最新二十篇文章公告:判決與法律命令之解析、契約與商業模式之範例
提供企業從事國內外商務交易上,所須知的各種法律規定及其風險的預防控管,而就各種法律規定、各項商業模式、各別法院判決與常用契約範本而寫的參考文章。本部落格之文章可讀性高、內容廣泛,從日常生活常見的買賣、租賃、公寓大廈管理到公司經營常見的產業模式、新創募資、合夥協議、投資併購、盡職調查、勞資關係、公司治理、上市上櫃、證券交易、技術移轉、經銷代理、國際商品買賣、供應鏈協議(OBM、ODM、OEM)、專利、商標、著作權、營業秘密保護相關之題目都有。本部落格的文章及其回覆,不代表本所的正式法律意見。如需進行各種商業交易的合法審查、各國商務契約的草擬談判、提起訴訟或應訊應訴、專利商標著作權之申請、授權及訴訟,請就近聯繫台北所02-27595585,新竹所03-6675569。E-mail:info@zoomlaw.net。本所詳細資訊請自行參閱:http://www.zoomlaw.net 所長法學博士范國華律師敬啟

目前分類:網路犯罪 (13)

瀏覽方式: 標題列表 簡短摘要

(在此先聲明兩點:

  • 一、本文作者沒有幫您找到歹徒的能耐,原則上警調也找不到歹徒。除非勒索軟體太過泛濫,以致業餘人士也拿來亂用,才有可能留下痕跡。
  • 二、本文作者沒有為您解開加密檔案的能耐,原則上也找不到人可以解開,本文會告訴您為什麼。)

最近勒索軟體相當猖獗,受害者包括企業及個人,電腦資料被加密,付錢才能解密。這是個重要的治安問題,當然涉及法律,相信關心這個問題的朋友很多。本文不打算從法律面直接破題,一來可能幾行就結束了,二來對於問題沒有任何助益。近日將分成幾個部分,為各位解釋勒索軟體的種種,包括:

  • 歹徒的工具-什麼是「加密」?
  • 歹徒的手段-如何入侵?雲端怎麼也被加密了?
  • 歹徒的目標-如何拿錢?
  • 如何面對勒索軟體的挑戰?

其中會介紹一些基礎而重要的觀念,希望對於法界朋友以及關心資安的入門朋友,能有所幫助。

什麼是「加密」?

簡單地說,「加密」就是把本來可以看得懂的「明文」,透過某種方法變成「密文」,這「某種方法」就是所謂的「加密」。

在電腦發明前,就存在加密法。例如相傳兩千年前的凱撒,就是利用簡單的加密法,來確保軍機不外洩:假設在傳遞軍情時,通訊的雙方約好「後移三位」,而發訊方打算告訴收訊方「today」,就把每個字母後移三位,寫成「wrgdb」,然後派人送信,如果敵軍半途攔下,也看不懂訊息內容。上述的「後移」,我們稱為「演算法」,要後移幾位呢?這就是所謂的「金鑰」,如果是英文字母的話,金鑰共有26把。演算法與金鑰兩者搭配,就可以加密。

現代的加密法是運用高深的數論打造而成,而且加密的對象不是字母,而是「位元」,所以不僅文字可以加密,凡是數位的資料,包括照片、影像、聲音,甚至資料夾、磁區乃至整個儲存媒體,加密法都一視同仁地處理。

而現代法加密法下所使用的金鑰長度,更是重點。要知道何謂金鑰長度,不妨先回到剛才的凱撒加密法,假設敵軍識破了凱撒加密的演算法,那麼最多猜26次,就可以猜出原來的訊息。至於我們的主角-勒索軟體CryptoLocker加密的情形,最多要猜幾次呢?請在新聞中找關鍵字「位元」或「bit」,您看到一個數字:2048,這並不是指猜2048次就可以猜中,而是告訴您「金鑰的長度」是2048位元。

一個位元,是電腦計算的最小單位,這個單元可以寫入「0」或「1」兩種數字。我們可以把金鑰想像成一把特殊的號碼鎖,上面有格子,每格只有「0」或「1」兩種選項;如果金鑰長度為1,表示格子只有1格,金鑰不是0就是1,猜兩次就一定猜中;如果金鑰長度為2,表示格子有2格,金鑰可能是00,01,10,11四種,最多猜四次就可以猜中;所謂「金鑰長度2048位元」,表示號碼鎖共有2048格,如果2048格都猜中,那麼解密法就啟動,把原來看不懂的資料還原。想要2048格都猜中,得猜多少次?

