【资安周报第42期】一银ATM案别扭起诉，凸显电脑犯罪法规落伍了

从第一银行在今年七月爆发的ATM盗领案，日前已经由台北地检署依照电脑犯罪专章的条文，从重起诉遭到逮捕的来台处理赃款嫌犯安德鲁、米海尔和潘可夫等三人，并求处有期徒刑十二年。

不过，从这起案件中，我们可以发现台湾电脑犯罪法规的老旧和不足。举例来说，因为一银盗领案引发社会极大关注，检察官第一时间就指挥警调单位进行犯罪侦察和尽速调查并对相关的数位装置（ATM和相关电脑及服务器等）进行数位鉴识，连第一银行在英国分行的电话主机都顺利带回台湾做数位鉴识，才得以顺利厘清整起犯罪事件的可能原貌。。

其次，检方这次起诉，只能针对在台湾被逮捕的三人做起诉，因为没有和其他国家有跨国网络犯罪司法互助协定，不仅无法追查和起诉其他已经出境的车手和协助处理赃款的嫌犯，甚至连隐身幕后不详的网络犯罪主脑，也无法有后续的追查甚至起诉，显见在网络犯罪无国界的同时，跨国网络犯罪司法互助有其必要性。

第一银行ATM盗领案只起诉逮捕3人

第一银行爆发台湾有史以来最严重的网络犯罪案件，在七月初由跨国网络犯罪集团锁定第一银行41台ATM，盗领83,277,600元的网络犯罪事件，其中，车手15名已经先后离台，后来又有7名处理赃款的嫌犯来台，而台湾警方则逮捕其中安德鲁、米海尔和潘可夫等三名嫌犯。

台北地方法院检察署襄阅主任检察官张介钦表示，由于三名逮捕嫌犯和国际犯罪集团具有犯意连结和行为分担，且据信是犯罪集团的核心成员之一，便对三人从重求刑，求处十二年有期徒刑。

但是，包括达芬奇科技法律事务所主持律师叶奇鑫、以及具有CISSP资安认证的众律国际法律事务所合伙律师徐仕玮都认为，虽然检方有心想要针对逮捕嫌犯求处重刑，但就实际上而言，目前台湾的电脑犯罪专章并无法专门针对车手，以及例如此案来台处理赃款的嫌犯们求处更严重刑责的条文，除了有许多必须附带的举证问题之外，也涉及跨国司法互助的合作事项。

随着网络犯罪成为越来越普遍的刑责之一，叶奇鑫和徐仕玮则指出，实务上，因为电脑犯罪专章的罪刑都比较轻，检察官起诉往往都从其他刑责比较严重的法条做起诉，但从2003年电脑犯罪专章最后修订后，迄今已经超过13年的时间，已经到可以重新评估所有条文的刑度，以及思考是否要在电脑犯罪专章中，另外新增数位或电脑证据法以及电脑犯罪跨国司法互助的条文，借此补强现行电脑犯罪专章不足之处。

日前遭到台北地方法院检察署检察官正式针对遭到逮捕的一银ATM盗领案的三名嫌犯起诉，分别以刑法第339条之2“以不正方法由自动付款设备取得他人之物”、刑法第358条“无故利用电脑系统漏洞而入侵他人电脑”、第359条“无故变更他人电磁记录”、第360条“无故以计算机程序干扰他人电脑与相关设备”、第362条“制作专攻犯妨害电脑使用罪章的计算机程序”等罪。

张介钦表示，由于这三名嫌犯从通联纪录中发现和其余在逃的19名嫌犯往来密切，行为分担且有犯意连结，从这些专业分工的精密犯罪手法来看，可以判定这三名嫌犯认定为犯罪集团的核心贩子，对此，检方最后针对三名嫌犯，都从重求处有期徒刑12年。

这次检方大幅引用刑法犯罪专章中的法条，原本单一法条的惩罚平均为有期徒刑3年～5年以下的刑期，而因为此次犯罪集团总共从台北市、新北市和台中市等20间分行、共计41台ATM中窃取金钱，从而加重求处的刑度。

建议电脑犯罪专章增订数位证据法和跨国电脑犯罪司法互助

电脑犯罪专章在2003年的最后修订，是叶奇鑫当年担任检察官时的重要代表作之一。叶奇鑫认为，当年在修法时，为了让既有的电脑犯罪专章在论罪时，可以更有弹性，法条修订时就让所谓的电脑犯罪具有更广义的意涵，包括现在的手机或者是未来的物联网，都属于电脑或相关设备者的范畴之中，涵盖范围目前看来都包括在内。

