https://medialibrary.tw/archives/5702
「網路治理」一詞 則可追溯至「網路治理工作小組」(Working Group on Internet Governance, WGIG);此小組因應2003年聯合國 世界資訊社會高峰會(World Summit on Information Society, WSIS)日內瓦階段會議發表的「原則與行動宣 言」而成立13。次而,WGIG在2005年6月發表WGIG工作 報告,將網路治理工作定義為:「網際網路的國際管理應 該是多邊的、透明的和民主的,政府、私營部門、民間社 會和國際組織的充分參與(The international management of the Internet should be multilateral, transparent and democratic, with the full involvement of governments, the private sector, civil society and international organizations.)」,以達到兼顧各方利益衡平的網路治 理。該宣言內容於今視之,仍然適用無礙,亦為本文立論 的張本。
伍、數位時代的網路治理與犯罪防治新思維
誠如前言所述,在數位時代,我們可以預料幾乎日後 所有犯罪都會和電腦或網路相關。長久以來,網路空間向 來被認為是獨立自主的空間,但網路治理與犯罪偵查是否 必須立於對立的狀態?從虛擬空間的思維出發,恐怕許多 傳統偵查思維需要改變。向來以「追人」為首要宗旨的查 緝思維,未必能夠妥善解決問題。筆者於2011至2012年在 哈佛大學Berkman Klein網路暨社會研究中心擔任訪問學者 期間,該中心於2011年9月假哈佛大學法學院Austin Hall,舉辦「iLaw 網路法律國際研討會」67,探討包括網 路智慧財產權在內之最新網路法律議題。筆者應主辦單位 邀請,在「全球網際網路」(the Global Internet)此項議 程中,就網路治理(Internet Governance)主題發表評 論。筆者以「Outcomes of Governance – The Example of Cybersecurity」為題,自犯罪預防及查緝的觀點,評析網 路治理之未來走向。在研討會中筆者曾指出,美國貴為網 路科技大國,除Google、Facebook等網路服務業巨擘的總 部均設於美國外,另有許多如思科(Cisco)等網路設備大 廠亦以美國為公司母國;加以美國本土網路使用人口眾多,反恐主義當道,美國政府當局藉由「網際網路」各個 面向取得司法管轄權,進而對於存在於網路空間之各種言 論資料予以調查甚或扣押取證,堪屬必要手段。換言之, 在現今網路世界,透過法律或法律授權行政機關,對於 「網路交通」(Internet Traffic)進行即時、廣泛、長期 蒐證,不僅為查緝犯罪所必須,也是抑制犯罪損害的必要 手段。對此,本文僅提出以下幾點建言,作為各界參考:
一、防治重於查緝
將被告繩之以法,處以適當刑責,固然為傳統刑事司 法之基礎原則。但是從本文前開章節說明可知,面對無所 不在、無遠弗屆、無時無刻的網路犯罪,任何一國要以其 內國刑事司法將行為人定罪,難度益愈升高。在AI技術一 日千里,不斷進化的今天,我們恐怕不難想像未來的犯罪 行為人,可能僅是一部電腦內的軟體,如好萊塢電影「機 械公敵」(I, Robot)中的VIKI,是否能夠以傳統處罰自 然人或法人的刑罰繩之,殊有疑問。尤為重要的是,在網 路色情領域,如散播私密兒少照片等案件,損害及時防止 更為重要。依衛福部統計,2020年違反「兒童及少年性剝 削防制條例」的通報案件共1,696件,其中1,333件屬於拍 攝兒童或少年性交或猥褻行為與物品,占全數犯罪型態近 八成,與2017年581件相比已翻倍成長。其中在社群網 站、通訊軟體等平臺查獲者多達1,239件,占犯罪工具的七 成,可見數位科技的犯罪比例很高,邇來深偽技術的流行,專家也憂心將會進一步衝擊青少年68。 準此,我們可以逐步仿照「網路內容防護機構iWIN
