臺灣高等法院110年度上訴字第529號
關鍵資訊
- 裁判案由妨害電腦使用
- 案件類型刑事
- 審判法院臺灣高等法院
- 裁判日期110 年 12 月 09 日
- 當事人詹逸鈞
臺灣高等法院刑事判決 110年度上訴字第529號 上 訴 人 即 被 告 詹逸鈞 選任辯護人 李權儒律師 陳心慧律師 劉上銘律師 上列上訴人即被告因妨害電腦使用案件,不服臺灣臺北地方法院108年度訴字第856號,中華民國109年12月23日第一審判決(起 訴案號:臺灣臺北地方檢察署108年度偵字第6981號),提起上 訴,本院判決如下: 主 文 原判決撤銷。 甲○○犯無故刪除他人電腦相關設備之電磁紀錄罪,處有期徒刑伍 月,如易科罰金以新臺幣壹仟元折算壹日。 事 實 一、甲○○於民國105年3月30日起至106年9月30日,任職於喬美國 際網路股份有限公司(下稱喬美公司),擔任JAVA技術經理,負責該公司所經營TFE臺灣資金交易所網站(該網站係儲 存於AWS亞馬遜臺灣代理商銓鍇國際股份有限公司雲端服務 ,下稱本案網站)前台及後台之程式開發,並取得本案網站得以PROBE方式透過外部網際網路直接登入、且具有刪改該 本案網站資料庫權限之外掛帳號、密碼(下稱本案外掛帳密)等資訊。詎其離職後,竟以本案外掛帳密基於無故刪除他人電腦相關設備之電磁紀錄之犯意,於107年3月25日下午1 時許,在臺北市○○區○○路0段000號11樓財團法人資訊工業策 進會(下稱資策會)數位教育研究所,以所內電腦設備連結網際網路後,以PROBE方式透過外部網際網路直接登入本案 網站,無故刪除本案網站客戶帳戶資料之電磁紀錄,致生損害於喬美公司對本案網站之管理運作。 二、案經喬美公司訴由臺北市政府警察局南港分局報告臺灣士林地方檢察署呈請臺灣高等檢察署檢察長轉令臺灣臺北地方檢察署(下稱臺北地檢署)檢察官偵查起訴。 理 由 壹、程序事項 一、按被告以外之人於審判外之言詞或書面陳述,除法律有規定者外,不得作為證據;被告以外之人於檢察事務官、司法警察官或司法警察調查中所為之陳述,與審判中不符時,其先前之陳述具有較可信之特別情況,且為證明犯罪事實存否所必要者,得為證據,刑事訴訟法第159條第1項、第159條之2分別定有明文。查證人林韋呈信件1份,性質上為被告以外 之人於審判外之書面陳述,除法律有規定外,不得作為證據,既經辯護人提出爭執(原審108年度審訴字第849號卷〈下稱原審審訴卷〉第59頁),又未經檢察官證明其陳述具有何「特信性」及「必要性」,自無符合法律所規定之例外情形,應認無證據能力。 二、按除刑事訴訟法第159條之1至第159條之3之情形外,下列文書亦得為證據:一、除顯有不可信之情況外,公務員職務上製作之紀錄文書、證明文書。二、除顯有不可信之情況外,從事業務之人於業務上或通常業務過程所須製作之紀錄文書、證明文書。三、除前二款之情形外,其他於可信之特別情況下所製作之文書,同法第159條之4定有明文。次按在紙上或物品上之文字、符號、圖畫、照像,依習慣或特約,足以為表示其用意之證明者,關於本章及本章以外各罪,以文書論。錄音、錄影或電磁紀錄,藉機器或電腦之處理所顯示之聲音、影像或符號,足以為表示其用意之證明者,亦同,刑法第220條亦有明文。是電磁紀錄藉由電腦之處理所顯示之 符號,足以為表示其用意之證明,又具備刑事訴訟法第159 條之4所定情形者,為傳聞法則之例外,而得為證據。另按 刑事訴訟法第159條之4對於具有高度特別可信之文書如公務、業務文書等,在兼具公示性、例行性或機械性、良心性及制裁性等原則下,雖屬傳聞證據,例外容許作為證據使用。