臺灣臺北地方法院刑事判決108年度訴字第856號公 訴 人 臺灣臺北地方檢察署檢察官被 告 詹逸鈞選任辯護人 劉上銘律師
陳靖怡律師上列被告因妨害電腦使用罪案件,經檢察官提起公訴(108年度偵字第6981號),本院判決如下:
主 文丁○○犯妨害電腦使用罪,處有期徒刑陸月,如易科罰金以新臺幣壹仟元折算壹日。
犯罪事實
一、丁○○於民國105年3月30日起至106年9月30日,任職於喬美國際網路股份有限公司(下稱喬美公司),擔任JAVA技術經理,負責該公司所經營TFE臺灣資金交易所網站(下稱本案網站)前台及後台之程式開發,並取得本案網站得以PROBE方式透過外部網際網路直接登入、且具有刪改該本案網站資料庫權限之外掛帳號、密碼(下稱本案外掛帳密)等資訊。詎其離職後,竟基於無故入侵他人電腦、無故破壞或干擾電磁紀錄之犯意,於107年3月25日下午1時許,在臺北市○○區○○路0段000號11樓財團法人資訊工業策進會(下稱資策會)數位教育研究所,以所內電腦設備連結網際網路後,以PROBE方式透過外部網際網路直接登入本案網站,無故刪除本案網站客戶帳戶資料之電磁紀錄,致生損害於喬美公司對本案網站之管理運作。
二、案經喬美公司訴由臺北市政府警察局南港分局報告臺灣士林地方檢察署呈請臺灣高等檢察署檢察長轉令臺灣臺北地方檢察署(下稱臺北地檢署)檢察官偵查起訴。
理 由
壹、程序部分
一、按被告以外之人於偵查中向檢察官所為之陳述,除顯有不可信之情況外,得為證據。又證人依法應具結而未具結者,其證言不得作為證據,刑事訴訟法第159條之1第2項、第158條之3分別定有明文。蓋現行法之檢察官仍有訊問被告、證人及鑑定人之權限,其應踐行之程序又多有保障被告或被害人之規定,證人、鑑定人於偵查中亦均須具結,就刑事訴訟而言,其司法屬性甚高;而檢察官於偵查程序取得之供述證據,其過程復尚能遵守法令之規定,是其訊問時之外部情況,積極上具有某程度之可信性,除消極上顯有不可信之情況者外,均得為證據。故主張其為不可信積極存在之一方,自應就此欠缺可信性外部保障之情形負舉證責任(最高法院98年度台上字第2904號判決要旨參照)。從而,被告以外之人前於偵查中,經具結後所為證述,除反對該項供述具有證據能力之一方,已釋明「顯有不可信之情況」之理由外,皆得為證據。查證人即喬美公司前員工丙○○、證人即喬美公司員工戊○○於偵訊中之證述,係於107年10月2日以證人之身分,經檢察官告以具結之義務及偽證之處罰,經其具結,而於負擔偽證罪之處罰心理下所為,係經以具結擔保其證述之真實性。又證人丙○○、戊○○於檢察官訊問時,並無證據顯示係遭受強暴、脅迫、詐欺、利誘等外力干擾情形,或在影響其心理狀況致妨礙其自由陳述等顯不可信之情況下所為。從而,證人丙○○、戊○○於107年10月2日偵訊時之陳述,既無顯不可信之情況,依上開說明自有證據能力。被告丁○○及其辯護人主張證人丙○○、戊○○於偵訊之證述無證據能力云云,尚非可採。至於證人戊○○於108年8月12日於偵訊中所為陳述,未再經具結,檢察官亦未告以先前所為的證人結文,仍有效力,揆諸上開說明,其等該日在偵訊時所為之證述,既經辯護人提出爭執(見本院108年度審訴字第849號卷【下稱本院審訴卷】第57頁),則不符合刑事訴訟法第159條之1第2項例外之規定,乃不具有證據能力。
二、按被告以外之人於審判外之言詞或書面陳述,除法律有規定者外,不得作為證據;被告以外之人於檢察事務官、司法警察官或司法警察調查中所為之陳述,與審判中不符時,其先前之陳述具有較可信之特別情況,且為證明犯罪事實存否所必要者,得為證據,刑事訴訟法第159條第1項、第159條之2 分別定有明文。查證人丙○○信件1份,對於被告而言,性質上為被告以外之人於審判外之書面陳述,除法律有規定外,不得作為證據,既經辯護人提出爭執(見本院108年度審訴字第849號卷【下稱本院審訴卷】第59頁),又未經檢察官證明其陳述具有何「特信性」及「必要性」,自無符合法律所規定之例外情形,應認無證據能力。
