從使用者角度論網路應用涉及的安全法制

一提到資訊安全應注意的法律議題，國內很多專家即使取得CISSP網路安全認證專業資格，恐怕對此議題也答不出個所以然來，甚至很多人可能會癟起嘴巴，認為台灣的法律對這一塊毫無建樹。這種狀況可以理解，但絕不正確。除了法律領域的專業本來就非科技背景之技術人員所長外，由美國(ISC)2頒佈規劃的CISSP認證考試所涉及的法制專業領域，本來就不可能涵蓋到對其他國家的法制介紹。而國內上過CISSP課程者，大概只知道美國的電子通訊隱私法（Electronic Communication Privacy Act）可適用於網路監控，健康保險可攜性與可責性法（Health Insurance Portability and Accountability Act,簡稱HIPAA）對於電子資訊的傳輸、病歷的安全保護程序有較具體的規範（註1），但對於規範背後的法律邏輯、所引發的正反辯論等，大概無暇深思也難以理解，更遑論對我國現行法制的瞭解。


技術人與法律人思維的差異是可以猜想的，但沒有實際接觸這兩個領域的人，大概很難切實瞭解兩者間的差距。蓋法律是應用層面的產物。淺白而言，法律規範的適用是論「結果」的；當民眾依法應被保障的權益被侵害時，法律的機制就可以被啟動，不管侵權者所使用的武器為何。以誹謗為例，以大字報說某某人壞話，或轉寄電子郵件，對當事人可能造成的名譽損害是一致的。再以監控為例，每個人都不喜歡他的一舉一動都被別人所監控或掌握，不論那個「別人」是政府、老闆或情侶、配偶；相關憲法、刑法也都保障了民眾秘密通訊的自由，我國也沒有類似美國刑法排除雇主通訊監察違法性的規定（註2），那網管人員又何嘗可以安全為名，撰寫程式攔截封包、檢視他人的通訊內容？就法論法，除非有更大的公益考量、或為當事人所明知等阻卻違法事由，資安工作某種程度上可以被認定是一種侵權行為，不可不慎。
建置完善的資訊安全環境，監控是一個重要的議題，但不是唯一的議題；而要瞭解法律並不難，從各使用者立場出發，思考其關注的角度即可探知相對應的法律。下文首先從使用者角度，簡介分析網路應用涉及的法規範，但不包括特定行業專屬的行業管理規範。


一般使用者其實並不在乎電腦是如何運作，他們會在乎的無怪乎是：1.電腦可以使用；2.電子郵件收發正常。


電腦可以使用
所謂電腦可以使用包括系統不當機、資料上下載順利、檔案可以讀取等等。


(1) 系統維護屬管理議題；除非故意毀損或外力入侵，法律鮮少涉入空間。
必須注意的是，若該系統處理的資料具有即時性，如股、匯市交易系統，或資料收送時點的認定與民眾權益息息相關時，如司法書狀的收送影響法定訴訟程序的期間起算，此時系統服務中斷的影響重大，必須特別思考對當事人權益維護議題（註3）。要如何確保業務永續運作、保障資料完整性與可用性，是機關對外提供資訊服務前必須妥善規劃與思考的議題。
系統維護的法律規範目前並不明確。如果只影響機關內部作業，引發員工的抱怨程度，將可能僅涉及機關內部工作績效與考核的問題。但若該系統涉及到對外提供服務，如網路銀行服務，此時參考契約責任歸屬概念與風險承擔能力，資訊系統建置者應有較大的義務在爭議事件中負舉證責任；行政院消費者保護委員會審議中的「個人網路銀行業務服務定型化契約範本」即明確採此見解（註4）。此見解日後是否會擴及到所有電子商務業者，值得注意。


