入侵電腦行為

第一項 行為態樣

我國立法者制定入侵電腦罪時，將其構成要件限縮於三種特定的行為態樣：

「輸入他人帳號密碼」、「破解使用電腦之保護措施」及「利用電腦系統之漏洞」， 係考量到這三種情形對於電腦系統安全的危害特別巨大，有必要特別加以明文規 範，同時藉此避免處罰到較輕微的入侵電腦行為。

第一款 輸入他人帳號密碼

行為人以輸入他人帳號密碼的方式入侵是最為常見的例子，隨著網路購物、

線上金融交易、電子郵件、網路論壇、網路遊戲與各種電子資源的發展，若欲使 用網路上的資源與服務時，以一組帳號與密碼辨識使用者的權限早已司空見慣。

即使在未使用網路連線的情形，以帳號密碼在電腦開機時辨識使用者權限，或是 設定密碼保護電腦中重要的檔案資料夾，也是常見的保護電腦方式。只要未經有 權之人的同意而輸入帳號密碼，即成立本罪之構成要件。

電腦網路系統的帳號密碼本質上是一種辨識使用權人身分的安全機制，最基 本的方式是使用一串預先設定好的英文與阿拉伯數字集合而成的字串。隨著資訊 安全技術的提升，辨識身分的安全機制種類也逐漸繁雜，包括：指紋辨識、瞳孔

合社會通念及國民法律感情。若無故入侵電腦行為僅造成輕微的、微不足道的個人損害，毋須發 動刑法予以規制，以免定罪科刑之恣意。本件少年陳無故輸入他人帳號密碼，侵入他人之電腦或 相關設備，實屬輕微，難謂有須以刑法科罰之危害，按立法意旨實毋須以刑法第 358 條處罰。」

123

辨識、語音辨識聲控系統，雖然同為確認使用者身分的機制，但畢竟沒有傳統意 義上的帳號與密碼字串存在，是否仍能解釋為帳號密碼即有疑義。

論者有認為，登入控制機制不需要限於有帳號與密碼的情形始可適用，蓋身 分控制的方法不必限於語意上的帳號與密碼，只要是供有權限之人使用以進入電 腦系統的安全機制辨識工具，都可以解釋為該當此要件³⁰⁴。固然限制在同時有帳 號與密碼的時候才適用對於本罪保護法益而言意義不大，然而從罪刑法定主義的 角度來看，仍不應逾越此範圍作解釋，例如指紋解鎖雖然性質相似，但既不用輸 入帳號也不用輸入密碼，即不能該當此要件。

當利用他人的指紋、聲音檔入侵系統時，即使基於罪刑法定主義的理由未必 可以解釋成本罪所指涉的帳號密碼，也仍然有可能適用「破解使用電腦之保護措 施」，亦即將不是使用「真正的帳號密碼」此類辨識方式解為本條所指的保護措施，

以避免破壞登入控制機制的行為出現處罰漏洞³⁰⁵。

實務上常出現的例子是自公司離職的員工，基於報復或貪小便宜等心態，利 用還沒被停權或收回的帳號與密碼登入原公司的電腦網路系統，因而觸犯入侵電 腦罪的案例³⁰⁶，在此類的案例中，適用「輸入他人帳號密碼」的要件時會產生違

304 王皇玉（2010），前揭註 231，頁 18；張紹斌（2008），前揭註 122，頁 88。

305 論者有謂，利用電子簽章或指紋的方式入侵電腦，仍然可以適用刑法第 217 條盜用印章印文或 署押罪，參照李茂生（2004），前揭註 149，頁 246。

306 例如臺灣高等法院 97 年度上易字第 1310 號判決，本案事實為被告自原公司離職之後，利用尚 未取消權限的舊有帳號密碼進入原公司的資料庫，取得該公司資料庫內會員之詳細聯絡資料，提 供給新任職公司的負責人使用。雖然本案中法院有提高未刪除的帳號密碼是一種系統漏洞，但是 其在論罪時強調被告反覆輸入之帳號密碼均屬受害公司所有，侵害之法益同一，且時間密接，應 論接續犯，故本文認為法院仍係用輸入他人帳號密碼的要件來適用本案。

124

反罪刑法定的疑慮，蓋行為人所輸入的是自己原本所持有的帳號與密碼，而非他 人所有的帳號與密碼，此時即可能產生問題³⁰⁷。本文認為，此問題在文義解釋的 層次上即可解決，帳號與密碼的作用在於辨別使用者的權限是否合法，只要輸入 正確的帳號與密碼即可進入系統，而其並非可以主張民法上所有權的標的，自然 不能解釋成由他人所有的帳號與密碼，真正的文義應當是「非行為人所能使用的 帳號與密碼」，簡言之，既然電腦網路的帳號與密碼是用來判斷使用者有無權限，

而不是歸屬於特定人所有的權利概念，只要行為人輸入自己沒有正當權限使用的 帳號與密碼，自可成立此要件。

當身分辨識機制不是使用帳號密碼時會出現的疑慮，凸顯出以「輸入帳號密 碼」作為構成要件的不足。帳號與密碼在語意上無法清楚涵蓋所有的登入控制機 制，但是要排除其他的辨識方式也與立法精神相違背，面對日新月異的身分辨識 機制技術發展，這類的爭議無法根除，反而在可預見的將來出現的頻率會越來越 高，因而衍生其他的解釋問題，本文認為，輸入帳號與密碼在字義上最為明確，

