信息安全之Web劫持与流量劫持法律治理研究

摘要/Abstract

摘要： 网络安全事关党的长期执政，事关国家长治久安，事关经济社会发展和人民群众切身利益.习近平总书记强调指出，没有网络安全就没有国家安全，没有信息化就没有现代化.数据安全与个人隐私受到了前所未有的挑战，各种新奇的攻击技术层出不穷.运营商的各种劫持、频繁的广告弹窗、访问特定网站被重定向到了非法网站、常用网页被篡改、输入法弹出广告、WiFi共享劫持、网络“爬虫”、Web“钓鱼”、“人肉搜索”、反射放大劫持等现象，均可能与Web劫持或流量劫持有关(Web劫持与流量劫持并不等同，但拟用Web劫持这一概念来替代两者).无论是Web劫持还是流量劫持，究其本质是对数据的控制(用户自身的数据、用户需要访问的数据和传输中的数据)；通过控制数据的流向，可以获得巨大的财产利益.如何界定数据控制行为的合法性，控制行为的边界，需要通过什么路径来进行有效治理，以及需要由谁来承担责任，承担什么责任；拟从技术和法律2个层面对互联网核心系统(DNS)与HTTP劫持对互联网安全所产生的重要影响尝试进行.试图从法律角度(民事侵权与违约、刑事犯罪以及公益诉讼角度)提出一些解决办法.劫持本质还是数据安全问题，如何才能更好地保护我们的数据安全和个人隐私，这关乎国家安全，需要我们全社会的高度重视，共同参与.

关键词: Web劫持, 流量劫持, 法律治理, 公益诉讼, 刑事责任, 民事责任

Abstract: Cybersecurity is related to the long-term ruling of the party. It is related to the long-term stability of the country and the economic and social development and the vital interests of the people. General Secretary Xi Jinping emphasizes that there is no national security without cybersecurity, and there is no modernization without informatization. Data security and personal privacy have been challenged as never before, and a variety of novel attack technologies are emerging. Various hijackers of operators, frequent advertisement popups, access to specific Websites were redirected to illegal Websites, common Web pages were tampered with, input method pop-up advertisements, WiFi sharing hijackings, network “crawlers”, Web “fishing”, “human flesh” search, reflection and amplification hijacking, etc., may be related to Web hijacking or traffic hijacking (Web hijacking is not the same as traffic hijacking, but this article intends to use the concept of Web hijacking instead of both). Whether it is Web hijacking or traffic hijacking, its essence is the control of data (user's own data, data that users need to access and data in transit); by controlling the flow of data, huge property benefits can be obtained. How to define the legitimacy of data control behavior, control the boundaries of behavior, what path is needed for effective governance, and who needs to take responsibility and assume responsibility; this paper intends to address the security issues involved in DNS (Internet core system) HTTP hijacking attempts to analyze the two types of behaviors, whether users or Web application service providers, from both technical and legal levels, trying to propose some solutions from a legal perspective (for civil infringement and breach of contract, criminal offences and public interest litigation). The nature of hijacking believes that it is still a data security issue. How can we better protect our data security and personal privacy? This is related to national security and requires the high attention and participation of our entire society. Inappropriate, please axe.

Key words: Web hijacking, traffic hijacking, legal governance, public interest litigation, criminal liability, civil liability

范江波. 信息安全之Web劫持与流量劫持法律治理研究[J]. 信息安全研究, 2019, 5(2): 114-129.

