内容提要：分布式拒绝服务（DDoS）攻击是网络犯罪的常见方式之一，但近年来对其法律适用不乏争议。在行为类型上，DDoS攻击属于干扰型破坏，具有与删除、修改、增加等实质型破坏不同的行为特征，应当独立认定；并应当根据技术原理，对泛洪攻击、反射攻击、应用层攻击等不同DDoS攻击手段的行为危害性进行分类评价。在危害结果上，对计算机信息系统可用性的损害应当包含设备可用性、软件可用性、用户可用性多个层次，高延迟率、高掉线率导致系统核心功能使用价值大幅减损，严重损害用户可用性的，应评价为不能正常运行。在因果关系上，对同时存在多个攻击源的，只要证明被告人DDoS攻击的流量峰值、并发用户数量等达到攻击目标的最高承载量，即可认定因果关系的成立；黑洞机制等防御行为的介入不影响结果归责。在罪量评估上，对于既遂犯，应当以实际影响用户数量、经济损失数额等作为“后果严重”的入罪标准；对于高度危险的DDoS攻击未遂犯也应当处罚，但需要综合考量攻击流量、攻击次数、攻击对象等因素，合理限制未遂犯的刑事处罚范围。

　　DDoS攻击（Distributed Denial of Service Attack，分布式拒绝服务攻击），是目前网络黑客攻击中最为常见的方式之一，具有高危害、难防御、易实施等特征。攻击者通过远程控制多个计算机系统（也被称为“肉鸡”），对特定目标进行集中访问，致使目标服务器断网或资源用尽，最终停止提供服务。就危害结果而言，DDoS攻击除直接导致计算机信息系统无法正常运行外，有时还会产生严重的间接后果，“攻击对象如果是政府类网站，则会造成严重的政治影响；攻击对象如果是游戏网站，则会造成游戏公司用户的流失；攻击对象如果是电商网站，则会直接影响线上交易和公司收入；攻击对象如果是国家的关键基础设施，那后果更是不堪设想”。譬如，2016年的一起DDoS攻击事件中，攻击者控制了超过60万个物联网设备进行攻击，攻击流量高峰超过1.2Tbps，直接造成亚马逊网站等上千家网站无法访问，美国东海岸大规模断网3小时以上，以及利比亚全国断网等严重后果。近年来，我国境内的DDoS攻击事件数量也显著增多，规模持续扩大，手段快速迭代。据有关部门统计，2020年我国共遭受DDoS攻击15.2万余次。在2024年第3季度的全球DDoS攻击监测中，我国成为全世界遭受DDoS攻击次数最多的国家。

　　但是在刑事立法上，我国刑法相关罪名规范存在滞后性问题。由于DDoS攻击手段出现时间较晚，第一例广为人知的DDoS攻击事件发生在1999年8月。因此1997年我国刑法修订增设破坏计算机信息系统罪时，无法预见新型网络攻击手段的出现，这就导致以DDoS攻击为代表的干扰型攻击和删除、修改、增加等攻击方式，在立法罪状与刑罚设置上并没有被明确区分。通过DDoS攻击，致使某公司的十台电脑数小时内无法上网；与通过传播CIH计算机病毒，导致同一公司的十台电脑主板基本输入输出系统（BIOS）被破坏，硬盘数据全部丢失，主机无法启动，均属于造成10台以上计算机信息系统的主要软件或者硬件不能正常运行，但是两者的法益侵害性并不完全相同。究其原因，是因为在底层逻辑上，破坏计算机信息系统罪的立法设置所针对的主要是早期的计算机犯罪，而非网络时代、智能时代的数字犯罪。“旧瓶装新酒”的模式虽然可以暂时应对新型网络犯罪无法可依的问题，但是并不能完全隐藏立法的体系性缺陷和保护重心错位等问题隐患。

　　在刑事司法上，DDoS攻击由于涉及相关网络攻击的网络原理、技术术语、行业规则等专业知识，而司法人员在相关知识上储备不足、本领恐慌，进一步增加了法律适用的难度。这在实务中突出表现为：一是定性分歧大，有研究者分析了2015年至2019年涉及DDoS攻击认定的120件公开裁判文书，发现有65起案件认定为破坏计算机信息系统罪，有49起案件认定为非法控制计算机信息系统罪，有6起案件认定为提供侵入、非法控制计算机信息系统程序、工具罪，案件定性缺乏普遍共识。在罪数形态认定上也存在重大分歧，类罪不同判的问题较为突出。二是因果关系证明难，最高司法机关在其发布的典型案例中也坦承，“DDoS攻击类案件办理存在的技术溯源难、因果关系证明难”等问题，特别是多因一果问题，实务中经常只能证明部分攻击由被告人控制“肉鸡”实施，但往往还有不能查明来源的其他网络攻击。对后者，有的法官按照存疑有利于被告人原则，只追究了其非法控制“肉鸡”行为的责任；有的法官虽然认定为具有因果关系，但并未在判决书中说明理由。三是罪量标准不适配。2011年最高人民法院、最高人民检察院《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》（法释〔2011〕19号，以下简称《计算机犯罪解释》）虽然对破坏计算机信息系统罪等犯罪设置了罪量标准，但总体上较为笼统粗疏，导致刑法规定中“不能正常运行”的界定缺乏可供量化的具体标准，而且在“后果严重”的情形设置上也没有充分考虑干扰型破坏的特征，缺乏证据获取的可操作性，上述因素叠加使得基层司法人员办理DDoS案件的难度激增。

　　针对上述问题，有必要融通技术规范和法律规则，用“本土资源”解决“本土问题”。笔者通过北大法宝收集到2005年至2024年近20年来正文含有“DDoS”或“流量攻击”的公开刑事裁判文书246篇。经逐一核对后，发现其中实行行为涉及DDoS攻击的有效文书有212篇。在实证分析基础上，本文力争对DDoS攻击的犯罪构成要件进行系统化的教义学解读，以部分解决DDoS攻击类案件办理中犯罪认定所面临的认识分歧和操作难点。

　　目前，司法实务中对DDoS攻击案件的行为性质、手段类型和关联行为之间的关系都存在一定争议，亟待基于技术原理形成刑法教义学上新的共识。

（一）DDoS攻击实施阶段的干扰行为特性

　　一般认为，DDoS攻击属于干扰计算机信息系统功能的行为，以占用资源的方式影响系统功能的运行，进而危害计算机信息系统的可用性。人民法院案例库案例中的张某破坏计算机信息系统案（2024-02-1-254-001）的裁判要旨也提出，行为人采用DDoS攻击方式，对计算机信息系统功能进行干扰，造成计算机信息系统不能正常运行，后果严重的，以破坏计算机信息系统罪论处。对此在理论上并无太大争议，但是对干扰行为的文义和性质则存在不同理解。

　　独立手段说认为，干扰在计算机术语中有其特定含义，如在通信学中干扰是指通过技术方式削弱或破坏敌方无线电通信效能，不应将其与日常生活话语中的干扰一词等同。对刑法第286条第1款干扰的认定，应当按照同类解释，认为干扰是与同一条款中删除、修改、增加（以下简称“删改增”）并列的行为样态，有其单独的行为外观，干扰的方式包括外挂程序、拦截信号、干扰信息传输等，但不包括在系统外部采用物理方法进行扰乱。

　　其他手段说则认为，干扰行为泛指其他破坏手段。如立法机关工作人员在刑法释义中就提出，“‘干扰’是指用删除、修改、增加以外的其他方法，破坏计算机信息系统功能，使其不能正常运行”。其他手段说有利于大幅扩大刑法第286条第1款的犯罪圈，解决实务中部分计算机案件难以入罪的障碍。但是，如果干扰的含义是其他手段，那为何刑法第286条不直接采取删除、修改、增加或其他手段的立法表述呢？这种解释实际上模糊了干扰的内涵，其后果是导致干扰行为的司法认定泛化。因为任何手段都可以评价为其他干扰手段，实际上是将干扰行为视为破坏计算机信息系统的兜底行为，“这样一来，在刑罚设置上属于重罪的破坏计算机信息系统罪成为一种门槛极低的罪名，背离了立法设置初衷”。

