他人实施侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具，情节严重的，依照前款的规定处罚。”结合刑法原第285条和第286条的规定，制作并提供木马的行为、用木马侵入计算机信息系统的行为、控制计算机信息系统的行为以及利用被控制的计算机从事攻击他人计算机系统、侵入他人计算机系统的行为都可以获得刑法的评价，而前文介绍的“提供漏洞”、“提供流量”的行为一般情况下也可以作为共犯的帮助行为进行处罚。应当说，《刑法修正案（七）》的颁布在一定程度上严密了网络犯罪的刑事法网，但是立法者还是忽略了木马产业链的中间环节，即出租②、倒卖僵尸网络的行为。面对此类危害巨大的行为，司法者不能轻易以没有立法依据为由而放弃处罚，然而这里的疑问是，在新的立法尚未出台前，能否通过扩张解释的方式来实现打击出租、倒卖僵尸网络的权宜之计？

（一）尝试性方案：掩饰、隐瞒犯罪所得、犯罪所得收益罪的扩张适用

面对技术普及与技术扩张日益产生的技术扭曲适用，传统的罪名确实存在着滞后感，毕竟罪名的设置多数情况下是个案经验积累与总结的结果。因此，重视对于既有的传统罪名的学理解释，扩展传统罪名的适用范围，可能是面对网络空间中新型犯罪行为的一种方式，也是防治“无法”空间过大的方式之一。虽然临时的学理解释可能有所不妥，但是，只要避免陷入类推的范畴，学理解释及其引发的有效司法解释，对于滞后的刑事立法，往往是有帮助的，至少会避免刑法真空的出现或者扩大。[13]在僵尸网络中，如前所述，出租、倒卖僵尸网络类似于传统行业的物流环节，“木马侵入→建立僵尸网络→转卖（租）僵尸网络”这一过程与传统犯罪中“前犯罪行为（盗窃、抢劫等）→产生赃物→赃物的处理”的流程具有很大相似性，因此通过掩饰、隐瞒犯罪所得、犯罪所得收益罪的扩张适用来打击出租、倒卖僵尸网络的行为或许不失为现行刑法框架下的一条可行路径。

刑法第312条规定了掩饰、隐瞒犯罪所得、犯罪所得收益罪。从一定意义上讲，出租、倒卖僵尸网络，无论是收购后继续倒卖的，还是收购后自己使用或者租借给他人使用的，无论是从僵尸网络控制者手中直接收购的，还是从僵尸网络的职业贩子手中收购的，都符合掩饰、隐瞒犯罪所得、犯罪所得收益罪的客观行为方式。至于主观方面的明知因素也不难证明，因而以掩饰、隐瞒犯罪所得、犯罪所得收益罪惩处倒卖、出租僵尸网络的关键，在于僵尸网络是否是本罪的犯罪对象。

1997年刑法修订时，该罪的犯罪对象被设定为“赃物”，《刑法修正案（六）》将该罪的犯罪对象扩大为“犯罪所得及其产生的收益”。对于何为犯罪所得，理论上有不同的理解。一种观点认为，“犯罪所得，即从被害人处非法取得的物品，例如盗窃、诈骗的财物等，是犯罪分子实施犯罪行为追求的目的物。用于犯罪的工具、物品，如杀人的凶器、撬门别锁的工具、运送走私物品的车船等，不是赃物。”[14]即把犯罪所得仅限于具有物理存在形式的物品。另一种意见认为，窝藏、转移、收购和代为销售的“犯罪所得”通常都是有形的财物，不包括财产性利益。但是，如果是具有有形载体的财产性利益，例如证券、支票等，则可以对其予以窝藏、转移、收购或代为销售，此时应当属于“犯罪所得”的范围；相反，如果是不具有有形载体的财产性利益，例如提供旅游或出国的机会等，由于不能被窝藏、转移、收购或代为销售，故不能成为赃物犯罪的对象。[15]笔者认为，从《刑法修正案（六）》对该罪的修改来看，立法上是倾向于扩大该罪的犯罪对象的，从司法实践的现实需要出发，可以对本罪的“赃物”做广义的理解，但对于没有有形载体的财产性利益乃至非财产性利益，虽然有在立法上予以保护的必要，但是不占有空间，也无法被感官感知，其窝藏、转移的方式和有形财产截然不同，因而目前不宜将之纳入到赃物犯罪的对象中。不过，随着科技的发展，对于具有有形载体的财产性利益，完全可以实现与有形财产同样的控制方式，因此应当将具有有形载体的财产性利益作为掩饰、隐瞒犯罪所得、犯罪所得收益罪的犯罪对象，也就是赃物的一种表现形式。

