資料來源:司法院裁判書系統
臺灣士林地方法院103年度聲判字第81號
臺灣士林地方法院刑事裁定 103年度聲判字第81號
- 聲請人
- 英屬維京群島商希幔數位有限公司
- 即告訴人
- 代表人
- 孫家璁
- 代理人
- 劉立恩 律師
- 代理人
- 陳曉雯 律師
- 被告
- 施孟甫
上列聲請人即告訴人因被告妨害電腦使用罪等案件,不服臺灣高等法院檢察署檢察長於中華民國103 年8 月29日所為之103 年度上聲議字第6346號駁回再議之處分(原處分案號:臺灣士林地方法院檢察署102 年度偵字第7689號),聲請交付審判,本院裁定如下:
主文
聲請駁回。
理由
一、按告訴人不服上級法院檢察署檢察長或檢察總長認再議為無理由而駁回之處分者,得於接受處分書後10日內委任律師提出理由狀,向該管第一審法院聲請交付審判;法院認交付審判之聲請不合法或無理由者,應駁回之;法院為前項裁定前,得為必要之調查,刑事訴訟法第258 條之1 、第258 條之3 第2 項前段、第3 項,分別定有明文。
二、本件聲請人即告訴人英屬維京群島商希幔數位有限公司前以被告施孟甫涉嫌妨害電腦使用罪等案件,提起告訴,案經臺灣士林地方法院檢察署檢察官偵查終結,因認犯罪嫌疑不足,於民國103 年7 月15日以102 年度偵字第7689號為不起訴處分。聲請人不服,聲請再議,經臺灣高等法院檢察署檢察長審核後仍認再議無理由,於103 年8 月29日以103 年度上聲議字第6346號處分書駁回聲請,業經本院調取臺灣士林地方法院檢察署102 年度偵字第7689號、臺灣高等法院檢察署103 年度上聲議字第6346號卷後核閱無誤。聲請人於103 年9 月9 日收受處分書後,以檢察官未充分審酌聲請人提出之證據,於103 年9 月18日依法聲請交付審判,經本院調閱上開卷宗核閱無訛,並有臺灣高等法院檢察署送達證書及聲請人所提刑事聲請交付審判狀上本院收狀戳日期可稽,則揆諸前揭規定所示,聲請人向本院提起本件聲請,在程序上即屬適法,合先敘明。
三、次按刑事訴訟法增訂「聲請法院交付審判」制度,其目的無非係欲對於檢察官起訴裁量有所制衡,除貫徹檢察機關內部檢察一體之原則所含有之內部監督機制外,另宜有檢察機關以外之監督機制,由法院保有最終審查權而介入審查,提供告訴人多一層救濟途徑(刑事訴訟法第258 條之1 立法理由參照),以促使檢察官對於不起訴處分為最慎重之篩選,審慎運用其不起訴裁量權。是法院僅係就檢察機關之處分是否合法、適當予以審究,惟交付審判制度畢竟非屬審判程序之延伸,若法院於檢察機關憑以作成處分之卷證資料外,主動另行蒐集其他證據,則顯然有侵越檢察機關之職權,形成違反彈劾原則(控訴機關與審判機關絕對分離)之情形。又法院審查聲請交付審判案件時,依刑事訴訟法第258 之3 條第3 項規定「得為必要之調查」,其調查證據之範圍,自應以偵查中曾顯現之證據為限;而同法第260 條對於不起訴處分已確定或緩起訴處分期滿未經撤銷因發現新事實新證據者得再行起訴之規定,其立法理由說明該條所謂不起訴處分已確定者,包括「聲請法院交付審判復經駁回者」之情形在內,是前述「得為必要之調查」,其調查證據範圍,更應以偵查中曾顯現之證據為限,不得就告訴人新提出之證據再為調查,亦不得蒐集偵查卷以外之證據,否則,將與刑事訴訟法第260 條之再行起訴規定,混淆不清,亦將使法院兼任檢察官而有回復「糾問制度」之虞;且法院裁定交付審判,即如同檢察官提起公訴使案件進入審判程序,是法院裁定交付審判之前提,必須偵查卷內所存證據已符合刑事訴訟法第251 條第1 項規定「足認被告有犯罪嫌疑」檢察官應提起公訴之情形,亦即該案件已經跨越起訴門檻,否則,縱或法院對於檢察官所認定之基礎事實有不同判斷,但如該案件仍須另行蒐證偵查始能判斷應否交付審判者,因交付審判審查制度並無如同再議救濟制度得為發回原檢察官續行偵查之設計,法院仍應依同法第258 條之3 第2 項前段規定,以聲請無理由裁定駁回。