　　本文持独立手段说的观点，认为对刑法第286条第1款的干扰一词应作限缩解释，需要充分认识到以DDoS攻击为代表的干扰型破坏与传统的删改增型破坏“形似而质异”，两者具有重大区别。具体而言：

　　首先，干扰型破坏不以侵入被攻击对象为前提。有学者认为，破坏计算机信息系统功能的行为，需要行为人在不法侵入计算机信息系统内部后，再对系统的功能进行破坏，亦即《刑法》第286条的干扰行为以侵入为前提，会同时侵害被攻击的计算机信息系统的机密性和可用性。但是在技术原理上，DDoS攻击等干扰行为无论采取何种攻击手段，多数情况下无需侵入攻击对象的计算机信息系统，只危害计算机信息系统的可用性；而删改增型破坏行为则相反，多数情况下以侵入计算机信息系统为前提，除了对计算机信息系统可用性造成侵害外，同时还会侵害到机密性、完整性，对计算机信息系统安全法益的侵害维度更加多元。

　　其次，干扰型破坏具有暂时性特点。据国家计算机网络应急技术处理协调中心（以下简称“国家互联网应急中心”）统计，2021年上半年我国遭受的大流量DDoS攻击中，攻击时长30分钟以下的攻击事件占比达96.6%。干扰结束后其危害结果会立即或在短时间内自动消除，因此也有学者将破坏计算机信息系统罪的干扰行为解释为“非永久性变动计算机信息系统功能的行为”。而删改增型破坏行为一旦既遂，造成计算机信息系统无法正常运行的后果，非经人工干预和修复外，危害结果会一直存在，并持续产生法益侵害。因此从对破坏计算机信息系统可用性的侵害程度来看，一般而言，删改增型破坏对可用性的侵害持续时间比干扰型破坏更长。

　　再次，干扰型破坏通常采取分布式的攻击方式，不仅会危害攻击对象，往往还会导致其他危害结果，出现负面效果的溢出效应。如攻击云服务器上的某应用，除攻击目标外，可能还会导致同一服务器承载的其他信息系统无法正常运行。有的干扰行为还会影响网络带宽，对网络运行安全也会产生直接或间接威胁。而删改增型破坏行为多采取的是一对一的精准攻击方式，行为人的攻击对象和客观上的犯罪侵害对象一般具有同一性。

　　最后，干扰型破坏证明难度更大。删改增型破坏的实行行为由于以侵入攻击对象为前提，因此在被害人报案后，侦查机关对被害人的计算机信息系统进行入侵痕迹溯源，就能较快确定犯罪嫌疑人。而在高级的DDoS攻击中，攻击链由攻击端→控制端→代理端→受害者组成，网络黑客在客户端（client）通过操纵控制傀儡主机（handler）对数量众多的傀儡主机（agent）发布攻击命令，在造成危害结果后，侦查机关的逆向侦查和司法机关的正向证明的难度都将指数型提升。只要攻击端对控制端的指令行为、控制端对代理端的控制行为、代理端对被攻击对象的攻击行为，这三层关系中的任一行为证据不足都可能导致无法成功指控被告人。

　　综上所述，建议将破坏计算机信息系统功能的犯罪分为干扰型破坏（或称“扰乱型破坏”）和删改增型破坏（或称“实质型破坏”）两种犯罪类型。在比较法上，部分地区在刑事立法中也将干扰行为和其他破坏计算机信息系统的行为作为不同的罪名分别定罪量刑，前者在刑罚严厉性上一般略低于实质型破坏。未来如条件成熟，在刑法修改时也应对两者在刑罚上进行区分。而在立法修改前，应充分发挥司法解释的功能，对干扰型破坏和删改增型破坏设置不同罪量标准，并在准确识别DDoS攻击类型的基础上，适当简化干扰型破坏的证明模式，以实现对DDoS攻击的依法有效惩治。

（二） DDoS攻击的主要类型和评价指标

　　当前在实务中普遍存在一个误区，就是将所有的DDoS攻击都简单化理解为一种攻击手段。而实际上DDoS攻击有着众多的攻击手段。如果缺乏对其攻击手段的全面掌握，既可能导致司法人员对DDoS危害行为的识别判断出现偏差，也会导致司法解释罪量设计中存在以偏概全等问题。在技术原理上，传输控制协议/网际协议（TCP/IP协议）是计算机网络中最基本的通信协议，自下而上分别是数据链路层、网络层、传输层、应用层，DDoS攻击主要集中在后三层。攻击行为使用的TCP/IP网络协议栈层不同，攻击所消耗资源的也不同。本文结合实务中的案件类型，将DDoS攻击在犯罪类型上分为网络传输层的泛洪攻击、反射攻击和应用层的服务消耗攻击三个类型。

1.网络传输层的泛洪攻击

　　网络传输层的DDoS攻击是一种较为原始的DDoS攻击方式，主要是利用TCP/IP协议中网络层、传输层的缺陷，操纵大量肉鸡进行攻击，依靠流量攻击消耗目标网络带宽和服务器资源，进而达到攻击目标不能正常运行的目的。由于这种攻击通过大量肉鸡不停对特定目标发送大量数据，就像洪水泛滥一样，淹没了正常的用户访问，因此在网络安全术语上也形象化地称为泛洪攻击（Flood Attack）。该类攻击手段占到2005年至2024年DDoS攻击案件相关公开裁判文书样本的80%以上，仍是目前最常见的攻击类型。

　　TCP/IP协议中第2层网络层的常见攻击方式包括互联网控制报文协议洪水攻击（ICMP Flood攻击）、地址解析协议攻击（ARP Flood攻击）、网际协议分片攻击（IP分片攻击）等手段。以ICMP Flood攻击为例，这种攻击不需要依赖任何系统漏洞，但由于这种攻击指令的请求流量和回复流量相差不大，因此攻击需要控制一定数量规模的肉鸡，才能产生足够的攻击流量耗尽目标服务器资源。

　　TCP/IP协议中第3层传输层的网络泛洪攻击的种类和数量相比第2层网络层明显增多。主要分为两个子类：一类是基于TCP协议（传输控制协议）的DDoS攻击，所利用的是TCP协议在网络通讯中只有完成全部“三次握手”才能建立连接，因此攻击者控制大量肉鸡向攻击对象只发送第一次握手的同步序列编号报文（SYN报文，称为SYN DDoS攻击）；或只发送第二次握手的同步序列编号—确认字符报文（SYN-ACK报文，称为SYN-ACK DDoS攻击）；或只发送第三次握手的确认字符报文（ACK报文，称为ACK DDoS攻击）。被攻击的服务器忙于响应大量的没有确认建立的连接，不断回复RST报文报错，就会耗尽服务器资源，导致无法正常提供服务。如周腾破坏计算机信息系统案中，2015年4月21日被告人攻击汇元网公司服务器就采取了SYN DDoS等攻击方式，涉及攻击源近3.8万个，导致汇元网网站瘫痪，该网站有效的实名注册用户为11万余户，造成经济损失1.1万余元。周腾因犯破坏计算机信息系统罪，被判处有期徒刑五年。

　　另一类是基于用户数据报协议（UDP协议）的DDoS攻击，所利用的是UDP协议无需建立连接就能传输数据的特点。攻击者直接将大量UDP包发给目标系统的服务端口，消耗目标系统链路容量。当攻击对象的计算机端口收到了足够多的UDP数据包时，系统就会瘫痪。比如张某破坏计算机信息系统案，2007年12月4日至2008年1月8日间，张某发送大量UDP数据包堵塞新浪公司服务器的UT服务，攻击时间在465分钟以上，造成新浪公司在全国各地的多台服务器无法正常运行和对外提供网络服务，经济损失数额19.6万余元。张某因犯破坏计算机信息系统罪，被判处有期徒刑一年六个月。

