網路犯罪的三種分類是什麼?律師解釋各種模式的損害控制策略
「網路犯罪」這個詞語在日常生活中已經相當普及,但在國際上,它被定義為「濫用電腦技術和電信技術的犯罪」。所謂的「駭客行為(破解)」等部分網路犯罪,企業也可能成為受害者,一旦遭受這種損害,就需要考慮應該採取何種對策。
本文將網路犯罪分為在日本國內通常使用的三種模式,並解釋每種模式對應的犯罪類型,以及在遭受損害後可以採取的對策。這種分類的重要性在於:
- 首先,如果不能在法律意義上被稱為「受害者」,即使可以「報告」犯罪發生,但要通過損害報告或控訴來促使警察進行調查也變得困難
- 對於存在民事對策的犯罪,即使不依賴警察的調查,也可以委託律師以民事方式確定犯罪者,並向犯罪者提出損害賠償請求
- 如果自己成為受害者的犯罪並沒有民事解決方案,則需要促使警察進行調查
因此,「對策」會因模式的不同而有所不同。
網路犯罪的三種分類
如上所述,在日本,網路犯罪通常被分為三種類型。
- 電腦犯罪:本所稍後將給出確切的定義,但簡單來說,這是指妨礙企業業務的犯罪行為
- 網路利用犯罪:這是指濫用互聯網進行的犯罪行為
- 違反禁止非法訪問法(日本禁止非法訪問法):這主要是指非法登錄等行為
以下,本所將對每一種進行詳細解釋。
何謂電腦犯罪
電子計算機損壞等業務妨礙罪是什麼
在刑法中規定的,符合電子計算機損壞等業務妨礙罪的行為,是這種類型的典型案例。
損壞他人業務使用的電子計算機或其供應的電磁記錄,或者向他人業務使用的電子計算機提供虛假信息或不正確的指令,或者以其他方式,使電子計算機無法按照使用目的進行操作,或者使其進行與使用目的相反的操作,從而妨礙他人的業務,將被處以不超過5年的有期徒刑或100萬日元以下的罰金。
日本刑法第224條之2
雖然這段文字讀起來有些困難,但簡單來說,
- 損壞業務用的PC或其內部的數據
- 向業務用的PC發送虛假信息或未預期的信息
透過這些手段,使該PC進行未預期的操作,妨礙業務,就構成了這種犯罪。
這種典型的例子包括利用安全漏洞,或者非法登錄他人的帳戶,以增加網上銀行的帳戶餘額。同樣地,利用安全漏洞,或者非法獲取登錄信息,以修改企業的網站,也屬於這種行為。”非法登錄”這種行為本身,雖然屬於下文將要提到的”非法訪問禁止法違反”的類型,但是,這種類型的犯罪主要是針對非法操作、篡改、刪除、數據的非法修改等行為。
與非法訪問的區別是什麼?