因此,採取容許特信性文書作為證據,應注意該文書之製作,是否係於例行性的公務或業務過程中,基於觀察或發現而當場或即時記載之特徵(最高法院102年度台上字第1709號 判決意旨參照)。次按上述規定,是從事業務在業務上或通常業務過程所製作之紀錄文書、證明文書,因有「不間斷、有規律而準確之記載」、「無預見日後可能會被提供作為證據之偽造動機」,其虛偽之可能性小,因此其亦具有一定程度之不可代替性,除非顯不可採,否則有承認其為證據之必要(最高法院104年度台上字第2171號判決意旨參照)。而 合於刑事訴訟法第159條之4特信性文書之種類,除列舉於該條第1款、第2款之公文書及業務文書外,於第3款作概括性 之規定,以補列舉之不足。該條第3款規定之其他具有可信 性文書,乃指與前述公文書及業務文書同具有高度之信用性及必要性,於符合「可信之特別情況下所製作」之要件,亦賦予其證據能力,而容許作為證據使用(最高法院109年度 台上字第5513號判決意旨參照)。經查,本案網站於107年3月25日之原始log紀錄,係以電腦之作業予以記錄,均係就 客觀上所發生之事實予以整理記錄,其誤差之機會極少,且觀之上開原始log紀錄,乃按時間排序、有規律、不間斷之 連續紀錄,用以紀錄所有進入前台系統的路徑位置,從而明瞭本案網站之登入情形,乃基於經營管理需要而為日常性之記載,堪認上開資料之取得過程並未經偽造或變造,另依證人乙○○於本院審理時證稱:銓鍇公司有權利在當時從AWS上 拿到完整的LOG的資料檔,當初應該也有提供給南港警察局 ,擷取出來的只是跟PROBE系統靠近這個事件時間點的需要 資料,排除很多客戶使用者跟駭客無關的資料,因為當時不是只有這個事件,不可能把其他User、不相干的雜訊全部放在一起影響判讀,銓鍇公司當時擷取的資料對於本案而言是完整的等語(本院卷第252至254頁)可知,銓鍇公司僅擷取107年3月25日之部分原始log紀錄係為精準判讀本案事件, 並參以負責分析之銓鍇公司與被告甲○○(下稱被告)並不相 識,顯無宿怨,銓鍇公司應無故意製造虛偽電腦資料誣陷被告之動機,自始欠缺不實登載之動機,其不實之可能性甚小,且與本案待證事實具有相當之關連性,認具有可信之特別情況,合於刑事訴訟法第159條之4第3款所規定概括容許之 紀錄文書,應具有證據能力。被告之選任辯護人於本院審理程序中,主張本案網站於107年3月25日之原始log紀錄文件 ,應屬其等被告以外之人於審判外所為陳述,無證據能力等語(本院卷第266頁),揆諸前揭說明,自屬無據,難認可 採。 三、按被告以外之人於審判外之陳述,雖不符刑事訴訟法第159 條之1至159條之4之規定,而經當事人於審判程序同意做為 證據,法院審酌該言詞陳述或書面陳述做成時之情況,認為適當者,亦得為證據;又當事人、代理人或辯護人於法院調查證據時,知有刑事訴訟法第159條第1項不得為證據之情形,而未於言詞辯論終結前聲明異議者,視為有前項之同意,刑事訴訟法第159條之5定有明文。經查,檢察官、被告及其辯護人於本院審判程序時除上開所述外均未對證據能力有所爭執(本院卷第234至242頁),供述證據部分視為同意作為證據,本院審酌各該證據做成或取得時狀況,並無顯不可信或違法取得等情況,且經本院依法踐行證據調查程序並認為適當,而有證據能力;其餘資以認定本案犯罪事實之非供述證據,亦查無違反法定程序取得之情形,依刑事訴訟法第158條之4之反面解釋,亦有證據能力。 