　　对于网络传输层的泛洪攻击，无论是基于IP协议、TCP协议还是UDP协议的泛洪攻击，都需要控制大量肉鸡发动攻击，肉鸡数量越多，攻击力越强，发动DDoS攻击成功的可能性就越大。因此应当将肉鸡数量、攻击时长、攻击流量数作为危害行为危害性评价的重要依据。在案件办理中，如果能够查明攻击流量峰值的，可以直接以该指标作为判断标准；如果无法查明攻击流量的，可以按照G行为危害性=肉鸡数量×攻击时长进行评估，将其作为DDoS攻击行为危险性的判断标准。

2.网络传输层的反射攻击

　　网络传输层的反射攻击属于泛洪攻击的一个变种。迄今为止，最大的拒绝服务攻击基本都采用了反射攻击的方式。常见的UDP协议中的域名解析协议（DNS协议）、网络时间协议（NTP协议）、简单服务发现协议（SSDP协议）等，都可以被用来进行DDoS反射攻击。在案例库中，有7件案例中明确记载使用了反射型DDoS攻击手段，占到总样本的3.3%。

　　在反射攻击中，黑客利用UDP协议无需建立连接就能传输数据的特点，不直接攻击目标服务器，而将报文源的IP地址伪造成想要攻击的目标服务器IP地址，向有开放服务的服务器发送请求报文，开放服务的服务器会将数倍于请求报文的回复数据发送到想要攻击的目标服务器，从而完成DDoS攻击。这种做法既可以掩盖攻击的原始来源，同时比直接攻击的效率更高，将请求报文的应答报文数量放大若干倍以上，从而造成更加严重的服务器资源损耗。如金某破坏计算机信息系统案中，2017年4月，被告人金某向刘某付费购买攻击服务，刘某于同年4月30日、5月2日多次攻击重庆麦络科技有限公司网站（该网站用户数量近5万），攻击的方式主要是NTP反射攻击，放大访问流量到1000倍，最终造成该公司服务器累计超过2小时不能正常运行。金某因犯破坏计算机信息系统罪，被判处有期徒刑三年、缓刑三年。

　　就取证而言，反射型DDoS的取证难度显著增大，比如某案件中侦查机关委托国家互联网应急中心协助分析，但最终技术部门只能“初步判断为反射攻击，无法进一步定位真实攻击源地址”，难以锁定犯罪嫌疑人。同时，由于存在放大倍数，单纯的控制肉鸡数量不足以证明攻击行为的危害程度。譬如，同样是DDoS反射攻击，在相同的肉鸡数量和攻击时间下，采用字符发生器协议（Chargen）反射攻击的放大倍数在技术上可达358.8倍，但是采用网络基本输入/输出系统协议（NetBIOS）反射攻击在技术上只能达到3.8倍，前者的总的攻击流量放大后可能是后者放大后的近百倍。因此除了查证肉鸡数量外，还需要了解反射攻击原理和放大倍数，才能证明DDoS攻击的整体危害程度。对反射型DDoS攻击的危险性判断标准，应该修正为G行为危害性=肉鸡数量?攻击时长?反射攻击放大倍数，进而准确判断行为的危害性。

3.应用层的服务消耗攻击

　　近年来针对应用层的DDoS攻击也有增多趋势。早先有第三方统计，网络攻击的98.34%是面向基础架构的，只有1.66%的攻击是针对应用层的。但是近年来，针对应用层的DDoS攻击显著增多，有报告显示在对阿里云的DDoS攻击中，应用层的攻击占到攻击数量的46%，接近半数。在本文的案例库中，有27件案例中明确记载使用了CC攻击手段，占到总样本的12.7%。

　　应用层攻击（Challenge Collapsar Attack，以下简称“CC攻击”）是应用层HTTP DDoS攻击的别名，最初意为绕过著名的反DDoS安全产品Collapsar而发展出来的一种攻击手段。其通过模拟大并发用户量，访问需要消耗较多资源的动态页面或数据接口，以达到耗尽服务资源的目的。实务中有的司法人员认为针对应用层的CC攻击不属于DDoS攻击，实际上犯了望文生义的错误。在裁判文书中，可以看到不少法官经常误将CC攻击与DDoS攻击并称，将包含关系的词汇错误按照并列关系表述，看似是语法错误，但实质上暴露出司法人员对相关技术知识存在认知盲区。

　　一般而言，CC攻击的攻击效率较高，能够利用有限的资源通过少量计算机发起危害较大的DDoS攻击。这是因为不同于网络传输层的DDoS攻击，应用层DDoS攻击已经完成了TCP的三次握手，建立了有效连接，导致当前的硬件防火墙对应用层DDoS攻击的防御作用相对有限。在攻击方式上，CC攻击又可分为代理CC攻击和肉鸡CC攻击。代理CC攻击是黑客借助代理服务器生成指向受害主机的合法网页请求，而肉鸡CC攻击是黑客使用攻击软件，控制大量肉鸡模拟正常用户访问网站，从而耗尽攻击对象资源。例如，王某等破坏计算机信息系统案中，2016年5月，王某通过QQ聊天工具联系被告人吴某对太原市政府网站进行攻击，被告人吴某购买CC攻击软件，模仿多人同时进入网站，造成网络拥堵，致使太原市政务外网140余个政府部门网站长时间不能正常访问。王某、吴某因犯破坏计算机信息系统罪，均被判处有期徒刑九个月。

　　应用层的CC攻击主要消耗的是服务资源，使网络应用服务端的服务器始终忙于处理黑客发起的高消耗型业务请求，而无法对正常用户的业务请求进行响应，但一般不会对带宽和协议栈处理能力造成巨大威胁。因此在危害性评价上，对CC攻击不能简单按照攻击流量进行判断，至少不应当将CC攻击的攻击流量与网络传输层泛洪攻击的攻击流量进行跨类别横向比较。建议通过勘验被攻击服务器的网站日志，查明攻击者IP及其所控制的肉鸡IP对服务器的高消耗型业务的请求数量（简称“不正当请求数量”），如服务器查询请求数量、下载请求数量等，进而将G行为危害性=不正当请求数量?持续时间，作为判断CC攻击危害行为的核心指标。

　　此外，混合攻击的DDoS攻击数量在案例中也占一定比例。因为对于攻击者而言，其更在意能否达到预期的攻击效果，通过多种DDoS手段进行攻击，攻击对象更加难以防范，攻击的成功率更高。随着网络黑灰色产业链的快速发展，现在许多攻击软件均带有多种攻击指令，可以同时实施网络传输层的泛洪攻击、反射攻击和应用层的服务消耗类攻击。如在冼某、张某等破坏计算机信息系统案中，就采用了多种攻击手段。网吧经营者冼某、邹某为了打击竞争对手，雇佣黑客张某以60元每小时的价格对多家网吧进行DDoS攻击，张某采取混合攻击方式，仅2015年4月29日就使穿越时空网吧TCP被攻击2711次、UDP被攻击6939313次、DNS被攻击2次，其他被攻击190次。对于采取混合攻击的，其危害性更大，在量刑上也应作为酌定从重情节予以考量。

（三） DDoS攻击行为和关联行为的定性

　　DDoS攻击行为是一种由复杂危害行为构成的犯罪类型。在技术实现上一般分两个阶段：第一阶段是攻击准备阶段，获取大量被控制的计算机信息系统作为“肉鸡”，同时获知攻击对象的IP地址；第二阶段是攻击实施阶段，对被控制的“肉鸡”发动攻击指令，向指定目标发动攻击。有的DDoS攻击还会有第三阶段，在攻击结束后对被攻击对象进行敲诈勒索，以实现其牟利目的。对DDoS攻击行为及其关联行为的定性和罪数认定往往是诉辩争议的焦点。

