觀點

從使用者角度論網路應用涉及的安全法制

2005 / 09 / 05
吳兆琰
從使用者角度論網路應用涉及的安全法制
一提到資訊安全應注意的法律議題,國內很多專家即使取得CISSP網路安全認證專業資格,恐怕對此議題也答不出個所以然來,甚至很多人可能會癟起嘴巴,認為台灣的法律對這一塊毫無建樹。這種狀況可以理解,但絕不正確。除了法律領域的專業本來就非科技背景之技術人員所長外,由美國(ISC)2頒佈規劃的CISSP認證考試所涉及的法制專業領域,本來就不可能涵蓋到對其他國家的法制介紹。而國內上過CISSP課程者,大概只知道美國的電子通訊隱私法(Electronic Communication Privacy Act)可適用於網路監控,健康保險可攜性與可責性法(Health Insurance Portability and Accountability Act,簡稱HIPAA)對於電子資訊的傳輸、病歷的安全保護程序有較具體的規範(註1),但對於規範背後的法律邏輯、所引發的正反辯論等,大概無暇深思也難以理解,更遑論對我國現行法制的瞭解。


技術人與法律人思維的差異是可以猜想的,但沒有實際接觸這兩個領域的人,大概很難切實瞭解兩者間的差距。蓋法律是應用層面的產物。淺白而言,法律規範的適用是論「結果」的;當民眾依法應被保障的權益被侵害時,法律的機制就可以被啟動,不管侵權者所使用的武器為何。以誹謗為例,以大字報說某某人壞話,或轉寄電子郵件,對當事人可能造成的名譽損害是一致的。再以監控為例,每個人都不喜歡他的一舉一動都被別人所監控或掌握,不論那個「別人」是政府、老闆或情侶、配偶;相關憲法、刑法也都保障了民眾秘密通訊的自由,我國也沒有類似美國刑法排除雇主通訊監察違法性的規定(註2),那網管人員又何嘗可以安全為名,撰寫程式攔截封包、檢視他人的通訊內容?就法論法,除非有更大的公益考量、或為當事人所明知等阻卻違法事由,資安工作某種程度上可以被認定是一種侵權行為,不可不慎。
建置完善的資訊安全環境,監控是一個重要的議題,但不是唯一的議題;而要瞭解法律並不難,從各使用者立場出發,思考其關注的角度即可探知相對應的法律。下文首先從使用者角度,簡介分析網路應用涉及的法規範,但不包括特定行業專屬的行業管理規範。


一般使用者其實並不在乎電腦是如何運作,他們會在乎的無怪乎是:1.電腦可以使用;2.電子郵件收發正常。


電腦可以使用

所謂電腦可以使用包括系統不當機、資料上下載順利、檔案可以讀取等等。


(1) 系統維護屬管理議題;除非故意毀損或外力入侵,法律鮮少涉入空間。
必須注意的是,若該系統處理的資料具有即時性,如股、匯市交易系統,或資料收送時點的認定與民眾權益息息相關時,如司法書狀的收送影響法定訴訟程序的期間起算,此時系統服務中斷的影響重大,必須特別思考對當事人權益維護議題(註3)。要如何確保業務永續運作、保障資料完整性與可用性,是機關對外提供資訊服務前必須妥善規劃與思考的議題。
系統維護的法律規範目前並不明確。如果只影響機關內部作業,引發員工的抱怨程度,將可能僅涉及機關內部工作績效與考核的問題。但若該系統涉及到對外提供服務,如網路銀行服務,此時參考契約責任歸屬概念與風險承擔能力,資訊系統建置者應有較大的義務在爭議事件中負舉證責任;行政院消費者保護委員會審議中的「個人網路銀行業務服務定型化契約範本」即明確採此見解(註4)。此見解日後是否會擴及到所有電子商務業者,值得注意。


