刑事检控专员江乐士致辞全文 ************* 以下为刑事检控专员江乐士今日(五月二十六日)在英国电机工程师学会(香港分 会)举办的《电子管理:挑战与机会》研讨会就不当使用电脑的刑事罪行与对付这类罪 行的方法致辞全文: 电脑时代:互联网的发展:电子商贸:全球市场 在现今的电脑年代,电脑已展开了科技革命,对人类的观念、处事方法和程序,产 生了深远的影响,由此而衍生的问题,不但范围跨越国境,而且异常复杂,即使用心思 索,也难以明白,更不可能轻易解决。虽然如此,为了全球大众的福祉,我们不应轻言 放弃,对问题坐视不理。反之,我们应从区域、国家和国际的层面结合各地人士的力量, 集思广益,策力,共同探讨这方面日后的最佳发展路向。 近年来,使用电脑网络提供财经服务,日益普遍,互联网的发展一日千里,网上股 票买卖活动与日俱增。在英国,网上股票经纪的生意额,每两星期便增加一倍。英国有 些股票公司致力扩展,以配合这方面的需求。时至今日,单是一个星期的网上股票交易 额,已相等于一九九八年下半年六个月的总和。银行亦透过互联网提供网上银行服务。 开放式的网络使全球化的电子商贸可以进行,提供了无限的商机。人们可以透过电脑网 络订购货品和服务,供应商亦可透过电脑网络把货品和服务供应给顾客,而货款和费用 也可在电脑网络上交收。电子市场目前已成为我们现实生活的一部分。 互联网开放式的运作,让人们可以轻易进入网络之内,使全球各地只需很少的费 用,便可以快速和有效率地互通讯息。欧洲委员会主席蒲狄(Romano Prodi)最近 宣布一个雄心勃勃的大计,尽快为欧盟内每个市民接驳互联网,从而推广电子商贸。根 据估计,互联网使用者的数目今年会增加2亿5,000万。在一九九九年内,亚太区有 大约5,000万人使用互联网,这个数字预期还会以每年超过50%的幅度增长。香港目 前有超过100万名互联网使用者,登记的网站则有30,000个。 根据业内最新的估算,今年电子交易的总额将达4,030 亿美元。根据推算,这个 数字会于二零零一年增至9,530亿美元,至二零零四年,更会增至72,900亿美元。 公司与公司之间的电子商贸额,预期在二零零二年会超逾4,000亿美元,至二零零四 年更会达到27,000亿美元,其中亚洲市场占了13.6%。在香港,透过互联网交易的 货品和服务,一九九八年的总额为4亿6,600万元。 电脑罪行:显现的趋势 现代电脑科技是伟大的发明,但却不易规管、控制或监管。所有主要的司法管辖区, 都遇到与不当使用电脑有关的罪行,而且大多是涉及透过互联网诈骗和盗窃,但也有牵 涉洗钱活动、发布色情物品、盗版行为和非法赌博。据Meridien Financial Services估计,利用信用卡在互联网上进行销售交易,有高达15%涉及欺诈行为,而 根据Visa International的数字,在店铺使用信用卡进行的交易,涉及欺诈行为 的少于1%。 可以透过文件干犯的罪行,现在大部分都可以在互联网上干犯。在美国,有关在互 联网上受骗的投诉,每月就有300宗,美国政府相信去年黑客非法进入电脑,已令到 受袭的公司损失2亿6,500万元,这个数字是一九九八年的两倍,而其他地方亦出现 类似的趋势。商业机构所面对的风险尤高,因为竞争对手能够进入其电脑系统取得户口 资料、客户记录和其他敏感资料。此外黑客亦会从中渔利,他们欺骗银行,勒索金钱, 掠取有金钱价值的资料,导致他人蒙受经济损失。我们不可低估这些黑客的能力,以及 他们所拥有的先进技术。这些黑客以前可能只是一些好奇的电脑学生,但今天我们并不 是关注这类黑客,而是一些有组织的国际犯罪集团的黑客。最近在英格兰就有黑客非法 进入Visa International的电脑网络,之后向该公司勒索1,000万英镑。