图1　 DDoS攻击行为和关联行为的关系

1. DDoS攻击中第一阶段和第二阶段的关系

　　一般认为，DDoS攻击的前两个阶段中，攻击准备阶段的行为涉嫌非法控制计算机信息系统罪，攻击实施阶段的行为涉嫌破坏计算机信息系统罪。在同时满足两罪罪量标准的情况下，实务中按照非法控制计算机信息系统罪定罪的有之，按照破坏计算机信息系统罪定罪的有之，数罪并罚的亦有之。究其原因，这与“现有的网络犯罪罪名之间存在相互交错”有关，本身“非法控制计算机信息系统罪与破坏计算机信息系统罪的关系就存在争议，二者属于交叉关系还是并列关系并无定论，这造成司法实践中同类行为的定性极不统一”。

　　有少数论者主张，该行为属于短缩的二行为犯。但如果按照短缩的二行为犯处罚，只要以实施第二个行为为目的，实施了第一个行为就应以犯罪既遂论处。亦即，在DDoS攻击中，行为人只要为干扰型攻击非法控制了“肉鸡”，就构成破坏计算机信息系统罪的既遂，这显然突破了刑法第286条第1款中造成计算机信息系统不能正常运行的危害结果限制，将最多构成破坏计算机信息系统罪预备犯的按照既遂犯处罚，这种主张显然缺乏合理性。

　　多数研究者主张适用牵连犯的处断原则，择一重罪处断。如典型案例周雄峰破坏计算机信息系统案的裁判要旨，就明确提出“攻击前后两个阶段的行为均系在同一个犯意支配之下有预谋、分步骤地实施，属于手段和目的的牵连，无需数罪并罚，而是依照牵连犯的处断原则，择一重罪处罚”。

　　但是笔者认为，DDoS攻击中控制行为和攻击行为以吸收关系认定更为适宜。理由如下：一是从DDoS攻击的定义和技术原理可以得知，获取“肉鸡”的非法控制行为是DDoS攻击破坏行为的必经阶段，满足吸收关系的基本要求；二是控制行为和攻击行为虽然分别侵害了计算机信息系统安全中的机密性和可用性，但是其侵害的法益都属于计算机信息系统安全的范畴，危害同一类保护法益；三是作为常见的网络犯罪手段，按照吸收犯原则，可以作出按照破坏计算机信息系统罪处罚的唯一结论，防止按牵连犯处断罪名不一的问题。因此笔者建议在司法解释中修订时可以规定，对网络攻击案件，行为人控制“肉鸡”后进行DDoS攻击的，如果前行为和后行为分别满足两罪构成要件的，应当按照吸收犯实行行为吸收预备行为的原则，以破坏计算机信息系统罪定罪，并从重处罚。如果前行为满足非法控制计算机信息系统罪的罪量要求，但后行为不满足破坏计算机信息系统罪的罪量要求，应当按照非法控制计算机信息系统罪定罪，同时将破坏计算机信息系统的行为作为酌定情节在量刑时予以考量。

2. DDoS攻击中第二阶段和第三阶段的关系

　　部分案件中DDoS攻击还存在第三阶段。其中最典型的就是在攻击完成后对被攻击对象进行敲诈勒索，样本中有39个案例（占比18.4%）属于该类情形。但对敲诈勒索型DDoS攻击，司法实务中的认定亦不统一。

　　多数说认为，对同时构成破坏计算机信息系统罪与敲诈勒索罪的，应当按照牵连犯择一重罪处断。样本中，敲诈勒索型DDoS攻击的39个案件中有38个案例都按照一罪处罚（占97.4%），其中22个案件按照敲诈勒索罪定性，14个案件按照破坏计算机信息系统罪定性，2个案件按照非法控制计算机信息系统罪定性。比如，蒋某洋破坏计算机信息系统案中，2015年6月至8月，蒋某洋多次攻击相关游戏服务器，并三次敲诈勒索钱财，分别为1888元、1888元、5362元。法院经审理认为，“其破坏计算机信息系统的手段行为和敲诈勒索的目的行为分别触犯了破坏计算机信息系统罪和敲诈勒索罪，二者属于牵连竞合关系，应从一重罪处罚。本案破坏计算机信息系统罪所对应的法定刑明显高于敲诈勒索罪，属于重罪，应按该罪定罪处罚”。

　　但本文认为，敲诈勒索型DDoS攻击不应当按照牵连犯的原则处断，而应当数罪并罚。这是因为并非所有数行为间具有手段与结果关系的，都应按照牵连犯择一重罪处断，否则不仅有违背罪刑法定原则之嫌，也有轻纵犯罪之疑。一方面，就牵连犯的适用而言，对牵连犯的判断要同时满足“通常性”与“必然性”，通过DDoS攻击进行敲诈勒索的案件经常发生，满足“通常性”的特征，但是该行为不符合“必然性”的要求。DDoS攻击并不必然会导致敲诈勒索，敲诈勒索更不必然以DDoS攻击为条件，因此在理论上对敲诈勒索型DDoS攻击按照牵连犯处罚较为牵强。另一方面，从效果而言，DDoS攻击侵害的是计算机信息系统安全法益，敲诈勒索侵害的是财产法益，按照牵连犯处断只追究一罪的责任，无论是以破坏计算机信息系统罪定罪，还是以敲诈勒索罪定罪，都无法对所侵害的财产法益或计算机信息系统安全法益进行全面评价。此外在理论上对牵连犯的适用也一直存在争议，主张废除牵连犯的声音也一直存在。因此笔者建议对敲诈勒索型DDOS攻击案件应当以破坏计算机信息系统罪和敲诈勒索罪数罪并罚。需要注意的是，不正当竞争型DDoS攻击不应当数罪并罚，因为破坏竞争对手生产经营的实行行为和DDoS攻击的实行行为是同一行为，而非数个犯罪行为，应当按照想象竞合犯择一重处断。

　　根据刑法第286条第1款的规定，DDoS攻击必须“造成计算机信息系统不能正常运行，后果严重”，才能够以破坏计算机信息系统罪定罪。但令人遗憾的是，作为破坏计算机信息系统罪认定中至关重要的结果要件，司法解释对“不能正常运行”如何认定并没有进行直接回应，对该罪中因果关系的查证难题也未给出明确指导，有必要对此进行深入探讨。

（一）不能正常运行的标准

　　刑法理论界对“不能正常运行”少有论证，多数论著只是简单援引了《计算机犯罪解释》第4条的相关规定。然而，《计算机犯罪解释》第4条第1项“造成十台以上计算机信息系统的主要软件或者硬件不能正常运行的”，所规定的是后果严重的数量标准，但并未对“不能正常运行”本身的内涵予以解释。因此，有学者就曾感叹道，“焦点就在于如何理解‘造成计算机信息系统不能正常运行’”，这个问题不解决，就无法满足司法定罪的现实需要，还会为网络犯罪治理留下隐患。

图2　“不能正常运行”的内涵与外延

　　近年来的主流观点认为，破坏计算机信息系统的破坏行为所导致的“不能正常运行”，必须造成“实质性破坏”。最高人民法院第145号指导性案例张竣杰等非法控制计算机信息系统案，进一步确立了破坏计算机信息系统罪“实质性破坏”的判断标准。但什么是实质性破坏呢？该标准看似解决了长久以来困扰司法实务的“不能正常运行”的认定难点，但实际上也不乏争议。一方面，在逻辑上存在瑕疵。指导性案例的意见是“未造成系统功能实质性破坏或者不能正常运行的，不应当认定为破坏计算机信息系统罪”。如果认为“造成实质性破坏”是对“不能正常运行”的解释，在语法上用“或者”作为连接词则属于病句；如果认为“造成实质性破坏”是司法解释创设的另一标准，那么对“不能正常运行”的理解就无多少意义。另一方面，指导性案例并没有对“实质性破坏”的内涵和外延进行阐述。实务中不少司法人员认为，“实质性破坏”必须导致计算机信息系统不能运行，如果持有这种观点，无疑又会过于过度限缩破坏计算机信息系统罪的保护范围，只适合评价删改增等手段的破坏后果，而不适合评价干扰手段的破坏后果。

