淺談網路上的資訊盜用
范傑臣-元智大學資訊社會研究所研究生
前言
自從網路逐漸普及後,相關的網路問題隨之衍生而出,許多先進國家在推動NII(National
Information Ifrastructure)之後,緊接著需要面臨的就是隨之而來的隱私、色情、駭客等問題。近年來,隱私權的問題漸漸的為大家所重視與關注,但是,我們可以發現,西方許多法律對隱私權大多是由對政府的限制,逐漸趨向為對商業機構及商業網站的管制。可是對於現實世界中,在網路上個人的資訊盜用以及盜用身份犯罪的部分,卻是尚未提及到的問題,因此本文主要針對網路上的資訊盜用加以探討。
隱私權的概念
一九六○年時,William
L. Prosser 教授在California Law Review
上發表了「隱私」一文,試圖就隱私權的內容做一歸納。在文章中William指出,以往的案例中都想決定隱私權的存在與否,卻未見指出隱私權內容
,法律上的隱私權侵害應包含四種侵權行為,它涉及了四種不同的法益,除了可以用Cooley法官所謂的「不受干擾的權利」一語通稱外,其他並無共通之處。這四種類型的侵害包括
:
1.
對他人生活安謚所為之隱私權侵害(Intrusion
upon the Plaintiff Sedusion or
Solitude or into his
Private Affairs )。
2.公開他人之姓名、肖像或揭發其他不願為他人所知悉之私人資料所為之隱私
權侵害(Publicity
Given to his Name or Likeness or to private Information about
him)。
3.使他人處於人為誤解情況之隱私權之侵害(Placing
him in a False Light in the
Public Eyes)。
4.基於商業上之目的,侵犯他人人格所致之隱私權之侵害(the
Commercial Appropriation of Element
of his Personality)。
網路上的身份盜用依照William的觀點,則傾向於公開他人之姓名、肖像或揭發其他不願為他人所知悉之斯人資料所為之隱私,以及使他人處與誤解情況之隱私權侵害。由於電腦傳遞資料的便利,使得這種趨勢以激烈地威脅到個人的權利,而當個人資料可以輕易地受到他人的獲取與利用,個人隱私權力不免受到威脅。於是,「資訊隱私權」(Information
Privacy)之概念乃因運而生,有別於傳統上對隱私保障之思考,轉向以「個人資料保護」(data
protection)保障為重心上,以對抗資訊時代中隱私所受的衝擊。(李科逸,民89)
資訊隱私權(Information Privacy)的主要意義,在於「若未通知資料當事人並取得同意,
其資料持有者或取得者不得擅自將當事人資料為特定某一目的的資料,利用在另一目的上。」其主旨在於個人對於自身的資料,擁有最完整的控制性與支配權,當然對於資料使用者的用途,也有最後的審核與資料正確性的主張,此為資訊隱私的所強調個人對資料的主動積極態度。
然而,對於個人資料的保護,許多國家都將焦點放在電子商務的交易安全,或是網站業者對於使用會員的資料保密上面,如美國的1997年公布的全球電子商物架構報告(A
Framenork For Golbal Electronic Commerce)以及歐盟1995年通過的個人資料保護指令(Europen
Union’s
Directive 95/46/EC on the protection of individuals with regard to the