从近期 的事例所见,黑客不只可以进入大公司的网站,而且也能进入日本政府和美国军部的网 站。既然他们可以进入这些机构的电脑系统,当然也有能力进入任何电脑系统。因此, 这个情况必定备受世界各地商人的关注。 香港是一个科技先进的社会,这点令我们自豪。《经济学人》在一九九九年把香港 称誉为全球中市区人口通讯线路连系比率最高的地区之一。但是,如果一个身分不详的 人有能力使最富有的人的业务停顿,以及使全球最实力雄厚的网站停止运作,例如二月 间,Amazon.com、eBay、雅虎、有线电视新闻广播网和Excite等网站受黑客侵 袭而须关闭,那么差不多任何电脑系统,这些黑客也有能力闯进。 在美国,于一九九九年内向警方举报的非法进入电脑案件,就达1,154宗,数目 增加了一倍。在香港,曾向警方举报的非法进入电脑的案件,一九九三年只有1宗,一 九九六年增至4宗,至一九九九年激增至238宗。这显示香港并非没有电脑罪行的问 题,而事实上香港也不可能没有这方面的问题,因为这类罪行有三个主要特点:即它们 是跨国的,又牵涉尖端科技,而且秘密进行。由于香港正逐步发展为国际电子商贸中心, 我们不能让情况发展至威胁到香港这个地位。因此,当局有必要采取坚决行动打击电脑 罪行,并制订法例,以补充这方面现有的法律。至此,我们宜先了解本港在这方面有什 么法例,以及电脑罪行的问题是如何严重? 针对不当使用电脑的法例 在曾向警方举报的电脑罪案中,有大部分类别的电脑罪行,我们现有的法例大体上 都有能力对付。这些法例的主要内容如下: * 有犯罪或不诚实意图而取用电脑(最高刑罚∶监禁5年)- 香港法例第200章《刑 事罪行条例》第161条 * 对财产的刑事损坏;这项罪行适用于误用电脑程式或资料(最高刑罚∶监禁10年) - 香港法例第200章《刑事罪行条例》第60条 * 藉电讯而在未有获授权下取用电脑资料(最高刑罚∶罚款港币20,000元)- 香港 法例第106章《电讯条例》第27A条 * 入屋犯法罪;这包括非法损坏或更改在屋内的电脑(最高刑罚∶监禁14年)- 香港 法例第210章《盗窃罪条例》第11条 * 伪造帐目,例如毁坏、捏改为会计用途而制备的任何纪录或需要作为会计用途的任何 纪录,包括用电脑保存的纪录,或是知道这类纪录是或可能是误导的而提供这类纪录(最 高刑罚∶监禁10年)- 香港法例第210章《盗窃罪条例》第19条 * 发布淫亵物品;这项罪行适用于在互联网上展示淫亵物品(最高刑罚∶监禁3年及 罚款港币100万元)-《淫亵及不雅物品管制条例》 * 《电子交易条例》;这条例于二零零零年一月七日生效,旨在减低藉使用虚假身分干 犯电脑罪行的机会 * 未经授权而复制电脑程式(版权作品)即属犯罪(最高刑罚∶监禁4年)- 见香港 法例第528章《版权条例》第3及18条 本港虽然具备上述法例,但却不可以自满。电脑和互联网的罪行,日益猖獗,情况令人 忧虑。举例来说,虽然香港至今只有两宗互联网上的投资骗案,而香港所面对的网上证 券期货投资的诈骗问题,不及其他地方的规管机构所面对的严重,但是我们不可以假定 这个情况会恒久不变。投资者必须时刻提高警觉,这点非常重要。 问题的严重程度:统计数字 案件类型/年份 93 94 95 96 97 98 99 2000 非法进入他人电脑 1 5 4 4 7 13 238 38 涉及自动电话接 0 3 4 5 5 4 0 0 驳系统的诈骗 发布淫亵物品 0 0 1 6 6 13 32 0 刑事损坏 0 1 2 4 3 3 4 1 互联网购物诈骗 0 0 0 0 2 1 18 4 其他 3 3 7 7 2 4 25 6 总计 4 12 18 26 25 38 317 49 从以上统计数字所见,一九九三至一九九九年间,与电脑有关的罪行上升了差不多 8,000%,因而可算是一个在增长中的“行业”。