“流量劫持”行为是指利用破坏计算机信息系统、侦听、伪造数据等技术性手段,通过强制跳转或插入网络内容、中断访问、诱导、欺骗等方式导致计算机用户不能自主进行上网活动,实现直接或间接增加他人“用户访问量”的行为。2015年以前,“流量劫持”一直被视为不正当竞争行为,或按民事侵权或按行政违法处理,尚未受到刑法规制。近年来,“流量劫持”行为蔓延更为迅速,趋势愈演愈烈。2015年5月,上海浦东新区人民法院首次就“流量劫持”行为作出入刑判决,随后重庆市渝北区人民法院、重庆市沙坪坝县人民法院也分别就该行为作出判决,认定黑客构成破坏计算机信息系统罪、非法控制计算机信息系统罪和非法获取计算机信息系统数据罪。上述入刑判决对于有效规制“流量劫持”行为起到了标杆性意义,但法院的处理方式却也令人困惑:一是对相同性质的“流量劫持”行为,不同的法院却有不同的定罪,这表明“流量劫持”行为如何定性存在巨大差异。二是对行为人的量刑主要是依据其违法所得金额,这种“唯金额论”的量刑方式是否能准确反映“流量劫持”的法益侵害性,其妥当程度不无疑问。本文从“流量劫持”行为的计算机原理和所涉法律关系出发,认为“流量劫持”行为主要由三对基础关系构成:黑客与网络用户间的侵权关系;黑客与受害网站间的侵权关系;黑客与受益网站间的委托关系。其中侵权关系直接破坏了网络管理秩序,而委托关系并未直接侵害网络管理秩序。文章认为,“流量劫持”所侵害的法益应当是网络用户的网络自由权、隐私权和财产权以及受害网站的财产权。在此基础上,论文结合文首案例深入分析,指出破坏计算机信息系统罪、非法控制计算机信息系统罪、非法获取计算机信息系统数据罪,系属三罪相互独立,并非法条竞合关系;进而说明我国现行司法实践对“流量劫持”行为的定罪量刑存在不足的根源。文章指出,若“流量劫持”行为侵犯不同法益,应数罪并罚,不可笼统按照想象竞合处理。同时,论文对司法实践中以“后果严重”作为“流量劫持”的量刑依据也进行了分析,指出其不足,结合美国《计算机欺诈和滥用法》和欧洲委员会《网络犯罪公约》的立法规定,建议我国在计算机犯罪类型上增加“非法截取”和“数据干扰”等罪名设置,将“给他人造成的损害程度”作为必备要件而非选择性要件纳入到认定“后果严重”的标准之中;将受害用户、计算机数量和劫持网域范围作为定罪量刑的主要标准,而非违法所得金额。