(Institute of Watch Internet Network)」模式69,作為下 架私密照片、深偽影音甚至防止線上盜版的手段。iWIN是 依據兒童及少年權益保障法第46條授權,由「國家通訊傳 播委員會」邀請各目的事業主管機關共同籌設,如衛生福 利部、教育部、文化部、內政部警政署、經濟部工業局及 商業司等共同籌設。依該條條文第1項規定:「為防止兒 童及少年接觸有害其身心發展之網際網路內容,由通訊傳 播主管機關召集各目的事業主管機關委託民間團體成立內 容防護機構,並辦理下列事項:一、兒童及少年使用網際 網路行為觀察。二、申訴機制之建立及執行。三、內容分 級制度之推動及檢討。四、過濾軟體之建立及推動。五、 兒童及少年上網安全教育宣導。六、推動網際網路平臺提 供者建立自律機制。七、其他防護機制之建立及推動。」 將通訊傳播機關列為召集機關,負主要防治責任,實屬正 確。此外,亦賦予網路平臺業者,即提供連線上網後各項 網際網路平臺服務,包含在網際網路上提供儲存空間,或 利用網際網路建置網站提供資訊、加值服務及網頁連結服 務等功能者(同條第4項),如:谷歌、臉書等業者自律責任,該條第2項規定:「網際網路平臺提供者應依前項 防護機制,訂定自律規範採取明確可行防護措施;未訂定 自律規範者,應依相關公(協)會所定自律規範採取必要 措施。」並且負有移除責任,同條第3項規定:「網際網 路平臺提供者經目的事業主管機關告知網際網路內容有害 兒童及少年身心健康或違反前項規定未採取明確可行防護 措施者,應為限制兒童及少年接取、瀏覽之措施,或先行 移除。」
此外,兒童及少年性剝削防制條例第8條亦規定: 「網際網路平臺提供者、網際網路應用服務提供者及電信 事業知悉或透過網路內容防護機構、其他機關、主管機, 相關資料至少九十天,提供司法及警察機關調查。」此舉 以先下架防堵,後移送偵查之「先行政,後司法」的模式 控管,同時兼顧防堵侵害擴大及程序正義。同理,對於線 上盜版案件,電信主管機關、電信業者,網際網路平臺提 供業者以及權利人等,亦可考慮援用iWIN模式,或者前述 德國之CUII模式,以共同治理,自律自清的方式,加強網 路盜版之防治與查緝。
二、刑法謙抑性之維持
向來,對於侵害法益的行為是否皆應施以刑罰制裁? 一直是個爭論不休的議題。相較於民事賠償、行政罰等, 得以處自由刑甚或生命刑為對重要手段的刑事處罰,毋寧 是對於人權侵害最大的方式。因此,發動刑罰要件應予嚴 格限縮,而非作為第一線的防火牆,此即刑法之「最後手段性」(ultima ratio)。承上所述,防治重於查緝網路犯 罪的重要性日益升高,由犯罪預防及保護法益的角度而 言,無論是域名扣押或者是停止解析域名,出發點仍不脫 損害的及時防止與減少。誠然,「有權利必有救濟」 (Ubi jus, ibi remedium)固然為法治國家建立司法制度的 張本,然而,救濟途徑卻未必僅有刑事程序一途,刑罰之 謙抑性在法治國原則下仍須兼顧。基於刑事程序的最終目 的仍在於課以被告適切刑責,對人權的干預程度較大,發 動門檻較民事、行政程序為高,仍應將之視為最後手段, 庶幾無違比例原則。再者,刑事資源含括從司法警察機 關、檢察機關至法院的各項人力、物力,耗費龐大,往往 獲得最終之確定有罪判決曠日費時,對於瞬息萬變的網路 犯罪防治,恐難發揮最好的功效。