processing of personal data and on the free movement of such data)皆是對於團體或機構對個人資料的使用上做規範與約束,但是,對於個人對他人的資料侵害,卻未能有效的規範與管制,而究竟個人行為對他人資料的侵害有哪些的類型,這幾種犯罪類型又有哪些的規範,個人資料在被侵害時,又可以主張哪些的權利呢?本文將做深入的介紹與剖析。
案例一:
嫌犯許永富在替客戶維修電腦時,涉嫌自硬碟中盜拷包括全省汽車所有人、信用卡持有人、及台北市健保投保人等資料,再利用化名申請的網頁及電子郵件販售,資料內容則詳細如身分證字號、車籍、薪資所得等,涉嫌收受贓物的嫌犯卓明勳、連銀吉亦一併依刑法妨害秘密罪嫌移送法辦。
案例二:
收到上網費用帳單,平白無故暴增了幾千元,可別認栽付款、當了冤大頭。負責偵辦電腦犯罪的刑事局偵九隊陸續偵破多起盜用撥接帳號的詐欺案,嫌犯多利用可遠端遙控的木馬程式入侵他人電腦竊取資料,或趁電腦維修之便,暗自記下受害者的撥接帳號和密碼,進而盜用。盜用電腦撥接帳號的詐欺案,儼然成為電腦犯罪的另一大宗。
網路上充斥的各式資訊也可能是犯罪的淵藪。偵九隊日前一口氣移送44名盜用撥接帳號嫌犯中,就有網友使用網路上的免費撥接帳號,卻因為該帳號是盜取來的,而吃上官司。
案例三:
追不到女同事,網路工程師扮駭客報復
2000.8.15
離職的張姓網路工程師,因先前追求該公司黃姓女同事遭拒,欲得知黃女男友的身份,涉嫌以「社交工程法」(social engineering)入侵公司電腦,截取公司及所有員工的電子郵件,並且假冒調查局之名,在網路上散發黃女之黑函。台北市刑事警察局以其觸犯偽造文書、妨害名譽、妨害秘密、竊盜、干擾他人電磁記錄處理之毀損等罪嫌,移送台北地檢署偵辦。
資訊盜用的犯罪類型
上述案例的行為,透過網路科技的發達,對侵害權益有了質與量的改變,電腦被入侵或是無意間留下自己的使用帳號與密碼,對網路使用者所造成的傷害,以日益增加。當傳統犯罪手法與新興科技結合後,個人資料被侵害的危險性提高了,依照目前網路上資訊盜用所衍生出來的犯罪類型,我們可以將之大略分為下列幾種形式:
一、假冒他人名義,對別人做攻訐的言論。
二、公布他人的個人資料,造成個人隱私資料外洩。
三、取得他人的帳號及密碼,造成他人的帳單費用增加。
四、取得他人的使用身份與密碼,進行資料的竊取。
上述的犯罪類型,都是在現實生活中也可能發生的犯罪案件,但是,由於網路的私密性與方便性,使大眾對網路使用行為的自我約束變得寬鬆,也有許多網路使用者有著錯誤的觀念,認為:網路上的行為,不會輕易地被他人發現,因而做了觸犯法律的行為而不自知。這種錯誤的觀念,使得網路犯罪的行為日漸增加。
犯罪類型探討
一、
冒名攻訐
此種犯罪方式,大都是假借某人的名字,對其他人進行侮辱或是誹謗。如案例三中,張姓工程師假冒調查局之名,對張女發出電子黑函。依據刑法的偽造文書罪,若冒名行使他人之事宜,不論是否行為涉及其他違法事項,其構成要件—行使偽造、登載不實事項,即已構成犯罪之事項,因此必須要負擔刑事責任。
至於在電腦網路上,是否是屬於刑法中所規定的「文書」,亦或只是電子資料,沒有規範效力。我們則可以依照刑法第二百二十條準文書的規定視之。刑法第二百二十條規定「電子、磁性……所製成之記錄,而更供電腦處理之用者」,亦屬於文書的定義之中,因此適用於偽造文書的規範。而根據刑法第二百十條規定,偽造、變造私文書,足以生損害於公眾或他人者,處五年以下有期徒刑。
其散佈的言論涉及到侮辱或是誹謗,則可依刑法第三百十條誹謗罪,「意圖散佈於眾,而指摘或傳述足以毀損他人名譽之事者,為誹謗罪……。散佈文字、圖畫犯前項之罪者,處兩年以下有期徒刑、拘役或一千元以下罰金」。而在民法第一百九十五條「不法侵害他人之身體…名譽、……隱私……,被害人雖非財產上之損害,亦得請求賠償相當之金額。其名譽被侵害者,並得請求回復名譽之適當處分」。
