該不該立法規範網路行為?

回應文章:網路應立法建構台灣「防護罩」機制
網路行為 不宜立法規範

  ◎ 湯耀中  自由時報2001/12/27

  據報載,法務部政策決定,將我國現行法制中尚未明確規範的非法接近、非法截取、資料干擾、系統干擾及設備濫用五項,比照「網路犯罪公約」列入罪行。完成立法後,在網路上做這些事,均屬犯罪。初看之下,似乎理所當然,進一步探討,卻發現殊為不妥。該等行為,若沒有造成相對人在真實世界中有所損害,不應依法律加以規範。其中設備濫用一項,更是違反知識經濟要求創新發明的精神。一旦立法,給執法人員無限的自由裁量權,以當今網路的特性,幾乎達到可以任意誣陷他人的地步。

  在網路世界裡,是沒有所謂「不在場證明」的,一個人,是無法提出證據證明自己「沒有做過某件事的」。網路行為,倘有合法違法之分,一旦遭指控,沒有任何機制,可以反證自己沒有做。至於「犯罪的故意」則更為抽象,指控者太容易杜撰,而被指控者,卻很難證明「沒有犯罪的故意」。法律要求證據。在物質世界裡,會依物理、化學、生物定律,留下人力無法變更的痕跡,構成證據。網路世界裡,沒有自然力留下的痕跡,只有人為的痕跡。用人為的方法留下痕跡,就有人為做假的空間。指控他人犯罪,依據的證據,卻是另一個人憑技術可以做出來的,公平嗎?被指控的人,既沒有「不在場證明」的保護,又沒有能力找出這「另一個人」,不就死定了。在一個沒有證據的網路世界裡,憑幾個字,把其中行為區隔為合法違法,是不切實際的。

  從技術面看,上網的電腦,可以把訊息送給任何一部同在網上的電腦,可以看到網路線上通過的每一筆訊息,送出的訊息,亦會被許多其他的電腦讀取或修改。上網電腦,可以利用各種機制,建立權限,不讓某些訊息進入自己的電腦,或不讓訊息內容在傳輸過程中被他人看懂,但是卻不能夠防止他人送來訊息及看到訊息。網路上,並沒有一種機制,可以保證把一部電腦的權限,通知網路上的每一個使用者。換言之,一個上網使用者,可能無從知道自己是否有權限進入另一部電腦。倘若使用者要知道自己是否有權才嘗試進入某一電腦,恐怕網路內的行為,都得停頓。聯上網路的電腦系統,本應自己負責,建立安全機制,防止不該進入者進入。法務部立法,卻把責任轉嫁給使用者,要使用者承擔起了解自己是否有權限的責任。

 這會嚇跑使用者,更會縱容系統提供者或執法者,威嚇使用者。網路上是否有權限的合理判斷原則,應是「進得去,看得到」,就是有權限。如是,系統提供者才會在安全機制上力求改進,使網路世界,愈趨公平合理。

  讓「不該進入的人進入」,基本原因,是系統安全機制本身或管理有瑕疵。利用這種瑕疵進入系統,但並沒有造成物質世界裡的實體損失,未必是件壞事。瑕疵,難在發現,修補不難。違規進入,只造成網路世界的干擾,有提醒管理者知道瑕疵存在並及時修補之正面效應。前陣子流行的「紅色警戒」,是利用視窗作業系統的一個瑕疵散佈的。知道這個瑕疵的人,可以針對特殊對象,進行攻擊,造成龐大的實質損失。中了「紅色警戒」的電腦,一定得把此瑕疵修補,也因此免於遭受更大損失的可能。這類病毒,好似「發燒」,有防止「一病就死」的作用。

  桃樂絲丹寧在資訊戰爭一書中,視法務部列出的五種行為,為資訊戰爭的攻擊方式。資訊系統的安全與否,實為和潛在敵人進行的一場資訊戰爭。打贏這場戰爭,資訊系統就安全了。孫子兵法「先為不可勝,以待敵之可勝」,意指只有防守,是永遠不會安全的,要能抓住機會進攻,才能克敵,才會安全。法務部立法,無異讓守法者失去攻擊的能力,資訊系統,豈可能會安全。

  電腦系統本身,就是最利害的攻擊武器,就如同作戰一樣,任何一個資訊資源,都可以用來做為攻擊的武器,亦可用來做為防禦的武器。依法務部「設備濫用」的定義,恐怕每一個電腦程式,都可被惡質的律師或司法人員解釋為「設備濫用」,而給程式發展人員帶來不必要困擾。舉例來說,密碼破解器、網路掃瞄器、網路嗅覺器等,為維護系統安全有用的工具,但也是駭客用以侵入電腦的工具。一旦「設備濫用」入罪化,會扼殺技術研發與進步,負面作用極大。

  總之,對於網路安全的本質,我們要有自己的認知與主張,不必隨著歐洲幾國的想法而舞。網路裡的行為,依目前已知的技術,是不適用法律來規範的。(作者湯耀中╱台大資訊工程系教授)