然而,這種類型的犯罪,即使沒有非法登錄行為的介入,也可以成立。例如,典型的DoS攻擊。發送大量的電子郵件,導致郵件服務器出現故障,或者對網站進行大量的訪問,導致網頁服務器出現故障,等等。這些行為,如果只看每一封郵件或每一次訪問,都是合法的,但是,由於大量的行為使服務器(PC)進行未預期的操作,給相關企業帶來了無法使用電子郵件、無法打開網站等損害。因此,即使不違反”非法訪問禁止法”,也可能符合”電子計算機損壞等業務妨礙罪”。另外,在這種犯罪模式中,詐欺業務妨礙罪也是一個問題。
如何促使警察進行調查
這些行為,如上所述,是犯罪行為,並且受害者是相關企業,因此可以要求警察進行調查。然而,實際上,日本警方對這種犯罪的應對並不理想。這在一定程度上也是由於技術問題。例如,上文提到了簡單的DoS攻擊,但實際的攻擊並不是單一的IP地址發送100萬封郵件或訪問,而是多個IP地址,也就是分散攻擊源的情況並不少見。這種攻擊被稱為”DDoS”。
如果是同一IP地址發送大量郵件或訪問的情況,那麼這就是同一人進行的大量訪問,並且明確地是”未預期的信息”。但是,如果IP地址分散,那麼每一封郵件或每一次訪問本身都是合法的,除非有證據證明這些都是同一人進行的,否則就不能說是非法的信息傳輸。那麼,如何在嚴格的刑事審判下證明”這是同一人發送的大量郵件或訪問”呢?確實,這對警察和檢察官來說是一個困擾的問題。
此外,在刑事審判中,僅僅證明”犯罪相關的通信(例如上述的大量郵件發送等)是由嫌疑人的PC發出的”,並不能獲得有罪判決。在刑事案件中,需要證明的不是”由哪台PC發出的”,而是”由誰的手發出的”。實際上,在刑事審判的判決中,這一部分,也就是”犯罪行為確實是由嫌疑人的PC發出的,但真的是由嫌疑人自己的手發出的嗎”,這一部分的審查往往非常謹慎。這種證明的門檻,當然在”防止冤獄”的意義上是重要的,但也可能使警察和檢察官對於網絡犯罪的調查產生猶豫。
然而,如果事件發生後的時間不長,通過細致分析服務器日誌等,可以找出”極有可能是同一人”和”確定是嫌疑人本人”的證據。IT技術的調查和法律分析將調查結果轉化為有法律意義的資料。如果這兩者都具備,那麼就可以說有可能促使警察進行調查。
民事解決困難
如果不依賴警察,有民事解決方案就好了,但對於這種類型的犯罪,誠實地說,民事對策是稀缺的。
例如,如果收到大量的電子郵件,郵件(包括郵件頭)中會記錄發送者的IP地址,因此,您可能會希望讓提供該IP地址的服務提供商公開契約者的地址和姓名。然而,在日本的民事法上,並沒有提供這種法律請求權。在網絡上的誹謗中傷受害等情況下,可以使用互聯網服務提供商責任限制法的發信者信息公開請求權,但簡單地說,這種公開請求權只承認對以下情況:
為了讓不特定多數的人看到的投稿進行的通信(典型的是,向公開給不特定多數人看的互聯網論壇發布誹謗中傷的投稿的通信)
這就是說,這種公開請求權只承認對以上情況。
實際上,對於高級的網絡犯罪,要促使警察進行調查,往往需要比提起訴訟更詳細的報告等。此外,從與警察的第一次接觸到實際的調查和逮捕,可能需要一年等時間。反而,民事解決可能更簡單,不需要那麼多的工作量,也不需要那麼長的時間……但是,這種類型的犯罪,原則上,民事解決是不可能的,或者非常困難。如果能確定犯人,就可以對由於該犯罪行為造成的損害,例如由於網頁服務器出現故障等造成的損害,提出賠償請求,但是,並沒有提供確定犯人的手段。
https://monolith.law/corporate/denial-of-service-attack-dos[ja]
網路利用犯罪
網路上的誹謗中傷受害
除了上述的電腦犯罪,還有使用電腦或網路作為手段的犯罪行為。例如,網路上的所謂誹謗中傷,雖然並未破壞數據、發送非預期的信息,或使電腦進行非預期的操作,但仍然是利用網路進行的。
誹謗中傷的投稿可以分為:
- 在刑事和民事上都是違法的(典型例子是名譽毀損)
- 在刑事上不是違法的,但在民事上是違法的(典型的是侵犯隱私權或肖像權)