　　本文认为，对“不能正常运行”的内涵应当明确界定，在第三代互联网（Web3.0）时代，不能再停留在计算机时代（PC时代）的传统认识，而需要有机融入网络思维和用户思维，区分“完全不能运行”“严重影响正常运行”和“轻微影响运行”三种类型。

　　其一，“完全不能运行”是早期实务界对“不能正常运行”的认定标准。比如，行为人删除计算机信息系统的关键文件、破坏分区表或格式化硬盘，使系统崩溃甚至无法开机，无论在技术上还是生活经验上都属于“不能正常运行”的范围，实质性破坏了计算机信息系统的软硬件可用性，应当以破坏计算机信息系统罪追责，对此并无争议。但是，晚近以来，实务部门也认识到，不能正常运行“不能仅仅理解为计算机信息系统不能启动或者不能进入操作系统等极端情况”，这是最为严重的后果，“但不是构成破坏计算机信息系统罪的必要条件”，对此应当进行扩大解释。

　　其二，“严重影响正常运行”应当评价为“不能正常运行”的外延。对计算机信息系统功能的影响，有内部视角（技术视角）和外部视角（用户视角）两种进路。内部视角中计算机信息系统本身受到影响可以运行，不代表外部视角该功能还具有使用价值。打一个比方，通过某种技术上的干扰行为，使汽车发动机只能在5km/h（相当于人的步行速度）时速运行，此时汽车仍然可以驾驶，但是从汽车用户的视角来看，汽车作为高速代步工具的使用价值已经基本丧失，可以评价为不能正常运行。同理，DDoS泛洪攻击导致某游戏网站网络堵塞、数据传输延迟、游戏系统卡顿。如果从内部视角的技术维度进行分析，该设备和信息系统仍在运行之中，只是运行速度受到影响，并没有实质性破坏其功能；但是如果从网络游戏玩家的用户视角，当网络游戏延迟超过100毫秒（ms）时，对竞技对战类的网络游戏而言已经产生严重影响，很大程度妨碍了玩家的游戏操作；当普通网络游戏延迟超过500ms甚至1000ms以上时，游戏体验感急剧下降，已经无法满足用户需求，导致大量用户弃玩，其使用价值已经基本丧失。因此，对游戏软件的游戏服务、通信软件的通讯服务、购物软件的购物服务、支付软件的支付服务等相关计算机信息系统的核心功能进行干扰，只要在程度上达到服务质量显著降低就可以认定为“不能正常运行”。在司法办案中，对法益保护的理解不应当刻板化、机械化。即使持有早期的计算机信息系统的可用性的法益观，对可用性的评价也应当包含设备可用性、软件可用性、用户可用性等多个层次。一个不具备用户可用性的计算机信息系统，即使在技术视角下尚具备一定的设备可用性和软件可用性，也应该将其纳入“不能正常运行”的评价范畴。

　　其三，“轻微影响运行”不属于“不能正常运行”。比如，对群控刷量案件，行为人以提升或贬损商誉为目的，采用软件、工具或者程序进行刷量，实现批量回复、批量点赞、批量转发等功能，该行为虽然也会对计算机信息系统的使用造成一定干扰，但如果以破坏计算机信息系统罪论处，则会严重突破“破坏”概念的文义涵射范围。这是因为流量造假等刷单行为虽属扰乱型破坏，但这种破坏行为并没有导致电子商务系统的核心交易功能无法正常运行和使用，既未侵害计算机信息系统设备可用性和软件可用性，也未严重侵害用户可用性。如果数额巨大的，可以按照非法经营罪等罪名追责；数额不大的，只需在前置法上追究其违法责任。

（二）多攻击源造成危害结果的认定

　　有些严重的DDoS攻击中，行为人所操纵的肉鸡攻击少则两位数，多则成千上万。许多“肉鸡”或控制端部署在海外的还涉及网络犯罪的跨境取证难题。这就导致现有侦查条件下有时很难搜集到充足的证据，无法排除其他因素的介入，证明被告人的攻击行为和损害结果之间存在刑法意义上的因果关系。

　　因此，在DDoS攻击案件庭审质证环节中，经常会遇到被告人或辩护人辩称，案件还有其他未查证的攻击来源，不能完全归责于被告人。比如，姚某杰等破坏计算机信息系统案中，律师团队经过对在案鉴定意见、勘验检查笔录进行详细比对与分析，通过对数万个IP地址的详细比对，提出“现有证据显示还有其他攻击源，由于‘肉鸡’IP的特性，本案难以证明攻击一定是由‘暗夜小组’发动，且‘暗夜小组’IP攻击量在总攻击量中的占比较小”。法院最终采纳了律师的辩护意见，认为辩护意见具有一定的合理性，在量刑时酌情予以考虑。这实际上反映了实务中的一个痛难点，正如有的法官所说，在被告人彻底删除了攻击指令等记录后，“如果采用物理手段，虽然侦查机关可以对被侵服务器硬盘进行一一取证和分析，但因为具体案件中，服务器往往数量巨大，且可能分散在全国，乃至世界各地，要逐一取证，所花费的人力、物力是难以估量的，将造成对法律资源的极大占用，而且服务器的所有权人或者其他租用人也未必同意”，“囿于目前有限的侦查技术手段以及网络取证障碍”，在刑事诉讼中对某些案件很难以破坏计算机信息系统罪追责。

　　在网络取证技术尚未取得突破性进展的背景下，如果对这一问题在刑事理论上不进行必要回应，那么几乎所有的DDoS攻击案件均可以按照该方式进行无罪或罪轻辩护，这显然是存在问题的。DDoS攻击案件中被告人控制数量众多的“肉鸡”进行攻击，基本满足了最高人民法院、最高人民检察院、公安部《关于办理信息网络犯罪案件适用刑事诉讼程序若干问题的意见》第20条规定的海量证据取证规则的适用条件。笔者认为，在该类案件证明时，可以采用“底线证明法”消减证明负担，此时只需要证明被告人操纵肉鸡进行DDoS攻击的攻击流量达到了被攻击服务器的最高承载量即可。比如，假设攻击对象的网络带宽上限为200兆（M），只要现有证据表明，在网络传输层的DDoS攻击中，被告人的攻击流量超过了攻击对象的带宽最高承载量，大于等于200兆比特每秒（Mps）即可。对于应用层的CC攻击，只要证明被告人操纵同时访问的肉鸡数量，超过了攻击对象的最大并发用户数即可。即使该案中还存在其它超过最高承载量的攻击源，亦可将危害结果归责于被告人。因为对于因果关系择一的竞合问题，两个独立的行为即使任意除去其中之一仍会发生同一结果的情况，理论上的多数说肯定因果关系的存在。

（三）防御行为的介入与影响

　　除了攻击行为外，有时还存在防御行为的介入，影响DDoS攻击的因果关系认定。在网络安全建设中，为了预防DDoS攻击，当服务器受攻击流量超过本服务器设置的保护阈值上限时，云计算服务商会通过技术手段屏蔽该服务器的外网访问。在这种情况发生时，服务器仿佛置身于一个“数据黑洞”之中，外部的访问请求无法抵达，该服务器向外发送的信息也无法传出，因此在网络安全术语中被称为黑洞防护机制。黑洞防护机制的优缺点都非常明显，优点是可以快速有效保全运营商的基础网络和对其他客户的正常服务，但其缺点是“被攻击者失去了所有的业务服务，攻击者因而获得胜利”。从目前的行业惯例来看，主流的云服务器激活黑洞防护机制的阈值从500M至5千兆（G）不等，黑洞时间从30分钟至24小时不等，一旦超过阈值，云平台就会将被攻击的应用拉入黑洞，中止一段时间内的服务。在黑洞时间结束后，如果攻击流量小于阈值黑洞防护机制会自动解封，如果流量仍大于阈值，云平台将再次激活黑洞防护机制。