以此为出发点，僵尸网络可以视为一种赃物。僵尸网络能够出租、转卖，表明其具有财产利益，即使该价值不被法律承认、不受法律保护，其客观价值性却是不容否定的。僵尸网络不是物理性的网络拓扑结构，出租、倒卖僵尸网络也不是出租、倒卖真实的计算机系统，它出租、倒卖的其对不特定数量的计算机系统进行操作的权利，但该权利毕竟附着于僵尸主机上，因此，将僵尸网络视为物化的权利也未尝不可。在没有更明确的法律依据之前，司法实践中可以考虑用掩饰、隐瞒犯罪所得、犯罪所得收益罪处罚倒卖、出租僵尸网络的行为。

（二）仍有缺陷；扩张解释的矛盾与不足

通过对“赃物”扩张解释的方式来满足打击出租、倒卖僵尸网络的行为，只是一种权宜之计。扩张解释仍然面临着一些无法回避的问题：其一，僵尸网络虽然可以视为一种物化的权利，但是它和有价证券这种典型的物化权利却有所不同，后者载体是权利的形式，权利是载体的内容，而僵尸网络和僵尸主机不是内容和形式的关系。其二，掩饰、隐瞒犯罪所得、犯罪所得收益罪中的赃物是犯罪所得之物，不能是犯罪所用之物（工具），也不能是犯罪所生之物，对此理论上的观点比较统一。但是，僵尸网络比较特殊：它是犯罪分子积极追求的结果，因而可以视为犯罪所得之物；犯罪分子控制僵尸网络的目的在于实施后续犯罪行为，是犯罪的手段，因而也是犯罪所用之物；僵尸网络不是自始就存在的，它是犯罪分子在他人计算机基础上建立的，因而也是犯罪所生之物。僵尸网络是犯罪制造物、犯罪追究物和犯罪所用物的统一体，这必将大大削弱其作为“犯罪所得”的性质。甚至在一定程度上讲，僵尸网络是木马侵入行为造成的客观后果，是犯罪损害的一种表现，犯罪的危害后果与犯罪所得并非一回事，僵尸网络既非犯罪所得，更非犯罪所得收益；其三，僵尸网络实际上代表了木马侵入者对计算机终端的控制关系，僵尸网络控制者出租、转卖的不是网络本身而是网络的控制权以及该控制权派生的利益，该控制权不具有独占性和排他性，它无法剥夺僵尸主机的用户对电脑的物理占有和处分，不妨碍用户本人对电脑的正常使用，在不实施其他操作的情况下也不耗费用户的网络资源。换句话说，用户资源是可以分割使用的，这与赃物犯罪中对赃物犯罪的独占性不可同日而语。

四、出租、倒卖僵尸网络行为的本质及其入罪化思路

现行刑法无法制裁倒卖、出租僵尸网络行为的情况下，增设新罪名就是极为必要的。而立法的切入点，涉及出租、倒卖僵尸网络行为的本质。

（一）出租、倒卖僵尸网络行为的本质：使用盗窃的帮助行为

笔者认为，出租、倒卖僵尸网络行为的本质，就是“使用盗窃”的帮助行为。此处的“使用盗窃”，指的是僵尸网络的后续犯罪行为。出租、倒卖僵尸网络促进了后续犯罪行为的操作，因此是使用盗窃的帮助行为。

1.僵尸网络的后续犯罪行为是“使用盗窃”行为

使用盗窃，也称盗用或一时使用，是指意图一时使用具有返还意思而移转他人财物的行为。使用盗窃是行为人非基于永久剥夺他人财物所有权的目的而使用他人财物的行为，它损害的是财物的使用权而非所有权，这一点是其和典型盗窃的本质区别。各国刑法对使用盗窃是否构成盗窃罪均存在极大争议，即使选择惩罚使用盗窃的国家，立法上也往往选择在盗窃罪之外单独规定使用盗窃的犯罪。我国刑事立法对于使用盗窃持回避态度。网络空间中，大量存在着行为人利用计算机技术，非法使用他人所有或者租用的网络带宽、网络存储空间，非法使用他人计算机的运算能力，非法使用他人的IP地址等网络资源的行为，但是，却没有侵犯他人的所有权，甚至没有给他人造成的损失的情况。这些都是较为典型的“使用盗窃”行为。在网络背景下，将针对虚拟财产的“使用”盗窃行为加以入罪化，已经迫在眉睫。而僵尸网络的后续犯罪行为，更是一种典型的、危害巨大的“使用盗窃”行为。