但也最難配合電腦科技的發展，最應重視適用問題的，反而是較不明確但卻較為 可能配合入侵電腦行為樣態的其他兩種類型。

第二款 破解使用電腦之保護措施

所謂使用電腦之保護措施係指，用來維護電腦使用者在使用系統時能夠確保 資訊安全之設備，例如常見的防火牆程式（firewall），其功能正是隔絕內部與外

307 李茂生（2004），前揭註 149，頁 251。

125

部網路系統，藉此控制傳輸的資料類型，以防止內部系統遭到來自外界的侵入³⁰⁸， 當行為人破解防火牆的保護而進入電腦網路系統，即成立本罪。

論者有質疑「破解」與「保護措施」對我國刑法體系來說實屬陌生，將會產 生解釋上爭議：例如破壞保存筆記型電腦的保險箱算不算是一種破解？該保險箱 既然能讓使用者保護電腦不被外人取走，又可否該當本罪所指的保護措施³⁰⁹？

由於妨害電腦犯罪保護的是全新的電腦系統法益，要如何解釋保護使用電腦 安全性之措施也應從電腦系統的本質去思考，亦即本文認為應當限於與電腦程式 相關者始可適用，與電腦系統之功能運作有關的軟體或硬體始該當保護措施。至 於保護電腦機體的實體鎖遭到破壞後，應當是以保護財產法益的竊盜罪或毀損罪 等規定適用，與電腦系統運作的安全性無涉³¹⁰。

與帳號密碼相比，保護措施之範圍較不明確。實務上有案例是銀行為了控管、

稽核員工查詢客戶資料之流程，以監控程式側錄員工之個人電腦使用畫面、使用 業務系統，遭到員工以軟體破解而無法側錄時，法院認定該行為成立破解使用電 腦之保護措施³¹¹。在這個例子中，監控程式被破解，只是妨害銀行對員工是否確 實執行業務的監督工作以及留存未來可能有用的證據，並不會對銀行電腦的操作 造成任何妨礙，此「保護措施」所保護的並不是電腦功能的正常運作，而比較是

308 防火牆（firewall）為一組設施，包含有硬、軟體及安全政策或規範，以保護或隔離企業組織 內的資料及系統，以防止未授權的外來者闖入企業組織內的網路。因此，防火牆建置在兩個網路 之間，檢驗進入網路的所有信息。引自國家教育研究院，雙語詞彙、學術名詞暨辭書資訊網：

http://terms.naer.edu.tw/detail/2071454（最後瀏覽日期：2014/12/20）。

309 張紹斌（2008），前揭註 122，頁 88。

310 鄭逸哲（2003），前揭註 227，頁 113。

311 臺灣高等法院 98 年度上訴字第 3246 號判決。

126

在保護客戶的隱私³¹²。即使本案中該名員工目的在於嗣後取得客戶的個人資料，

但也已經成立刑法第 359 條無故取得他人電磁紀錄罪。本案似乎代表實務上認為，

以迴避合法電腦操作程序的方式使用電腦也有可能成立本罪，該合法操作程序也 是使用電腦保護措施的一種，這類見解似乎過於寬鬆解釋保護措施之定義。

如果將輸入帳號密碼與破解保護措施並列為本罪要件，應代表兩者有不同的 定義。但問題在於，為何功能是控制使用者身分的帳號密碼不會是一種保護電腦 安全的措施？本文認為，輸入他人帳號密碼係一種通過電腦網路驗證使用者身分 機制之行為，該驗證機制功能既然在於確認現在登入使用者是有權限使用該系統 之人，當然也會是一種保護電腦安全的措施，再如前述的指紋與聲紋辨識系統，

雖然解釋成帳號與密碼可能會有問題，但仍可視為保護措施的一種。

實務見解認為，行為人點選「忘記密碼」欄位，輸入使用權人的個人資料後，

促使系統刪除舊密碼而給予行為人一組全新的密碼，行為人便利用這組全新的密 碼登入系統。本案中法院不是適用「輸入他人帳號密碼」，蓋原先的舊密碼並沒有 被使用，而是適用「破解保護措施」之入侵態樣³¹³。從這個案例更可發現帳號密 碼的本質與保護措施並無二致，有見解即認為兩者沒有區分必要³¹⁴。

雖然帳號與密碼本質上可視作一種保護措施，但確認登入者身分的程式卻不 以帳號密碼的方式為限，後者的範圍較前者來得大，因此，保護措施可以作為補 足帳號密碼處罰漏洞的要件，但應以類似帳號密碼運作方式的措施為限，特別是

312 單就本案而言，也不是直接保護客戶個人資料本身的隱私，而是便於監控行員有無踰矩行為或 便於事後追查。

313 臺灣高等法院高雄分院 95 年度上訴字第 1589 號判決。

313 臺灣高等法院高雄分院 95 年度上訴字第 1589 號判決。