網路上有許多可以發表自己意見與看法的空間,使得許多人得以利用此種管道與人接觸,抒發自我的見解。這種有別於傳統媒體的傳播方式,固然受到大多數人的青睞,卻也是最容易造成侵害他人權益的一個犯罪行為,尤其在BBS與網路留言版,或是電子郵件的傳送,若沒有尊重他人的名譽與權利,很容易就對他人造成名譽上的損害。而冒用他人名字,對另一人做情緒性或非理性的攻訐、誹謗,更會造成雙方的誤解,侵害的範圍更廣,所涉及的法律包含有偽造文書、誹謗、侮辱等,這種因使用方便性而造成對他人權益的侵害,往往為一般網路使用者所忽略。
二、
公布他人個人資料
此種行為,最常發生便是利用某些管道取得他人的電子檔案,可能關乎個人的帳戶、信用卡號、個人相關資料等,然後在網路上進行販售或散佈的行為。此種行為,依據刑法第三百十五條之一「……無故以錄音、照相、錄影或電磁紀錄竊錄他人非公開之活動、言論或談話者。」以及第三百十五條之二「……意圖散布、播送、販賣而有前條第一項第二款之行為者,亦同。」的妨害秘密罪處五
年以下有期徒刑、拘役或科或併科五萬元以下罰金。就如同案例一中的嫌犯,利用自己職務之便,取得大量的個人資料,便適用此條款。
但是,若公布熟識友人的個人資料,而沒有做文字上的侮辱或誹謗,究竟有沒有觸犯任何法律?若依照電腦處理個人資料保護法(簡稱個資法)第十八條「非公務機關對個人資料之蒐集或電腦處理,非有特定目的…不得為之……」且個資法的適用範圍,依據個資法第三條第七項「非公務機關:(一)徵信業及以蒐集或電腦處理個人資料為主要業務之團體或個人。(二)醫院、學校、電信業、金融業、證券業、保險業及大眾傳播業…」並沒有包含「個人」使用電腦的部分,因此就現行的法律而言,若個人資料被他人無故地公布在網路上,儘管個人隱私資訊受到很大的侵害,卻無法管制與約束公布資料的個人行為,這著實是需要相關立法機關重視的部分。
三、
盜用帳號與密碼
此種犯罪型態,多半分為竊取他人的網路帳號與密碼和信用卡號,將取得的資訊盜刷或是盜用網路帳號,造成被害者金錢上的損失。依照刑法第三百二十條「意圖為自己獲第三人不法之所有,而竊取他人之動產者,為竊盜罪」,置於財物上的損失,則可依照民法第一百八十四條「因故意或過失,不法侵害他人之權利,負損害賠償責任。」
案例二中,有嫌犯利用木馬入侵程式,侵入他人主機,竊取相關的帳號與密碼,這種行為,除了犯竊盜罪外,還牽涉到妨礙秘密罪的刑責。對於網路使用者來說,不只侵害了自己的隱私權,還侵害了財產權,這種權益上的傷害,相對於現實生活中的竊盜,真是有過之而無不及,而且,利用電腦網路犯罪,往往受害者無法察覺,直到傷害已經造成,才要去面對一連串複雜而繁瑣的上訴,造成精神與財產上不小的損失。
四、
盜用他人身份與密碼,進行資料竊取
這種犯罪手法,相較於前面幾種身份盜用的犯罪類型,需要較高的電腦技術。一般而言,是利用網路技術,進入某公司或機構的主機,進行身份與密碼的破解後,在進入相關的資料庫內,竊取商業資料、客戶名單、甚至是公司的財物資訊等。對於這種犯罪者而言,盜取或破解他人的身份與密碼並不是主要的目的,資料的取得,才是這類型犯罪者首要的目標。
早期的網路安全保護並不是非常的完備,因此許多的駭客大多喜歡入侵銀行或公家機構(如五角大廈、NASA),竄改銀行帳戶資料,或是竊取公家機構的機密文件。目前因為資訊技術的普及與成熟,許多的商業往來、私人資料都利用網路進行交換傳輸的動作,如此一來,資料在無意間被有心人士攔截、竊取的機會便大幅提昇。
近年來更因為電腦病毒的興盛,使網路防護上有了很大的漏洞,網路資料的安全性也隨著變種病毒的駐進,讓網路犯罪有了入侵的機會。此種犯罪行為,涉及到刑法上的妨害秘密、竊盜等罪嫌,若因入侵他人電腦,使致內部資料損毀,則可依照刑法第三百五十二條「……干擾他人電磁紀錄之處理,足以生損害於公眾或他人者」毀損文書罪嫌起訴。
結論