因為號碼鎖的每格都有兩種可能,2048格共有「2的2048次方」種可能,所以最多要猜「2的2048次方」次才能猜中。這樣寫太抽象,而且根據相當多的文獻指出,人們對於很小和很大的數字,是相當不敏感的,所以作者嘗試為各位展示「2的2048次方」的答案:

, , , , , , , , , , , , , ,

Zoomlaw 發表在 痞客邦 PIXNET 留言(0) 人氣()

回到法律面,上開修改客戶端資料的手法,而以顯不相當的對價取得票券,在法律上的效果如何?

一、      是否成立刑法第358條的無故入侵電腦罪

上開手法,是在客戶端修改資料,再傳回伺服端,僅此而已,並沒有入侵他人電腦,因此不成立本罪。

二、      是否成立刑法第359條的無故取得、變更或刪除電磁紀錄罪

刑法第359條規定:無故取得、刪除或變更他人電腦或其相關設備之電磁紀錄,致生損害於公眾或他人者,處五年以下有期徒刑、拘役或科或併科二十萬元以下罰金。

上開手法,並沒有無故取得或刪除電磁紀錄的問題。至於有無「變更」,較易引起誤會,簡單說明之:上開手法,的確變更了電磁紀錄,但是變更的是使用者自己電腦的電磁紀錄(存於記憶體的網頁檔案中的「定價」欄位),並非法條所稱的「他人」電腦;再者,使用者自客戶端傳送的資料是變更定價之後,計算而得的「訂單總金額」,伺服端接收後,將相關資料(如使用者帳號、購買時間、商品種類、數量、金額等)存入資料庫,亦難認有何變更「他人」電腦電磁紀錄問題。

三、      是否成立刑法第360條的無故干擾電腦罪

簡單地說,沒有影響伺服端的可用性(availability),不成立本罪。

四、      是否成立刑法第339條之3電腦使用詐欺罪

刑法第339條之31項規定:意圖為自己或第三人不法之所有,以不正方法將虛偽資料或不正指令輸入電腦或其相關設備,製作財產權之得喪、變更紀錄,而取得他人之財產者,處七年以下有期徒刑,得併科七十萬元以下罰金。

, , , , , ,

Zoomlaw 發表在 痞客邦 PIXNET 留言(0) 人氣()

部落客張啟元先生在其部落格展示其發現ibon網頁漏洞的經過,經修改網頁金額資料後,可用1元買到各式票券。經各大媒體廣為披露,張先生並宣稱其實際測試超過30個購物網站,有20間可藉由修改網頁資料而達到目的。

張先生買到1元票券的手法,已在上開部落格內圖文並茂地解釋清楚,在此提供較扼要的說法,並加入一段引言,供讀者參考:

網路上的各種角色扮演,可分為兩大類:提供服務者,稱為伺服端(server),要求並享受服務者,稱為客戶端(client),例如以桌上型電腦或手機打開chrome等瀏覽器軟體,瀏覽器就是客戶端;使用瀏覽器連上網站,讀取網頁,網站是提供網頁服務的,就是所謂的伺服端。

當使用者用電腦或手機(客戶端)連上購物網站(伺服端), 購物網站的架構至少區分成兩大部分,一是所謂前台或前端(front-end),有點像商店的店面、櫃檯,是展示網頁內容的部分;另一則是所謂後台或後端(back-end),像是工廠、倉儲、營運等,是資料的運算及儲存所在。使用者如果想在購物網站上查詢或選購商品,會由客戶端向伺服端傳送指令(command)、資料,伺服端方面,會由前台接收,再轉交給後台處理,後台處理完畢,再輸出給前台,由前台向客戶端呈現處理的結果。

購物網站伺服端傳送到客戶端的網頁資料,例如物品的定價,使用者以正常方式操作,是不會被修改的,這也是購物網站業者的期待。問題是,購物網站的網頁當然是設計成互動的,也就是說,使用者是必須回傳資料,例如購買的物品、件數等,而這些資料既然是由客戶端傳送出去,自然有被使用者修改的機會,修改之後,就會影響資訊的正確性或完整性(integrity),進而造成財產或非財產的損害。張先生所做的,就是修改了呈現在客戶端的網頁資料,進而傳回伺服端,使得伺服端所收到的訊息(訂單金額等),超出了業者的預期,產生了意想不到的結果。例如將原來的定價1850元,修改成定價1元,再回傳伺服端,伺服端居然就乖乖照單全收。