三、除上開所述外,本件檢察官、被告、辯護人就本判決下列所引被告以外之人於審判外陳述之證據能力均不予爭執,迄至言詞辯論終結,亦未對該等證據之證據能力聲明異議,本院審酌該些供述證據作成時,核無違法取證或其他瑕疵,認為以之作為本案之證據屬適當,依刑事訴訟法第159條之5規定,自有證據能力;其餘資以認定被告犯罪事實之非供述證據,均查無違反法定程序取得之情形,依刑事訴訟法第158條之4反面規定,亦具證據能力。
貳、實體部分:
一、訊據被告丁○○固坦承曾於前揭時期任職於喬美公司,擔任JAVA技術經理,負責該公司所經營本案網站之程式開發,並取得本案網站得以PROBE方式以本案外掛帳密透過網際網路進入本案網站等資訊,且案發當時其身在資策會上課等情,惟矢口否認有何妨害電腦使用等犯行,辯稱:本案網站資料庫僅能由喬美公司內部網路存取,伊不知道是否得以PROBE方式以本案外掛帳密由一般外部之網際網路存取本案網站,且伊前曾使用本案網站投標,案發當日僅有以一般使用者身分之帳號密碼(下稱被告帳密)登入本案網站觀看投標資料,但未使用本案外掛帳密進入本案網站的後台資料庫,也未有更改本案網站資料庫等妨害本案網站正常運作之行為,伊並無任何妨害電腦使用之犯行云云。辯護人為其辯護稱:被告帳密並無刪改本案網站資料庫之權限,且被告與喬美公司並無仇怨,而無動機犯案,資策會之IP位址是半開放之網域,證人丙○○、證人即喬美公司前員工甲○○於本案審理中之證詞足以證明喬美公司開發團隊之人均知悉本案外掛帳密,證人即喬美公司前員工乙○○於本案審理中之證詞亦可證資訊處人員並無修改資料庫之權限,喬美公司復未提出全部log紀錄,故本案卷內證據不足以證明被告為透過該IP進入本案網站之人,且本案並無證據顯示喬美公司當日受刪改之客戶資料及損失金額,證人丙○○已證稱錯帳情形亦可能是系統自身的異常,證人乙○○也證稱本案網站常有錯帳之情形,又本案網站資料庫之命名規則並無特殊之處,自難以該入侵之人熟悉資料庫命名即認被告涉有犯嫌,且喬美公司之ISO27001資訊安全管理系統證書稽核的結果,也未發現案外掛帳密可直接由一般外部網路進入本案網站資料庫云云。經查:
(一)被告於105年3月30日起至106年9月30日,任職於喬美公司,擔任JAVA技術經理,負責本案網站前台及後台之程式開發,並取得本案網站得以PROBE方式透過登入本案網站之本案外掛帳密等資訊,且被告有於107年3月25日上午、下午在資策會參加網站技術架構之課程,業經被告坦認在案(見本院108年度訴字第856號卷【下稱本院卷】一第37頁、卷二第443頁),核與證人丙○○於本院審理中之證述相符(見本院卷二第58、59、61頁),並有被告離職證明書、資策會數位教育研究所學員簽到表、被告人事資料表在卷可佐(見臺北地檢署108年度偵字第6981號偵查卷【下稱6981偵卷】第17、51頁、臺灣士林地方檢察署107年度偵字第13904號偵查卷【下稱13904偵卷】第116頁),是本案案發時,被告確握有得以PROBE方式登入本案網站及本案帳密等資訊,且於107年3月25日下午在資策會上課之事實,應堪認定。