四、復按犯罪事實應依證據認定之,無證據不得認定犯罪事實,刑事訴訟法第154 條第2 項定有明文。又事實之認定,應憑證據,如未能發現相當證據,或證據不足以證明,自不能以推測或擬制之方法,為裁判基礎,最高法院40年台上字第86號判例意旨可資參照。而告訴人之告訴,係以使被告受刑事訴追為目的,是其陳述是否與事實相符,仍應調查其他證據以資審認,亦有最高法院52年台上字第1300號判例可資參照。是以,犯罪事實之成立除有被害人之指述外,仍應調查其他證據以資審認;若無積極證據可得認定犯罪事實,則應為有利於被告之認定。
五、聲請人聲請交付審判意旨略以:
㈠基於訴訟權之憲法基本權利保障,再議駁回處分以聲請人原於102 年4 月間以分公司名義對被告提出告訴,復於103 年2 月改以聲請人名義為告訴人並另檢附委任狀,已逾法定6個月之告訴期間而駁回再議聲請,實有商榷之處:
⒈分公司雖不具法律上獨立之人格,然與是否具備訴訟上之當事人能力而提出告訴無涉:民事訴訟法早已就非法人團體肯認其當事人能力,而不全取決法人格之備否,此不但有助於權利之保障,實務上操作亦無困難。至於刑事訴訟法上所謂告訴人,似亦無拘泥人格具備否之法律上純粹概念操作之必要,故於程序事項且本質不相衝突之範圍內,應可適度類推或放寬適用不具法人格之團體得為行使告訴。
⒉分公司與母公司於實體上本屬同一法人格,以分公司名義提出之告訴既業經原檢察官通知補正,不啻已視為聲請人之告訴自始已為合法,若僅以形式觀之而作成駁回再議之處分,顯已該當以程序害實體之訴訟權侵害並有違聲請人依原檢察官通知補正之信賴保護。
㈡聲請人之告訴自始為合法,而原不起訴處分就被告所犯刑法第358 條入侵他人電腦罪之客觀構成要件解釋及行為認定恐有違誤:
⒈被告雖以合法方式登入聲請人所經營架設之古典音樂網站,然非等同已合法登入該網站資料庫,網站資料庫之登入機制亦應受刑法第358 條之保障,二者不應混淆。且參諸刑法第358 條立法理由,本條入侵電腦系統之行為態樣除盜用他人帳號密碼外,尚包含利用電腦系統漏洞以達入侵他人電腦之行為,所謂「入侵他人電腦」並非一旦合法登入後即無從發生,尚須視使用者被賦予之權限範圍即被入侵之電腦系統客體而認定。
⒉被告之犯罪行為係輸入SQL-Injection 相關字串而入侵該網站資料庫,而非合法輸入臉書帳號登入網站,原不起訴書於犯罪行為之認定上亦有誤認。被告於合法登入後長達1 小時期間內,不斷於首頁上方「Search欄位」及「會員基本資料顯示名稱欄位」輸入SQL 指令,最終遂行侵入網站資料庫並刪除、變更其內之眾多會員資料,此行為係符合「利用電腦系統之漏洞」而入侵網站「資料庫」之構成要件。
㈢原不起訴處分書就被告先後二次刪除、變更網站資料庫內之行為,於先行為認不具備刑法第359 條之故意,於後行為認未造成法益侵害,均恐有違誤:
⒈衡諸被告第一次警詢筆錄所言以及於該網站輸入指令之時間、次數、頻率等,其對於輸入「Ray Shin’--‘」字串將造成入侵網站資料庫,以及變更資料庫內之資料實有認知(或已可預期將發生且發生不違其本意),具備故意無疑。
⒉原不起訴處分書認被告第二次輸入「’--‘」字串並造成系爭網站資料庫之資料再次遭刪除、變更,已無新增之損害而無損害結果之發生,應係誤認本條文所保障之法益類型,亦即,本條之保護法益除個人法益外,應兼及資訊使用之社會安全法益考量,即被告前後二次行為不僅造成1 萬2 千筆會員資料均遭竄改外,同時間亦造成會員無法登入網站之情形,且自第三人角度以觀,前後資料遭竄改所體現之外觀效果,於會員暱稱顯示上係由Ray Shih再行變更為「空白」,已足生大眾對於電腦使用上之資訊安全疑慮與破壞。
㈣原不起訴處分書內引證人翁浩正之證言,恐與證人原意不符而有所誤認:
⒈證人翁浩正證述「被告係該網站的會員,以自己的帳號、密碼登入,係屬該資料庫合法授權登入之情形」,其意僅表示被告係合法登入網站,而非承認被告已合法登入資料庫。
⒉被告輸入諸多SQL 指令時已具有特定之目的,不同SQL 指令之輸入僅屬嘗試方法之不同,縱若「RayShin ’--‘」指令並非被告百分之百確定可造成網站資料庫之資料變更之方式,惟此結果發生仍屬被告可得預見之範圍無疑。