資訊安全問題,不能仰賴使用者的善意,所以在伺服端(不論前、後台),應該設計輸入驗證(input validation)的機制,只要使用者輸入的資料不在期待範圍內,就根本不能繼續進行交易。這不但是ISO 27001:2005版的控制措施A12.2.1Data input to applications shall be validated to ensure that this data is correct and appropriate.)或ISO 27001:2013版的控制措施A14.1.3Information involved in application service transactions shall be protected to prevent … unauthorized message alteration … .)的要求,更應該是網頁安全(web security)的ABC。輸入驗證不完善,如張先生所展示的方式及後果不過是最輕微與基本的,如果遇到利用輸入驗證問題的較深入手法,例如SQL Injection、XSS(cross-site scripting)、Buffer Overflow等,恐怕災情將更為慘重。(從此案來看,台灣的資安業似乎大有可為,但市場始終無法順利開展,著實饒富趣味)

 


, , , , , , , , ,

Zoomlaw 發表在 痞客邦 PIXNET 留言(0) 人氣()

淺談在線上遊戲對特定玩家辱罵之刑事責任

                                                                                       實習律師李秋峰

一、前言

隨著網路發達與智慧型手機逐漸的普及,越來越多的人都有玩過線上遊戲的經驗,

甚至有些玩家一投入就是數年。而線上遊戲玩家通常會註冊一個自己喜愛的暱稱為帳號,

行走於線上遊戲的虛擬世界中,倘線上遊戲玩家對於同一遊戲之特定玩家,

於其他玩家也能共聞的發言頻道中,有涉及辱罵、誹謗的文字時,

是否構成刑法上的公然侮辱、誹謗罪,值得為文探討。

 

二、法律規定

, , , , , , ,

Zoomlaw 發表在 痞客邦 PIXNET 留言(0) 人氣()

網路犯罪案例

- 媒介色情交易、援交、情色聊天室、販賣色情光碟、散布色情圖片及影片

 

眾律國際法律事務所

眾律國際專利商標事務所

專利工程師暨法務 簡敏丞

 

一、利用網路媒介色情交易

 

一般以常見的應召站、色情理容護膚之經營型態,意圖使男女與他人為性交或猥褻之行為,而引誘、容留或媒介以營利者,處五年以下有期徒刑,得併科十萬元以下罰金(刑法§231)。假若使未滿18歲之人為性交易者,更可依照兒童及少年性交易防制條例第23條之規定,處一年以上七年以下有期徒刑,得併科新臺幣三百萬元以下罰金。

, , , , , , , ,

Zoomlaw 發表在 痞客邦 PIXNET 留言(0) 人氣()

網路犯罪案例

- 盜用他人帳號密碼上網、盜用他人網路的虛擬寶物、製造或散撥電腦病毒 

 

眾律國際法律事務所

眾律國際專利商標事務所

專利工程師暨法務 簡敏丞

 一、盜用他人帳號密碼上網

 電信業者連接網際網路之服務,使用者藉由本身之帳號密碼連接網路,經電信業者先將各使用者身分之確認無誤後,各使用者便有該業者之電信設備使用權。假若盜用他人之網路代號與密碼上網而獲得提供服務之利益者,將構成刑法的詐欺得利罪外,實務對於意圖為自己或第三人不法之利益,以有線、無線或其他電磁方式,盜接或盜用他人電信設備通信者(盜用他人之網路代號與密碼者),屬於電信法§56 I之規定,可處五年以下有期徒刑,得併科新台幣150萬元以下罰金。而盜打他人電話或行動電話亦適用該電信條款。

 盜用他人帳號密碼上網之行為,雖然不法獲得提供服務之利益,但是並沒有製作財產權之得、喪、變更紀錄,其目的在於獲得網路服務,並非在製作財產權之得喪變更紀錄,該帳單計費是由電信公司利用電腦自動記錄方式所製作者,非盜用帳號上網者所製作,所以不構成刑法電腦或其相關設備詐欺罪(刑法§3393),而常見的刑法§3393在現今生活中,大都以偽造信用卡消費、竊取他人金融卡而轉帳或是變更存、提款等情況,茲不贅述。