　　随着云服务的普遍运行，许多黑客正是基于云服务的黑洞防护机制特性进行DDoS攻击。在样本中，至少有15个案件因激活云服务器的黑洞机制而使目标计算机信息系统无法正常运行。如蔡洪强等非法控制计算机信息系统案中，2017年7月，被告人于贵成使用从蔡洪强处租赁的“肉鸡”，攻击北京善豹科技有限公司游戏服务器。第一次攻击的峰值超过60Gbps，使该公司的一组服务器进入了黑洞状态。由于该公司购买了高防服务，访问上述IP的用户自动访问到阿里云公司的高防IP，被告人继续对高防IP进行攻击，攻击流量峰值达到413.50Gbps，超出高防IP的防御峰值300G，高防IP也进入了黑洞状态，直到当日23时32分才恢复正常。公司业务因此中断近1小时，造成受害公司经济损失4万元。在上述案件中，黑洞机制是被攻击的计算机信息系统无法提供服务的重要因素，而且在被告人停止攻击后，被攻击系统无法提供服务的时间主要与云服务商设置的黑洞时间有关，不受被告人和被害人的控制。因此在实务中有的案件被告人就提出，服务器受攻击后进入黑洞机制的时间不应计入服务器不能正常运行的时间。本文认为，原则上黑洞时间应当计入被告人危害结果。正如前田雅英教授所言，对相互结果导致危害结果产生的判断，需要“考虑介入（并发）事项的异常性及其对结果的贡献度后，实行行为的危险性能否评价为在结果中实现了”。DDoS攻击的实行行为本身具有较高的危险性，作为具备IT专业知识的黑客，行为人对黑洞机制的激活一般具有较高的预见可能性，甚至有的案件中攻击流量超过黑洞机制阈值本身就是行为人所主动追求的结果。所以在理论上黑洞机制的介入只影响结果实现的类型，是属于直接危险实现类型，还是属于间接危险实现类型，并不影响刑法上因果关系的成立。

　　在罪量设计上，破坏计算机信息系统罪“后果严重”的司法解释主要针对的是删改增型实质性破坏。按照这类标准，一部分DDoS新型攻击案件难以入罪处罚，而另一部分DDoS攻击案件可能轻罪重罚或重罪轻罚。因此有必要对DDoS攻击等干扰型攻击的罪量标准和量刑规则进行重塑和优化。

（一）优化DDoS攻击既遂犯的罪量标准

　　2011年《计算机犯罪解释》和之后最高人民法院、最高人民检察院指导性案例的出台，对破坏计算机信息系统罪的“后果严重”进行了扩大解释，但对其合理性问题仍有待学理反思和实践检验。

1.建议取消违法所得数额的罪量标准，并对经济损失认定方式进行细化

　　违法所得数额因为取证简单便捷，可操作性强，成为破坏计算机信息系统罪“后果严重”罪量标准中最容易被激活的情形之一。在2004-2024年DDoS攻击犯罪的裁判文书样本中，就有53.3%的案件因“违法所得五千元以上”而入罪。但是，违法所得数额或可作为财产犯罪侵害财产法益的“后果严重”评价标准，并不适宜直接评价非经济犯罪的“后果严重”。因为违法所得数额高，并不意味着对计算机信息系统安全保护法益的侵害程度就高，反之亦然。有研究者就对此提出了质疑，认为将违法所得作为破坏计算机信息系统罪后果严重的罪量标准，虽然实现了后果严重的可量化，但也进一步弱化了后果与计算机信息系统安全的关联性，使得仅仅通过计算机非法获利而“未影响计算机信息系统安全的行为极易纳入破坏计算机信息系统罪之范围”。特别是在雇佣攻击类案件中，以违法所得数额认定后果严重的合理性更加欠缺。比如，李浩榛破坏计算机信息系统案中，2018年5月至7月，被告人李浩榛雇请袁某攻击棋牌、赌博网站IP地址，袁某因技术能力不足，转委托李某对目标网站进行DDoS攻击。事后，李浩榛通过微信支付先后给袁某共计转账5410元酬劳，袁某将其中的2655元酬劳转给李某。法院认为，李浩榛违反国家规定，雇请他人对指定的IP地址或网页进行攻击，违法所得达到五千元以上，属后果严重，其行为已构成破坏计算机信息系统罪。在上述案件中，被告人李浩榛自己支付的雇佣成本事实上成为其定罪的依据，而在网络黑灰色产业链的非法交易中，报价受到多数因素的影响，如果被告人议价后最后支付不满5000元，同一案件是否就不构成犯罪呢？反之，如果雇佣费用数额特别巨大，但是对计算机信息系统安全的危害不大的，是否就要构成犯罪呢？违法所得数额说显然无法对此问题给出自圆其说的解答。因此，不建议将违法所得数额单独作为本罪“后果严重”的罪量标准，而只能作为酌定裁量情节予以考量。

　　与之不同的是，经济损失数额一般被认为可以作为破坏计算机信息系统罪的罪量标准，这也是国际通行的做法，反映了因计算机安全侵害给被害人造成的经济损害程度。在本文的样本中，有27个案例符合“造成经济损失一万元以上的”的入罪要求。不过DDoS带来的经济损失认定在实务中往往困难重重，远比违法所得的证明难度更大。虽然《计算机犯罪解释》第11条第3款已规定，经济损失包括危害计算机信息系统犯罪行为给用户直接造成的经济损失，以及用户为恢复数据、功能而支出的必要费用。但如何认定“直接经济损失”和“必要费用”在实务中仍不乏争议，更是诉辩争议的焦点问题。比如，姚某破坏计算机信息系统案中，被害单位报案时提出DDoS攻击给公司造成损失约300余万元，检方起诉时指控金额修改为经济损失27.9万元，最后法院认定造成的经济损失为3.6万元，前后相差数十倍。

　　特别是对于DDoS防御成本如何计算，在实务操作上更加复杂。正如前文所述，DDoS干扰型攻击和删改增型攻击存在差异，DDoS攻击结束后，被攻击系统一般就可正常运行或在黑洞时间结束后恢复正常。因此实务中有的辩护人就据此提出异议，认为DDoS“攻击手段只会造成该网站网络‘塞车’，不会对该网站的软件及设备造成损坏，攻击行为停止后，该网站可自行恢复正常运行”，主张不将网站的防护成本计入经济损失数额，得到了法庭的采纳。但是本文认为，DDoS攻击的危害后果虽然具有暂时性特征，但是“法不能向不法让步”。司法机关不能站在上帝视角告知被害人不要采取防护。对于因DDoS攻击而产生的防护成本，只要符合合理必要原则的，原则上应当计入经济损失数额。一般而言，攻击期间被害人购置的专门针对本次事件的安防服务费用，常见的如安全公司按次收取的防护费用，经过鉴定认为支出价格合理的，应当直接计入经济损失数额。对于攻击期间被害人购置的中长期安防服务应当折价计算，比如某案件中，法院认为“本案查明的被告人实施攻击的时间仅是2017年12月12日，而被害单位购买的抗DDoS安防服务期限至2018年1月31日”“故不宜将在此期间应付的费用全部认定为‘必要费用’”，但亦不能因此完全排除其支出的合理性。应当按照实际服务时间进行折算，由于按照年、季、月购买安防服务享受一定的价格折扣，因此在折价计算时，还应当比较一次性防护价格和攻击期限按比例折算的服务价格，以价高者计入防护成本。

