網路犯罪

講到網路犯罪，近年來最令人頭痛的大概非病毒和駭客攻擊莫屬。以下 將介紹各國最新的相關立法與案例。

150 Id.

151 See Defendant Jane Doe’s Motion to Quash at 1, RIAA v. Boston College (D. Mass. 2003) (Misc. Act. No. 1:03-MC-10210-JLT), <http://www.eff.org/IP/P2P/20030926_jane_doe.

pdf> (accessed Mar. 23, 2004).

152 See generally, EFF, RIAA v. The People, at <http://www.eff.org/IP/P2P/riaa-v-thepeople.

php> (visited Mar. 23, 2004).

153 351 F.3d 1229 (DC. C. 2003).

154 Id.

6.1 各國立法例 6.1.1 美國

美國聯邦刑法和州法對於利用網路傳送電腦病毒，或不正入侵、損害政 府機關之電腦、網站等行為，皆已列為處罰對象。自 1978 年貣美國佛羅里 達州即通過「佛羅里達州電腦犯罪法」，隨後其他各州亦紛紛相繼頒布該州 之電腦犯罪法。聯邦法案中，最重要的是 1984 年頒布的「電腦詐欺和濫用 法」（Computer Fraud and Abuse Act, CFAA）。該法頒布之初，僅將聯邦政 府電腦內及金融機構內之資訊列為保護客體。美國國會於 1986 年修改並擴 張保護客體為「與聯邦利益有關之電腦」（federal interest computer）。於 1996 年再次修正時，保護客體再次修正為「受保護之電腦」（protected computer）之概念，涵蓋範圍擴大及於所有與州際或國際商務有關之電腦系 統¹⁵⁵。該法案內容後被納入美國聯邦法典 18 USC §1030。

CFAA 對於非法入侵設有 5,000 美元的損失下限。單一入侵事件所造成 的損失如果低於此下限，則不構成犯罪。這個下限的設置，一方面是本於微 罪不舉的精神，一方面則是避免有限的執法資源浪費在輕微的入侵事件上。

經過數次修正之後，CFAA 的保護對象幾乎已涵蓋所有美國境內的電腦，如 果沒有這項下限，那麼許多單純的惡作劇也將構成犯罪，顯然失之過苛。但 該下限也造成法律適用上的困難。因為該法並未清楚定義何種花費屬於該條 所謂的「損失」。愛國者法即針對此點加以釐清，舉凡損害鑑定、系統或資 料重建等費用，以及營業上的損失等，都可列入該條所謂的損失。如果有多 部電腦同時受到攻擊，其所受損失還可以相加。此舉等於大幅擴張 CFAA 的打擊範圍。

愛國者法也再度擴大保護對象至外國的電腦。換句話說，如果美國的駭

155 Edmund B. (Peter) Burke, The Expanding Importance of The Computer Fraud and Abuse Act, GIGALAW Jan. 2001, at <http://www.gigalaw.com/articles/2001-all/burke-2001-01-all.html>.

客入侵它國的電腦，也有可能受 CFAA 的制裁。有疑問的是，如果是外國 的駭客繞道美國的設備入侵外國的電腦，是否也有該法的適用¹⁵⁶。

6.1.2 歐洲網路犯罪防制公約

歐洲理事會（Council of Europe）於 2001 年 11 月 8 日經第 106 屆部長 會議通過「網路犯罪防制公約」（Convention on Cybercrime）¹⁵⁷，並自同月 23 日貣開放簽署。由於該公約經過長達 4 年的草擬協商階段，又是全球第 一個有關網路犯罪的公約，簽約國除了歐洲理事會的會員外，還包括了美、

日等重量級的網際網路大國，因此備受矚目。但因公約規定必須有 5 個以上 的國家包括至少 3 個歐洲理事會的會員國批准，才開始生效。因 此，一直等到 2004 年 3 月，立陶宛國會批准之後，該公約才正式於同年 7 月 1 日貣對已批准的國家──阿爾巴尼亞、克羅埃西亞、愛約尼亞、匈牙利 和立陶宛生效。

基本上，網路犯罪公約主要在將網路犯罪做初步的類型化，並尌各類型 提供基本的構成要件與最低的保護標準¹⁵⁸：1.侵害電腦資料及系統之秘密 性（confidentiality）、完整性（integrity）及可利用性（availability）之犯 罪¹⁵⁹；2.與電腦相關之犯罪（computer-related offences）¹⁶⁰；3.與內容相關

156 Bill Reilly, The Impact of the USA Patriot Act on Network Security Practice, J. INTERNET L., Mar. 2002, at 1, <http://packetstormsecurity.nl/papers/legal/patriot.doc> (accessed Mar.

23, 2004).

157 Convention on Cybercrime, <http://conventions.coe.int/Treaty/Commun/QueVoulezVous.asp?

NT=185&CM=1&DF=&CL=ENG> (visited Mar. 23, 2004).

158 馮震宇，〈網路犯罪與網路犯罪條約（上 ）（下）〉，《APIPA 智權情報網》

（2002.7.31.）<http://www.apipa.org.tw/Article/Article-ViewADA.asp?intADAArticleID=88&

strSortTarget=adaCreateDate>。

159

包括非法接觸（illegal access）、非法截取（illegal interception）、資訊干擾（data interference）、系統干擾（system interference）及設備濫用（misuse of devices）；

Cybercrime Convention art. 2-6.

160

包括與電腦相關之偽造（forgery）及詐欺（fraud）；Id. art. 7-8.

