駭客用釣魚網站騙取個人資料,可能構成什麼犯罪?

文:李昕(認證法律人)
  • 1   0
    刊登:2018-10-24 ‧ 最後更新:2020-06-02

    案例

    A從網路中取得釣魚電腦程式,仿製知名網站網址(例:Google仿製成Gougle)誘騙使用者點選,使用者點選後即會自動下載並啟用惡意軟體,記錄其登入服務資訊;並將取得的個人資料賣給他人營利。使用者B不慎點選後,遭A記錄下中文姓名、身分證字號、手機號碼、生日與信用卡卡號等資訊。A的行為可能涉及哪些犯罪行為?

    本文
    網路駭客是什麼?
    涉及網路的犯罪行為(cyber crime),伴隨網路使用行為的普及而來。網路犯罪的犯罪內容若僅以「網路」作為工具,並未破壞電腦運作效能,例如:網路援交、網路販毒、網路詐欺等。這種行為構成的犯罪,端看行為人運用「網路」這個媒介所從事的行為而定[1]。而透過網路技術破壞電腦運作效能來犯罪的人,才被稱為網路駭客。駭客的目的,無論是為了炫耀/報復、竊取資料,或藉以要脅使用者,相中的多是設備中含有的珍貴資料。
    釣魚網站騙個資犯什麼罪?
    駭客取得的資料,較常見的是營業秘密及個人資料。以營業秘密作為要脅籌碼的情形大多針對企業,而且通常發生在具有競爭關係的企業間對經營與產品技術資訊的爭奪,此類行為會與營業秘密法有關。但在釣魚網站騙個資的案例中,主要涉及刑法與個人資料保護法:
    刑法「妨害電腦使用罪」章
    我國在2003年因應資訊社會的來臨,增訂了刑法「妨害電腦使用罪」章[2],新增告訴乃論的刑法第358條[3]「無故入侵電腦罪」、第359條[4]「無故取得、刪除、變更電磁紀錄罪」以及第360條[5]「無故干擾電腦罪」;與非告訴乃論的第362條[6]「無故製作與使用有害程式罪」,保障公眾與個人使用資訊設備的安全。
    A透過惡意軟體記錄B輸入的登入資料,屬於無故取得他人電磁記錄,觸犯第359條[7]「無故取得、刪除、變更電磁紀錄罪」,會面臨5年以下有期徒刑、拘役或科或併科20萬元以下罰金。
    個人資料保護法
    駭客取得的資料若屬於個人資料,也會違反個人資料保護法(一般簡稱「個資法」)規定。A利用惡意軟體所取得的姓名、身分證字號、生日、聯絡方式等資料足以辨識出B,屬於B的個人資料。A取得後並販售的行為,屬於意圖為自己不法利益,違反個資法第19條[8]與第20條[9]蒐集、處理與利用個人資料的規定,蒐集並利用B的個資。依個資法第41條[10],得處以5年以下有期徒刑,得併科新臺幣100萬元以下罰金。
    小結
    駭客的不法行為,在實體法上均能找到相對應的法律來規範,但網路的匿名性常導致難以追溯到犯罪者。使用者在面臨網路資訊安全威脅時,亦應採取積極措施,例如:安裝防毒軟體、定期更新作業系統,並避免點選不明網頁或電子郵件中的連結,以減少電腦遭入侵的機率。

    註腳

    1.   例如:網路詐欺則會構成刑法「詐欺背信及重利罪」章(第339條至第334條之1)、網路援交則構成刑法「妨害風化罪」章(第230條至236條),而網路販毒則構成毒品危害防制條例的犯罪。這一類犯罪的構成,並不會因為透過網路實施而特別成立不同的罪。
    2.   蔡惠芳(2013),〈妨害電腦使用罪章:第一講:保護法益與規範功能〉,《月旦法學教室》,第126期,頁64。
    3.   刑法第358條:「無故輸入他人帳號密碼、破解使用電腦之保護措施或利用電腦系統之漏洞,而入侵他人之電腦或其相關設備者,處三年以下有期徒刑、拘役或科或併科十萬元以下罰金。」
    4.   刑法第359條:「無故取得、刪除或變更他人電腦或其相關設備之電磁紀錄,致生損害於公眾或他人者,處五年以下有期徒刑、拘役或科或併科二十萬元以下罰金。」
    5.   刑法第360條:「無故以電腦程式或其他電磁方式干擾他人電腦或其相關設備,致生損害於公眾或他人者,處三年以下有期徒刑、拘役或科或併科十萬元以下罰金。」
    6.   刑法第362條:「製作專供犯本章之罪之電腦程式,而供自己或他人犯本章之罪,致生損害於公眾或他人者,處五年以下有期徒刑、拘役或科或併科二十萬元以下罰金。」
    7.   刑法第359條:「無故取得、刪除或變更他人電腦或其相關設備之電磁紀錄,致生損害於公眾或他人者,處五年以下有期徒刑、拘役或科或併科二十萬元以下罰金。」
    8.   個人資料保護法第19條第1項:「非公務機關對個人資料之蒐集或處理,除第六條第一項所規定資料外,應有特定目的,並符合下列情形之一者:一、法律明文規定。二、與當事人有契約或類似契約之關係,且已採取適當之安全措施。三、當事人自行公開或其他已合法公開之個人資料。四、學術研究機構基於公共利益為統計或學術研究而有必要,且資料經過提供者處理後或經蒐集者依其揭露方式無從識別特定之當事人。五、經當事人同意。六、為增進公共利益所必要。七、個人資料取自於一般可得之來源。但當事人對該資料之禁止處理或利用,顯有更值得保護之重大利益者,不在此限。八、對當事人權益無侵害。」
    9.   個人資料保護法第20條第1項:「非公務機關對個人資料之利用,除第六條第一項所規定資料外,應於蒐集之特定目的必要範圍內為之。但有下列情形之一者,得為特定目的外之利用:一、法律明文規定。二、為增進公共利益所必要。三、為免除當事人之生命、身體、自由或財產上之危險。四、為防止他人權益之重大危害。五、公務機關或學術研究機構基於公共利益為統計或學術研究而有必要,且資料經過提供者處理後或經蒐集者依其揭露方式無從識別特定之當事人。六、經當事人同意。七、有利於當事人權益。」
    10.   個人資料保護法第41條:「意圖為自己或第三人不法之利益或損害他人之利益,而違反第六條第一項、第十五條、第十六條、第十九條、第二十條第一項規定,或中央目的事業主管機關依第二十一條限制國際傳輸之命令或處分,足生損害於他人者,處五年以下有期徒刑,得併科新臺幣一百萬元以下罰金。」
    1
    這篇文章有幫助到你的話,
    請給我一個讚,謝謝。
    送出 取消
    網站採用CC授權,內容歡迎轉載分享。