(二)證人丙○○於本院審理中證稱:被告在喬美公司任職時是管理開發團隊,我和被告都是開發團隊的成員,開發團隊的工作就是把文件內容實體化,作成系統,被告自喬美公司離職之後,就由我承接被告的職務,本案網站交易平台系統分成前台、後台,後台的話只有經由公司內部內網才可以進入,並需要喬美公司之帳號、密碼,喬美公司的一般員工和開發團隊都可以進入後台,只是開發團隊與一般員工使用的權限不同;本案是因為有會員反應本案網站帳戶資料有異常,帳戶提領、存入款項之資料順序有差異,我們檢查前台log的紀錄,確認所有進入前台系統的路徑位置,才發現本案網站的前台路徑有2種,第1種是一般會員可以登入使用之路徑,也就是可以透過google搜尋到的網址就可以進入的路徑,另外1種則是外掛路徑,是以在瀏覽頁網址的框框裡更改網址的內容就可以進入本案網站之外掛路徑,這個外掛路徑主要是用來監控前台系統狀況及查察問題所使用的,進到這個外掛路徑需要本案外掛帳密,也就是透過PROBE的服務,這個外掛在被告離職之前就已經存在,主要一開始就是開發團隊用來確認系統的問題,本案外掛帳密是開發團隊的全部人都有的,案發當時卻有人透過資策會的IP位址以外掛路徑進入本案網站;被告在職時我不知道有本案外掛帳密存在,被告離職時也未就該本案外掛帳密辦理交接,在被告離職之後,我經由開發團隊的其他人告知才知道這組本案外掛帳密存在,案發前喬美公司未曾更改該外掛路徑,也未變更本案外掛帳密,因為喬美公司原先並不知道本案外掛帳密的權限係能瀏覽、刪除本案網站資料庫,是本案發生後,喬美公司自行測試才知道;該外掛服務的路徑是由開發團隊建置的,且那名透過該IP位址進入本案網站之人,就本案網站資料庫的操作,並沒有任何嘗試的行為,因為本案網站資料庫有特定的命名規則,這個命名規則是由開發團隊定義的,包含資料內容架構也是,所以透過上開入侵者的入侵過程,我們認為該人對於本案網站有一定的熟悉,喬美公司是透過查詢案發當日log紀錄之後,確認當日本案網站資料庫的資料異常,是遭到從該前台外掛路徑進入者所為等語(見本院卷二第50至55、59、61、63、65、68頁),佐以本案網站錯帳狀況之列印資料、銓鍇公司即本案網站資料庫之Amazon Web Services(AWS)服務提供者出具之分析報告(見13904偵卷第31至100頁、6981偵卷第39至49頁),可知本案網站資料庫於107年3月25日下午1時許,係遭人自1
25.227.255.81號之IP位址,透過PROBE方式以本案外掛帳密登入後,變更資料而導致發生大量錯帳之情形。又125.
227.255.81號之IP位址係資策會所有,該IP位址除供資策會對外開辦之培訓課程上課使用外,亦提供訪客臨時使用,此有通聯記錄查詢系統查詢結果、資策會107年7月19日
(107)資數字第1071002530號函附卷可佐(見13904偵卷第109、113頁)。是以被告辯稱:本案網站資料庫僅能由喬美公司內部網路存取云云;與辯護人辯稱:喬美公司未提出全部log紀錄,被告並無刪改資料庫之權限,本案並無證據顯示喬美公司當日受刪改之客戶資料及損失金額云云,均無足採。
(三)茲查,所謂IP位址(IPAddress),係網際網路協定位址(InternetProtocolAddress)之縮寫,是分配給網路上使用網際協定(InternetProtocol,IP)每1台計算機裝置的數字地址。IP位址由32位元二進位組成,為了便於使用,通常以「XXX.XXX.XXX.XXX」4組數字形式表現,每組「XXX」代表小於或等於255的10進位數。IP位址又分為「固定(靜態)IP位址」和「動態(浮動)IP位址」,固定IP位址是長期固定分配給1台計算機使用的IP,一般是特殊的伺服器才擁有固定IP位址。通常電話撥號上網或普通寬頻上網用戶不具有固定IP位址,而是由計算機系統自動分配動態IP位址。依前所述,本案網站於案發時遭到他人擅自透過前台外掛PROBE之方式,以本案外掛帳密登入入侵、干擾破壞及干擾電腦系統或電磁紀錄,對應喬美公司遭受入侵、干擾之時間,該登入喬美公司網頁之IP位址為12
