間諜軟體無所不在

林育生／資策會科技法律中心法律研究員
網路使用者要小心了，現今除了駭客入侵、電腦病毒外，「間諜軟體」（Spyware）已成為資訊安全最大的風險來源，根據安全專家指出，間諜軟體每年估計以50％到100％不等的比率增加。所謂「間諜軟體」，泛指在未經使用者同意的情況下進行廣告、收集個人資訊或修改電腦設定等行為的軟體。包括廣告軟體、鍵盤側錄、木馬程式等均屬於「間諜軟體」的一種。間諜軟體通常會藉由網路下載的過程中植入到使用者電腦中，當間諜軟體運作時，可能會干擾使用者的上網活動，或是造成個人資料及儲存於電腦中的機密資料等外洩，嚴重影響資訊安全及個人隱私。

今年2月初，安全軟體公司Webroot發表一項數據顯示，截至2005年底止，總共偵測到40萬個散布間諜軟體的網站，而全球共發現12萬種不同組成間諜軟體的元件。知名防毒軟體公司趨勢科技亦指出，近來已有許多結合間諜軟體的網路釣魚手法，駭客會利用夾帶木馬程式的電子郵件或可下載惡意程式的連結，一旦惡意程式執行後，就會自動監控使用者的上網行為。當使用者至特定銀行網站輸入信用卡號或金融帳戶密碼時，就會透過暗中轉址或鍵盤側錄方式將這些資料傳回給駭客。可見間諜軟體已經成為網路使用者普遍的威脅。

面對間諜軟體帶來的威脅，其所引發的法律風險實值得我們關注。對個人而言，間諜軟體可能透過蒐集使用者姓名、身分證字號、電子郵件等基本資料，或是個人金融、醫療等重要性資料進行不法行為，導致使用者的隱私完全曝光，對於個人隱私構成侵害，甚至可能造成財產上之損害。對企業而言，如當企業內部遭間諜軟體滲透，造成商業機密或客戶資料外洩時，企業本身可能需面臨鉅額的賠償風險。對國家而言，如當機關電腦被植入間諜軟體時，則可能會導致國家機密資料外洩。

從法律防制面來看，我國關於遏止間諜軟體的法律，依具體事實的不同，分別適用刑法、電腦處理個人資料保護法、通訊保障及監察法等。例如當駭客利用間諜軟體入侵他人電腦取得個人資料時，將觸犯刑法第358條之無故入侵電腦罪、第359條之無故取得電磁紀錄罪及第360條之無故干擾電腦罪，分別處三年以下有期徒刑、拘役或科或併科十萬元以下罰金。又根據電腦處理個人資料保護法，利用間諜軟體對個人資料進行違法蒐集，將違反本法第33條之規定，處二年以下有期徒刑、拘役或科或併科四萬元以下罰金。另通訊保障及監察法第24條第1項規定，對於違法監察他人通訊者，處五年以下有期徒刑。

至於民事方面，如當被害人隱私權或財產遭受損害時，則可依民法、消費者保護法中侵權行為之相關規定請求賠償。惟從實質追訴面來看，有時可能根本無法得知加害人身分；又個人或團體可能沒有資源進行調查活動，所以被害人大多無法獲得賠償。此外，由於網路無國界之特性，因此當駭客在國外，或是遭盜取的資料被散布到各國時，勢將使調查與執法活動更為艱難。

觀乎國外趨勢，美國政府從打擊間諜軟體的過程中已發現，國界線已成為執法上的一大障礙。針對此問題的解決，美國聯邦貿易委員會（FTC）曾於2005年6月提出「美國網路安全法案」之立法建議。希望國會通過該法賦予FTC權力，包括代理被害人進行跨國訴訟、與國外合作機構交流資訊及提供調查性的協助、請求法院協助保存相關調查證據，以及加強參與國際性執法計畫等，以提供FTC進行跨國調查活動的法律依據。

儘管使用者可利用軟體對抗間諜軟體的威脅，但仍有賴使用者自己建立良好的資訊安全觀念及電腦使用習慣，以避免遭受到法律風險。在法制上，雖說已有刑法手段加以防制，但是對於個人隱私權侵害、個人及企業財產上損害，如何使其有效獲得救濟，目前仍缺乏相關法律措施與制度。保障網路使用者權益，將是我國未來法制上的重要課題。