(2) 資料上下載必須注意權限控管與上下載檔案的合法性。
使用者在機關內部網路的資料上下載行為，一般也傾向認為屬於管理議題；由機關主管們依業務性質或部門需求，設定各級人員的存取等級，再進行權限控管。權限設定可說是資安管理工作最重要的一環。因為一旦權限設定失當，如讓打掃清潔人員可接取經理等級的業務資料，或系統未能即時更新設定，讓離職員工仍可用原帳號密碼接取系統等，此時機關網路就可能成為洩密或有心人士搞破壞最便捷的途徑。
目前市面上已經有許多功能強大的商用軟體，可協助主管們做好存取權限控制的工作。而我國法律針對接取權限的保護規定，主要為刑法第358條「入侵他人電腦或相關設備罪」。從本條規定「無故輸入他人帳號密碼」、「破解使用電腦之保護措施」、或「利用電腦系統之漏洞」等三種行為態樣的構成要件可知，本條規定仍以機關事前善盡系統維護義務、做好權限控管作為本罪成立的前提。因為對使用者而言，機關在配付帳號、密碼的同時，即已明示或默示地授權該人員使用該特定資訊系統；除非機關在該資訊系統特定項目中有進行明確的權限控管，或使用者明知無權限卻以規避的方式，例如已離職員工利用別人的帳號密碼來接取系統、利用駭客工具破解密碼進入系統等，否則本罪仍難成立。
上下載檔案另一個受各界討論的議題，是檔案授權與內容的合法性問題。除了大家較為熟知的使用盜版軟體，利用點對點傳輸（P2P）技術或「我愛芳鄰」共享資料夾分享影音圖檔引發的著作權侵權爭議，適用著作權法規定外，還包括散布不實言論、誹謗、色情資訊等行為，可能直接涉及民法、刑法與青少年保護等相關規定（註5）。另值得注意的是，若使用者檔案上載的對象是使用開放式通訊協定的網際網路（Internet），日後還必須注意電腦網路內容分級處理辦法之規定。雖然成效存疑，但本辦法預計在2005年10月正式施行；根據新聞局目前公布的電腦網路內容分級處理辦法，日後所有實際提供網頁資訊內容者均有自行貼上分級標籤、協助標示內容等級（限制、輔導、保護及普遍等4個等級）的義務（註6）。


(3) 資料要能順利讀取，除了需要能支援的程式，資料本身也要有讀取可能性。
所謂資料讀取可能性，就是1.檔案資料是不是被有效保存；2.檔案格式打不打得開。蓋資訊科技日新月異，電子文件在製作、保存時，可能以符合當時主要的科技為之，但歷經一段時間以後，可能會因科技進步產生作業系統已遭淘汰、或其他格式上不相容的問題，導致資料檔案在系統中雖然存在，但是並無法有效讀取內容的狀況。這類問題發生在私人企業，雖然仍可能發生困擾，但影響層面不大；需要特別重視的，將是公務機關的資料保存與接取。蓋公務機關的資料檔案，往往攸關民眾權益，是法律上止息定爭的重要依據，所以公務機關的檔案均有保存年限的規定，有些國家檔案更必須永久保存。


我國目前針對電子資料處理與應用特性而設計的法律，主要為電子簽章法。根據電子簽章法第6條，保存電子文件時應注意「應可於日後取出供查驗」之規定，除應重視文件之「保存性」外，亦要特別注意可讀性的問題，例如為保存電子文件製作備份時應考慮將作業系統一併備份云云。但相關規定如何落實？如何才算是有效保存，不會讓公務資料因為系統或軟體的汰換，或格式的更新而不能讀取？此部分仍要參考檔案法、公文程式條例等規範。


依我國法制，檔案法規範政府資訊管理作業，公文程式條例規範公文格式之製作。兩者在過去或許並不需要有一體性的考量，可分別獨立作業，但在資訊化環境下，檔案格式事前的定義將影響事後的資料庫檢索效益。從使用者應用效益而言，即使某公文檔案已依法被儲存在電腦或某個儲存設備中，但事後若無法被有效「喚回」（retrieve）應用時，檔案保存的目的即已喪失，不可不慎。基於發揮政府公文電子化的最大效益考量，檔案法與公文程式規範相關法制或有合為一體考量，並加以調整的必要。