5.227.255.81號,再經調取該IP位址於案發時段之通聯情形,是由資策會使用,堪認本案登入本案網站進行資料庫竄改之行為,係於資策會上網所為。再參以被告於該時段身處於資策會,另被告於本院審理中亦陳稱:我當日上課並無其他喬美公司之現任員工或前員工一起去等語(見本院卷二第453頁),綜合上情以觀,本件犯行確係被告所為,應堪認定。被告辯稱其未使用本案外掛帳密進入本案網站的後台資料庫,也未有更改本案網站資料庫等妨害本案網站正常運作之行為云云,尚無可採。
(四)被告辯稱:案發當日僅有以被告帳密登入本案網站觀看投標資料云云,與辯護人為被告辯護稱:證人丙○○、證人甲○○之證詞足以證明喬美公司開發團隊之人均知悉本案外掛帳密,被告與喬美公司並無仇怨,而無動機犯案,資策會之IP位址是半開放之網域,被告並非透過該IP進入本案網站之人云云。惟查,理論上而言,IP位址固然可透過特定方式加以修改,有心人士確有方法可經修改IP位址以隱蔽身分,然而,本件之偵辦追查方式,係透過喬美公司網頁遭他人入侵、干擾之時間,追查登入喬美公司網頁之IP位址,已如前述,一般人無從得知資策會之IP位址為何,倘若本件行為確係他人所為,該他人修改IP位址,目的係為了隱藏自己的身分,修改IP位址之結果,理應無法對應為特定對象,豈可能刻意修改IP位址恰為被告於案發時所在之資策會IP位址,因此,本件行為自不可能是他人透過冒用資策會IP位址所為,遑論被告於本院審理中已陳稱案發當日並無其他喬美公司之現任員工或前員工一起去等語(見本院卷二第453頁),難認有其他知悉本案外掛帳密之人得在場使用資策會之IP位址連結網際網路進入本案網站,而有其他人士透過該IP位址以本案外掛帳密登入本案網站。又被告供陳於案發當日為查看自己的標會狀況,在資策會有以被告帳密登入本案網站,當日被告的標會已經是死會狀態,是為了確認餘額足夠扣款,所以才登入本案網站查詢云云(見本院卷二第447至448頁),然依被告於本案網站之投標紀錄,被告於本案網站最後之得標紀錄為106年12月29日,該日得標後帳戶餘額為35,445元,系統分別於107年1月27日、107年2月27日、107年3月27日三度由其帳戶餘額各扣款(即死會還款)3,000元,爾後無其他交易紀錄,其間亦無被告提領紀錄,故107年3月27日標案扣款前,被告帳戶餘額尚有29,539元,有喬美公司109年2月6日函可佐(見本院卷二第33至39頁),則被告於107年3月27日標會扣款時,帳戶餘額29,539元遠大於扣款金額3,000元,被告實無於案發當日刻意以被告帳密登入本案網站檢查其帳戶餘額之必要,堪認被告案發當日意在入侵本案網站修改資料庫之內容,才在案發當日登入本案網站瀏覽資料,是被告所辯亦非合於常情,縱然依卷內事證,難認喬美公司與被告間有何怨懟,然此僅係被告本案之犯罪動機究竟為何之判斷,而不影響被告確有於案發當日入侵本案網站資料庫竄改資料之事實,被告與辯護人所辯均非可採。
(五)辯護人又辯護稱:證人乙○○證詞可證資訊處人員並無修改資料庫之權限,則被告並非透過該IP進入本案網站之人,且證人丙○○證稱錯帳情形亦可能是系統自身的異常,證人乙○○也證稱本案網站常有錯帳之情形,又本案網站資料庫之命名規則並無特殊之處,自難以該入侵之人熟悉資料庫命名即認被告涉有犯嫌,喬美公司之ISO27001資訊安全管理系統證書稽核的結果,也未發現有證人丙○○所證稱外掛路徑及本案外掛帳密云云。惟:
1、證人乙○○於本院審理中證稱:我是大學印刷傳播系,並無電腦資訊相關的證照或資格,我認為開發團隊成員不能修改本案網站資料庫,但是他們實際上有無權限我不清楚,我也沒聽說本案網站資料庫可以從公司內網以外的網路進入,亦不知道前台有PROBE外掛系統等語(本院卷二第220、223、228頁),顯然證人乙○○並非開發團隊成員,亦無電腦資訊方面之專業,並無判斷喬美公司資訊人員是否有修改資料庫權限之能力,甚至證人乙○○亦不清楚本案入侵者所使用之外掛路徑,故證人乙○○之證詞無法對被告為有利之認定。
2、又證人乙○○於本院審理中證稱:我任職期間為106年2月到106年8月為止,期間會處理錯帳的問題,每週都會查,但處理錯帳的情形不像是駭客所為,因為算是很零星,不是大量的錯帳等語(見本院卷二第216、218、229頁),佐以本案網站錯帳狀況之列印資料記載,可知本案因入侵者竄改本案網站資料庫,造成錯帳短少筆數為2,051筆,超出筆數為1,365筆(見13904偵卷第31至100頁),屬於大量錯帳之情形,故關於本案發生大量錯帳之情形,與證人乙○○任職期間曾處理之零星錯帳情形不同,且本案發生於證人乙○○離職後,證人乙○○關於本案網站錯帳並非導因於外部入侵之證詞,顯與本案無關。
3、另證人丙○○於本院審理中證稱:本案網站資料異常狀況,並非在案發當日才有發生,是在案發當日1個月前有發現,但原先因為log紀錄不完全,所以無法確認是系統自身異常還是遭到入侵,所以最後才會查詢log紀錄,確認案發當日的IP位址是資策會等語(見本院卷二第63、64頁),可知依證人丙○○之證述,得證明案發當日本案網站資料庫發生錯帳情形,係因外部入侵所致,而非系統自身的異常,辯護人主張證人丙○○證稱資料庫之錯帳為系統自身異常云云,尚非可採。
4、又本案網站係標會型網路借貸平台,並非大型或知名企業網站,而本案網站資料庫命名名稱為:「會員資料主檔」、「會員明細資料表」、「帳號群組」、「帳號群組成員」等名稱,有喬美公司109年6月18日美字第10906180001號函在卷可參(見本院卷二第241至247頁),顯然一般人尚難由該資料庫命名,一望即知關於交易金額紀錄存放之位置,倘非知悉本案網站功能之內部人士,如何能登入本案網站資料庫,且直接尋找到其中關於帳戶金額之檔案進行竄改,故本案顯係知悉本案網站資料庫之內部人士所為,辯護人辯以:本案網站資料庫之命名名稱規則並無特殊之處,任何人均可輕易發現欲竄改之目標云云,亦非可採。
5、另臺灣檢驗科技股份公司就喬美公司ISO資訊管理之安全稽核發現之缺失(見本院卷二第179至185頁),縱未言及證人丙○○所證稱之PROBE外掛路徑及本案外掛帳密,然臺灣檢驗科技股份公司並非本案網站之內部開發人員,僅能透過常規稽查以確認喬美公司有無資訊安全漏洞,仍不能反證該外掛路徑不存在,或本案外掛帳密並無修改本案網站資料庫之權限。甚且,由臺灣檢驗科技股份公司之定期檢查結果,臺灣檢驗科技股份公司於107年3月1日發現喬美公司重大資安疑慮,因喬美公司無法改善,臺灣檢驗科技股份公司業已於107年6月8日註銷喬美公司之ISO27001資訊安全管理系統證書,有臺灣檢驗科技股份公司109年5月6日檢字第109050602號函在卷可佐(見本院卷二第179至185頁),足見案發當時喬美公司之資訊安全控管確實不足。又被告於本院審理中供陳:我是到職幾個月後才知道有這個外掛程式,因為當時處長交辦我一個任務,他想要監控前台運作的狀況,我當時尋找了一套外掛程式想要做監控與看log的功能,後來我才發現原來喬美公司已經有裝了這一套,我沒有特別跟上司報告這個外掛的存在,我將我找到的外掛也裝在本案網站系統上,變成有2套監控系統等語(見本院卷二第443至445頁),可知喬美公司主管人員對於本案網站是否存在外掛,以及該外掛之功能並不知情,才會重複指派被告完成原本系統外掛就已存在的功能,堪認喬美公司主管人員對於本案網站資訊安全之掌握不足,喬美公司於案發當時之資訊安全確實存在疑慮,則證人丙○○證述外部入侵者得透過外掛方式刪除本案網站資料庫,亦堪採信。
