| 林昕璇/中國文化大學法律學系助理教授 |
網路犯罪側觀
一、概述
網路攻擊與網路犯罪的區分界線及法律評價,伴隨著網路活動的日益蓬勃發展,逐漸發展為重要法律議題。但網路攻擊、網路戰與網路犯罪三者間之概念內涵仍處於發展階段,因對於確切之界定範圍仍存在些許模糊地帶,亟待釐清。
雖然網路犯罪尚無完整明確界定,但現已存在一般性的定義為: 「任何使用電腦、網路或硬體設備促成或實施的犯罪(any crime that is facilitated or committed using a computer, network, or hardware device.)。」相較於網路攻擊與網路戰,網路犯罪所涵蓋的範圍甚為廣泛,涵蓋網路詐騙、線上盜版、線上散布兒少色情、入侵電腦(computer intrusions)等。與網路攻擊不同,網路犯罪不以破壞電腦網路為前提,且多數不以政治或國家安全為目的。
二、網路犯罪之代表性行為態樣[1]
- 惡意軟件攻擊
惡意軟件攻擊乃係網路犯罪分子透過惡意軟件攻擊計算機系統。而使得受惡意軟件攻擊的計算機會被用於其他非法之多種用途目的。其態樣包括竊取機密數據、使用計算機進行其他犯罪行為或對數據造成損害等。惡意軟件攻擊的代表性案件當屬發生於2017年5月之WannaCry 勒索軟件攻擊事件。當時網路駭客利用程式透過網際網路對全球執行Microsoft Windows作業系統的電腦進行攻擊加密型勒索軟體兼蠕蟲病毒攻擊,涵蓋西班牙電信、英國國民保健署、聯邦快遞和德國鐵路股份公司等總計150 個國家、共 230,000 台電腦受到波及影響,公私部門因此遭到駭客勒索支付比特幣贖金以重新獲得訪問權限,並導致在全球範圍約40 億美元的經濟損失。
- 網路釣魚(Phishing)
網路釣魚活動係指發送垃圾郵件或其他形式的通訊,以誘騙收件人做出破壞其資訊網路安全的事情。網路釣魚活動消息可能涵蓋指向惡意網站的鏈接,或者透過垃圾郵件誘使郵件接收者回覆機密資訊。
2018年於俄羅斯世界盃期間瀰漫的「大規模網路釣魚詐騙」事件,具有高度爭議。事實背景涉及駭客發送給球迷的電子郵件,此等垃圾郵件試圖通過誘騙收件人得以免費前往舉辦世界杯的莫斯科來吸引,導致誤點擊這些電子郵件中的使用者的個人數據被盜。另一種網路釣魚活動稱為「魚叉式網路釣魚」,相較於大規模網路釣魚詐騙,是更具有針對性的資訊安全危害行為,試圖誘騙特定個人危害他們服務之組織企業的資訊安全。與大規模網路釣魚不同,魚叉式網路釣魚郵件通常經過精心設計,例如,他們看起來像是來自 CEO 或 IT 經理,使其看似像是來自可信來源的郵件,進而操縱網路使用者對網路系統輸入不實資料或程式以達到網路詐欺之效果。
- 分散式 DoS 攻擊 (Distributed DoS attacks)
分散式 DoS 攻擊 (DDoS) 則為駭客用以破壞計算機系統的典型網路犯罪態樣。DDoS 攻擊通過使用標準通信協議之一向系統發送連接請求的垃圾郵件,從而使系統不堪重負。進行網路勒索的網路犯罪分子可能會利用 DDoS 攻擊的威脅來索要金錢。或者,當另一種類型的網路犯罪發生時,DDoS 可能被用作分散注意力的策略。此類攻擊的一個著名示例乃係 2017 年對英國國家彩票網站的 DDoS 攻擊。網路駭客針對英國國家彩票發動DDoS 攻擊。癱瘓彩票網站 www.national-lottery.co.uk 及使其移動應用程式離線,進而導致英國公民無法正常購買彩票,益彰顯駭客透過DDoS將為線上科技平台的資安風險增添新的變數。
網路犯罪、網路攻擊與網路戰之區辨
從Oona A. Hathaway, Rebecca Crootof等學者所整理的彙整清楚凸顯了網路戰、網路攻擊與網路犯罪三者各自應具備之核心內涵[2]。從下表可知,第一、網路犯罪僅涉及非國家行為者所發動者為限。再者、其必須以透過電腦系統進而違反刑事法律為前提。相較之下,網路攻擊與網路戰則以側重基於國安或政治性目的,抑或者以影響層面必須達到「武裝衝突」之程度且必須在武裝衝突的情境脈絡下發端,始足當之。換言之,現代通訊的迅猛發展提供將傳統於實體法律場域所發生的各種法律行為態樣,移轉於虛擬空間的契機與條件,但卻也因此衍生諸多法律評價與概念解釋的灰色空間。
圖1:網路犯罪、網路攻擊與網路戰的區辨要素
資料來源:Hathaway et al. 2012.