另外值得一提的是，依據檔案法第24條，各機關公務員只有在明知不應銷毀而銷毀、或違法銷毀程序銷毀檔案時，始有刑事責任。但2003年公布實施的國家機密保護法第35條，已進一步將「毀棄、損壞、隱匿、或致令不堪用國家機密」之行為擴及到對過失犯的處罰（註7）；經核定後的國家機密檔案，日後若因保存失當而無法讀取，相關人員應有本條規定之適用。但長期性的電磁資料保存有諸多變數，若無事前明確規範，屆時如何認定責任歸屬不無疑問。簡而言之，資料保存法制的可執行性，由於各國政府推動電子化時程尚短，目前仍難具體論之，可能要數十年後才能具體驗證。


電子郵件收發正常
資訊時代下，上班族每日到辦公室的第一件事，莫不是打開電子郵件程式，檢查是否有來自長官的指示、來自業務聯繫單位的訊息、或來自親朋好友的新知分享等。而在電子郵件成為人際溝通重要管道的同時，它也成為各方覬覦的對象：商人們得藉由電子郵件降低行銷成本；駭客們得藉電子郵件散播病毒、木馬等惡性程式，遂其攻擊目的。


利用電子郵件行銷和利用電子郵件散布惡性程式，此二種行為的目的雖然不同，但在科技的推波助瀾下，客觀上它們對資訊系統可能造成的負擔、對正常郵件收發造成的排擠效應卻可能是相同的；從資安的角度，兩類行為都有加以規範的必要性。蓋大量不請自來的行銷郵件（以下簡稱垃圾郵件）在傳輸過程中霸佔頻寬的行為，就如同駭客的分散式阻斷攻擊行為（Distributed Denial of Service Attacks，DDOS）般，不當加重系統提供正常服務的困難。而駭客最容易使用的DDOS攻擊，就是利用程式在瞬間產生大量封包，癱瘓目標網路，使得正常的使用者無法獲得該主機及時的服務。


由於駭客在進行DDOS攻擊時慣常假造封包來源位址（source IP）以增加追查困難度，故而在資安管理的思考上，就需要各地區網管理人員的配合，從路由器上濾掉不應該出現在該區網的Source IP，同時防止區網內的人員送出假造Source IP的封包。這樣的思考同時反映在各國的反垃圾郵件法制設計上。例如歐盟的隱私與電子通訊指令（2002/58/EC）禁止偽造、變造或隱藏得以辨識寄件者之資訊；美國的CAN-SPAM Act of 2003更以刑法要求業者，不得故意欺瞞或誤導收件者或網際網路接取服務者該郵件來源IP資訊；不得偽造表頭資訊；不得以假資料申請多個電子郵件信箱或2個以上的網域名稱，或偽造他人名義，傳送大量商業電子郵件訊息等。我國目前正在立法院審議中的「濫發商業電子郵件管理條例草案」，雖要求商業電子郵件發信人對信首資訊有誠實的義務，但法制設計上仍以民事損害賠償為原則；其設計意旨，應僅在藉此法建立良好的商業應用習慣。對於業者故意以郵件或指令霸佔頻寬資源的行為，則仍依其情節，檢視其是否構成刑法第360條的干擾他人電腦或其相關設備罪。


對於刑法第360條與垃圾郵件防制的關係，一般以為，除非收信者能證明寄信人有破壞系統、灌爆使用者信箱之故意，並造成實際的損害，否則刑法第360條並不及於對垃圾郵件寄送行為之規範（刑法第360條立法理由參照）。惟台北地檢署在2005年5月10日，已根據微軟公司告發，將指定微軟hotmail電子郵件帳號做為退件路徑的李姓業者起訴（註8）8。法官屆時如何解讀新修刑法第360條之適用，值得關注。