从犯罪对象来看，僵尸网络的后续犯罪行为可以分为两类，第一类是针对僵尸网络内部的僵尸主机，主要是窃取用户的个人信息等，第二类是针对僵尸网络之外的其他互联网用户，即除了窃取信息之外的其他犯罪行为。从行为的特性来看，僵尸网络的后续犯罪行为可以分为以下四类：一是破坏型的，即DDoS攻击，这是目前网络上最主要的攻击手段；二是窃取型的，即窃取他人电脑中的账号、数据和其他有用信息，这主要是针对僵尸网络控制的僵尸主机实施的；三是骚扰型的，即利用僵尸网络发送垃圾邮件；四是直接耗用资源型的。包括种植广告软件，点击指定的网站；利用僵尸主机的资源存储大型数据和违法数据等。

除了第二类窃取型的以外，其他三类犯罪手段本质上都是盗用网络资源的行为。以DDoS攻击为例，DDoS攻击需要产生大量的流量来拥堵被攻击者网站的带宽，而这么多的流量都来源于僵尸主机的系统和网络资源，最直接的体现是用户感觉到电脑运行速度极其缓慢。研究表明，小规模的僵尸网络也可以产生很大的流量，[16]可见DDoS攻击对僵尸主机系统资源的窃用是非常惊人的。发送垃圾邮件需要在僵尸主机上设置sockv4、v5代理，种植广告软件会非法占有僵尸主机的硬盘空间，网络钓鱼通常利用僵尸主机来搭建钓鱼网站的服务器和内容存储器，因此从僵尸网络的角度讲，网络钓鱼也是耗用资源型的犯罪活动。

对于运营商来说，僵尸网络最大的危害是对网络流量的大量吞噬。为了满足业务发展的需要，运营商不断扩容和改造已有的网络，投入了大量人力、物力建设和维护网络。而一次网络攻击就可以轻而易举地将运营商的网络带宽消耗掉。此外，僵尸网络还会影响运营商新业务的开展。例如，僵尸网络消耗了大量流量，使得用户不能正常使用视频等高带宽业务。而用户出于保护个人信息的目的，会选择少上网甚至不上网，反过来又造成运营商的网络资源的极大浪费。[17]

2.出租、倒卖僵尸网络：危害更大的“使用盗窃的帮助行为”

僵尸网络的危害性之所以受人关注，正是因为它能够集中而且成规模地盗用他人的计算资源和系统带宽。僵尸网络不会造成计算机系统的物理损坏，不剥夺他人对计算机系统的物理控制，事实上也无法剥夺。随着用户安装的杀毒软件和反木马软件的升级，或者用户重装操作系统，隐藏在用户电脑中的木马程序最终可能会无所遁形，导致僵尸网络的瓦解，因此僵尸网络对用户电脑资源的控制和窃用不是永久的，然而僵尸网络占有和使用的资源本身却是具有经济价值和利益的，这也是僵尸网络能够作为商品在网络上进行出租、交易和倒卖的缘故。

过去网络中的使用盗窃主要是直接使用，比如非法占用他人的网络空间和网络带宽、盗用上网信号、盗用网络流量和上网账号，以及盗用运算能力和存储空间等。而出租、倒卖僵尸网络则是一种间接的使用盗窃，更确切说是使用盗窃的帮助行为。出租、倒卖僵尸网络者，如果租用、收买僵尸网络的目的是供自己使用，则对于收买僵尸网络者按照其后续犯罪行为直接处罚，这里的收买与使用是前行为与后行为的关系；如果收买、租用僵尸网络的目的是再次出售、再次出租，那么这种出售、出租僵尸网络的行为在性质上就属于使用盗窃的帮助行为。对此有必要明确以下三点：

第一，僵尸网络的后续行为即“使用盗窃”（即使用“僵尸网络”的行为）本身是犯罪行为。虽然我国刑法没有明确规定“使用盗窃”是犯罪，但是僵尸网络的使用盗窃在多数情况下仍然可以依照刑法处罚。以最为典型的DDoS攻击为例，目前国内有据可查的司法案基本都是按照破坏计算机信息系统罪对当事人提起公诉或依法宣判的。至于盗窃僵尸主机内的游戏账号、网银账号等行为，《刑法修正案（七）》增加了相关的罪刑规范之后，以《刑法修正案（七）》第9条处罚盗窃网络游戏、网银的账号、密码并出售牟利的案例也已经出现。[18]也就是说，虽然没有直接冠以“使用盗窃”的名号，这并不妨碍使用僵尸网络的“使用盗窃”行为以其他方式被认定为犯罪。

