綜合專業文章部落格


關於版主
站內搜尋 Search

專業部落格 Blog

全域分類 Menu

益思

2009/12/30 12:05
瘋狂下標與侵入電腦

◎林倍志實習律師 

  強迫電腦接受訂單╱研究生海訂6.4億張禮券 被控駭客

2009-12-12

〔記者吳岳修、黃宣弼/台北報導〕知名家具連鎖店「HOLA特力和樂」的網頁,今年九月爆發千元禮券誤標零元,遭網友瘋狂標購六兆四千億元禮券;HOLA調查認為,網友「小徐」利用系統漏洞,不當下標六億四千萬張千元禮券,認定遭駭客侵入系統,日前具狀控告「小徐」涉嫌妨害電腦使用罪。

今年九月廿六日凌晨,有網友發現,HOLA網站價值千元的商品禮券竟然標為「○」元,HOLA直到三天後才察覺,但已有超過二千名網友,下標訂購六十四億餘張,市價總值達六兆四千億元。

事隔月餘,HOLA調查發現,上萬筆訂單中,網友小徐使用某些技巧,「強迫」電腦系統在六筆訂單中接受下標訂購六億四千萬張禮券,是這次誤標事件購量最龐大者。

    數位時代帶給了人類許許多多的便利,生活上的大大小小事物,包括購物、轉帳、繳費都可以透過滑鼠的輕輕一按,在幾秒間順利完成。即便是遠在千里之外,網路仍是無遠弗屆,不受限制。也因此,透過網路購物的人們越來越多,由此所生的網路糾紛也越來越多。尤其是今年以來,發生多次標錯價事件,包括戴爾、易遊網、PChome、華航、HOLA等知名廠商,都因為其網路商店的商品標示了錯誤的價格,而導致消費者瘋狂下單購買,因而衍生了許多的交易糾紛。

 

    上述的這則HOLA 0元禮券事件的後續報導,就是因為這種交易糾紛所產生的。這些交易糾紛,固然多數是廠商的疏忽所產生,然而,消費者本身若是一時見獵心喜,明知有錯標之情形而大量訂購,即有可能發生像上述新聞中「小徐」的情況。依照新聞中所提到的,小徐之所以被HOLA提告,主要是因為HOLA認為,「網友小徐使用某些技巧,『強迫』電腦系統在六筆訂單中接受下標訂購六億四千萬張禮券」。然而,無論HOLA所言是否為真,小徐都因此惹上不必要的困擾。

 

     至於在有關刑事責任是否成立的部分,按照刑法第358條的規定,行為人的行為必須是「無故輸入他人帳號密碼、破解使用電腦之保護措施或利用電腦系統之漏洞,而入侵他人之電腦或其相關設備者」才夠成本罪。不過,大多數人在討論本罪的時候,多半把討論的焦點放在兩個部分,第一、行為人是否「無故」?以及,第二、行為人的行為是否構成「輸入他人帳號密碼」、「破解使用電腦之保護措施」或「利用電腦系統之漏洞」等三種法定方式之一。但是事實上,本罪的核心並不是在於所謂的方式,而是在於是否有侵入他人電腦的行為,我國司法實務指出「按刑法第358 條之規定,無論是以輸入他人帳號密碼,或破解使用電腦之保護措施,或利用電腦系統之漏洞等各種方式,均須有侵入他人電腦或其相關設備之行為,始得該當於刑法第358 條之罪。易言之,苟無任何侵入他人電腦或相關設備之行為,縱令有輸入他人帳號密碼,或破解使用電腦之保護措施,或利用電腦系統之漏洞等各類行為,除另有其他法令得以處罰外,自不得逕以刑法第358 條之罪相繩。」

 

     因此,上述案例中的小徐是否構成刑法第358條之犯罪,關鍵點在於是否有侵入HOLA網站伺服器之行為,如果僅是單純因為HOLA網站設計漏洞(例如:設定輸入100張以上的禮券購買會出現拒絕的畫面,但按繼續購買後,再重新輸入100張以上的禮券,居然就會被系統接受),而未有侵入他人電腦的行為,應不構成刑法第358條之犯罪。新聞中HOLA公司使用「強迫」電腦系統在六筆訂單中接受下標訂購六億四千萬張禮券這樣的說法,相當啟人疑竇,若確涉有入侵電腦,應該就直接說明其電子商務伺服器資料庫遭入侵,而不是使用此種模糊的用語。