㈤綜上所述,聲請人就再議駁回處分及原不起訴處分所提出之爭執均於偵查卷內所可得,且所存之證據已達刑事訴訟法第251 條第1 項所謂「足認被告有犯罪嫌疑」之程度,而跨越起訴門檻而卻未經檢察官提起公訴,為此依法於法定期間聲請交付審判等語。
七、經查:
㈠按告訴乃論之罪,以有告訴權人提出合法告訴為訴追之條件,若未經合法告訴而逕行起訴,其訴追條件尚未具備,法院不應予以受理。又告訴應向有偵查權之檢察官或司法警察官為之,被害人對於告訴乃論之罪未向檢察官或司法警察官告訴,在法院審理中,縱可補為告訴,仍應向檢察官或司法警察官為之,始得謂為合法告訴,然後再由檢察官或司法警察官將告訴狀或言詞告訴之筆錄補送法院,以為補正,最高法院87年度台上字第3923號判決要旨同此見解,亦即,告訴係得補正之訴追條件,惟其補正應向有偵查權之檢察官或偵查輔助機關之司法警察(官)為之。本件於102 年3 月14日提起告訴時係以「英屬維京群島商希幔數位有限公司台灣分公司」名義為之,嗣檢察官以公司登記資料查詢名稱係「英屬維京群島商希幔數位有限公司」為由命告訴人補正,經書記官於103 年2 月26日以電話通知補正,聲請人隨即於同年3月4 日補正告訴人名義為「英屬維京群島商希幔數位有限公司」並檢附外國公司認許事項變更表、委任狀,有刑事告訴狀、公司及分公司基本資料查詢、臺灣士林地方法院檢察署辦案公務電話紀錄表、刑事陳報狀㈢暨所附外國公司認許事項變更表、委任狀等在卷可稽(見他字卷一第6 至9 頁、偵查卷一第270 、273 至278 頁),核該公司於提起告訴及補正告訴人名義時,其代表人及公司所在地均相同,足徵實際從事訴訟活動者為同一,是認其告訴條件之欠缺業已補正,聲請人於102 年3 月14日就被告涉嫌於102 年3 月2 日犯刑法第358 條無故侵入電腦罪嫌、第359 條無故刪改電磁紀錄罪嫌等向內政部警政署刑事警察局提起告訴,並未逾越6 個月之告訴期間,合先敘明。
㈡一般所見網路瀏覽、網站登入等網路使用型態,可約略區分為前端之使用者介面與後端之資料庫介面,而所謂「SQL (Structured Query Language 結構化查詢語言)」係用以建立、執行、修改、更新資料庫之電腦語法,藉由妥當地使用,而得以便利、迅速地處理資料庫內龐大的訊息,舉例而言,一般使用者於登入某網站時,在前端之使用者介面輸入自己所有之帳號、密碼,即可透過資料庫內之系統運算及程式執行,與存檔於該網站後端資料庫內之原有登記帳號、密碼為核對,進行身分驗證通過後,而得以登入該網站瀏覽使用。至所謂「SQL Injection (SQL 資料隱碼攻擊或SQL 注入攻擊)」係利用資料庫SQL 語法上之設計漏洞,藉由在使用者介面輸入特殊字元(在輸入的字串中夾帶SQL 指令),改變電腦語法上之邏輯,使該夾帶進去之指令遭資料庫伺服器或系統自行運算誤認為係正常之SQL 指令而執行,藉以躲避身分驗證甚至取得資料庫管理者之權限,而得以對資料庫中之資料,進行刪存、修改或破壞等行為。由此可知,避免SQL 資料隱碼攻擊最簡單有效之手段為,在使用者介面過濾使用者所輸入之特殊字元(即過濾輸入值);由此亦可知,在使用者介面端所為指令輸入,無論是否為特殊字元,在後端資料庫內皆必引起連鎖之回饋反應(例如輸入一般帳號密碼,後端資料庫回饋者為身分驗證通過;輸入特殊字元,則可能使後端資料庫產生變化),自不存在所謂「授權在使用者介面端合法使用不等於授權在後端資料庫使用」之問題。本件被告在聲請人所經營之MUZIKONLINE 網站以FaceBook(臉書)套件功能輸入自己之帳號密碼登入會員後,前往會員中心頁面之基本資料欄位下「顯示名稱」處,輸入「RayShih'--' 」字串並儲存後,經由網頁呼叫ajax_mo.php 程式自動執行後,修改會員資料,導致討論區中所有會員使用者名稱變更為「RayShih 」,而後被告復以相同方式,在該「顯示名稱」處再次輸入「'--'」字串並加以儲存,再次導致討論區中會員資料顯示為空白,此有刑事警察局SQLinjection手法重建過程資料可稽(見他字卷一第77至89頁),該前後兩次刪除變更電磁紀錄之行為,皆係被告於前端之使用者介面中輸入特殊字元,經由資料庫內之系統運算及程式(ajax_mo.php )自動執行所致,此行為與一般使用者於該「顯示名稱」處輸入正常字元後,其會員名稱即藉由資料庫自行運算變更為所輸入之字元,二者並無不同,聲請意旨謂被告以合法方式登入該網站,非等同已合法登入網站資料庫部分,容有誤會。