 

網路應立法建構台灣「防護罩」機制

☉翁自得   自由時報2001/12/29

 拜讀湯耀中教授「網路行為不宜立法規範」一文(自由廣場,十二月二十七日),該文以「不在場證明」、「舉證責任」、「證據力」及網路使用者應自行建立安全機制等為由,反對法務部有意比照「網路犯罪公約」,將非法接近、非法截取、資料干擾、系統干擾及設備濫用等五項網路行為入罪;筆者認為,應儘速適度立法規範,讓網路專家從事技術性的網路行為時有所遵循,並為確保國家安全、社會及個人法益,更應儘速立法建構虛擬台灣「防護罩」的機制。

 就刑事訴訟法上的證據力而言,電腦資料的特性在於可不露痕跡地修改與增刪,因有此特性,而無法認定是否確有被修改或增刪的事實,以及修改或增刪的行為人是誰。以最常見的通聯紀錄的電腦資料為例,事實上並無法鑑定是否被修改或增刪過,以此證明在何時有打過電話的事實,本非無疑。亦如同該文所說的,一旦進入網路世界,即無法提出證據證明自己「沒有做過某件事」。不過,這是證據力由法官自由心證認定與舉證責任歸屬的問題,也是所有須以電腦資料為證據來證明犯罪事實的共同盲點,而非這五種網路行為特有的,因此,以此為由反對立法規範,形同反對現行與電腦有關的犯罪行為入罪一樣,顯非妥適。

 該文以「連上網路的電腦系統,本應自己負責,建立安全機制,防止不該進入者進入」為由反對立法,筆者認為似無可能性,因為,網路安全機制是高度專業的技術,且「道高一尺,魔高一丈」,從微軟公司、美國國防資訊系統局、太空總署、印度原子研究中心及各大網站的網路系統都曾遭到駭客入侵的事實,即可證明網路幾乎是無安全性可言,期盼一般網路用戶自行建立安全機制,幾乎不可行。

 而立法規範網路行為最大的難題,在於法律人不解或甚至誤解電腦用語,以及網路人對法律用語似懂非懂。前者如「動態隨機存取記憶體(DRAM)」之「動態」,常被法律人誤認為是「電腦關機資料全失」之意;後者如「非經登記不得對抗第三人」,常被非法律人誤認為非經登記就不能主張權利,而可能制定窒礙難行或解釋困境的條款。

 例如我國刑法於一九九七年修正時,第三二三條將「電磁紀錄」視為動產,規定竊取或侵占他人電磁紀錄的人,將分別觸犯竊盜罪或侵占罪。而竊取數位資料的方法,唯有拷貝一途,即著作權法所稱之「重製」,不過拷貝後,除非以另一行為徹底刪除原數位資料,否則,原數位資料並不會因而減少或完全消失,簡單地說,等於沒有東西被偷。因此,若嚴格解釋擅自拷貝他人數位資料不是竊盜行為,則新增之規定形同具文;若擴張解釋是竊盜行為,則可能導致依著作權法規定合理使用他人著作或取用自己的著作權之行為,都有被控竊盜罪之虞。

 不過,若立法得當,對網路技術專家會更有保障,因為可以讓守法的網路技術專家明確知道何種網路行為可為或不可為,而不會輕易侵害他人法益。例如,經主管機關許可,得在一定條件下使用該文所擔心的「密碼破解器、網路掃瞄器、網路嗅覺器」等網路工具,亦即只是規定當否問題,而非不該立法規範。

 虛擬世界發展至今,已經出現難以數計的駭客及電腦病毒,電腦病毒的傳染途徑,從早期的複製或網路下載檔案才會感染,發展至今,不僅開啟電子郵件會中毒,甚至瀏覽有病毒的網頁時也可能遭受毒害,病毒早已無所不在,防不勝防。而受到感染的電腦,若未經解毒,就如同得了傳染病的患者會到處散播病原一樣嚴重,這些病毒輕者只是單純毀損電腦資料,重者像「特洛依木馬」病毒,如同在真實世界中因暗藏之「萬能鑰匙」,導致處處不設防,在駭客的控制下,可能如「網路上身」電影情節一樣,嚴重危及虛擬世界與真實世界之安全。因此,政府有責任像預防傳染病一樣,儘速立法建構虛擬台灣「防護罩」的機制。

 網際網路只是沒有真實的距離,並非沒有國界,因為網際網路必須靠電纜或衛星接收設備等硬體來傳輸,而衛星接收器及電纜進入我國領土之處,相當於設在航空站及港口的國門,若在虛擬國門依法使用網路掃瞄器等網路工具,設置類似真實世界「檢疫」的防護罩,不僅可防止國外病毒的入侵,更可預防外國對我國發動資訊戰。(作者翁自得╱天理國際智慧財產權事務所執行長)