圖2:網路犯罪、網路攻擊與網路戰之聯集圖
資料來源:Hathaway et al. 2012
大多數網路犯罪不構成網路攻擊或網路戰(如圖2所示)。當非國家行為體的行為違反內國法或國際法而為犯罪時,這個行為只是網路犯罪(“An act is only a cyber-crime when a non-state actor commits an act that is criminalized under domestic or international law.”)。Oona A. Hathaway, Rebecca Crootof等學者於《The Law of Cyber-Attack》一文中列出以下三項屬於網路犯罪但非為網路攻擊的例子:
- 非國家行為體透過電腦網路,以政治或國家安全為目的,但不破壞電腦網路。如因在網路上發表政治意義言論而犯罪、個人出於政治性目的入侵銀行系統竊取資料。
- 非國家行為體透過電腦網路實行非法行為,且破壞電腦網路,但非出於政治或國家安全之目的。如駭客破壞銀行系統以攫取金錢利益。
- 非國家行為體透過電腦計算機從事非法行為,但不破壞電腦網路的功能,也不以政治或國家安全為目的。如散布兒童色情內容。
如圖2所示,如同某些網路犯罪既非網路攻擊亦非網路戰,某些網路攻擊既非網路犯罪亦非網路戰。以下兩種情況為在符合網路攻擊的定義下,僅該當網路攻擊(cyber-attack-only scenario):
- 國家行為體在非武裝衝突背景下所實施之未達武裝攻擊標準之網路攻擊。如2011年中國政府對法輪功網站的攻擊。
- 非國家行為體所實施,未達武裝攻擊標準且不構成網路犯罪之攻擊,原因可能為法律漏未規定或未使用基於電腦的手段。
網路犯罪之行為主體必為非國家行為者,網路犯罪與網路攻擊之重疊處發生在非國家行為體以政治或國家安全為目的,透過電腦網路實施非法行為而破壞電腦網路時,若該行為上升至武裝衝突的程度則會構成網路戰。假設以一群人入侵美國國務院的伺服器,並出於對美國政府的蔑視而將該伺服器關閉。非國家行為體出於政治性因素入侵並破壞電腦網路,上述行為即同屬網路犯罪與網路攻擊。
同理可證,網路戰必構成網路攻擊。圖2中網路戰與網路攻擊之重疊包含兩種型態的攻擊:
- 第一類包含任何於武裝衝突背景下實施的網路攻擊,但不構成戰爭罪或不使用基於電腦的方法,或兩者均無。
- 第二類包含國家行為體實施與常規武裝攻擊(a conventional armed attack)效果相當之網路攻擊者。該使用武力可能為適法或不適法,但若行為主體係國家行為體,則不該當於網路犯罪。
結語
揆諸實際,網路攻擊以及現有法律(戰爭法、國際條約、內國刑法)的監管,戰爭法僅得於構成武裝攻擊或發生在武裝衝突背景下的網路攻擊提供的框架,實已對於物聯網世界中伴隨而生的資訊安全的法律規範體系構成挑戰。由Oona A. Hathaway, Rebecca Crootof等學者致力共著的《The Law of Cyber-Attack》一文從定義內涵的角度,將固有學說始終難以明確切割的網路犯罪、網路攻擊、網路戰做出如上文所討論之區辨要素及交集圖之切割,實有助於學理釐清長久存在的概念上的混亂和模糊地帶。
誠如學者積極呼籲應及早建立全新的、全面法律框架以更有效的應對網路攻擊。以美國為首的世界強權固然可藉由賦予內國刑法處理網路攻擊的域外效力(extra territorial effect)、採取國際法允許的有限度的反制措施處理戰爭法無法處理的網路攻擊。然而,從犯罪偵查的角度觀之,有鑑於所謂網路犯罪往往具備身分隱密、證據難以取得追索以及跨國管轄的本質特性。因此僅仰賴各國之內國法實已無法周延完整應對挑戰。在此基礎上,國際合作可謂提供國際間必須為網路攻擊、網路犯罪及網路戰的定義達成一致、同時釐清概念涵攝上的混亂,方得為資訊共享、證據蒐集和對涉案人員的刑事訴訟開展更廣泛的國際合作,構築穩健發展之基礎。
[1] What is cybercrime? How to protect yourself from cybercrime. 檢自:https://www.kaspersky.com/resource-center/threats/what-is-cybercrime (2022. Oct. 10)
[2] Hathaway, O. A., Crootof, R., Levitz, P., & Nix, H. (2012). The law of cyber-attack. Calif. L. Rev., 100, 817.