2.建议将注册用户数量修改为实际影响的用户数量

　　样本中有37个案例（占17.5%）符合司法解释所列举的“为一万以上用户提供服务的计算机信息系统不能正常运行累计一小时以上的”的情形。但对用户数量的认定标准在实践中亦存在分歧。

　　传统观点认为，用户数量是指破坏行为发生时被攻击网站的注册用户数量。但由于网站中一个用户可以注册多个账户，近年来司法实务中对传统观点进行了修正，采用不重复的注册用户数量作为认定标准，要求去除无效数据和重复数据后认定网站用户数。但是破坏计算机信息系统罪的危害结果，是否会对该网站所有不重复的注册用户都产生实际危害，需要进一步讨论。在周腾破坏计算机信息系统案中，辩护人就提出只有证实在攻击时段内，被害单位的在线用户总数量达到5万以上，才符合“为5万以上用户提供服务的计算机信息系统”的后果特别严重情形。不过，该案中法官没有采纳辩护人的辩护意见，法官举例进行说明，“假定与该电力公司签订用电服务协议的用户恰好为5万户，而犯罪分子在破坏该电力公司相关设施时，正好有一用户没有用电行为，那么能否认定为该电力公司属于‘为5万以上用户提供服务’的电力机构？”据此批驳辩护人的观点与常理相悖。然而，这里混淆了一个概念，用电、用水、用网是现代生活的必需品，导致为5万以上用户提供用电、用水、用网服务的设备不能正常使用的，虽然并不必然影响了5万以上用户，但实际使用人数和服务提供人数相差幅度不大，因此可以认为该行为具有严重的法益侵害性。但是，浏览某个特定网站，玩某个特定游戏并不是生活必需，用户有海量可供浏览的网站和游玩的游戏选择。因此网站、游戏等网络应用的用户注册数量和日常实际使用数量的差距极大，法官将用电与网络应用进行类比并不妥当。

　　解决的办法是引入互联网行业的术语——日活用户数量（Daily Active User, DAU）。之所以提倡以日活用户数量计算，正是因为互联网应用的用户粘性普遍不高。比如，截至2022年10月，江西省智慧政务平台“赣服通”实名注册用户超过4300万人，平均日活量120万人，日活率仅为2.8%。假设该软件遭受DDoS攻击导致一整天无法正常使用，其所实际影响的用户是120万日活用户，而并非4300万注册用户。此外，在软件设计上，计算机信息系统也不可能为所有注册用户同时提供服务。由于总用户数（注册用户数）大于在线用户数大于并发用户数，从经济性考量，网站系统的并发处理能力在设计时一般小于在线用户数，大于等于并发用户数。多数情况下，网站系统所支持的并发量是按照在线用户数的10%左右进行设计的，客观上也不支持所有注册用户的同时访问。打一个比方，某饭店有100个餐位（最大并发用户数为100，最多同时为100个餐位的客户提供服务），日接待消费者1000人，年接待消费者数量30万人次，不重复的消费者总数为5万人。如果该餐厅被人堵住大门导致当日无法营业，按照其接待能力，最多影响的是1000个用户的利益，而非5万人或30万人。如果按照注册用户总数作为“后果严重”的形式标准，既缺乏合理性，也缺乏必要性，有过度扩大犯罪圈之嫌。

　　在证据获取上，对注册用户数量动辄百万千万级的大型网站，排除用户重复注册数量是一项浩大工程，采用日活用户数量远比统计网站不重复的用户总数更加便捷。有个别案件中，法官已经尝试将攻击前的网站活跃用户数量作为认定标准。比如张某非法获取计算机信息系统数据案中，2014年7月至2015年4月期间，被告人张某为谋取非法利益，对“37游戏”网络平台进行DDoS攻击，干扰后无法正常为用户提供访问服务的时数累计达34小时。经统计，上海三七玩网络科技有限公司广州分公司“37游戏”网络平台每天有三千万的玩家在线。本案中所认定的每天在线的玩家数量就是日活数量。一般而言，日活数量的认定可以以受到干扰前一段时间的日活数量作为参考，比如3月2日网站遭受DDoS攻击，可以根据网站3月1日的日活跃用户（DAU）数量进行评估。对于特殊节点比如购物网站“双十一”遭受DDoS攻击、订票网站春节前遭受DDoS攻击的，可以参考该网站去年“双十一”、春节前的日活用户数量进行评估。对于行为人多次发动DDoS攻击的，攻击周期不超过24小时的认定为单个DDoS攻击；如果相同的攻击目标被相同的攻击资源所攻击，但间隔超过24小时，则宜认定为多次攻击。对多次攻击受影响的日活用户数量应当累计计算，并从重处罚。

3.建议对干扰计算机信息系统的数量标准进行调整

　　实务中，有6个案例是按照“造成十台以上计算机信息系统的主要软件或者硬件不能正常运行的”定罪，有7个案例是按照“造成为一百台以上计算机信息系统提供域名解析、身份认证、计费等基础服务不能正常运行”定罪。上述情形主要集中在对网吧的DDoS攻击案件中，但这两种罪量机制在评价相关案件时也存在需要纠正的合理性问题。

　　第一个问题是造成网吧内10台以上的计算机在一定时间内无法上网的，是否属于《计算机犯罪解释》第4条的“造成十台以上计算机信息系统的主要软件或者硬件不能正常运行”？比如，刘某等破坏计算机信息系统案中，2017年1月19日至21日期间，陈某应刘某的雇佣对某网咖使用的固定IP发起远程网络攻击6次，共获利人民币720元。2017年1月22日至同月30日期间，林某某应刘某的雇佣对某网咖使用的固定IP发动网络攻击23次，共获利人民币2650元。陈某、林某某每次攻击均造成某网咖内46台电脑无法正常上网。刘某因犯破坏计算机信息系统罪，被判处有期徒刑十个月，缓刑一年。这里的主要问题在于罪量相当性。删改增型实质性攻击导致10台电脑不能正常运行，与干扰型攻击导致10台电脑一段时间内不能正常上网，其法益侵害性或社会危害性存在较大差别。按此标准，DDoS攻击导致50台计算机无法上网的，就构成“后果特别严重”，应当在五年以上量刑。从一般的国民感情而言，显然无法接受上述结论。为了维持入罪罪量体系的均衡性，建议对“造成十台以上计算机信息系统的主要软件或者硬件不能正常运行”的入罪情形，应当限缩解释为主要适用于删改增型实质性攻击，而不包含可自行恢复的干扰型攻击。

　　第二个问题是对DDoS攻击网吧路由器（该路由器为网吧内100台以上的计算机提供上网服务）导致无法上网的情形，是否满足《计算机犯罪解释》第4条的“造成为一百台以上计算机信息系统提供域名解析、身份认证、计费等基础服务……不能正常运行”的入罪标准？对此，实务中有不同观点。多数持肯定说，认为网吧的路由器、交换机属于提供基础服务的计算机信息系统。但也有少数案例作出了否定性的解释，比如，马麒深等破坏生产经营案中，上诉人认为，原判认定网吧路由器属于“为其他计算机信息系统提供域名解析、身份认证、计费等基础服务的计算机信息系统”依据不足，二审法院予以采纳。笔者持否定说的立场，这是因为本罪的保护法益是公共法益而非个人法益，对网吧路由器的攻击虽然会导致网吧所有的计算机信息系统的正常上网受到影响，但这里主要受损的是网吧经营者的个人利益，侵犯的是网吧所有者的正常经营权利，应当按照破坏生产经营者追究刑事责任。