我必须强调,这些数字仅揭露了问题 的冰山一角,未能充分说明有关问题。 上述统计数字亦显示了另一个渐受关注的问题,这就是与在互联网上购物有关的非 法活动,以及非法使用他人的信用卡在互联网上购物。互联网上每天有许许多多新的网 站出现。利用网上购物热潮在网上行骗的人会建立假的网站,推销永不出现的货品,或 是录取他人的信用卡号码,稍后用来大量购物。有些网站会用一段时间合法地进行交 易,从而确立商誉,但当商誉确立后,便推销昂贵的商品,交付劣货或假货,并于收取 现金后失去踪影。这些事件从来没人向警方报案,原因是所涉及的货品,其价值较低, 而受害人和犯案的人又分散在全球各地。此外,犯案的人会利用偷来的信用卡号码进入 色情网站,导致持卡人代他清付帐单。 跨国电脑罪行 据执法人员所见,有组织的国际犯罪集团现正尽量利用互联网和电子商贸所提供的 机会从中渔利。这些犯罪集团的人都清楚知道各司法管辖区的刑事法律,但他们的活动 从不受地域的限制,也不考虑这种地域的限制。因此,没有一个司法管辖区可独自应付 这些有组织的罪行。由于电脑罪犯互通消息时多会使用加密程式,这使电脑罪行就算不 是无法侦破,也会很难侦破。罪犯会使用加密程式发送与罪行有关的讯息,这些罪行包 括洗钱、儿童色情物品、欺诈等。由于涉案的证据是以数码形式记录,并予以加密处理, 一旦执法人员检获这些材料,即使不是无法查知正在发生什么事情,也会很难查明真 相。如没有译解这类资料的数码钥匙,这些资料便会无法予以解码和转为具体证据。即 使可以成功解码,整个过程也可能会耗用非常大量人力。 打击电脑罪行的新措施 一九九九年,政府的电脑系统给黑客非法进入两次。首次发生于一月间,当时有一 名黑客进入政府的网站后,试图建立一个聊天场地。第二次发生于六月间,当时另一名 黑客试图进入政府电脑系统的核心区域。上述的侵袭显示黑客对政府的网站甚感兴趣, 政府于是加强了保安措施,办法是建立中央互联网通讯闸 (Central Internet Gateway)。设置了这个通讯闸就确保政府部门有一个中央管理的安全通讯窗口,从而 透过互联网向公众发布信息和与市民通讯。上述的通讯闸由防火门、电脑病毒侦测系统 和侵入侦测系统组成,采用了国际认可的互联网保安标准。 我们不要误以为香港对电脑罪行的涌现,毫无招架之力,也不要以为香港的法例有 不足之处或是欠缺主动打击的能力。虽然如此,香港还是有需要多做些功夫,特别是与 以下三方面有关的措施: * 司法管辖权 * 加密技术 * 国际间合作 (1)司法管辖权 电脑资讯世界是一个无形空间,而司法管辖权通常由地域范围所决定。除非有特别 的规定,否则法院只有权审理在其司法管辖区内所发生的作为。根据普通法的一般规 定,当完成某项罪行所需的最后一项作为或事件发生后,该项罪行就视作正式发生,而 发生该项罪行的地方就获赋予审理该项罪行的司法管辖权。 对于涉及不当使用电脑的行为,而其目的是要干犯与欺诈和不诚实有关的传统罪 行,例如盗窃、伪造文件或串谋欺诈等,本港已具备所需的法例处理司法管辖权的问题。 根据《刑事司法管辖权条例》的规定,所发生的罪行如属以下情况者,香港法院可行使 司法管辖权: * 为该项罪行的定罪而须予以证明的行为(包括不作为)或其所产生的部分后果,是在 香港发生的。 * 企图在香港犯该项罪行,不论该企图犯罪的行为是否在香港还是在香港以外地方作 出,以及不论该企图犯罪的行为是否在香港产生作用,该项企图犯罪的罪行可在香港审 讯。 * 串谋在香港犯该项罪行,而串谋是在香港达成,则不论有否在香港作出任何促成或推 展串谋的事情,该项串谋的罪行可在香港审讯。 * 在香港串谋在香港以外的地方作出某个作为,如该作为在香港作出就会构成犯罪,而 同时在拟作出该作为的司法管辖区内也属于罪行,该项串谋的罪行可在香港审讯。 