貳、實體事項 一、認定犯罪事實所憑之證據及理由 訊據被告固坦承曾於前揭時期任職於喬美公司,擔任JAVA技術經理,負責該公司所經營本案網站之程式開發,並取得本案網站得以PROBE方式以本案外掛帳密透過網際網路進入本 案網站等資訊,且107年3月25日下午1時其身在資策會並使 用電腦設備等情,惟矢口否認有何無故刪除電磁紀錄之犯行,辯稱:本案網站資料庫僅能由喬美公司內部網路存取,伊不知道是否得以PROBE方式以本案外掛帳密由一般外部之網 際網路存取本案網站,且伊前曾使用本案網站投標,案發當日僅有以一般使用者身分之帳號密碼(下稱被告帳密)登入本案網站觀看投標資料,但未使用本案外掛帳密進入本案網站的後台資料庫,也未有更改本案網站資料庫等妨害本案網站正常運作之行為,伊並無任何妨害電腦使用之犯行云云。辯護人則以: ㈠107年3月25日發生駭客入侵事件,自始至終告訴人僅提供部分LOG紀錄,而無提供完整LOG紀錄,是對照被告剛好在資策會出席的時間,僅提供1點3分到1點31分之間時間做為證據 ,證據顯然不完整,本件案件對被告權益侵害重大,卻從未見喬美公司將LOG紀錄進行相關公證程序,而僅以銓鍇公司 到喬美公司擷取LOG紀錄,此LOG紀錄也如喬美公司及銓鍇公司證人所證稱「它不是一個唯讀檔案,如果有資料的更動修正或是紀錄的篡改,都會有檢查碼」,但至今亦無見喬美公司抑或銓鍇公司將檢查碼提供予被告,被告無從確認LOG紀 錄是否有經過竄改,而且是屬於完整的紀錄,顯然有舉證能力不足及證明力的問題。 ㈡資策會網路為半開放式網路,使用者廣泛,資策會當時的IP位址亦僅能特定在資策會,完全無法確定是由何人、何特定身分人員使用電腦,亦無法排除是否有可能是其他的喬美公司員工,甚至是委外廠商或是任何第三人,透過跳板使用資策會電腦,而侵入喬美公司電腦,況如先前書狀所載及證人證稱「喬美公司的員工及委外廠商都有資料庫的帳號、密碼,因此很有可能是有其他的喬美公司員工及委外廠商,以跳板的方式進入資策會,意圖去嫁禍給被告,再者資策會到底是以哪台電腦有駭客入侵的情勢無法特定,資策會的電腦紀錄都已經被洗掉,因此犯案的電腦主機操作的方式根本無從進行驗證,只是被告剛好在資策會進行上課的時段是重疊的」,做了犯案的臆測。 ㈢被告表示其從未取得修改或是刪改資料庫的權限,當時的PRO BE系統是可以去修改能否登入資料庫制止的權限,而喬美公司的PROBE系統是完全無法修改資料庫的,此部分從證人林 韋呈與證人周彥廷證詞裡面可以得知,如喬美公司的IT人員均不知道此方式,又如何被告可以走無人知曉的方式去侵入手段,顯然不可能,顯然是臆測的方式去將被告定罪。 ㈣檢視檢方起訴證據,確實有被入侵的事實,且有一個IP,而此IP位址剛好是被告在資策會上課,但並無直接的證據證明被告有所為,亦包含原本被告工作的內容有無帳號、密碼,還有之前的權限所在,但是透過證人證詞解釋,其實PROBE 在他們原本的認知沒辦法做修改,HTTP是通訊協定,有一個共同的平台與共同使用的協議,如果密碼錯誤或是沒辦法驅動,可以去整理相關的資料,回來數值是200,但是證人陳 述200是正確的,但不管是我們提供的玉山銀行或新光銀行 ,在輸入錯誤密碼的狀況之下都是失敗,所以協議的部分跟證人陳述內容明顯不符。 ㈤今天如果要去做「修改動作」,我們應該有「犯罪動機」,一來被告也有在本案網站標會,二來從那些修改的資料裡面,如果今天要修改,應該會把修改的資料錢變多,並持續做一些更動,但修改動作跟被告的資金都沒有關係。另檢方提到之前有做過檢驗的報告,認定喬美公司的網站有缺漏,容易受駭客侵入。在喬美公司的資料一直被竄改,資料有問題,一直被會員反映,不是今天被指控犯罪當天才發生,是一連串的,且都是被人家抱怨說為何他們的資金資料、資金的數字都一直有錯誤,所以喬美公司找外部的第三單位去做檢測,發現說他們的網站系統確實有很多的疏失,所以在有很多的數字之下,不能單憑被告曾經擁有PROBE帳密系統,認 定資料有錯誤的疏失均是由被告所有。