且遍尋卷內所存證據,均無法證明被告有以何方法取得該資料庫管理者之帳號密碼或權限並使用之,亦無法證明被告於輸入上開指令前明知該網站資料庫之程式設計並未過濾該特殊字元等情。聲請意旨指摘被告「利用電腦系統之漏洞,而入侵他人之電腦或其相關設備」部分,亦不足採。
㈢聲請人雖指衡諸被告輸入指令之時間、次數、頻率等足徵被告對於輸入「Ray Shin’--‘」字串將造成入侵網站資料庫,以及變更資料庫內之資料實有認知而具備犯罪之故意,惟證人即負責本件鑑識之刑事警察局刑事研究發展室人員林俊賢於偵查中證稱:被告第一次無法預見輸入RayShih'--' 會導致所有的會員資料暱稱變更;(問:一般如果在SQL INJECTION 漏洞測試,是否採用跟被告相同方式測試?)被告所使用方法是最基本,另外也可以用工具做測試,安全資安工具測試比較不會對資料庫有影響,只是會顯示網頁的漏洞;(問:如果網頁沒有問題的話,以被告的方式測試是否會造成資料庫的電子紀錄被變更?)網頁如果設計好就不會;因為被告手工測試的時間很久,至少有1 個小時以上的手動輸入,顯示被告一定要找到該網站的漏洞等語(見偵查卷一第264 、265 頁);且依上述,被告係先以自己之帳號、密碼登入上開網站會員中心頁面後,進而為前揭行為,是若被告確係故意為刪除變更資料庫內容之行為,衡情應會試圖隱匿個人資料,避免遭查知發覺,其竟以自己帳號、密碼進入會員中心頁面,則被告辯稱伊當時只是認為輸入〔--〕是一般的檢測方法,當時不知道會在修改個人帳號時,會變成修改所有會員之帳號等語(見偵查卷一第301 頁),非不可採信。至於聲請人代表人孫家璁陳稱:如果被告的行為只是檢驗網站,知道有漏洞,應該要通知網站,但被告都沒有知會我們,所以我們不認為這是檢驗等語(見偵查卷一第157 頁),然被告與聲請人並無何權利義務關係,如何苛責被告於知悉聲請人所經營網站有漏洞後,應通知聲請人,並以被告未通知聲請人為由而遽以否認其辯稱僅是在做測試之詞不實。此外,亦無證據證明被告對於會員資料遭變更之結果有所預見,而此結果之發生不違背其本意。從而,聲請意旨指被告有無故刪除或變更他人電腦或其相關設備之電磁紀錄之犯罪構成要件故意云云,尚屬率斷。
㈣至於被告於第一次輸入「Ray Shih'--'」特殊字元導致該網站所有會員暱稱變更為Ray Shih後再次輸入「'--'」字串導致會員名稱顯示為空白部分,係自102 年3 月22日22時45分30秒起至同日22時56分32秒止(見他字卷一第22頁),其前後兩次行為於時間上相當密接,自該網站其他使用者而論,於發現所有會員暱稱顯示為Ray Shih時,即已知該網站發生異常,而若旋即發現其暱稱復變更為空白,此時並不能排除該網站使用者認為係網站管理者正在進行維護或修復之可能;況被告第一次刪除變更電磁紀錄之際,既已造成聲請人網站會員資料滅失變更之損害,並無證據證明被告第一次刪除主觀上有刪除變更電磁紀錄,而得以刑法第359 條之罪相繩,已據原不起訴處分書論述甚詳,則被告隨即所為第二次刪除變更會員顯示名稱電磁紀錄為空白,亦尚難認對告訴人、會員或其他公眾、他人有何新增之損害。從而,聲請意旨認於會員暱稱顯示上由RayShih 再行變更為「空白」亦足生大眾對於電腦使用上之資訊安全疑慮與破壞云云,亦無所憑。
八、綜上所述,臺灣士林地方法院檢察署檢察官於偵查後,以102 年度偵字第7689號為不起訴處分,聲請人不服,聲請再議,經臺灣高等法院檢察署以103 年度上聲議字第6346號案件審查後為駁回再議之處分,對照卷內資料,於法並無違誤。從而,聲請人指摘本件不起訴及駁回再議之處分違法不當,聲請對被告之妨害電腦使用罪嫌交付審判,並無理由,應予駁回。
九、依刑事訴訟法第258 條之3 第2 項前段,裁定如主文。
刑事第五庭審判長法 官 江翠萍