简单来说,这些规定可适用于以下例子。一个在加拿大居住的人,使用他的电脑非 法进入香港上海丰银行的资料库,并促致有些款项转进他在瑞士所持有的银行户口。 这样,这个人可在香港被控盗窃款项。同样地,如有人在香港使用电脑非法进入美国大 通银行在纽约的资料库,并促致有些款项转进他在开曼岛的银行户口,上述的规定一 样适用于这个人。此外,如有两个人在香港或香港以外的地方协议作出上述的作为,即 使未能完成他们的计划,上述规定一样适用。 但是,香港也许需要立法,以便赋予法院可处理以下两个情况所需的司法管辖权。 第一个情况是有人在香港使用电脑,促致不当使用在另一个国家的电脑。第二个情况是 有人在另一个国家使用电脑,促致不当使用在香港的电脑。 举例来说,如有人在香港使用一部个人电脑连接在美国的一个电脑网络,然后侵袭 另一个在加拿大的电脑。在上述情况下,我们如何断定罪行在哪处发生?哪一个地方的 司法机关可声称拥有起诉犯案人的司法管辖权?如何才能把犯案人绳之于法?在英 国,根据《不当使用电脑法令》的规定,只要受害人或犯案人在英国,英国便拥有司法 管辖权。另外,新加坡的《电脑罪行法令》亦规定,如案中的作为源于新加坡境内,或 该作为的结果在新加坡境内发生,则新加坡就可把犯案人检控。有了这类法例,香港就 可处理复杂的电脑罪行,而不用理会犯案人是否在其司法管辖区内。 (2)加密技术 要充分利用开放网络电子通讯所提供的商机,一个安全的作业环境实在至为重要。 就这方面而言,加密技术已公认为加强电子通讯保安和可靠性的主要工具。 最近制定的《电子交易条例》对数码签署的认可,将有助促进电子商贸。这条法例 确保电脑经互联网传送的资料是真确和完整的。 密码虽然有很多合法用途,但同时亦被用来进行犯罪活动,例如贩毒、恐怖主义、 诈骗,以及散布儿童色情物品。解码匙须加以保护,免受不当的披露,这点诚然重要, 但让合法的执法机关取得解码匙,以侦查犯罪行为,亦同样重要。在这方面,亚洲一些 司法管辖区已采取积极措施,例如新加坡和马来西亚已制定法例,让执法机关可以取得 解码匙。在英格兰,去年二月提交国会的《调查权力条例草案》(Investigatory Powers Bill),授权执法人员向个别人士或组织送达书面通知书,要求对方交出解 码匙和其他所需资料,以助执法人员了解他们所检获的资料或由有关人士所交出的资 料。在美国,立法机关正在审议两条条例草案。这两条条例草案一方面确认有需要保护 合法用途的密码,但另一方面亦载有条文,授权执法人员可以藉法庭命令强制索取解除 密码的钥匙。 根据其他先进的司法管辖区所得的经验,凡接获要求后拒绝替受密码保护的资料解 除密码,或不肯交出所需的解码匙,以译解受密码保护的档案或信息,或知道解码匙的 收藏地点而不透露等行为,都可列为罪行,这点显然是有理据可循的。至于香港会否循 同一路向发展,则还须拭目以待。 (3)国际间合作 跨越国界的罪行蔓延迅速,国际间唯有透过合作方能予以遏止。各国必须充分利用 司法互助安排,确保证据得以保存和可呈交法庭。司法互助协议主要涵盖以下范围的协 助: * 辨认和追寻疑犯和证人; * 送达文件; * 搜罗证据 * 应要求搜查和扣押证物; * 提供与刑事事宜有关的文件证据; * 移交有关人士以便上庭作证或协助没收财产; * 追寻、扣留和没收曾用来犯罪或从犯罪得来的财产。 司法互助的安排,有利搜集跨国罪行的证据,亦有助打击跨境的电脑网络罪行。但 是,随电脑罪行的增加,各国执法机关需要更密切和迅速的合作,以便能及早对付与 不当使用电脑有关的罪行。罪犯为逃避侦查,会尽快把犯案所产生的电脑记录加以删 除,这促致国际间相互合作的需要越加殷切。