您在收發電子郵件時是否有這樣的安全意識:傳送的郵件或下載的檔案有沒有暗藏病毒或木馬程式?寄信者真的是他所自稱的人嗎?有沒有偽造或冒名呢?以下主要從刑法與詐欺防制角度論及相關法律責任。
郵件或檔案暗藏病毒或木馬程式
針對駭客、病毒等「以網路為攻擊標的」的犯罪行為,我國於2003年6月增訂了刑法第36章「妨害電腦使用罪章」,將網路入侵型犯罪正式納入我國刑罰體系。本章共計6條,除了對公務機關犯罪之加重處罰(第361條)與告訴乃論規定外(第363條),包括了4種犯罪型態:第358條的無故入侵、第359條的無故取得刪除變更電磁紀錄、第360條的無故干擾電腦系統、與第362條的製作專供犯罪程式罪等。根據第359條之定義,駭客在他人電腦中「植入木馬」之行為,應可認定屬於本條「無故變更電磁紀錄」之行為。而散佈病毒、以分散式阻斷攻擊(DDoS)或封包洪流(Ping Flood)等手法影響網路系統穩定性的行為,可構成第360條的無故干擾電腦系統或相關設備罪。相關法律責任可說甚為明確。
然而,我國資訊應用環境雖然發達,各界的資安風險意識卻相當薄弱,企業或民眾的電腦系統被植入木馬的情況頗為嚴重。實務上常出現的疑問之一是:若企業或使用者的電腦不慎被植入木馬,且被當作跳板攻擊他人的電腦(此種情況,英文有代稱Bot或Zombie,中文有稱「跳板」或「僵屍」)時,被害的企業或個人有沒有刑責?以目前並沒有法律直接課予企業或個人資訊安全維護義務之角度,答案應是否定的。但若從大型企業、專職提供網路服務業者之風險控制能力、專業知識與財務負擔等角度考量,則不能排除被攻擊者得依民法侵權行為章節之規定,向被當作跳板之企業或個人請求損害賠償成立之可能性1。企業或個人實不可以為沒有刑事責任就忽視資安工作的重要性。
網路詐欺防制
網路釣魚詐欺可以說是目前最常見到的結合網路詐欺手法。歹徒利用連鎖信或垃圾郵件,誘使收信人主動連線到被歹徒偽冒的網站上更新個人資料後,歹徒再利用這些個人資料冒名入侵網路銀行轉帳,或充作拍賣網站交易中的人頭帳戶替罪羔羊。由於被偽冒的商家多是知名業者,這類被稱為網路釣魚的詐欺案件對商家信譽、交易秩序都造成了不小的影響。但網路釣魚犯罪如何認事用法,各方見解卻不一致。實務上即曾發生,有民眾在交付個人資料後驚覺被騙,向警方報警,警方卻認為歹徒之行為屬於詐欺罪的預備行為,在沒有進一步利用該個人資料進行其他犯罪行為獲利的情況下,不構成詐欺犯罪而成了拒絕受理的案例。
從刑法「行為的處罰以法律有明文規定者為限」的觀點,歹徒的行為確實與詐欺罪章節的構成要件有異;我國刑法於2003年修正,將電磁記錄視為準動產的概念刪除後,網路釣魚詐欺的行為更難直接以詐欺罪加以評價。此時即必須檢視各階段之行為來認事用法。
首先是歹徒以發送垃圾郵件手法,對大量、不特定民眾散布誘餌的「灑網階段」。這個階段可說是歹徒手法變化最多元的時候,法律評價也依不同的行為態樣而有相當的差異。以歹徒偽造商家名義寄送郵件,並虛設網站的基本手法而言,可能構成我國刑法的偽造文書、侵犯網頁著作權人的重製權外,也可能因為使用他人商標中之文字、圖案作為來源之標識而成立侵害商標權罪。
至於歹徒以垃圾郵件方式散佈訊息的行為,除非涉及到以非法輸出方式蒐集民眾個人資料,可能得以電腦處理個人資料保護法規範外,目前並無法可管。
到「魚兒上?階段」,由於電磁紀錄已非動產,歹徒誘使民眾自行送上個人資料的行為恐難該當第339條「以詐術使人交付物」之詐欺罪,但可能成立第359條的「無故取得他人電磁紀錄罪」。又由於現行的電腦處理個人資料保護法(以下簡稱「個資法」)有規範不足的困境,歹徒蒐集個人資料的行為目前難以個資法繩之。惟立法院審議中的個資法修正草案已將罰則限於意圖營利之要件刪除(行政院版第40條參照),日後任何人只要有違反本法規定蒐集個人資料,並對當事人足生損害時,即得處2年以下有期徒刑。
「獲利階段」則為歹徒利用所取得的個人資料,進行其他行為以實際獲利的階段。此時,如歹徒用以製作偽卡,可構成刑法第201條之1的「偽造支付工具罪」;如用以入侵網路銀行,進行電子轉帳、更改他人財務紀錄時,視行為的階段性,可能成立刑法第358條的「無故入侵罪」,也可能成立第339條之3「以不正方法將虛偽資料輸入電腦取得他人財產或利益罪」,分別為3年與7年以下的刑責等。
簡單而言,網路釣魚充分利用人性弱點與網路的可匿名性、分散性來進行犯罪,警方查緝工作上有相當的困難度。修正法制以因應網路安全維護的需求是一個思考方向,但在現階段,定期檢視與使用更安全的交易工具、正確教育消費者網路交易的風險,毋寧是企業更迫切需要處理的議題。企業應加強與客戶的聯繫,讓客戶知道企業在什麼樣的情況下會要求取得客戶的個人資料,有疑問時,客戶能如何迅速有效地與企業取得聯繫等。此時,固定的電話專線、單一的企業網址,包括電子郵件、電話號碼、郵政帳號等多重聯繫管道的提供等,皆是建立企業信譽、協助消費者辨別訊息真偽的途徑。而民眾對網路應用的風險實應有所警覺,「停、看、另循管道聯繫」仍是因應網路釣魚的不二法門。接到不尋常或太好康的訊息時,切勿立即回覆,應思考訊息內容的可靠性;若有企業實體的聯繫管道,寧可去電查証,並儘量不要以來信所附連結上網,改以自行鍵入網址的方式,較能確保所連上者為企業的真實網站。若不幸真的被釣到了,仍建議應盡量保存證據,儘速尋求企業與警方的協助為宜。