也因此,為避免司法資源浪費,且為有效統合網路犯 罪辦案資源,給予檢察官充分辦案能量支援,調和各處地 檢署實務見解的分歧,臺灣高等檢察署遂於2021年12月 間,成立「查緝資通犯罪督導中心」,鎖定電信詐欺等資 通案件,建構大數據辦案模式,試圖針對域名濫用案件尋 求辦案新途徑。該中心轄下並設有「聲請法院扣押域名並 執行DNS RPZ(停止解析)」推動計畫,協助各地檢署及 執法機關,藉由取得法院令狀的方式,交由TWNIC執行停 止解析,停止臺灣使用者連上國外的犯罪網站,達到斷訊 的效果。而就在2021年12月24日,針對非法播送串流影音 的「安博盒子」機上盒,執法單位對非法影像來源的其中56個網址,以取得法院扣押裁定,再交由TWNIC及ISP業 者進行「停止解析」的方式,讓不法業者形同斷訊,高檢 署推動扣押域名並停止解析的計畫收到成效70。
三、正視民事、行政手段在防治網路犯罪的重要性
從各國法制面及實務運作觀之,犯罪防治從來不是只 有執法機關或司法機關的專屬業務,而是政府部門齊心同 力的結果。正如同勞工監理有助於防範逃逸外勞,金融監 理有助於防制洗錢,海關監理有助於非法物品入境,環境 監理有助於防止污染物擴散,行政機關在犯罪防治上扮演 曲突徙薪的預防角色,至關重要。同理,網路世界的監 理,各國多半委諸電信通信主管機關,如我國的「國家通 訊傳播委員會」(National Communication Committee), 從通訊端開始截堵網路濫用情事發生,方為正辦。事實 上,檢審機關的起訴、判決主要在於針對被告犯罪行為的 評價,對於擴展迅速的網路犯罪,即時防治成效仍屬有 限。網路安全的維護以及網路犯罪的防範,必須由多方利 害關係人共同參與。因此,TWNIC與參與國內DNS RPZ 的ISP業者,採取符合法律及正當程序的措施,共同為網 路空間安全與打擊網路犯罪努力,係符合網路中介者的良 善治理責任。不惟如此,從本文上開有關網站屏蔽命令章 節所示,採行此一機制的國家,幾乎均使用民事或行政手段獲取法院命令,強制ISP業者阻斷相關網路域名,以迅 速獲得成效,降低損害。預期在不久將來,面對更多的無 法找到犯嫌的網路犯罪,以民事或行政手段進行截堵的機 率將大為增加。
四、加強國際合作
最近,主管電腦犯罪及網路安全得美國司法部副部長 Lisa O. Monaco71,於2021年10月20日,在美國華府以 「進化中的網路威脅樣貌」(The Evolving Cyber Threat Landscape)72為題,發表開場演說闡明,近來網路威脅不 僅是國家支持的攻擊者,也與犯罪集團結合在一起,透過 勒索軟體攻擊美國相關基礎設施。面對網路威脅,副部長 也指出未來三大努力方向:第一、評估如何提高調查、起 訴和阻擾嫌犯及其不斷發展技術的能力;第二、在網路安 全方面,需要專注於建立一個具有彈性的跨國性全球組 織;第三、為追緝此類犯行的下一世代檢察官及調查官做 好完善準備。此外,加密貨幣助長洗錢,並且與勒索軟體連結,將是近年來最具有威脅性的犯罪行為。是以,美國 司法部於2020年10月也宣布成立「國家加密貨幣執法小組」 (National Cryptocurrency Enforcement Team, NCET)73, 以應對加密貨幣濫用相關犯罪的調查和起訴。NCET將結 合司法部刑事司(Criminal Division)「洗錢暨資產追回 科」(Money Laundering and Asset Recovery Section, MLARS)、「電腦犯罪和智慧財產科」(Computer Crime and Intellectual Property Section, CCIPS)。該團隊 還將協助追踪及追回因欺詐和勒索而損失的資產,包括向 勒索軟體集團所支付之支付加密貨幣。美國司法部指出, 加密貨幣被用於各種犯罪活動,包括勒索軟體贖金支付、 洗錢,以及非法銷售毒品、武器和惡意軟體。近期多起勒 索軟體案件都涉及加密貨幣的付款要求,包括2021年5月 針對美國最大燃料管線營運商Colonial Pipeline的攻擊,美 國財政部更是在2021年9月首次對加密貨幣交易所發出制 裁。