在告訴人提出資料裡,從下午1點3分到31分,在短短的時間裡面,他們指述說有7000多筆的資料經過竄改,假設是告訴人在資策會工作,在30分鐘之內要去做7000筆的狀態,一個人要去做這些事情,在客觀上也是有難度的等語為被告置辯。經查: ⒈被告於105年3月30日起至106年9月30日,任職於喬美公司,擔任JAVA技術經理,負責本案網站前台及後台之程式開發,並取得本案網站得以PROBE方式透過外部網際網路登入之外 掛帳密,且被告有於107年3月25日上午、下午在資策會參加網站技術架構之課程並使用電腦設備連結網路,業經被告坦認在案(原審卷一第37頁、原審卷二第443頁、本院卷第243頁),核與證人林韋呈於原審審理中之證述相符(原審卷二第58、59、61頁),並有被告離職證明書、資策會數位教育研究所學員簽到表、被告人事資料表在卷可佐(108年度偵 字第6981號偵查卷〈下稱偵6981卷〉第17、51頁、107年度偵 字第13904號偵查卷〈下稱偵13904卷〉第116頁),是本案案 發時,被告確握有得以PROBE方式登入本案網站及外掛帳密 ,且於107年3月25日下午在資策會上課並使用電腦設備之事實,應堪認定。 ⒉證人林韋呈於原審審理中證稱:被告在喬美公司任職時是管理開發團隊,我和被告都是開發團隊的成員,開發團隊的工作就是把文件內容實體化,作成系統,被告自喬美公司離職之後,就由我承接被告的職務,本案網站交易平台系統分成前台、後台,後台的話只有經由公司內部內網才可以進入,並需要喬美公司之帳號、密碼,喬美公司的一般員工和開發團隊都可以進入後台,只是開發團隊與一般員工使用的權限不同;本案是因為有會員反應本案網站帳戶資料有異常,帳戶提領、存入款項之資料順序有差異,我們檢查前台log的 紀錄,確認所有進入前台系統的路徑位置,才發現本案網站的前台路徑有2種,第1種是一般會員可以登入使用之路徑,也就是可以透過google搜尋到的網址就可以進入的路徑,另外1種則是外掛路徑,是以在瀏覽頁網址的框框裡更改網址 的內容就可以進入本案網站之外掛路徑,這個外掛路徑主要是用來監控前台系統狀況及查察問題所使用的,進到這個外掛路徑需要本案外掛帳密,也就是透過PROBE的服務,這個 外掛在被告離職之前就已經存在,主要一開始就是開發團隊用來確認系統的問題,本案外掛帳密是開發團隊的全部人都有的,案發當時卻有人透過資策會的IP位址以外掛路徑進入本案網站;被告在職時我不知道有本案外掛帳密存在,被告離職時也未就該本案外掛帳密辦理交接,在被告離職之後,我經由開發團隊的其他人告知才知道這組本案外掛帳密存在,案發前喬美公司未曾更改該外掛路徑,也未變更本案外掛帳密,因為喬美公司原先並不知道本案外掛帳密的權限係能瀏覽、刪除本案網站資料庫,是本案發生後,喬美公司自行測試才知道;該外掛服務的路徑是由開發團隊建置的,且那名透過該IP位址進入本案網站之人,就本案網站資料庫的操作,並沒有任何嘗試的行為,因為本案網站資料庫有特定的命名規則,這個命名規則是由開發團隊定義的,包含資料內容架構也是,所以透過上開入侵者的入侵過程,我們認為該人對於本案網站有一定的熟悉,喬美公司是透過查詢案發當日log紀錄之後,確認當日本案網站資料庫的資料異常,是 遭到從該前台外掛路徑進入者所為等語(原審卷二第50至55、59、61、63、65、68頁),佐以本案網站錯帳狀況之列印資料、銓鍇公司即本案網站資料庫之Amazon Web Services (AWS)服務提供者出具之分析報告(偵13904卷第31至100 頁、偵6981卷第39至49頁),可知本案網站資料庫於107年3月25日下午1時許,係遭人自000.000.000.00號之IP位址, 透過PROBE方式以本案外掛帳密登入後,變更資料而導致發 生大量錯帳之情形。