第二，出租、出售僵尸网络是使用盗窃的“帮助行为”，但是，却未必是使用盗窃的“帮助犯行为”。帮助行为与帮助犯行为不是同一个概念。前者是从行为的性质以及在犯罪中的客观作用来说的，而帮助犯行为是从共同犯罪的角度而言，帮助犯与正犯相对，是共同犯罪中的概念。帮助行为的外延大于帮助犯行为，更多的是从行为的社会分工意义来表述的。明确这两个概念的意义在于，出租、出售僵尸网络尽管是为他人犯罪行为提供犯罪工具和手段的行为，但是在许多情况下无法以共同犯罪处罚（欠缺主观要件），这也是需要对于出售僵尸网络的危害行为加以单独入罪化的原因之一。应当说，《刑法修正案（七）》增设计算机犯罪相关条款的目的之一，是为了应对僵尸网络及其关联犯罪。从具体法条的设置来看，《刑法修正案（七）》主要解决的是初始控制行为，但是却忽视了对于最终使用者和中介者法律责任的评价，尤其是对于中介者的法律责任，目前根本无法评价。具体而言，最终使用者从事其他犯罪的，可以按照其他犯罪来定罪处罚，如果只是单纯控制的，最终使用者勉强可以按照《刑法修正案（七）》第9条中规定的“非法控制计算机信息系统罪”来定罪处罚。但是，在通常情况下，尤其是在僵尸网络多次转手时，僵尸网络的最终使用者与初始控制者之间没有共犯关系，因此，对于“最终使用者”如果按照《刑法修正案（七）》第九条的“非法控制计算机信息系统罪”来定罪，至少在解释论上是比较勉强的，因为此时行为人只是一个单纯的网络使用者，只是享用了临时性的网络控制权，而且此种控制权也不是行为人本人所建立起来的。至于中介者，也就是转租、倒卖僵尸网络的人，他只是在僵尸网络的最终使用者和初始控制者之间转租、倒卖僵尸网络的控制权，如果他与僵尸网络的最终使用者、初始控制者之间不存在共犯关系，那么在目前的刑法体系内是无法评价的；既然特定情况下中介者和最终使用者有犯意勾通，但是，如果最终使用者只是使用非法僵尸网络进行不违法的操作，由于“使用盗窃”的行为没有入罪，此时仍然无法打击最终使用者，作为共犯的中介者当然也就无法评价其刑事责任。

第三，出租、倒卖僵尸网络的危害性绝不逊色于后续犯罪行为，甚至远大于后者。出租、倒卖僵尸网络是帮助行为，帮助行为在传统犯罪中是从犯行为，帮助行为的危害性要小于正犯行为。但在网络空间中，帮助行为产生的反社会能量往往超过了正犯。这正源于网络犯罪产业链的能量递增作用和传导作用。“犯罪产业链”一词容易使人产生误解，以为产业链的上、下级是单个主体的联系，实际上并非如此。因为在网络犯罪产业链的每一个级中，上、下环节之间不是“一对一”的关系，而是“一对多”的关系，假如建立僵尸网络者有十个人，倒卖、租后再次转租僵尸网络的人就可能有上百个，最终使用僵尸网络的人则可能有上千个，僵尸网络被实际倒卖和使用的次数可能会更多，因此真实的犯罪产业链实际上是发散性的扇形结构。在这样的扇形结构上，帮助行为处在正犯行为的上游，帮助犯对正犯来说不仅仅是促使和辅助的作用，缺失了帮助环节，正犯行为可能就无法实施，这是网络犯罪与传统犯罪的一个显著区别。多数倒卖、租后再次转租僵尸网络的人面对的都是一个人数不确定的群体，这些群体会将他们从倒卖者、出租者那里获得的僵尸网络控制权和使用权直接转化为危害巨大的犯罪行为，而且从理论上讲，对僵尸网络的使用可以无限进行下去。尽管从每一个独立的犯罪行为看，帮助犯的危害性不如正犯行为大，但是从另一个角度看，倒卖、租后再次转租僵尸网络的行为可能催生了无数的犯罪实行行为即正犯行为，他在某种程度上理应为这无数的正犯行为承担相应的责任，其总体的社会危害性将轻而易举地超过单个正犯的危害性。

