Legislative Safeguards Against Cybercrimes (Chinese Version Only)

刊於《信報》，2026年2月2日

懲治電腦網絡罪行宜及早立法

許佳龍

科大協理副校長（學術發展）；資訊、商業統計及營運學系講座教授；艾禮文家族商學教授

香港法律改革委員會（下簡稱「法改會」）日前發表《依據電腦網絡的罪行及司法管轄權事宜》報告書，建議引入一項全新針對電腦網絡罪行的特定法例，以涵蓋五類依賴電腦網絡的罪行，包括——1. 非法取覽程式或數據；2. 非法截取電腦數據；3. 非法干擾電腦數據；4.非法干擾電腦系統； 5.提供或管有用作干犯電腦網絡相關罪行的器材、程式或數據。

這份報告書吸取了法改會於2022年7月所發表的《依據電腦網絡的罪行及司法管轄權事宜》諮詢文件的回應意見。當時，諮詢文件開宗明義指出，「鑑於資訊科技、電腦和互聯網方面發展迅速，加上其有被利用來從事犯罪活動的潛在可能，因而提出從刑事法角度，找出這些迅速發展對保障個人權利和執法帶來哪些挑戰，可以作出哪些法律改革加以應對」。

事實上，香港過往一直沒有一條清晰針對電腦犯罪的法律條文，不同的電腦罪行在《刑事罪行條例》（第 200章），以及《電訊條例》（第 106章）中雖有所訂立，但部分已不合時宜。反觀其他司法管轄區，如歐洲委員會的《電腦網絡罪行公約》（Convention on Cybercrime‧《布達佩斯公約》，或者中國大陸也有清晰的電腦網絡罪案法例，如今香港推動相關立法，實是適時之舉。筆者認為，在網絡犯罪層出不窮下，懲治相關罪行的立法宜及早落實。

定罪與免責辯護

仔細審視，上述五類依賴電腦網絡的罪行，與其他司法管轄區針對的網絡犯罪，包括歐洲委員會《布達佩斯公約》所覆蓋的範疇基本一致，筆者認為相當全面和可取。

報告書建議，在無合法權限而未獲授權下取覽程式或數據，應定為簡易程序罪行（取覽罪）；如在未獲授權下取覽，並意圖推行其他犯罪活動，即屬加重罪行。報告建議設特定的免責辯護，以容許在未獲授權下為特定目的取覽，包括網絡安全、保障易受傷害人士（即 16歲以下兒童及精神上無行為能力的人）的利益，以及真正的教育、科學或研究目的。

整體來看，這份報告書的內容十分詳細，法改會提出了很多建議，這些建議在立法之前，顯然仍需經過公眾諮詢和充足討論。但大部分建議確實提供了一個明確範疇，具體覆蓋到不同的網絡犯罪行為，哪些行為會受到定罪，在什麼條件下可獲得豁免。

對於報告書眾多的建議，筆者不擬在本文一一臚列，但大部分建議十分清晰，把過往香港沒有明確的網絡犯罪定義，以明晰的文字條文，作出清楚的規範與量刑建議（參見附表），確實是很大的進步。

免責辯護和豁免問題不簡單

值得指出，在2022年法改會公布的諮詢文件「建議2」中，提出「在未獲授權下取覽，應否有任何特定的免責辯護或豁免」，「對於為網絡安全目的取覽而言，如答案為應該，則應有什麼條款……舉例來說，該免責辯護或豁免應否只適用於經認可專業團體或評審團體審定的人士？……。」

在法改會日前發布的報告書中，列出特定的免責辯護條件，包括（a）該項免責辯護只適用於經認可的網絡安全從業員；( b)被告人必須為真正網絡安全目的而行事（《報告》第4. 34項，頁82）。

究竟免責辯護或豁免是否應該只適用於經認可專業團體或評審團體審定的人士？如今報告建議只適用於經認可的網絡安全從業員，且必須為真正網絡安全目的而行事。這一點值得討論，筆者認為，問題有進一步審視的空間。

免責辯護權利分配與限制

在香港，我們沒有一個明確對準電腦網絡罪行的專業團體，或一個審定電腦網絡罪行與資訊保安的專業資格認證評審團體。當然，香港也有不少涉及網絡罪案範疇的專業從業員，他們可能通過自己進修，或在大學修讀相關課程，甚至考取了海外的專業試。這些專業試標準，不少司法管轄區都有提供，譬如，美國國家標準暨技術研究院（National Institute of Standards and Technology‧NIST）所提供、獲全球公認的框架與標準，作為業界在網絡罪行與資訊安全範疇專業考試的核心依據；歐洲方面的認證機構——The Council for Registered Ethical Security Testers （CREST），為當前資訊保安業界廣為人知的專業認證體系；甚至國際組織中的「資訊系統審計與控制協會」（Information Systems Audit and Control Association‧ISACA）等，這一類機構都有向學員提供類似電腦保安培訓的相關專業課程。

然則，若免責辯護或豁免只適用於經認可的網絡安全從業員，這是否代表了今後行為個體没有進修哪些獲專業認證的課程，没有獲得機構認可，也並非專業網絡保安人員，便失去獲得免責辯護或豁免的權利機會？這個問題並不簡單，囿於篇幅，另文討論。