應刪除「無故輸入他人帳號密碼」、「破解使用電腦 之保護措施」及「利用電腦系統之漏洞」的規定

刑法第 358 條及 CFAA 的入侵電腦罪中，最大的差異之一，應該是前者 限制了入侵的行為方式，但是，後者採取了較為開放的條文規範。就結論來 說，本文認為，CFAA 是比較妥適的立法，值得我國在修法時參考。詳言 之，以刑法第 358 條的文字來看，並不是所有的入侵電腦行為都會構成本條 的犯罪，只有以「無故輸入他人帳號密碼」、「破解使用電腦之保護措施」

及「利用電腦系統之漏洞」等列舉的方式「入侵」電腦才會構成刑法第 358 條的犯罪⁶²。這三個行為以外的入侵電腦，在罪刑法定原則的限制下，都不

61 觀察我國相關的立法可以知道，並沒有法律直接針對「電腦」予以定義。可能的原 因是，如同本文所主張地，立法者有意將這一個部分留由司法機關在實際的案例中 解釋。

62 學說上有認為，「無故輸入他人帳號密碼」、「破解使用電腦之保護措施」及「利 用電腦系統之漏洞」表彰了刑法第 358 條所保護的行為客體是「電腦中的登入控制 程式」。李茂生，「刑法新修妨害電腦使用罪章芻議（上）」，台灣本土法學雜

能以該條相繩。也正因為立法者使用了這樣的文字，只要不「入侵」電腦，

單純的「無故輸入他人帳號密碼」、「破解使用電腦之保護措施」及「利用 電腦系統之漏洞」也不會構成刑法第 358 條的犯罪⁶³。

從立法論來檢視本條的結構，輸入密碼帳號、破解保護措施或是利用系 統漏洞應該是蛇足的規定。我們認為，「無故入侵」的字眼，已經足以表彰 該行為的可非難性；僅規定「無故入侵」也可以涵蓋更多的行為類型，使實 務運作更有彈性。雖說適用上可以透過對於上述三種行為的解釋來因應科技 的快速進步及各種不同的入侵方式，但是，文字的解釋不免有其極限。再 者，訂定這三個法定的行為方式，可能只是徒增適用上的困擾。舉例來說，

以詐騙的方式使電腦系統換發一組新的帳號密碼給入侵者，其再利用該帳號 及密碼進入該系統，屬於「無故輸入他人帳號及密碼」，或是「破解使用電 腦之保護措施」，抑或是「利用系統之漏洞」？實務上便曾經在「無故輸入 他人帳號及密碼」，或是「破解使用電腦之保護措施」兩者間擺盪。為了避 免不必要的解釋問題，本文建議，應該刪除刑法第 358 條中對於入侵方式的 限制，保留「無故入侵」作為構成要件行為即可。

再者，從立法理由來看，立法者以被入侵「電腦系統之安全性」作為刑 法第 358 條所保護的法益。以之為前提的話，就不應該過度限縮構成要件行 為類型。亦即，只要是危害了「電腦系統之安全性」的入侵行為，都應該是 得以本條處罰的對象，就可以發動刑罰權加以處罰。至於所使用的方式為 何，應該不是重點。刑法第 358 條侷限在三個法定的行為方式，可能反而使

誌，第 55 期，頁 235-247（2004 年 2 月）。本文認為，無論是輸入帳號密碼、破解 保護措施或是利用系統漏洞，除了是用以描述所入侵的電腦的特性外，同時也限制 了刑法第 358 條的所得處罰的行為態樣。

63 不同的見解，請參照柯耀程，「刑法新增『電腦網路犯罪規範』立法評論」，月旦 法學教室，第 11 期，頁 117-129（2003 年 9 月）。學者的看法主要是希望藉由將本 罪定性為舉動犯來強化對於使用電腦的安全性，而有其見地。然而，本文認為，這 樣的解釋實與條文的文字有間。

得國家無法回應部分的入侵電腦的行為。

立法論上的另一個問題是，本條並不罰未遂行為。也就是說，即使行為 人嘗試輸入他人帳號密碼、破解使用電腦的保護措施或利用電腦系統的漏洞 以入侵他人電腦，但是最後因為自己的「學藝不精」而未能得逞，也不會構 成任何犯罪。就文義的解釋來說，這樣的結論應屬當然，但是，恐怕與一般 人民的感受有所落差。這裡的問題，除了出在本罪沒有未遂規定之外，也可 以歸因於本罪不當地限縮了入侵的行為方式。是故，如果可以在修法時刪除 掉行為方式的限制，那就可能可以藉由「無故入侵」的解釋，涵蓋各種嘗試 或已經影響「電腦系統之安全性」的行為⁶⁴。

以入侵電腦的技術來說，過於繁複且不必要的構成要件設計，會讓行為 人得以逍遙法外。詳言之，心思縝密且技術高超的電腦犯罪行為人在以連線 的方式入侵電腦後，多半都會在刪除系統中的工作日誌檔後才從系統離開。

在這一種情形下，如果沒有其他的證據，檢警很難證明行為人曾經「入侵」

過該電腦系統⁶⁵，更遑論證明行為人是以「無故輸入他人帳號密碼」、「破 解使用電腦之保護措施」或是「利用電腦系統之漏洞」的方式入侵電腦。如 果行為人是直接使用了被害人的電腦，就更不容易遺留下犯罪的痕跡，檢警 也將更難證明行為人的入侵方式為何。