不僅如此,美國白宮在2021年10月13日主辦了一場對 抗勒索軟體的線上會議,邀請全球逾30個國家共同參與, 包括澳洲、巴西、加拿大、捷克、法國、德國、印度、以 色列、義大利、日本、肯亞、墨西哥、紐西蘭、南韓、新加坡及英國等國家,不過,中國與俄羅斯並未參與。根據 白宮估計,去年一整年全球所支付的勒索軟體贖金為4億 美元,而今年第一季的贖金亦已達到8,100萬美元。於是美 國召開了此次會議,打算結盟全球以對抗勒索軟體。美國 已列出了4項對抗勒索軟體的作法,包括摧毀勒索軟體基 礎架構及駭客、增強對勒索軟體的防禦能力、避免駭客透 過加密貨幣來洗錢,以及利用國際合作來打擊勒索軟體的 生態體系等74。
從以上分析可以得知,在布達佩斯公約架構下,歐洲 各國或者其他國家的援引加入,使得網路犯罪查緝的司法 互助更形便利。更值得我們注意的是,隨著網路犯罪的激 增,電子證據儲存在不同的司法管轄區的情形日益增多。 因此,自2017年起經過了近四年的磋商談判,歐洲理事會 (Council of Europe, CoE)於2021年11月17日正式通過 《布達佩斯網路犯罪公約第二附加議定書(the Second Additional Protocol to the Budapest Convention on Cybercrime),下稱「第二附加議定書」》,於2022年5 月12日,在法國斯特拉斯堡的歐洲理事會,由各會員國正 式簽署。「第二附加議定書」鑑於網路犯罪持續增加,而 足以將這些罪犯定罪所需的證據,可能存在於國外、可移 轉或未知地點的伺服器上,所以,「第二附加議定書」專門設計用於幫助執法當局獲取電子證據,其新作法包括與 服務提供商和註冊商直接合作,加快取得與犯罪活動相關 的訂戶資訊和流量數據的手段75。
然而,以臺灣目前的外交處境,即便參與如國際刑警 組職(Interpol)等情資分享機構已戛戛乎其難,若要成為 布達佩斯公約或者類似公約的成員國,恐怕更具有難度。 本文認為,限於我國目前處境,縱使無法參與國際公約進 行司法互助,但仍可漸進以互惠方式,透過個案與請求 國、被請求國逐步建立規模化的協議程序(protocol), 甚可援引目前已被全球認可的布達佩斯公約模式作為基礎 架構,以利與國際接軌。例如,在取證方面,我國業已獲 准加入「24/7高科技犯罪網路」(G7 24/7 cybercrime Network)76。鑑於各國對保存電磁紀錄之時間均有限制, 刑事司法互助又常需透過雙方中央主管機關,甚或外交途 徑等正式官方管道傳遞訊息,而有較長程序,為確保我國 向外國請求電子證據之刑事司法互助請求,不致因電磁紀 錄逾保存期限而無法取得,檢察機關依具體個案情節審酌 在向法務部提出刑事司法互助請求「之前」或「同時」, 得透過刑事局「24/7高科技犯罪網路」聯繫窗口,請外國協助保存相關電磁紀錄,俾有效達成刑事司法互助請求之
目的77。 五、網路治理的未來
行文至此,其實我們可以清楚明瞭,在網路時代, DNS是不可或缺的基礎設施。「掌握資訊,即掌握利益; 掌握DNS,即掌握資訊」。自上世紀八十年代中期以來, 域名系統一直是網際網路的重要組成部分。不過,美國在 DNS領域向來居於主導地位,即便是數位發展極其蓬勃的 歐洲,仍然需要透過美國協助,始能完善網路治理。為此, 歐盟提出了屬於自己的替代方案,名為「DNS4EU」78。 歐盟表示,DNS4EU將配備內置過濾功能,能夠阻止惡意 網域的DNS名稱解析,例如託管惡意軟體、網路釣魚站點 或其他威脅的網路安全的網域79。
此外,歐盟官員希望使用DNS4EU的過濾系統,根據 法院命令阻止訪問其他類型的禁止內容,而DNS4EU系統 還必須遵守所有數據處理相關法律,例如:GDPR,以確保在歐洲處理域名解析所得數據,禁止出售或營利。