 二、盜用網路遊戲的虛擬寶物

, , , , , , , ,

Zoomlaw 發表在 痞客邦 PIXNET 留言(0) 人氣()

網路犯罪案例 - 電子郵件相關

 

眾律國際法律事務所

眾律國際專利商標事務所

專利工程師暨法務 簡敏丞

 

一、冒名寄發電子郵件之情形

刑法處罰偽造文書之主旨,該定義依據大多數國內學者之見解,須具備有體性、文字性、持續性、意思性等要件外,尚須有名義性足夠當文書之意義(須記載足以表彰一定之制作名義人)。因此之前學界在電子郵件是否為刑法上之文書頗有爭議,直到1997925三讀修正通過刑法條文就電腦犯罪部分後,現今實務已將電子郵件歸屬於刑法§220-2之準文書(錄音、錄影或電磁紀錄,藉機器或電腦之處理所顯示之聲音、影像或符號,足以為表示其用意之證明者,亦同。) 而假若用他人之電子郵件,係屬電子郵件姓名遭受虛偽之意思表示,以實務界目前多數的看法,認為署押係指署名畫押或簽押,其方式本不限於簽名之一種,也就是畫十字、圈圈、叉叉也可以,因此電子郵件上記載之姓名就是表示該電子郵件具名者所制定的意思,因此為刑法上的署押,依照現行刑法§217條規定,偽造印章、印文或署押,足以生損害於公眾或他人者,處三年以下有期徒刑。

 二、以電子郵件辱罵他人或誹謗

 () 以電子郵件辱罵他人之情形

, , , ,

Zoomlaw 發表在 痞客邦 PIXNET 留言(0) 人氣()

散佈裸照事件

眾律國際法律事務所  法務助理黃慧儀

20120706

 

事實背景:甲與乙交往,分手後甲心有不甘,將交往期間所拍攝乙裸露胸部和性器官之照片寄送至乙鄰居住處、友人住處及工作處。

 

相關規定

、刑法第235條:

散布、播送或販賣猥褻之文字、圖畫、聲音、影像或其他物品,或公然陳列,或以他法供人觀覽、聽聞者,處二年以下有期徒刑、拘役或科或併科三萬元以下罰金。

意圖散布、播送、販賣而製造、持有前項文字、圖畫、聲音、影像及其附

Zoomlaw 發表在 痞客邦 PIXNET 留言(0) 人氣()

於網路平台上冒名損害他人名譽之刑責

眾律國際法律事務所      陳柏舟律師

郭凌豪、陳映青實習律師

2012-05-10

 

壹、 事實緣由

某甲與某「A」間因細故致生嫌隙,某甲遂基於毀損某「A」名譽之意圖,於知名網路平台申請帳號,並將其暱稱取名為與某「A」讀音相似之某「A”」,並該暱稱之公開網頁中以職業、工作內容及分享某「A」之公開照片等訊息,隱射該帳號為某「A」所使用。

之後某甲再利用該帳號之暱稱,於公開網頁發布諸如「豬」、「狗」等謾罵言論或某「A」經修改編輯醜化之照片,藉以貶損某「A」之社會名譽。問:某甲將構成何等刑責?

貳、 相關刑責規定

1. 著作權法

, , , , , , , ,

Zoomlaw 發表在 痞客邦 PIXNET 留言(1) 人氣()

非法取得線上寶物之刑責

眾律國際法律事務所 實習律師陳映青

2012-04-06


壹、前言

線上遊戲是由買家向遊戲業者購買點數,再依據點數透過網路和遊戲軟體進行遊戲娛樂,並從中累積虛擬貨幣和道具—即「線上寶物」—的活動。「線上寶物」實質上僅為遊戲過程中之電磁紀錄,但因其取得須經過遊戲闖關破關等過程,故有認其在遊戲參與者之主觀層面上具有一定之財產價值,亦有認其已成為具有一定客觀價值之財產交易之標的。

無論也由於「線上寶物」隱含之經濟價值,許多新興網路犯罪問題因而衍生,下僅就「非法取得」線上寶物之部分簡論之。

貳、刑法第323條—準動產

一、   2003年修法前

, , , , , , , , , , ,

Zoomlaw 發表在 痞客邦 PIXNET 留言(0) 人氣()

