A利用作業系統的漏洞,透過非自製勒索病毒攻擊不特定多數使用者的電腦。B開啟筆電時,發現筆電內的全數檔案均被加密,桌面出現「Read Me」檔案,要求A必須在三天內支付贖金才能取回資料,否則就會將全數資料刪除。A涉及什麼犯罪?
一般民眾較常遇到的網路犯罪,大多屬於網路釣魚[1]、未涉及網路技術的刑事犯罪[2]。然而,資料綁架勒贖的案例近年逐漸增多,受害者除了一般民眾外,同時擴及掌有大量民眾敏感資料的商業[3]、醫療與政府機構。最為人所熟知的案例,就是2017年蔓延全球的WannaCry勒索病毒(ransomware)[4]。
如果A誘騙使用者點選特定連結,將資料勒索病毒下載到受害者的電腦中,構成的犯罪與《駭客用釣魚網站騙取個人資料,可能構成什麼犯罪?》文中的情形相同,構成刑法第359條的「無故取得、刪除、變更電磁紀錄罪[5]」
案例中A攻擊作業系統的漏洞入侵B的電腦執行勒索病毒,屬於利用電腦系統漏洞入侵他人電腦與干擾電腦運作的行為,並使公眾或他人受到損害,觸犯刑法第358條的「無故入侵電腦罪[6]」與第360條的「無故干擾電腦罪[7]」;對資料加密(甚至刪除)的變更與刪除電磁紀錄行為,構成第359條的「無故取得、刪除、變更電磁紀錄罪[8]」。而A對B勒索金錢,還會構成刑法第346條的「恐嚇取財罪[9]」。
在檢察官起訴與法院審判的論罪上,根據最高法院針對第一銀行ATM盜領案[10]的見解[11],駭客基於不法意圖,在入侵電腦後,往往緊接著下一步就會去取得、刪除或變更電磁紀錄,藉而獲取不法利益。依據社會通念,這一系列的行為構成接續犯,法律上應該評價為本於同一個犯意所從事的一個行為,而不該分開評價。
在本文的案例中,A一個行為同時觸犯刑法第346條[12]、第358條[13]、第359條[14]與第360條[15]罪名。其中第358條[16]、第359條[17]與第360條[18]同樣保護電腦使用安全法益,根據法條競合的補充關係,三項罪名中A只會構成刑度較重的刑法第359條[19]。另外的刑法第346條[20],則保護自由法益與財產法益。A的一個行為侵害了數個不同法益(電腦使用安全法益、自由法益、財產法益),依刑法第55條[21]應論以較重罪名。因此,A的行為最後會構成刑法第359條[22]犯罪。
除非受害者的設備屬於公務機關的電腦或相關設備,而屬於非告訴乃論,檢察機關可以主動偵查,不然像是本案中的B僅為一般民眾,屬於私人電腦資料受勒贖情況,按刑法第363條[23]規定須告訴乃論,必須先經由B的告訴,執法機關才能繼續偵查、起訴或審判的流程。
A所涉及的犯罪中,雖然同時包含了告訴乃論與非告訴乃論的罪,但資料綁架勒贖案件若未主動通報,往往無從令執法機關獲知而開啟偵查[24]。若要提起救濟,建議先將受病毒感染的硬碟取出作為提告證據,以新硬碟嘗試其他備份還原或資料緊急救援措施,避免證據滅失難以追查。
雖然網路的匿名性讓駭客難以被追溯,如果駭客位於海外,縱使刑法上具有管轄權[25],仍需要透過跨境合作,因而增加偵查、蒐證、逮補與審判的困難。但若交由國家機關進行追查,至少仍能盡可能獲得駭客與勒索病毒相關資訊,以利後續管理措施的改善。
註腳