最後，從比較法來看，刑法第 358 條的構成要件行為，應該是「無故」

「入侵」電腦便為已足。CFAA 所規範的行為態樣主要是「無（越）越權使 用（access a computer without authorization, or exceeding authorized access）電 腦」，條文中並沒有限制要以什麼樣的方式「使用」。這樣的規範方式使得 條文可以容納更大的解釋空間，並使得實務得以解決各種不同的案件類型。

與我國相比較，CFAA 的規定顯然更有彈性。如果能將「無故輸入他人帳號

64 關於刑法第 358 條，另一個值得考慮的修法方向就是參考美國 18 U.S.C. § 1030(b)，

處罰未遂的入侵電腦行為，以更周全地保護電腦系統的安全及抗制各樣的電腦犯罪 行為。

65 Sinrod & Reilly, supra note 27, at 212.

密碼」、「破解使用電腦之保護措施」或是「利用電腦系統之漏洞」刪除，

而以「無故」「入侵」他人電腦作為構成要件行為的話，「無故」「入侵」

的一個可以參考的解釋方向就是 CFAA 所規定的「無（越）權」「使用」。

4.2.2 入侵

在判斷「入侵」電腦的標準時，從立法者所使用的文字及相關的判決可 以知道，刑法第 358 條偏向採取虛擬進入說，而不是下達指令說。從該條所 使用的文字是「入侵」電腦，語義上有行為人進入一定（虛擬）空間，並處 於得窺知該空間內狀態的意思。再者，現行條文裡的「無故輸入他人帳號密 碼」、「破解使用電腦之保護措施」或是「電腦系統」也都可以比擬為保護 該空間的措置。是故，立法者所欲處罰的行為，應該是進入到電腦系統內部 的行為。換言之，單純向受保護電腦下達指令，但是沒有窺知其內部資料的 行為，應該不構成入侵電腦罪。是故，在我國現有判決裡，構成犯罪的行為 人都是已經進入到電腦系統內，並處於對該系統內部資訊隨時可接觸的狀 態。這樣的解釋，當然合於法條的文義，也比較不會遭致處罰層面過廣的批 評。不過，值得留意的是，如果採取虛擬進入說來解釋入侵，可能會面臨證 明困難的問題。詳言之，如果當入侵電腦的行為人，在入侵後一併刪除系統 內的工作日誌檔，檢察機關可能將沒有其他足夠有利的證據證明行為人曾經 進入該系統內部。再者，在本條目前欠缺未遂規定的情形下，可能無法處罰 確實曾經試圖進入，但是最終失敗的行為。

相較之下，下達指令說可以避免上述的這一些問題。首先，依照下達指 令說，只要檢察機關可以證明行為人確實對於電腦系統下達指令即可。這樣 一來，即便是行為人湮滅了曾經進入到系統內部的證據，檢察機關還是可以 經由證明其確實曾經無故向該電腦系統下達指令，來將之繩之以法。再者，

以下達指令說來解釋入侵，也可以涵蓋那一些試圖進入電腦系統，但是最終 失敗的行為。是故，本文認為，以下達指令說來解釋「入侵」應該是較為穩 妥的作法。不過，下達指令說最大的問題在於其可能與一般社會大眾對於

「使用」或是「入侵」電腦的觀念有一定的落差，所以多數人可能也無法接 受以下達指令說作為基準所作成的判決結果。在這一個情形下，本文認為，

比較折衷的方式應該在修法時，增訂本條的未遂處罰規定，並且以虛擬進入 說來解釋入侵，以因應上述的各種已經影響電腦系統安全性的事實類型。如 此一來，也可避免指令進入說在觀念上不容易被接受的問題。

4.2.3 無故

並不是所有的「入侵」電腦行為都需要以刑罰來處罰，本文建議，在刪 除「無故輸入他人帳號密碼」、「破解使用電腦之保護措施」及「利用電腦 系統之漏洞」後，可以以「無故」的要件要求來限縮刑法第 358 條的處罰範 圍，以避免本條落入過於嚴厲的情形。至於如何解釋「無故」，似可參考 CFAA 的入侵電腦罪裡的「無（越）權」的規定及相關判決。

典型的「無故」，當屬未取得帳號密碼或超過帳號密碼授權範圍。這一 個部分，應該沒有太大的疑義。這也是刑法第 358 條所處罰的行為方式之 一。至於「無故」，應該是指沒有正當理由的存在。有無正當理由，則可以 從法律明文的規定或習慣是否許可來解釋⁶⁶。可以進一步思考的是，當行為 人違反契約授權而使用電腦時，是不是會構成無故入侵電腦罪？換言之，違 反民事上使用電腦的約定時，會不會構成刑法上的「無故」？

從上述 Explorica 案或 LCGM 案的判決可以知道，美國的法院大抵認 為，行為人違反契約條款使用電腦時，就已經是超過原有契約的授權範圍，

因而可能構成越權使用他人電腦罪。Gormley 所違反的是與 EF 間的保密協 定，LCGM 所違背的則是與 AOL 間的電子郵件服務使用協議。兩案中的約

因而可能構成越權使用他人電腦罪。Gormley 所違反的是與 EF 間的保密協 定，LCGM 所違背的則是與 AOL 間的電子郵件服務使用協議。兩案中的約