惩治计算机网络罪行宜及早立法

刊于《信报》，2026年2月2日

惩治计算机网络罪行宜及早立法

许佳龙

科大协理副校长（学术发展）；信息、商业统计及营运学系讲座教授；艾礼文家族商学教授

香港法律改革委员会（下简称「法改会」）日前发表《依据计算机网络的罪行及司法管辖权事宜》报告书，建议引入一项全新针对计算机网络罪行的特定法例，以涵盖五类依赖计算机网络的罪行，包括——1. 非法取览程序或数据；2. 非法截取计算机数据；3. 非法干扰计算机数据；4.非法干扰计算机系统； 5.提供或管有用作干犯计算机网络相关罪行的器材、程序或数据。

这份报告书吸取了法改会于2022年7月所发表的《依据计算机网络的罪行及司法管辖权事宜》咨询文件的响应意见。当时，咨询文件开宗明义指出，「鉴于信息科技、计算机和互联网方面发展迅速，加上其有被利用来从事犯罪活动的潜在可能，因而提出从刑事法角度，找出这些迅速发展对保障个人权利和执法带来哪些挑战，可以作出哪些法律改革加以应对」。

事实上，香港过往一直没有一条清晰针对计算机犯罪的法律条文，不同的计算机罪行在《刑事罪行条例》（第 200章），以及《电讯条例》（第 106章）中虽有所订立，但部分已不合时宜。反观其他司法管辖区，如欧洲委员会的《计算机网络罪行公约》（Convention on Cybercrime‧《布达佩斯公约》，或者中国大陆也有清晰的计算机网络罪案法例，如今香港推动相关立法，实是适时之举。笔者认为，在网络犯罪层出不穷下，惩治相关罪行的立法宜及早落实。

定罪与免责辩护

仔细审视，上述五类依赖计算机网络的罪行，与其他司法管辖区针对的网络犯罪，包括欧洲委员会《布达佩斯公约》所覆盖的范畴基本一致，笔者认为相当全面和可取。

报告书建议，在无合法权限而未获授权下取览程序或数据，应定为简易程序罪行（取览罪）；如在未获授权下取览，并意图推行其他犯罪活动，即属加重罪行。报告建议设特定的免责辩护，以容许在未获授权下为特定目的取览，包括网络安全、保障易受伤害人士（即 16岁以下儿童及精神上无行为能力的人）的利益，以及真正的教育、科学或研究目的。

整体来看，这份报告书的内容十分详细，法改会提出了很多建议，这些建议在立法之前，显然仍需经过公众咨询和充足讨论。但大部分建议确实提供了一个明确范畴，具体覆盖到不同的网络犯罪行为，哪些行为会受到定罪，在什么条件下可获得豁免。

对于报告书众多的建议，笔者不拟在本文一一胪列，但大部分建议十分清晰，把过往香港没有明确的网络犯罪定义，以明晰的文字条文，作出清楚的规范与量刑建议（参见附表），确实是很大的进步。

免责辩护和豁免问题不简单

值得指出，在2022年法改会公布的咨询文件「建议2」中，提出「在未获授权下取览，应否有任何特定的免责辩护或豁免」，「对于为网络安全目的取览而言，如答案为应该，则应有什么条款……举例来说，该免责辩护或豁免应否只适用于经认可专业团体或评审团体审定的人士？……。」

在法改会日前发布的报告书中，列出特定的免责辩护条件，包括（a）该项免责辩护只适用于经认可的网络安全从业员；( b)被告人必须为真正网络安全目的而行事（《报告》第4. 34项，页82）。

究竟免责辩护或豁免是否应该只适用于经认可专业团体或评审团体审定的人士？如今报告建议只适用于经认可的网络安全从业员，且必须为真正网络安全目的而行事。这一点值得讨论，笔者认为，问题有进一步审视的空间。

免责辩护权利分配与限制

在香港，我们没有一个明确对准计算机网络罪行的专业团体，或一个审定计算机网络罪行与信息保安的专业资格认证评审团体。当然，香港也有不少涉及网络罪案范畴的专业从业员，他们可能通过自己进修，或在大学修读相关课程，甚至考取了海外的专业试。这些专业试标准，不少司法管辖区都有提供，譬如，美国国家标准暨技术研究院（National Institute of Standards and Technology‧NIST）所提供、获全球公认的框架与标准，作为业界在网络罪行与信息安全范畴专业考试的核心依据；欧洲方面的认证机构——The Council for Registered Ethical Security Testers （CREST），为当前信息保安业界广为人知的专业认证体系；甚至国际组织中的「信息系统审计与控制协会」（Information Systems Audit and Control Association‧ISACA）等，这一类机构都有向学员提供类似计算机保安培训的相关专业课程。

然则，若免责辩护或豁免只适用于经认可的网络安全从业员，这是否代表了今后行为个体没有进修哪些获专业认证的课程，没有获得机构认可，也并非专业网络保安人员，便失去获得免责辩护或豁免的权利机会？这个问题并不简单，囿于篇幅，另文讨论。