(2) 資料上下載必須注意權限控管與上下載檔案的合法性。
使用者在機關內部網路的資料上下載行為,一般也傾向認為屬於管理議題;由機關主管們依業務性質或部門需求,設定各級人員的存取等級,再進行權限控管。權限設定可說是資安管理工作最重要的一環。因為一旦權限設定失當,如讓打掃清潔人員可接取經理等級的業務資料,或系統未能即時更新設定,讓離職員工仍可用原帳號密碼接取系統等,此時機關網路就可能成為洩密或有心人士搞破壞最便捷的途徑。
目前市面上已經有許多功能強大的商用軟體,可協助主管們做好存取權限控制的工作。而我國法律針對接取權限的保護規定,主要為刑法第358條「入侵他人電腦或相關設備罪」。從本條規定「無故輸入他人帳號密碼」、「破解使用電腦之保護措施」、或「利用電腦系統之漏洞」等三種行為態樣的構成要件可知,本條規定仍以機關事前善盡系統維護義務、做好權限控管作為本罪成立的前提。因為對使用者而言,機關在配付帳號、密碼的同時,即已明示或默示地授權該人員使用該特定資訊系統;除非機關在該資訊系統特定項目中有進行明確的權限控管,或使用者明知無權限卻以規避的方式,例如已離職員工利用別人的帳號密碼來接取系統、利用駭客工具破解密碼進入系統等,否則本罪仍難成立。
上下載檔案另一個受各界討論的議題,是檔案授權與內容的合法性問題。除了大家較為熟知的使用盜版軟體,利用點對點傳輸(P2P)技術或「我愛芳鄰」共享資料夾分享影音圖檔引發的著作權侵權爭議,適用著作權法規定外,還包括散布不實言論、誹謗、色情資訊等行為,可能直接涉及民法、刑法與青少年保護等相關規定(註5)。另值得注意的是,若使用者檔案上載的對象是使用開放式通訊協定的網際網路(Internet),日後還必須注意電腦網路內容分級處理辦法之規定。雖然成效存疑,但本辦法預計在2005年10月正式施行;根據新聞局目前公布的電腦網路內容分級處理辦法,日後所有實際提供網頁資訊內容者均有自行貼上分級標籤、協助標示內容等級(限制、輔導、保護及普遍等4個等級)的義務(註6)。


(3) 資料要能順利讀取,除了需要能支援的程式,資料本身也要有讀取可能性。
所謂資料讀取可能性,就是1.檔案資料是不是被有效保存;2.檔案格式打不打得開。蓋資訊科技日新月異,電子文件在製作、保存時,可能以符合當時主要的科技為之,但歷經一段時間以後,可能會因科技進步產生作業系統已遭淘汰、或其他格式上不相容的問題,導致資料檔案在系統中雖然存在,但是並無法有效讀取內容的狀況。這類問題發生在私人企業,雖然仍可能發生困擾,但影響層面不大;需要特別重視的,將是公務機關的資料保存與接取。蓋公務機關的資料檔案,往往攸關民眾權益,是法律上止息定爭的重要依據,所以公務機關的檔案均有保存年限的規定,有些國家檔案更必須永久保存。


我國目前針對電子資料處理與應用特性而設計的法律,主要為電子簽章法。根據電子簽章法第6條,保存電子文件時應注意「應可於日後取出供查驗」之規定,除應重視文件之「保存性」外,亦要特別注意可讀性的問題,例如為保存電子文件製作備份時應考慮將作業系統一併備份云云。但相關規定如何落實?如何才算是有效保存,不會讓公務資料因為系統或軟體的汰換,或格式的更新而不能讀取?此部分仍要參考檔案法、公文程式條例等規範。


依我國法制,檔案法規範政府資訊管理作業,公文程式條例規範公文格式之製作。兩者在過去或許並不需要有一體性的考量,可分別獨立作業,但在資訊化環境下,檔案格式事前的定義將影響事後的資料庫檢索效益。從使用者應用效益而言,即使某公文檔案已依法被儲存在電腦或某個儲存設備中,但事後若無法被有效「喚回」(retrieve)應用時,檔案保存的目的即已喪失,不可不慎。基於發揮政府公文電子化的最大效益考量,檔案法與公文程式規範相關法制或有合為一體考量,並加以調整的必要。


