刊於《信報》,2026年2月9日
取覽罪免責辯護 立法需充足討論
許佳龍
科大協理副校長(學術發展);資訊、商業統計及營運學系講座教授;艾禮文家族商學教授
筆者前一篇文章討論了法改會提交的《依據電腦網絡的罪行及司法管轄權事宜》報告書,整體來說,報告所涵蓋的五類依賴電腦網絡罪行範疇,與包括歐洲委員會《布達佩斯公約》等其他司法區針對的網絡犯罪,覆蓋範疇基本一致,是相當全面和可取的。
然而,對於報告書回應 2022年7月法改會發布的諮詢文件「建議二」,對於為網絡安全目的、卻未獲授權下取覽,應否有任何特定的免責辯護或豁免,報告建議,免責辯護或豁免只適用於經認可的網絡安全從業員,且為真正網絡安全目的而行事。筆者認為,網絡專業保安人員無論是經「法定主管當局認可」或「聲譽良好的資訊科技專業團體或國際資訊科技協會的成員,即可得豁免」(《報告書摘要》,頁6),都有一個潛在弊端,即收窄了電腦網絡技術發展的群體人數及參與數量。
收窄參與人數潛在弊端
很顯然,若有行為個體,包括學生或有心人士擬透過自學渠道,去提升自己的電腦網絡保安能力或技術開發,便變得困難,因為學習電腦網絡保安技術,難免涉獵到一些取覽、入侵攻防等舉措、學習或訓練,若獲免責辯護或豁免只限於認可的網絡專業人員,上述的自學者未必得到免責辯護或豁免。
對此,筆者有一個難忘的經歷事例。事緣多年前,筆者負責一大學的招生任務,當時有一名中學生,參加一個招生課程講座。講座完畢,他特來問我,「教授,你認為大學在網絡保安上的安全措施是否足夠?」我回答說:「我們設立了相關的資訊科技保安團隊,相信我們的網絡保安工作做足了防禦」。但他隨即通過手機,向我展示說:「我曾登入過你們某些設置權限進入的網站,發現你們的網絡有安全漏洞,甚至有相關資料的外洩風險。」
筆者聽後高度警惕,隨即與相關同事聯絡,找出問題所在,幸而這名「網絡迷」中學生的「入侵」行為,完全沒有惡意,只是出於自學網絡保安技能的動機。他一心想報讀大學的資訊科技課程,遂在大學網站上遍尋相關課程訊息,結果發現了我們網絡保安漏洞。因為他的提醒,我們能夠馬上把漏洞堵塞,全面提升我們網絡保安的防禦工作。
「漏洞賞金計劃」啟迪
這個事例顯示當前網絡保安領域的一個重要發展——很多出色的網絡保安員或專家往往是自學成才,未必修讀過一些由相關認可機構提供的專業培訓課程。當這些個體自學成才後,不少會四處搜尋各大小機構的網絡保安漏洞,知會相關機構,作出提醒。
此舉不期然令筆者聯想起曾經做過的一項研究——一個稱為「漏洞賞金計劃」 (Bug Bounty Program‧BBP)。在BBP下,任何人若找出系統或網站中一個程式的漏洞,便可以拿到賞金,這類活動在網絡保安界十分流行。不少網絡平台有系統地發起「漏洞賞金計劃」,向找出平台系統或網站漏洞的網絡安全研究者發放賞金,以完善該平台系統或軟件,而BBP往往還徵召公眾和個人參與。
因此,當免責辯護或豁免局限於認可網絡保安專業人員,則參與BBP這類活動的人,便有機會身陷法網。筆者認為,日後在針對電腦網絡罪行的立法過程中,對這種自發的、有普羅大眾參與,大家一起去搜尋網絡保安漏洞的行為,是否涵蓋到獲免責辯護或豁免的基礎上,需要有充足的討論,否則便會扼殺了這類「有益和有建設性」的網絡行為。
免責辯護或豁免有討論空間
事實上,這種群體搜尋漏洞行為的合法性,在網絡保安上相當重要,可起到「全民皆兵」的作用,因為箇中牽涉到個人涉獵網絡罪行和保安的知識內容。很顯然,最好的網絡個人保護,是自己洞悉別人所採取的攻擊手法和機理。若剥去個體學習和體驗攻擊手法的訓練機會,缺乏這方面的知識,不明白箇中操作的機理,有可能在未來令社會於防治網絡罪行上,出現個體性及群體性水平不足的雙重弊端。
其實,報告對此也提出公開討論的建議,指出「應設一套獨立的制度,以對網絡安全從業員進行認可」(《報告書摘要》,頁6)。記得筆者曾對諮詢文件的「建設二」提出了意見,認為考慮到類似BBP的行為,獲得免責辯護或豁免不宜建基於「專業資格」或「身份」上,而應以「行為」及「意圖」為參照基礎。今次報告書提出的多項建議和五類網絡罪行,無疑也展示了意圖的重要性。但筆者始終認為,免責辯護或豁免應透過意圖和行為,以不排除那些對社會獲益,可以提升公眾網絡行為正面能力、認知和技術的方式,去執行獲得免責辯護或豁免比較妥善。
改變利厚刑薄犯罪誘因
我們需要明白,法律的懲治不可能禁絕犯罪行為,對潛在犯罪者構成絕對阻嚇,反而可能對無意犯罪的人,不敢再去做一些不含犯罪意圖、並可起正面性作用,卻可能受到法律制裁的活動,例如有益網絡保安的BBP計劃行為。因此,如何採納一個平衡點,委實十分重要。
整體來說,如今香港推動網絡罪行立法邁出了重要一步。報告也清晰提出了通過簡易程序和公訴定罪的量刑,例如非法干擾電腦數據或系統等加重罪行,可判處終身監禁。在今日網絡犯罪日趨嚴重,規模影響不斷擴大下,一旦犯罪者獲益大刑罰輕,利厚而刑薄,只會引發更多人去以身試法,參與網絡詐騙,因此,筆者對於提高網絡罪行的量刑,十分贊成,同意是合適之舉!