自2000年後,香港未有再就電腦網絡罪行作正式的檢討和修訂,惟科技日新月異,不同形式的網絡世界活動,實在影響很多人的日常生活,甚至影響社會穩定,我們認為現時的條例實在未能追上科技發展,理應有所修訂。明光社一直關心傳媒及資訊科技應用的問題,故希望就《依賴電腦網絡的罪行及司法管轄權事宜》的諮詢文件提出意見,供 貴小組委員會考慮。
首先,我們認為五類依賴電腦網絡的罪行可分為兩大範疇,分別如下:
範疇一:在沒有得到他人同意下,利用對方的資訊科技裝置:
A. 非法取覽程式或數據;
B. 非法截取電腦數據;
C. 非法干擾電腦數據;
D. 非法干擾電腦系統 。
範疇二:提供或管有用作犯罪的器材或數據。
以下,我們會就其設立原則提供意見。
就範疇一,我們提出以下要點:
這類罪行均有一個前設,就是「沒有得到他人同意」,我們認為這個必須要界定清楚,否則不論是商家或是資訊科技服務的提供者,甚至資訊科技的發燒友,均容易誤墮法網,以下為幾個現存的例子:
- 在使用資訊科技工具,例如使用手機app,甚至網站內的cookie也往往是沒有得到事主同意,甚至根本沒有通知事主,就會進入對方的裝置,寫入/更改/刪除一些數據,甚至會取閱對方電腦的資料,用來做更準確的推銷。我們認為條例應該清楚指出,怎樣才算得到使用者同意,將用家資訊科技裝置中的資訊作出改動,否則下載網頁(未得到他人同意將資料放入他人電腦中)也可以是犯法行為。
- 資訊科技界有時為了做安全測試,往往會用盡各種方法,企圖入侵網站,以測試其網站是否安全,以抵抗不同的駭客入侵。學校的老師有時甚至也會教學生使用一些工具去測試不同網站的安全性。惟我們要問,被測試的網站,其擁有人是否已得悉自己的網站被測試?諮詢文件有提及可以考慮用發牌制度來控制可以「進入別人網站來做測試」的人,但在實際操作上,不少高手在民間,發牌制度會令人擔心會否淪為另一種監察的制度。
- 我們認為在「同意」這點上,可以有更多做法,確保對方得知自己的網絡在需要時會被測試,以平衡網絡安全。例如:當一間公司向網絡公司要求提供服務時,網絡公司就可以簽訂條文,強調會定期做安全測試,過程會嘗試截取公司資訊甚至做出干擾,以測試公司的網絡是否達安全標準,並承諾過程不破壞和偷取資料等。
就範疇二,我們提出以下要點:
我們認為最重要是如何界定「用作犯罪的」這個短語的定義。
文件提出任何人如蓄意提供或管有器材或數據,如製造或改裝成犯罪目的的工具,即構成罪行。文件亦提出,很多病毒、殭屍程式,雖然可以用來傷害他人,作犯罪用途,但有時在教學上也是很重要的工具,所以有人可能有需要管有這些工具,諮詢文件邀請我們就甚麼人可以得到豁免,作出討論。
我們認為工具的本質是否「用作犯罪」,是難以判斷的,正如刀具的用途可以很多,可以用來切菜也同樣可以用來殺人。資訊科技的流通十分重要,不少簡單的工具或程式,用在正途可以幫助人,用在歪路可以害人。反過來說,很多資訊科技工具和器材,可以由很多坊間的工具改裝而成。近年社會發現不少日常用品也原來是武器,如果說「管有用作犯罪的器材」就犯法,定必觸動很多人的神經。我們認為必須小心處理。
再退一步說,即使你有容易用作犯罪的工具,就是否一定會犯罪?其實未必。正如上文所述,資訊科技界有很多駭客工具,是用作網絡安全的,老師會教學生,業內會探討,很多人家中的電腦可能就有類似的工具。我們難以定義一種工具是否會用作犯罪的用途,是故我們難用類似「管有攻擊性武器」的思路去處理條例。
我們認同社會上應該減少這類管有危險器材/數據/網絡資訊的機會,我們建議可以參照外國規管危險和不良資訊的方法,要求用戶主動申請同意使用(opt-in)的形式規管,政府可以與互聯網供應商合作,當業界發現一些危險的東西時,可以將之阻截,平時不讓巿民接觸,但如果巿民需要拿取該資源時,可用簡單表格通知互聯絡供應商,解除這類封鎖,便能拿到這些被定義為高危的資料/工具。這樣當執法機關需要調查時,互聯網供應商自然有名單知道甚麼人申請取用。這做法比起直接用立例禁止,更有彈性。
我們認為香港未來要成為資訊自由流通的城巿,相關法例要完善之餘,亦需要維持當中的自由及彈性,以利香港繼續保持獨特的營商環境及優勢。
明光社
2022年10月19日