如果是在刑事上也是違法的,可以使用民事手段,例如利用日本《服務提供者責任限制法》(Japanese Provider Liability Limitation Act)的發信者信息披露請求來尋找投稿者,或者鼓勵警方進行調查並逮捕投稿者。
然而,實際上,警方對這種投稿的態度通常是所謂的「不介入民事」,並不會積極進行調查。此外,侵犯隱私權或肖像權並不構成刑法上的犯罪,因此必須透過民事途徑解決。
https://monolith.law/practices/reputation[ja]
通過電子郵件等一對一通信的受害
困難的是,通過電子郵件或Twitter的DM等一對一的通信手段進行的不適當信息發送行為。例如,典型的是發送包含恐嚇罪或敲詐罪等內容的電子郵件。日本《服務提供者責任限制法》的發信者信息披露請求只能在以下情況下使用:
為了進行不特定多數人可以看到的投稿的通信(典型的是,向公開給不特定多數人看的網路論壇進行誹謗中傷的投稿的通信)
因此,對於這種通信,基本上沒有民事解決方案,只能期待警方的調查。然而,即使在網路論壇上發表的內容構成名譽毀損,如果使用一對一的通信手段,則不會構成日本的名譽毀損罪。簡單來說,日本的名譽毀損罪只有在對不特定或多數人進行的行為時才會成立。在一對一的通信手段中,名譽毀損原則上不會成立。關於這個問題,本所在另一篇文章中進行了詳細的解釋。
由於淫穢圖像或非法網站造成的受害
此外,還包括沒有受害者的犯罪,或者實際上不會造成損害的公司不成為受害者的犯罪。例如:
- 在所謂的成人網站上發布未經修飾的圖像或影片(公然展示淫穢圖像)
- 非法賭場網站的廣告
- 詐騙網站,聲稱出售名牌商品,但實際上並未發貨
這就是典型的模式。
例如,如果公司內的女性更衣室被偷拍,並且偷拍的圖像被發布在網路上,那麼這些圖像明顯構成侵犯被攝者女性的隱私權(或肖像權)等,但由於侵犯隱私權(或肖像權)並不構成犯罪,偷拍行為本身雖然是犯罪,但偷拍的照片的發布並不直接構成犯罪,因此如何要求警方進行調查成為了一個困難的問題。
此外,由於非法賭場網站或詐騙網站的存在,公司的銷售可能會下降,或者公司的信譽可能會下降,但如上所述,這種行為是為了社會而被視為犯罪的行為(典型的是超速或藥物管制等),或者只有直接的受害者(例如,付款給該詐騙網站的消費者)才是受害者,即使公司提出損害賠償,也只能被視為非受害者的舉報。此外,如果不是「受害者」,則無法通過發信者信息披露請求等進行特定。
然而,如果是銷售偽造品牌商品等侵犯公司擁有的知識產權(商標權、著作權等)的行為,則公司可以作為「受害者」鼓勵警方進行調查,或者通過民事手段尋找銷售者。
違反禁止非法存取法
禁止非法存取法所禁止的行為
最後,本所來看看禁止非法存取法所禁止的行為。禁止非法存取法主要禁止以下三種行為:
- 非法存取行為
- 助長非法存取行為
- 非法獲取等行為
其中,第一種,非法存取行為主要包括:
- 偽裝行為:未經許可,輸入他人的ID和密碼等,並以該人的身份登錄
- 利用安全漏洞進行攻擊:利用安全漏洞,無需輸入ID和密碼等,以他人的身份登錄
這兩種類型。
第二種,助長非法存取行為,是指未經許可,將他人的帳戶信息(ID,密碼等)告知或出售給他人的行為。
最後,第三種,非法獲取等行為,是指讓他人在所謂的釣魚網站等地方輸入他們的帳戶信息,或者保管這種方式非法獲取的帳戶信息的行為。
關於禁止非法存取法的詳細解釋,請參見下面的文章。
https://monolith.law/reputation/unauthorized-computer-access[ja]
警察的解決方法
如果您遭受了非法存取的損害,您也需要向警察要求進行調查。然而,這往往涉及到非常高級的技術問題,就像上述的電腦犯罪一樣,如果沒有具備IT和法律知識的人來撰寫報告,警察實際上很難進行調查。
此外,如果能確定犯罪者,則可以向該犯罪者提出賠償要求。然而,就像上述的電腦犯罪一樣,通過民事手段確定犯罪者非常困難。
Category: IT
Tag: CybercrimeIT