不过，当年修正电脑犯罪专章时，最主要是要定义什么是电脑犯罪？广义的电脑犯罪只要是犯罪的工具，有牵涉到电脑或网络时，就是电脑犯罪；但是狭义的电脑犯罪则是指专门以电脑或网络为攻击对象的犯罪手法。叶奇鑫说：“刑法的电脑犯罪专章所指称的犯罪行为，都是以狭义的电脑犯罪为主。”

时至今日，不敢说当年的修法相当完善，但几个主要的电脑犯罪行为，大体都包含在内。但他也坦言，从这次第一银行ATM盗领案台北地检署的起诉书来看，是否真的可以如检察官所言，真正将来台湾处理赃款的三名嫌犯，和其他已知车手嫌犯和在逃处理赃款嫌犯，以及更多不详的未知网络犯罪集团主嫌视为一体，甚至是检察官所指称的犯罪集团核心成员呢？

他认为，要做这样的起诉，检察官不仅需要提供更多的证据，来证实逮捕嫌犯和犯罪集团的关连性外，专查案件的过程中也发现，因为数位或者是电脑证据的不足，往往让这样的电脑犯罪案件，无法真正对所谓的犯罪者，让其获得应有的惩罚。

徐仕玮则表示，电脑犯罪的目的其实就是要针对资讯安全的机密性（Confidentiality）、完整性（Integrity）和可用性（Availability）不足之处做处罚，这样的想法也是参考欧盟网络犯罪公约的精神。不过，他觉得台湾电脑犯罪在处罚的刑度上，当时的立法者因为无法想像现今网络犯罪手法的一日千里，在衡量刑度上都偏轻，例如，此次地检署引用的刑法第339条之2“以不正方法由自动付款设备取得他人之物”，其实本文只有3年以下有期徒刑、拘役或30万元以罚金，是因为当时立法者认为，这样的犯罪手法顶多就是窃取他人的提款卡盗领金钱，谁会想像得到，十多年后，远端遥控让ATM吐钞这件事情，已经不是天方夜谭，而是实际发生的血淋淋事实。

也因为两者的犯罪手法有其天差地别，徐仕玮认为，在重新评估电脑犯罪专章条文的刑度时，一旦遇到自动化和大量化的手法时，都应该要能够有加重其刑的条款，这才不会造成，类似此次一银ATM盗领引用的法条刑责只有三年以下有期徒刑，其实比一般窃盗犯都是五年以下刑责还轻。

叶奇鑫另外也认为，这次一银的案子其实是国际案件，但是台湾没有相关的跨国电脑犯罪司法互助的条文，也使得在追查其他在逃的国际嫌犯时有许多困难。若要评估修法可能性时，在网络犯罪是无国界的犯罪行为时，这样的跨国司法互助行为的条文，是必须的。

不过，面对评估电脑犯罪专章修法的可能性时，徐仕玮则认为，也应该评估如何重新更新（Renew）台湾法官头脑中对于各种网络犯罪的知识、手法了解和相关的判定，因为唯有当台湾的法官懂得网络犯罪其实就是破坏各种系统机密性、可用性和完整性的同时，才可以真正理解，现今网络犯罪手法日新月异，有许多电影中可见的手法早已经成为现实时，对于相关的电脑犯罪的判定，才能够越贴近真实的犯罪行为。

上周重要资安新闻（9/18～9/24）：

※思科揭露遭骇客工具锁定的第二个零时差漏洞

※Yahoo坦承两年前遭骇客入侵，至少5亿用户账号被窃

※Firefox 49开始向不重要的Flash说“不”

※SWIFT将供应“每日验证报告”以防银行被骇事件重演

※DNS服务器出包，北朝鲜不小心被发现只有28个网站

※研究：脸书粉丝页有安全漏洞，允许骇客接管任何粉丝页

※美国三大媒体把FBI告上法院，要求揭露破解枪击犯iPhone相关资料

※剑桥大学只花100美元硬件成本就破解iPhone 5c的密码输入限制

※抓宝可梦小心恶意程式上身，伪宝可梦指南毒害至少6千个装置

※报导：微软再裁员，将裁撤Skype英国总部