近年來隨著網路使用人口的增加,網路犯罪的案件也日益增多,但民眾卻不如日常生活中對犯罪事件的警覺,往往一個不留神,網路帳號就被他人取得,因而造成財物上的損失。若公司的客戶資料或是商業資料沒有保護好,其損失的金額與規模,遠大於個人的損失。
然而,國內的個資法,僅對於資料易得性的相關行業(如:徵信業、醫院、學校、電信業、金融業、證券業、保險業及大眾傳播業)做一定的規範與限制,卻對於個人侵害他人或公司機構等的網路侵害案件,無法有一個明確的約束。加上晚近的電腦病毒肆虐,利用電子郵件夾帶電腦病毒的方式,躲過防毒系統,破壞公司或區域網路的防火牆(Firewell),更進一步使主控端電腦無法作業,在利用大家手足無措地處理電腦中毒問題的時候,利用遠端遙控程式,輕而易舉地侵入電腦,竊取機密資料。此種犯罪手法,往往是個人的網路行為,無法適用於個資法的相關規範,但是,犯罪者所侵害的權益往往是牽涉到眾人的權益,僅用刑法或民法,似乎無法補償此類事件牽涉到相關受害者的損失。
網路逐漸被視為一公共領域空間,許多使用者習慣在BBS及網站中的聊天室發表自己的言論,當然有時也會宣洩自己情緒。固然網路是與人溝通的一個管道與場域,但是,在進入到這個公共場域的時候,是否對於自己的權利義務有所認識。現實生活中,由於人際間的互動,都必須是面對面的溝通,所以可以由其他的方式來辦別他的身份與行為;網路上的互動,給人一個錯誤的觀念:隔著電腦螢幕,別人不知道我是誰,這種錯誤的觀念導致侵害他人名譽或是冒用他人身份的行為出現而不自知,越來越多人因故意或無意間觸犯了侮辱或誹謗罪,除了加強資訊道德教育外,對網路領域的觀念,也應該有一個正確的認知。
對於個人資料的處理,隨著資料易得性增加,而有日益增高的保護意識,國內目前的個資法,也正在研擬將個人收集資料的相關行為,納入個資法的規範之中,期望在將來得以對於個人隱私資料有一個最完善的保護。當然,除了相關法律的修正外,個人對於資料的處理也要有高度的警覺意識,隨時留心自己相關的資訊是否保護得宜,在必要提供個人資料的地方,都要注意相關隱私權保護的條約,以免將來資料不幸洩漏時,得以循法律途徑主張個人的權利。
參考文獻
1.
隱私權概念之在思考─關於概念、範圍、定義與權利形成方法,林建中,國立臺灣大學法律學研究所碩士論文,民87。
2.
李科逸(民89)網際網路時代個人隱私應如何保障?資策會科技法律中心論文專述,
http://stlc.iii.org.tw/stlc_c.htm
3.
陳炳全(民89)新科技、新風險—資訊社會下隱私概念的變遷,科技勞動與福利研討會論文集。
4.
張家慧(民89)從虐嬰案出發—思考幾個隱私權問題,元智大學資社所未發表論文。
5.
盜用撥接帳號越來越多,民生報,民國89年12月18日D4版
6.
追不到女同事
網路工程師扮駭客報復,網路犯罪防制網,民國89年8月15日,http://www.crime.org.tw/data01.htm/
7.
盜拷資料上網販售,網路犯罪防制網,
http://www.crime.org.tw/data01.htm/
8.
電腦處理個人資料保護法,法源法律網,http://db.lawbank.com.tw/Scripts/Query3.asp
9.
電腦處理個人資料保護法施行細則,法源法律網,http://db.lawbank.com.tw/Scripts/Query3.asp
10.電腦處理個人資料保護法之個人資料之類別,法源法律網,http://db.lawbank.com.tw/Scripts/Query3.asp
11.Sandra
Byrd Pertersen(1995), Your Life As An Open Book: Has Technology Rendered
Personal Privacy Virtually Obsolete? Federal Communications Law Journal