眾律國際法律事務所實習律師  郭凌豪

                                              2012-03-20

(二)民事責任

1)著作權法第84條規定:「著作權人或製版權人對於侵害其權利者,得請求排除之,有侵害之虞者,得請求防止之。

故,著作權人可以請求盜用人把該圖片從網頁上下架、刪除。

 

2)第85條規定:「侵害著作人格權者,負損害賠償責任。雖非財產上之損害,被害人亦得請求賠償相當之金額。前項侵害,被害人並得請求表示著作人之姓名或名稱、更正內容或為其他回復名譽之適當處分。

 

3)著作權法第88條規定:「(一項)因故意或過失不法侵害他人之著作財產權或製版權者,負損害賠償責任。數人共同不法侵害者,連帶負賠償責任。(二項)前項損害賠償,被害人得依下列規定擇一請求:一、依民法第二百十六條之規定請求。但被害人不能證明其損害時,得以其行使權利依通常情形可得預期之利益,減除被侵害後行使同一權利所得利益之差額,為其所受損害。二、請求侵害人因侵害行為所得之利益。但侵害人不能證明其成本或必要費用時,以其侵害行為所得之全部收入,為其所得利益。(三項)依前項規定,如被害人不易證明其實際損害額,得請求法院依侵害情節,在新臺幣一萬元以上一百萬元以下酌定賠償額。如損害行為屬故意且情節重大者,賠償額得增至新臺幣五百萬元。

超商盜用圖片,可能因此節省相當之攝影成本,且可能因此而提高其網頁點閱率,促進商機或廣告收益,皆是可能請求賠償之標的。

, , , , , ,

Zoomlaw 發表在 痞客邦 PIXNET 留言(0) 人氣()

眾律國際法律事務所實習律師  郭凌豪

                                              2012-03-20

日前媒體報導[1],因近來賞櫻風潮盛行,知名超商為趕上這股風潮趁機宣傳,竟使用網友在臉書上所放之櫻花照,於超商自己之臉書粉絲團網頁,還吸引上百人留言按讚。而該照片為網友自己所拍,並在圖上設計「簽名檔」以免被盜用,但仍被修圖修掉而置於超商網頁上,該盜用他人圖片之行為,是否已觸犯法律?

 

網路上常有盜用他人圖片之行為,該行為可能觸及之法律問題,大致上約有下列規範:

 

一、著作權法

首先,若要適用著作權法,應先討論該被盜圖片是否屬著作權法所保護之著作。因著作權法之精神,在於保護具原創性之著作,而圖片通常屬攝影著作,若要受保護,應視其是否為由主題之選擇、光影之處理、修飾、組合或其他藝術上之賦形方法,以攝影機產生之著作。若是通常之以攝影機對實物拍攝之照片,尚難認係著作權法所指著作。

換言之,受保護之攝影著作,必須有思想、感情表現之因素,攝影者需將其心中所浮現之原創性想法,於攝影過程中,選擇與安排標的,運用各種攝影技術,決定觀景、景深、光量、攝影角度、快門或焦距等事項,進而展現其原創性,並非單純僅為實體之機械式再現。故,若如身分證、駕照、護照或考試用之照片,係以實用之目的所作成,除非符合思想或感情創作表現之著作要件,否則非屬受著作權法保護之攝影著作要件[2]

 

, , , , ,

Zoomlaw 發表在 痞客邦 PIXNET 留言(1) 人氣()

網路犯罪之刑事訴訟管轄

眾律國際法律事務所 實習律師陳映青

2012-03-19

 

壹、 前言:

通常刑事訴訟的土地管轄問題,可以藉由刑事訴訟法第5條第1項和刑法第4條之規定解決(最高法院72台上字第5894號判例參照)。然而,在網際網路出現後,地理區域的界限被抽象化,網際網路創造了一個虛擬的新空間,訴訟土地管轄在網路犯罪應如何適用之問題即油然而生。 

貳、 相關規定

一、   刑事訴訟法第5條第1項:

「案件由犯罪地或被告之住所、居所或所在地之法院管轄。」

二、   刑法第4條:

, , , , , , ,

Zoomlaw 發表在 痞客邦 PIXNET 留言(0) 人氣()

您尚未登入,將以訪客身份留言。亦可以上方服務帳號登入留言

請輸入暱稱 ( 最多顯示 6 個中文字元 )

請輸入標題 ( 最多顯示 9 個中文字元 )

請輸入內容 ( 最多 140 個中文字元 )

請輸入左方認證碼:

看不懂,換張圖

請輸入驗證碼