另外值得一提的是,依據檔案法第24條,各機關公務員只有在明知不應銷毀而銷毀、或違法銷毀程序銷毀檔案時,始有刑事責任。但2003年公布實施的國家機密保護法第35條,已進一步將「毀棄、損壞、隱匿、或致令不堪用國家機密」之行為擴及到對過失犯的處罰(註7);經核定後的國家機密檔案,日後若因保存失當而無法讀取,相關人員應有本條規定之適用。但長期性的電磁資料保存有諸多變數,若無事前明確規範,屆時如何認定責任歸屬不無疑問。簡而言之,資料保存法制的可執行性,由於各國政府推動電子化時程尚短,目前仍難具體論之,可能要數十年後才能具體驗證。


電子郵件收發正常
資訊時代下,上班族每日到辦公室的第一件事,莫不是打開電子郵件程式,檢查是否有來自長官的指示、來自業務聯繫單位的訊息、或來自親朋好友的新知分享等。而在電子郵件成為人際溝通重要管道的同時,它也成為各方覬覦的對象:商人們得藉由電子郵件降低行銷成本;駭客們得藉電子郵件散播病毒、木馬等惡性程式,遂其攻擊目的。


利用電子郵件行銷和利用電子郵件散布惡性程式,此二種行為的目的雖然不同,但在科技的推波助瀾下,客觀上它們對資訊系統可能造成的負擔、對正常郵件收發造成的排擠效應卻可能是相同的;從資安的角度,兩類行為都有加以規範的必要性。蓋大量不請自來的行銷郵件(以下簡稱垃圾郵件)在傳輸過程中霸佔頻寬的行為,就如同駭客的分散式阻斷攻擊行為(Distributed Denial of Service Attacks,DDOS)般,不當加重系統提供正常服務的困難。而駭客最容易使用的DDOS攻擊,就是利用程式在瞬間產生大量封包,癱瘓目標網路,使得正常的使用者無法獲得該主機及時的服務。


由於駭客在進行DDOS攻擊時慣常假造封包來源位址(source IP)以增加追查困難度,故而在資安管理的思考上,就需要各地區網管理人員的配合,從路由器上濾掉不應該出現在該區網的Source IP,同時防止區網內的人員送出假造Source IP的封包。這樣的思考同時反映在各國的反垃圾郵件法制設計上。例如歐盟的隱私與電子通訊指令(2002/58/EC)禁止偽造、變造或隱藏得以辨識寄件者之資訊;美國的CAN-SPAM Act of 2003更以刑法要求業者,不得故意欺瞞或誤導收件者或網際網路接取服務者該郵件來源IP資訊;不得偽造表頭資訊;不得以假資料申請多個電子郵件信箱或2個以上的網域名稱,或偽造他人名義,傳送大量商業電子郵件訊息等。我國目前正在立法院審議中的「濫發商業電子郵件管理條例草案」,雖要求商業電子郵件發信人對信首資訊有誠實的義務,但法制設計上仍以民事損害賠償為原則;其設計意旨,應僅在藉此法建立良好的商業應用習慣。對於業者故意以郵件或指令霸佔頻寬資源的行為,則仍依其情節,檢視其是否構成刑法第360條的干擾他人電腦或其相關設備罪。


對於刑法第360條與垃圾郵件防制的關係,一般以為,除非收信者能證明寄信人有破壞系統、灌爆使用者信箱之故意,並造成實際的損害,否則刑法第360條並不及於對垃圾郵件寄送行為之規範(刑法第360條立法理由參照)。惟台北地檢署在2005年5月10日,已根據微軟公司告發,將指定微軟hotmail電子郵件帳號做為退件路徑的李姓業者起訴(註8)8。法官屆時如何解讀新修刑法第360條之適用,值得關注。