最近多国的电脑系统受到一种称为‘Love Bug’的软件病毒破坏,导致工作时间和修理费用的损失达70亿元。在这次事件中, 各国的执法人员,特别是美国和菲律宾的执法人员,互相通力合作,迅速采取行动,实 在令人鼓舞。 证券及期货事务监察委员会(证监会)亦提供了一个国际间合作的好例子。证监会 利用其互联网监察程式,监察一些网站、聊天室和电子布告板,藉以查探一些以香港为 对象的活动,从而了解这些活动有否触犯证监会所负责执行的法例。证监会主要针对以 欺诈手段招揽投资者、操控市场、散布虚假或误导消息、内幕交易等活动。在115个 受监察的网站中,证监会发觉其中八个有可疑,而这些网站分布于七个司法管辖区。证 监会把监察期间所发现可能牵涉犯罪活动的资料,知会有关司法管辖区的执法人员。 执法人员有需要紧密合作,以便互相提供从互联网服务供应商所取得的资料,而要 取得互联网服务供应商所保存的资料,可能要依循一些法律程序。此外,使用互联网服 务供应商提供的资料,也必须遵守一些基本保障的限制。举例来说,在美国,根据通常 的做法,除非有法庭的传票,否则互联网服务供应商不得向执法人员披露用户资料,而 没有法庭发出的搜查令,亦不得交出未开启的电邮。但是,有一点很重要的,就是各司 法管辖区对于其他地区的索取资料要求,应该从速处理,包括向法庭提交有关文件,以 及在所需的资料流失之前及早取得有关资料,然后把资料转送正在进行调查的司法管辖 区。 调查人员和检控人员向互联网服务供应商要求查阅用户资料,须要办理的手续通常 都很费时,尤以向别国的供应商提出申请为甚。如供应商定时销毁其通讯记录或用户资 料,重要的资料便会流失。因此,规定互联网服务供应商在收到当地政府机关提出的书 面要求后,应把用户户口资料和上网记录等资料多保存六个月,这个建议是有理据的。 按照程序,要求查阅资料的机关在办妥正式法律手续之前,须先行向供应商所属司法管 辖区的执法机关提出保留资料的要求。上述的要求可以用各种书面形式提出,例如函 件、传真或电邮等。透过上述安排,重要证据便可获供应商加以保留,以待要求查阅资 料的机关可以向供应商出示适当文件。 互联网服务供应商─自发性措施 除了可以使用立例的方法外,互联网服务供应商本身亦可采取一些适当的自律措 施,例如在新用户开设户口时,核实他们的身分。此外,供应商亦可以加强保安措施, 令罪犯难于入侵他们的系统。核实用户的身分,当执法人员发现疑犯的姓名与某个户口 有关连时,这会有助他们追查疑犯。目前,很多供应商只是查证用来缴费的信用卡是否 已报失。他们亦应核实客户的姓名和地址。供应商应保存用户的户口资料和帐单记录约 一年,以备有需要时用来追查用户的身分。供应商可以采取的自发性措施有很多,他们 是否愿意做则是另一回事。 执法机关:接受挑战 香港现正从速调集资源以迎接这方面的挑战。政府于本年三月成立了一个跨部门小 组,专责研究与电脑有关的罪行,并检讨现行法例。小组于本年稍后时间会向政府报 其研究结果,并会就须要增补哪些法例来对付电脑罪行一事,向政府作出建议。 各执法机关亦加强本身的执法能力,以支援政府所作的努力。警务处、廉政公署、 香港海关和入境事务处均已设立电脑罪案组。律政司则成立了一个由检控人员组成的专 家小组,以便在法庭上和向征询法律指引的政府部门,提供专家意见。香港与其他司法 管辖区的检控人员和调查人员会定期互相接触,商讨与电脑罪行有关的问题。 总结 香港特区政府有坚定的决心对付由电脑罪行所引起的迫切问题和长远的问题。此举 将可加强国际社会对香港特区的信心。但我们的目标不止于此。我们深切明白到,以香 港特区的地位而言,香港特区有责任参与国际层面的合作,在打击电脑罪行方面担当一 个全面而积极的角色。在我演说结束之前,我在此保证:我们必定全力以赴。 完 二○○○年五月二十六日(星期五)