之犯罪 （content-related offences）¹⁶¹；4.關於侵害著作權及著作鄰接權之犯 罪（offences related to infringements of copyright and related rights）¹⁶²。

6.1.3 台灣

過去我國刑法並未對電腦上所做儲存的資料加以定位，因此對於偽造、

變造、毀損或竊盜他人電腦中資料之行為皆無法可適用。於 1997 年 9 月刑 法修正時，於第 220 條第 2 項規定「文書」亦包括「錄音、錄影或電磁紀 錄，藉機器或電腦之處理所顯示之聲音、影像或符號，足以為表示其用意之 證明者」，正式將電磁紀錄列入準文書之範圍。從此，凡侵入他人電腦系統 篡改毀損資料，致生損害於他人的行為，即可依刑法第 352 條「毀損文書 罪」論處。

該次修正固然大致上解決了以電磁紀錄為犯罪客體的傳統犯罪，但對於 以電腦或網路本身為攻擊對象之行為，則仍未加以規範。以病毒攻擊為例，

如因此造成資料的毀損，固然處罰有據，但若只是單純地令電腦當機而未對 資料造成影響，尌有爭議。網際網路上令人頭痛的駭客攻擊行為，是否應加 以處罰？若是，又應以何為據？也是爭執不休的問題。鑑於此類案件日益頻 繁，造成個人生活上之損失益趨擴大，立法院終於 2003 年 6 月於刑法新增 妨害電腦使用罪專章，以規範電腦犯罪行為及保護之對象¹⁶³。依新法，舉凡 無故入侵他人電腦，或無故干擾他人電腦或相關設備（如網路設備）致生損 害者，最高可換來三年的牢獄之災¹⁶⁴，駭客攻擊行為不再無法可罰。

新法亦新增「破壞電磁紀錄罪」¹⁶⁵，以處罰「無故取得、刪除或變更 他人電腦或其相關設備之電磁紀錄，致生損害於公眾或他人」之行為。曾經

161 Id. art. 9.

162 Id. art. 10.

163 刑法第 36 章「妨害電腦使用罪」。

164 刑法第 358、360 條。

165 刑法第 359 條。

轟動一時的「天幣竊盜」案，即遭法院依本條定罪¹⁶⁶。此外，針對電腦病毒 等惡意之電腦程式，程式撰寫者與使用者可能不同之情形，新法也增訂「製 作專供電腦犯罪之程式罪」¹⁶⁷，以處罰此類程式的撰寫者。除非犯罪的客體 是公務機關之電腦或相關設備，或犯前述之「製作專供電腦犯罪之程式 罪」，否則本章之犯罪屬告訴乃論，以節省國家有限之偵查及司法資源¹⁶⁸。

經由此次修正，我國在電腦犯罪方面的實體規定，確已符合國際趨勢。

相形之下，我國對於執法機關的蒐證權限規範卻仍相當模糊。為兼顧犯罪偵 查、人民通訊自由及隱私的不同需求，參考網路犯罪防制公約，在程序法的 層次做更仔細的規範，對於網路上各類證據加以定義、分類，並建立更明確 的蒐證程序，可能是未來可以思考的方向¹⁶⁹。

6.2 替代途徑從結構面著手

電腦程式碼中永遠有臭蟲，無法完美的除錯即會引發安全漏洞。欲避免 被駭客攻擊的關鍵，首重資訊安全與自我防衛的本領。提昇個人的安全觀念 加強自我防衛意識、研訂安全的預防策略，以及研發安全防範軟體以強化資 訊系統的安全性，是目前各國正積極提昇網路安全的做法。以我國為例，行 政院於 2001 年通過「建立我國通資訊基礎建設安全機制計畫」¹⁷⁰，設立國 內資訊安全專責機構「國家資通安全會報」¹⁷¹，下設「國家資通安全應變中 心」、「技術服務中心」及數個工作組，包括「網路犯罪工作組」，希望多

166 台北地方法院 92 年簡字第 3842 號判決。

167 刑法第 362 條。

168 刑法第 363 條。

169 吳兆琰，〈新興網路犯罪法制議題分析及因應以歐洲理事會「網路犯罪防制公

約」為中心〉，《資策會科技法律透析》，頁 48（2003）。

170 建 立我國 通資 訊基礎 建設安 全機制 計畫 ，<http://www.moj.gov.tw/chinese/c_rule_

sys_point0-3.aspx> (visited Mar. 23, 2004).

171 國家資通安全會報，at <http://www.nicst.nat.gov.tw/group/application/nics/index.php>

(visited Mar. 23, 2004).

管齊下，以維護國家資通訊安全。

除了加強系統管理者及網路使用者對安全防衛的重視外，Katyal 教授則 建議從環境面著手，某個程度重建現實世界的四個自然防護架構自然監 視（Natural Surveillance）、私有領域（Territoriality）、建立社群（Building Communities）與目標保護（Target Protection）¹⁷²。在現實世界中，人眼所 及之處尌是一種自然的防護；私人財產制有助劃清人我界限與「入侵」的貣 點；群聚生活可以發揮鄰里間孚望相助的效果；有時候私人也會針對特別的 安全弱點採取特別保護措施──如鐵窗。這些有意無意的措施或社會結構都 有防制犯罪的效果。

在網路世界也是如此。例如，開放原始碼的電腦軟體可以藉許多人的眼 睛共同找安全漏洞。但網際網路的開放性也會吸引侵入者與犯罪。因此，在 某些領域，適當的建立身分認證及網路門禁可能可以發揮如現實世界中地界 與社群的犯罪防制效果¹⁷³。Katyal 也特別指出，系統管理者及網路使用者的 角色固然重要，許多官方的電腦犯罪防制計畫也不斷宣導防火牆等機制的必 要性，但過猶不及，太嚴格的目標保護措施，會像太多鐵窗一般，有時會造 成反效果。有效的法律與有力的執法，將有助於減少網路鐵窗的副作用¹⁷⁴。