(六)綜上所述,被告所辯均無可採,本件事證明確,被告犯行洵堪認定,應依法論科。
二、論罪科刑:
(一)按被告行為後,刑法第358條、第359條規定於108年12月25日修正公布,同年月27日施行,揆其立法理由係因本罪於72年6月26日後並未修正,而於94年1月7日刑法修正施行後,所訂罰金之貨幣單位為新臺幣,依刑法施行法第1條之1第2項前段之規定,本罪之罰金額應提高30倍,故係將前條文罰金數額調整換算後予以明定,其構成要件及法律效果均無變更,即無新舊法比較之問題,應逕適用裁判時法即現行法處斷,先予敘明。
(二)核被告所為,係犯刑法第358條之無故入侵他人電腦設備罪及同法第359條之無故破壞他人電磁紀錄罪,被告係以一行為同時觸犯上開二罪名,為想像競合犯,應依刑法第55條之規定,從重以刑法第359條無故破壞他人電磁紀錄罪論處。檢察官起訴書所犯法條欄固未敘及被告涉有第358條之無故入侵他人電腦設備罪嫌,惟其犯罪事實欄業經載明「基於犯害電腦使用之犯意,侵入喬美公司網站」等構成上開條項犯罪之事實,堪認此部分犯罪事實確屬起訴範圍,僅係遺漏所犯法條而已,本院自應依法審判;又刑事訴訟法第95條所為罪名告知義務之規定,旨在使被告能充分行使防禦權,故被告如已知所防禦或已提出防禦或事實審法院於審判過程中已就被告所犯罪名之構成要件為實質之調查者,縱疏未告知法條之罪名,對被告防禦權之行使當無所妨礙。本院於審理時,雖未就被告本件犯行併為可能涉及刑法第358條之無故入侵他人電腦設備罪名之告知,然被告既已就該部分之犯罪事實提出答辯並為攻防,顯見縱本院就此未為告知,對其防禦權之行使並無妨礙,且刑法第358條屬想像競合犯中所犯較輕之罪,顯對被告之防禦權並無影響,附此說明。
(三)爰審酌被告率然入侵喬美公司所屬本案網站,無故刪改本案網站資料庫之資訊,破壞喬美公司客戶對喬美公司之信賴,並影響本案網站之運作,復考量其無刑事前科,此見臺灣高等法院被告前案紀錄表即明,兼衡以被告係專科畢業、現從事服務業、月薪約新臺幣12萬元、已婚、目前有2名未成年子女要扶養(見13904偵卷第3頁、本院卷二第454頁)及其犯罪之手段、犯後態度等一切情狀,量處如主文所示之刑,並諭知易科罰金之折算標準,以資懲儆。
據上論斷,應依刑事訴訟法第299條第1項前段,刑法第358條、第359條、第55條、第41條第1項前段判決如主文。
本案經檢察官黃逸帆偵查起訴,檢察官王巧玲、趙維琦、李山明、徐則賢、陳國安到庭執行職務中 華 民 國 109 年 12 月 23 日
刑事第十三庭 審判長 法 官 鍾雅蘭
法 官 劉庭維法 官 郭又禎以上正本證明與原本無異。如不服本判決應於收受送達後20日內向本院提出上訴書狀,並應敘述具體理由;其未敘述上訴理由者,應於上訴期間屆滿後20日內向本院補提理由書(均須按他造當事人之人數附繕本)「切勿逕送上級法院」。告訴人或被害人如對於本判決不服者,應具備理由請求檢察官上訴,其上訴期間之計算係以檢察官收受判決正本之日期為準。
書記官 殷玉芬中 華 民 國 109 年 12 月 24 日附錄本案論罪科刑所犯法條中華民國刑法第358條無故輸入他人帳號密碼、破解使用電腦之保護措施或利用電腦系統之漏洞,而入侵他人之電腦或其相關設備者,處3年以下有期徒刑、拘役或科或併科30萬元以下罰金。
中華民國刑法第359條(破壞電磁紀錄罪)無故取得、刪除或變更他人電腦或其相關設備之電磁紀錄,致生損害於公眾或他人者,處5年以下有期徒刑、拘役或科或併科60萬元以下罰金。