從尋夢園判決看刑法製作專供犯罪程式罪

吳兆琰／資策會科法中心組長

隨著網路應用的深化，以電腦及其網路應用系統為攻擊標的之新興犯罪型態開始困擾各國的法制體系。我國於2003年6月，針對網路入侵型態的犯罪完成刑法第36章「妨害電腦使用罪章」的增修，將無故入侵（第358條）；無故取得、刪除或變更電磁紀錄（第359條）；無故干擾電腦系統（第360條）；以及製作專供犯罪程式罪（第362條）等4種犯罪型態，正式納入我國的刑罰體系。

本章的增修，在當年由於並沒有太多的實務案例可供各界討論，曾被學者評為想像中的行為類型，但隨著時間演變，開始出現了具體的實務判決。最近的一個實務判決，該案例業者因為業務競爭而設計綁架網頁程式，本文即從此案例討論立法當時極具爭議性的第362條「製作專供犯罪程式罪」。

本案例事實如下：某網路公司的負責人及電腦工程師，為增加其公司所屬的「尋夢園網路聯盟」（以下簡稱尋夢園網站）的客戶到訪率，並阻礙網友進入其他提供類似服務的網站，而撰寫了「聊天室增強元件」。當網友連線進入尋夢園網站一段時間，就會彈出一個視窗，詢問或警告使用者是否安裝此增強元件程式，一旦安裝，程式就會自動修改網友電腦中的系統檔案，並在系統內植入名為「ek2 1.dll」的檔案，該檔案裡面隱藏被該公司惡意排除的其他聊天室網址。造成網友只要瀏覽名單中的同類型聊天室網站，網頁就會主動跳回「尋夢園」網站，網友上網形同被綁架一般。

此案經臺北地檢署起訴後，法官採信被告辯稱，此增強元件程式可以幫忙過濾站上的色情、仿冒、廣告網址，且經詢問證人，該程式在下載後確有發揮前述過濾色情及廣告之功能，因此難以判定被告製作專供犯罪之電腦程式，從而僅以無故變更他人電腦之電磁記錄，判處有期徒刑5個月（臺北地方法院94年度訴字第1514號）。

此判決結果一出，為資訊安全界所愕然，因為據說曾有知名防毒程式公司將「尋夢園聊天室增強元件」等程式列入木馬病毒惡意程式之列（本案如最後經法官判決確定，認定該增強元件非屬惡意程式，則該防毒公司反可能有涉及妨害該公司信譽之嫌）。

有論者以為，此判決結果是因為法官不了解電腦犯罪及惡意程式所導致。然而，專供犯罪程式罪在立法草擬階段即已意見紛歧，本條之構成要件為：「製作專供犯本章（36章：妨害電腦使用罪章）之罪之電腦程式」、「供自己或他人犯本章之罪」、「致生損害於公眾或他人」，法官與資訊界的認知落差很明顯地出在「專供」要件之認定：法官認為，被告設計的增強元件程式尚有其他的功能（包括過濾色情及廣告網址等），且該功能經過詢問第三方證人，確實有發揮上述功能，因此從而認定此程式並不符合「專供」之要件。

若法官將「專供」解釋為程式「功能之單一」，則可能使本條規定英雄無用武之地。因為不論是軟體程式或硬體，各類電腦工具或多或少都會附加其他的功能，特別在大野狼要騙小紅帽開門時，肯定不會直接告訴他是「大野狼」，在相關的功能上進行某種程度的偽裝或綑綁是必然的。

如將「專供」解釋為「設計目的之單一」，則由於程式多具有雙重用途，例如Sniffer（誘探器）的設計功能本來就用在攔截網路上的封包，它可以用來協助網管人員做好資訊安全控管工作，但也可以用做非法側錄、妨害他人秘密的用途；在後者的情況下，要證明程式製作者對他人利用其程式進行犯罪的事實，在舉證責任上可說相當困難。

另參照立法理由可知，本條適用限於「專供犯本章之罪之惡意程式」。此處立法者帶出了另一個不確定的法律概念：「惡意程式」。但此處的惡意究所何指？判斷標準為何？其實都相當模糊。

雖然多數資訊人能認知，惡意程式（Malicious Code或Malware）可泛指病毒、蠕蟲或間諜程式等，在「沒有經過使用者同意」的情況下被植入電腦，並對電腦功能「造成一定影響或損壞」的程式。似乎「使用者同意」、「功能的宣稱及對功能的影響」可以是判斷程式是否達到惡意的標準。但憑良心說，你真的知道所有在你PC內運作的程式功能嗎？你知道當你連上網站時，絕大多數的網站會自動在你電腦中植入Cookie程式以便「後續為您提供更好的客製化服務」嗎？大部分人的答案應該是否定的。因而當法官確認該增強元件是使用者「自己同意下載」後，再問證人：「安裝後電腦功能有無增加？」沒有資訊專業背景的證人具結證述：「電腦比較穩定，不會因為廣告的插入而受干擾」，法官據此認定該程式並非所謂的惡意程式。

本案目前經檢察官上訴中。而透過這個案例，資訊安全界必須了解，如何協助法律界建立正確且可接受的程式犯罪判斷標準是重要的。知名資安公司發布的惡意程式警告訊息可以是法官判斷的參考資料，面對各類惡性程式，法界應強化對科技發展趨勢的掌握能力，善用民間專家證人的資源，才可能有效平衡各界的認知落差，確實還給使用者一個安全、安心的網路使用空間。