　　对于攻击关键设备系统导致基础服务无法正常使用的罪量评价，不应当只统计台数，还应当统计影响时间。可以参照最高人民法院《关于审理破坏公用电信设施刑事案件具体应用法律若干问题的解释》的罪量标准，按照“用户×小时”方式作为罪量标准进行评价，其单位为用户×时（简称用户时）。对DDoS扰乱造成为一百台以上计算机信息系统提供域名解析、身份认证、计费等基础服务……不能正常运行24小时以上的（2400用户时以上），评价为“其他严重后果”。否则如果只刻板地理解“造成为一百台以上计算机信息系统提供域名解析、身份认证、计费等基础服务……不能正常运行”，那么就会导致机械司法问题出现，比如甲发动的DDoS攻击导致90台计算机2天无法上网，按照司法解释不构成犯罪，而乙的DDoS攻击导致120台计算机1小时不能上网则构成犯罪。用户时的统计可以解决这一问题，甲的行为导致了4320用户时无法上网，而乙的行为导致了1200用户时无法上网，前者的法益侵害性更高，相比后者更应当入罪处罚。

（二）设立DDoS攻击未遂犯的追责标准

　　破坏计算机信息系统罪不仅需要处罚既遂犯，对于严重的未遂犯也应当追究刑事责任。在比较法上，如日本刑法第234条之二损害电子计算机等妨害业务罪，近年来就增设了第2款，对本罪的未遂犯进行处罚，以解决被告人实施了加害行为但由于防护操作启动未造成运行障碍的案件评价难题。鉴于DDoS攻击的泛滥和严重危害，对于并未产生恶果但是具有严重危害性的DDoS攻击，也应逐步纳入刑事处罚范围。

　　参考最高人民法院、最高人民检察院、公安部《关于办理电信网络诈骗等刑事案件适用法律若干问题的意见》对诈骗罪（未遂）定罪处罚的罪量设计，笔者建议，对有证据证明行为人实施了高危害性的DDoS攻击行为，但没有造成或没有证据证明造成计算机信息系统不能正常运行的，具有以下情形的应以破坏计算机信息系统罪（未遂）定罪处罚：

　　一是攻击流量巨大，对网络安全产生严重威胁的。就像故意伤人等暴力犯罪一样，凶手拳脚攻击和持刀攻击、持枪攻击的危险性并不相同，如果拳脚攻击未造成轻伤以上后果，一般无需进行刑事处罚；但是如果持有管制刀具甚至枪支进行攻击的，即使未造成轻伤以上后果，也应当追究故意伤害罪（未遂）的刑事责任。对DDoS攻击而言，攻击力的大小与攻击流量峰值紧密相关。根据网络安全专家的统计结果，目前我国DDoS攻击的攻击流量平均峰值为5.2gbps，超过100Gbps的攻击累计总占比不到5%，超过300Gbps以上的不到1%。因此对网络传输层的泛洪攻击，可以探索将攻击峰值300Gbps以上（数量约占DDoS攻击事件的1%左右）作为DDoS攻击行为未遂犯处罚的判断标准。对于反射攻击的，应当以反射放大后的攻击峰值是否达到300Gbps作为判断标准。

　　二是攻击对象众多，对网络安全产生严重威胁的。比如行为人先后向数十家网站的服务器进行CC攻击，但没有产生《计算机犯罪解释》中的严重后果，无法按照既遂犯处罚。为依法治理网络犯罪、净化网络空间，对这类行为也应当作为破坏计算机信息系统罪的未遂犯进行追责。但为了防止犯罪圈的过度扩大，应当进行必要限制，比如技术上干扰持续时间不足5秒的属于短期干扰，对于这种短期干扰不应当计入攻击次数；攻击对象也应当限于有一定规模的互联网站等计算机信息系统。比如，对于攻击3个以上日活数量10万用户以上的计算机信息系统，或攻击10个以上日活数量在1万用户以上的计算机信息系统，可以作为未遂犯定罪处罚。

　　三是攻击目标重要，对网络安全产生严重威胁的。重要计算机信息系统的范围可以依据《关键信息基础设施安全保护条例》第2条认定，即公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统。对于攻击重要计算机信息系统，考虑到其高度危险性，攻击流量巨大、攻击数量众多的认定数量也应当适当下调。比如，攻击关键信息基础设施的流量峰值达到100Gbps以上，或者攻击对象数量达到2个以上，就可以作为未遂犯处罚。

　　应当摒弃实务中对破坏计算机信息系统罪未遂犯一般不予处罚的做法。对情节严重的未遂犯，可处一年以下有期徒刑、拘役；情节特别严重的未遂犯，可处一年以上三年以下有期徒刑。这样在量刑上既与既遂犯罪进行了区分，同时又可以对行为高度危险的DDoS攻击行为予以必要惩治，发挥刑法在网络犯罪中的治理和预防功能。

（三）丰富DDoS攻击的刑罚手段

　　在刑罚手段种类上破坏计算机信息系统罪也存在局限性，只设置了自由刑而没有设置罚金刑，这种做法存在较大疏漏。一方面，2009年《刑法修正案（七）》增设的非法获取计算机信息系统数据、非法控制计算机信息系统罪，以及提供侵入、非法控制计算机信息系统程序、工具罪，均设置了罚金刑。而更为严重的破坏计算机信息系统罪却没有设置罚金刑，在逻辑上无法做到自圆其说。另一方面，如果说早期的计算机犯罪案件多数是基于“兴趣”“炫技”“成名”等非经济目的，因此没有设置罚金刑的必要性。但是，近年来随着DDoS攻击案件的普及化，从DDoS攻击中牟利已经成为首要目的。有学者对163例破坏计算机信息系统罪的进行实证研究后发现，有127例（77.9%）具有牟利目的。在本文的样本中，93.4%的案件均具有牟利目的。而实践经验表明，罚金刑对惩治牟利型犯罪往往可以起到比执行自由刑更好的行刑效果。从惩治和预防犯罪的角度出发，也应当配置罚金刑。因此建议刑法修订时，对破坏计算机信息系统罪增设罚金刑。为了让DDoS攻击网络黑色产业链中的相关参与者得不偿失，参考刑法第225条非法经营罪的罚金规则，对本罪罪犯应当在违法所得1倍以上5倍以下并处罚金；对于受雇佣从事DDoS攻击的，在案发前尚未收到佣金的，应当将许诺给予的佣金视为预期违法所得，建议在预期违法所得1倍以上2倍以下并处罚金。

　　网络社会具有典型的技术型风险社会的特征。早期的互联网先驱在设计网络时，没有预想到网络犯罪的大量发生，因此在TCP/IP协议等基础协议设计上主要依赖于信任，这就导致网络系统、计算机信息系统有很多的安全漏洞被黑客利用，必须依靠技术治理和法律治理的双重进路为网络安全提供保障。对理论界而言，在面对新型网络犯罪时，“由于技术的高度专业性，传统刑法规范难以完全适用其中”。这就要求网络犯罪研究者不能仅满足于立足刑法知识域的释法说理，更要扮演好IT知识和法律知识两个系统语言的“符码转译者”角色，弥补系统之间的鸿沟，促进不同系统间的“结构耦合”，引领司法实务的知识升级和观念革新。对实务界而言，“魔高一尺理应道高一丈”，网络时代刑事立法和司法解释虽已作出大量修正，但仍然有很大的提升空间。以《计算机犯罪解释》为例，2011年解释制定时第二代互联网（Web2.0）时代刚刚来临，该解释对处置当时的网络犯罪具有较强的指导价值。但十余年后，人工智能、大数据、云计算、区块链等新一代信息技术全方位应用，Web3.0时代的网络犯罪涌现出全新的代际特征，此时许多新型犯罪现象已经无法再被《计算机犯罪解释》所涵盖，解释滞后性的弊端逐步显现。应当以《联合国打击网络犯罪公约》的生效为契机，针对DDoS等新型网络犯罪，及时对我国网络犯罪刑事立法和司法解释进行新一轮的系统更新与全面修正，从而在法治轨道上有效防控新型网络安全风险。

来源：《清华法学》2025年第5期