 

    筆者個人認為HOLA的標錯價事件,若僅因特定網友利用交易系統漏洞大量下標,即以刑事方式處理,實非企業在處理此類案件之良方,HOLA公司對於此種消費者,大可靜待消費者向法院訴訟或提出消費者保護爭議後,再依法處理即可,刑事告訴是一個二面刃,傷人也傷己,此類案件透過協商或民事途徑解決即可。若是企業明知未涉及刑事責任,而企圖使人受刑事訴追而提起告訴,還涉有誣告罪的風險,更是浪費司法資源,應該要慎之又慎啊!

 

參考條文

 

刑法第358條:

無故輸入他人帳號密碼、破解使用電腦之保護措施或利用電腦系統之漏洞,而入侵他人之電腦或其相關設備者,處三年以下有期徒刑、拘役或科或併科十萬元以下罰金。

 

刑法第360條:

無故以電腦程式或其他電磁方式干擾他人電腦或其相關設備,致生損害於公眾或他人者,處三年以下有其徒刑、拘役或科或併科10萬元以下罰金。

 

刑法第362條:

製作專供犯本章之罪之電腦程式,而供自己或他人犯本章之罪,致生損害於公眾或他人者,處五年以下有期徒刑、拘役或科或併科二十萬元以下罰金。

 

第363條:

第三百五十八條至第三百六十條之罪,須告訴乃論。

 

實務判決

臺北地方法院98年度訴字第245號判決

按刑法第358 條之規定,無論是以輸入他人帳號密碼,或破解使用電腦之保護措施,或利用電腦系統之漏洞等各種方式,均須有侵入他人電腦或其相關設備之行為,始得該當於刑法第358 條之罪。易言之,苟無任何侵入他人電腦或相關設備之行為,縱令有輸入他人帳號密碼,或破解使用電腦之保護措施,或利用電腦系統之漏洞等各類行為,除另有其他法令得以處罰外,自不得逕以刑法第358 條之罪相繩。公訴人雖認被告有侵入台新銀行電腦或相關設備之信用卡資料庫之犯行,惟台新銀行迄今仍不知被告是否確有於何時?何地?侵入何系統,目前僅能以查獲資料不包括信用卡消費明細,推論被告應該是自「信用卡年度換卡系統」取得信用卡資料等情,有台新銀行98年6 月25日刑事陳報狀附卷可稽(本院卷第163 頁)。又台新銀行有關信用卡之相關系統(即「信用卡資料庫」),並非僅有「信用卡年度換卡系統」,尚有其他系統在內(為保護台新銀行資訊安全,於此不予詳述),亦有台新銀行98年4月8 日台新總法制字第09800000970 號函暨其附件附卷可稽(本院卷第92-94 頁)。而公訴人僅泛稱被告以不詳方式侵入「信用卡資料庫」,並未明確指出被告究係以何種方法侵入「信用卡資料庫」之何種系統,且所舉證據亦無法證明被告係侵入何系統,自難僅憑被告之硬碟內有信用卡資料一事,即逕自推定被告確有侵入「信用卡資料庫」之行為。再者,被告於任職台新銀行期間之96年間,確有登入使用「信用卡年度換卡系統」之權限等事實,業如前述,是被告於具有合法帳號、密碼之情形下,以輸入帳號、密碼之方式登入年度換卡系統,自無任何侵入電腦之情形可言。從而,在被告並無侵入台新銀行電腦或相關設備之行為下,無論其是否有以不詳方法規避IPG 監控程式側錄,其行為均與刑法第358 條之侵入電腦相關設備罪不符。


Copyright IS-Law.com
由 林倍志律師 發表於 綜合專業文章部落格 | 引用 (0) | 閱讀(3395)