参考文献

[1] 任亚东. 探析运营商网络流量的大数据业务[J]. 网络安全技术与应用, 2017(10):69-70 [2] 李想. 运营商网络流量的大数据业务探析[J]. 信息通信, 2015(5):235-236 [3] 谭凌锵. 面向IP骨干网的SDN应用研究[D].成都:电子科技大学, 2016 [4] 尹川铭. 浅析域名劫持与HttpDNS[J]. 网络安全技术与应用, 2017(4):42-43 [5] 李文. DNS放大攻击分析检测与防范[D]. 北京:中国科学院大学, 2011 [6] 赵雷. 基于DNS的恶意域名识别系统的设计与开发[D]. 山东:山东大学, 2013 [7] 任勉. DNS安全与防护[D]. 北京:北京邮电大学, 2007 [8] 甘井中, 黄立和. 域名解析研究及服务器配置实践[J]. 玉林师范学院学报, 2007, 28(5):136-141 [9] 袁斯坦, 刘辉. 重识“DNS劫持”[J]. 网络运维与管理, 2016(3):86-87 [10] 靳冲, 郝志宇, 吴志刚. DNS缓存投毒攻击原理与防御策略[J]. 中国通信：英文版, 2009, 6(4):17-22 [11] 黎成. 网络DNS欺骗攻击的检测及其防护[J]. 电脑知识与技术, 2010, 06(24):6687-6688 [12] 刘威. DNS放大攻击的研究[J]. 信息网络安全, 2010(2):43-44 [13] 李锦文. DNS服务器测试指标体系与系统[D]. 北京:中国科学院大学, 2016 [14] 李友佳, 臧高峰. 一种基于域名的HTTP访问劫持检测与净化装置及方法:, CN 105656950 A[P]. 2016 [15] 秦臻. 基于内容发布网络(CDN)的域名解析系统[D]. 成都:电子科技大学, 2012 [16] 孙育, 程凯. Web缓存系统组网方式研究[J]. 现代电信科技, 2013(4):66-69 [17] 赵文路, 钟国辉. TCP注入技术的优先及实现[J]. 信息网络安全, 2012(1):43-45 [18] 王倩倩, 成卫青, 张登银. 基于HTTP的Web服务响应时间测试[J]. 南京邮电大学学报：自然科学版, 2005, 25(06):84-88. [19] 陈伟. 针对TCP协议的分布式拒绝服务攻击的防范方法研究[D]. 武汉大学, 2005 [20] 陶乃勇. DDoS放大攻击原理及防护方法[J]. 电信网技术, 2017(10):89-93 [21] 徐浩. DDOS攻击防御系统设计与研究[D]. 北京:中国科学技术大学, 2011 [22] 郑立. 民法通则与公民民事权利主体资格[J]. 中国法学, 1986(1):16-21 [23] 姜玲. 大数据时代下的个人信息安全保护[J]. 兰台世界, 2017(2):56-59 [24] 聂静虹. 谁来守护公民个人信息安全[J]. 人民论坛, 2017(20):31-31 [25] 李晓辉. 作为民事权利的个人信息权保护探究——《民法总则》第一百一十一条解析[J]. 社会治理, 2017(5):56-62 [26] 王春晖. 个人信息权是公民的基本民事权利[J]. 中国电信业, 2017(4):28-30 [27] 李迪,尹建宁.浅谈个人信息权的法律保护[J].法制博览,2018(10):172-173 [28] 卢艳宁. 网络中个人信息隐私权及其法律保护[J]. 经济与社会发展, 2009, 7(4):100-103 [29] 桂畅旎. 欧盟《通用数据保护法案》的影响与对策[J]. 中国信息安全, 2017(7) [30] 熊林. CDN技术演进探讨[J]. 通信与信息技术, 2011(5):32-33 [31] 赵永安, 高妍. 关于运营商的客户信息保护方法的探讨[J]. 信息通信, 2018(6):118-120 [32] 李佳柔. 论流量财产权的法律保护[D]. 河北:河北经贸大学, 2017 [33] 刁胜先, 周璐, 谢文彦. 论个人信息网络侵权的民法规制[J]. 重庆邮电大学学报：社会科学版, 2012, 24(1):17-21 [34] 欧阳本祺.论网络环境下著作权侵权的刑事归责——以网络服务提供者的刑事责任为中心[J].法学，2018(3):154-168 [35] 涂斌华. 侵权行为法上因果关系理论研究[D]. 上海:华东政法学院, 2003. [36] 李一娴. 环境侵权案件中的因果关系问题研究[C]// “环境司法与环境正义”国际研讨会会议录. 2014 [37] 吕双全. 论违约责任中的过失相抵规则[D]. 上海:华东政法大学, 2015 [38] 陈政.严格责任与无过错责任之比较研究[J].法制与社会,2014(11):18-19 [39] 郭媛. 网络交易消费者知情权的保护研究[D]. 合肥:安徽大学, 2017 [40] 郭旨龙.论信息时代犯罪主观罪过的认定——兼论网络共犯的“通谋”与“明知”[J].西部法学评论.2015(2):56-66 [41] 先德奇. 论危害计算机信息系统犯罪——基于刑法规范的类型分析[J]. 政法学刊, 2015, 32(1):70-75 [42] 朱闯, 夏冰. 互联网带宽和流量不宜作为盗窃罪的犯罪对象[J]. 人民司法, 2011(18):55-57 [43] 梁慧星. 关于公益诉讼[J]. 私法研究, 2002，1：369-370 [44] 黄忠顺. 论诉的利益理论在公益诉讼制度中的运用——兼评《关于检察公益诉讼案件适用法律若干问题的解释》第19、21、24条[J]. 浙江工商大学学报, 2018(4):19-29