如果用一个更加形象化的例子来说明，一个僵尸网络产业链就像一棵树。侵入和控制僵尸网络的行为是树根，倒卖、租后再次转租僵尸网络的行为是树干，从树干上延伸出了无数的小枝干和枝叶，也就是后续犯罪行为。枝叶的繁茂离不开树干的营养输送，后续犯罪行为的发达也离不开倒卖、出租行为导致的僵尸网络的加速流通，后续犯罪行为在一定程度上都可归责于倒卖、出租行为。

（二）出租、倒卖僵尸网络行为的入罪化思路

与其他所有的网络帮助犯一样，倒卖、租后再次转租僵尸网络在木马产业链的整个后续犯罪行为中，才是真正的“蛇”之“七寸”所在，因此，“打蛇打七寸”，对倒卖、租后再次转租僵尸网络的行为进行专门刑法规制的必要性，不但远远大于后续犯罪行为，也丝毫不亚于构建僵尸网络者的初始犯罪行为（侵入并控制）。在网络空间中，“共犯行为”的危害性超越“正犯行为”的危害性，是现实也是一种趋势，因此，“共犯行为的正犯化”处理，是应对网络犯罪的一种立法趋势。为了更好地惩处倒卖、租后再次转租僵尸网络这类帮助行为，沿着“共犯行为的正犯化”这一思路，应当在刑法中专门规定倒卖、租后再次转租僵尸网络或者类似行为的刑事责任，以此来将刑法的打击着力点前移，逐步向上游延伸。实际上，《刑法修正案（七）》关于网络犯罪的条款设计在整体上也是遵循这一思路的，例如，将提供专门用于侵入、非法控制计算机信息系统的程序、工具的行为独立化为新罪，就是将一种帮助行为加以独立入罪化的模式。如前所述，“使用盗窃”是一种非法使用网络资源的行为，那么，倒卖、出租僵尸网络就是非法提供网络资源的行为。因此，在将来刑法再次修订时，专门增加“非法提供、使用网络资源罪”来打击出租、倒卖僵尸网络的行为和涉及网络“使用盗窃”的其他相关行为，是极为必要的。

注释：

①网络钓鱼是通过发送垃圾邮件骗取用户个人信息，以及建立假冒的银行网站、证券网站诱骗用户的银行、证券交易账号和密码的犯罪行为。

②需要说明的是，出租僵尸网络尽管只是临时性地出让僵尸网络使用权，但是其行为本质与客观危害都与倒卖僵尸网络的行为没有显著差别。然而，如果是僵尸网络的构建者自行出租该网络的，此类行为属于非法控制计算机信息系统罪的事后不可罚行为，此种行为不在本文关注的视野之内；但是，如果是他人租用后再次转租的，例如网络空间中较为普遍的租后加价转租的现象，则应当考虑其刑事责任问题，这是本文中思索的重点。因此，本文中的“出租”，指的不是僵尸网络构建者的自行出租行为，而是“租后再次转租”的行为，为了行文叙述的方便，一概简称为“出租”。

【参考文献】

[1]百度百科.僵尸网络[EB/OL].http://baike.baidu.com.view/297306.htm.

[2]袁春阳，徐娜，王明华.僵尸网络的类型、危害及防范措施[J].现代电信科技，2009(4):17-24.

[3]YuryNamestnikov.TheeconomicsofBotnets[EB/OL].2009-07-22http://www.viruslist.com/en/analysis?pubid=204792068.

[4]金双民，郑辉，段海新.僵尸网络研究概述[J].中国教育网络，2006(6):51-54.

[5]安全中国网.僵尸网络成为网络安全最严重危害之一[EB/OL].2009-05-21http://cio.ccw.com.cn/hydt/htm2009/20090521_628838.shtml.

[6]叶子.僵尸网络的发展历程及研究现状[EB/OL].2008-03-10http://www.net130.com/CMS/Pub/network/network_manage/2008_03_10_63207.htm

[7]周永林，王明华.我国大陆地区数万台计算机被黑客控制成为僵尸网络[J].信息网络安全，2008(7):5-8.

[8]杨虞波罗.519断网案告破：少年花28万租81台私服发起攻击[EB/OL].2009-07-15http://game.people.com.cn/GB/48644/48662/9658569.html.

[9]古丰.网易独家调查519断网事件掀出上百亿网络黑社会[EB/OL].2009-06-05http://www.xnuol.cn/article/200906/1163.html.

[10]互联网.巨大经济利益助长黑客猖狂[EB/OL].2008-03-01http://www.hack371.com/news/8183.html.

[11]杨国强.还原黑色木马产业链全国至少有400万台“肉鸡”[N].第一财经日报，2009-03-19(3).