又000.000.000.00號之IP位址係資策會所有,該IP位址除供資策會對外開辦之培訓課程上課使用外,亦提供訪客臨時使用,此有通聯記錄查詢系統查詢結果、資策會107年7月19日(107)資數字第1071002530號函附卷 可佐(偵13904卷第109、113頁)。足見本案網站資料庫並 非僅能由喬美公司內部網路存取云云,喬美公司縱未提出全部log紀錄,被告並非當然無刪改資料庫之權限,喬美公司 當日確受刪改之客戶資料及損失金額,亦堪認定。 ⒊次查,所謂IP位址(IP Address),係網際網路協定位址(I nternet Protocol Address)之縮寫,是分配給網路上使用網際協定(Internet Protocol,IP)每1台計算機裝置的數 字地址。IP位址由32位元二進位組成,為了便於使用,通常以「XXX.XXX.XXX.XXX」4組數字形式表現,每組「XXX」代 表小於或等於255的10進位數。IP位址又分為「固定(靜態 )IP位址」和「動態(浮動)IP位址」,固定IP位址是長期固定分配給1台計算機使用的IP,一般是特殊的伺服器才擁 有固定IP位址。通常電話撥號上網或普通寬頻上網用戶不具有固定IP位址,而是由計算機系統自動分配動態IP位址。依前所述,本案網站於案發時遭到他人擅自透過前台外掛PROBE之方式,以本案外掛帳密登入入侵、干擾破壞及干擾電腦 系統或電磁紀錄,對應喬美公司遭受入侵、干擾之時間,該登入喬美公司網頁之IP位址為000.000.000.00號,再經調取該IP位址於案發時段之通聯情形,是由資策會使用,堪認本案登入本案網站進行資料庫竄改之行為,係於資策會上網所為。再參以被告於該時段身處於資策會,另被告於原審審理中亦陳稱:我當日上課並無其他喬美公司之現任員工或前員工一起去等語(原審卷二第453頁),綜合上情以觀,本件 犯行確係被告所為,殊無疑義。 ⒋另IP位址固然可透過特定方式加以修改,有心人士確有方法可經修改IP位址以隱蔽身分,然而,本件之偵辦追查方式,係透過喬美公司網頁遭他人入侵、干擾之時間,追查登入喬美公司網頁之IP位址,已如前述,一般人無從得知資策會之IP位址為何,倘若本件行為確係他人所為,該他人修改IP位址,目的係為了隱藏自己的身分,修改IP位址之結果,理應無法對應為特定對象,豈可能刻意修改IP位址恰為被告於案發時所在之資策會IP位址,因此,本件行為自不可能是他人透過冒用資策會IP位址所為,遑論被告於原審審理中已陳稱案發當日並無其他喬美公司之現任員工或前員工一起去等語(原審卷二第453頁),難認有其他知悉本案外掛帳密之人 得在場使用資策會之IP位址連結網際網路進入本案網站,而有其他人士透過該IP位址以本案外掛帳密登入本案網站。又被告供陳於案發當日為查看自己的標會狀況,在資策會有以被告帳密登入本案網站,當日被告的標會已經是死會狀態,是為了確認餘額足夠扣款,所以才登入本案網站查詢云云(原審卷二第447至448頁),然依被告於本案網站之投標紀錄,被告於本案網站最後之得標紀錄為106年12月29日,該日 得標後帳戶餘額為3萬5445元,系統分別於107年1月27日、107年2月27日、107年3月27日三度由其帳戶餘額各扣款(即 死會還款)3000元,爾後無其他交易紀錄,其間亦無被告提領紀錄,故107年3月27日標案扣款前,被告帳戶餘額尚有2 萬9539元,有喬美公司109年2月6日函可佐(原審卷二第33 至39頁),則被告於107年3月27日標會扣款時,帳戶餘額2 萬9539元遠大於扣款金額3000元,被告實無於案發當日刻意以被告帳密登入本案網站檢查其帳戶餘額之必要,堪認被告案發當日意在入侵本案網站修改資料庫之內容,才在案發當日登入本案網站瀏覽資料,是被告所辯亦非合於常情,縱然依卷內事證,難認喬美公司與被告間有何怨懟,然此僅係被告本案之犯罪動機究竟為何之判斷,而不影響被告確有於案發當日入侵本案網站資料庫竄改資料之事實認定。 ⒌證人林秀玲於原審審理中證稱:我是大學印刷傳播系,並無電腦資訊相關的證照或資格,我認為開發團隊成員不能修改本案網站資料庫,但是他們實際上有無權限我不清楚,我也沒聽說本案網站資料庫可以從公司內網以外的網路進入,亦不知道前台有PROBE外掛系統等語(原審卷二第220、223、228頁),顯然證人林秀玲並非開發團隊成員,亦無電腦資訊方面之專業,並無判斷喬美公司資訊人員是否有修改資料庫權限之能力,甚至證人林秀玲亦不清楚本案入侵者所使用之外掛路徑,故證人林秀玲之證詞尚不足對被告為有利之認定。又證人林秀玲於原審審理中證稱:我任職期間為106年2月到106年8月為止,期間會處理錯帳的問題,每週都會查,但處理錯帳的情形不像是駭客所為,因為算是很零星,不是大量的錯帳等語(原審卷二第216、218、229頁),佐以本案 網站錯帳狀況之列印資料記載,可知本案因入侵者竄改本案網站資料庫,造成錯帳短少筆數為2051筆,超出筆數為1365筆(偵13904卷第31至100頁),屬於大量錯帳之情形,故關於本案發生大量錯帳之情形,與證人林秀玲任職期間曾處理之零星錯帳情形不同,且本案發生於證人林秀玲離職後,證人林秀玲關於本案網站錯帳並非導因於外部入侵之證詞,顯與本案無關。另證人林韋呈於原審審理中證稱:本案網站資料異常狀況,並非在案發當日才有發生,是在案發當日1個 月前有發現,但原先因為LOG紀錄不完全,所以無法確認是 系統自身異常還是遭到入侵,所以最後才會查詢LOG紀錄, 確認案發當日的IP位址是資策會等語(原審卷二第63、64頁),可知依證人林韋呈之證述,得證明案發當日本案網站資料庫發生錯帳情形,係因外部入侵所致,而非系統自身的異常,上開證言亦不足為被告有利之證據。 ⒍又本案網站係標會型網路借貸平台,並非大型或知名企業網站,而本案網站資料庫命名名稱為:「會員資料主檔」、「會員明細資料表」、「帳號群組」、「帳號群組成員」等名稱,有喬美公司109年6月18日美字第10906180001號函在卷 可參(見原審卷二第241至247頁),顯然一般人尚難由該資料庫命名,一望即知關於交易金額紀錄存放之位置,倘非知悉本案網站功能之內部人士,如何能登入本案網站資料庫,且直接尋找到其中關於帳戶金額之檔案進行竄改,故本案顯係知悉本案網站資料庫之內部人士所為,當可排除任何人均可輕易發現欲竄改之目標之可能性。另臺灣檢驗科技股份公司就喬美公司ISO資訊管理之安全稽核發現之缺失(原審卷 二第179至185頁),縱未言及證人林韋呈所證稱之PROBE外 掛路徑及本案外掛帳密,然臺灣檢驗科技股份公司並非本案網站之內部開發人員,僅能透過常規稽查以確認喬美公司有無資訊安全漏洞,仍不能反證該外掛路徑不存在,或本案外掛帳密並無修改本案網站資料庫之權限。甚且,由臺灣檢驗科技股份公司之定期檢查結果,臺灣檢驗科技股份公司於107年3月1日發現喬美公司重大資安疑慮,因喬美公司無法改 善,臺灣檢驗科技股份公司業已於107年6月8日註銷喬美公 司之ISO27001資訊安全管理系統證書,有臺灣檢驗科技股份公司109年5月6日檢字第109050602號函在卷可佐(原審卷二第179至185頁),足見案發當時喬美公司之資訊安全控管確實不足。又被告於原審審理中供陳:我是到職幾個月後才知道有這個外掛程式,因為當時處長交辦我一個任務,他想要監控前台運作的狀況,我當時尋找了一套外掛程式想要做監控與看log的功能,後來我才發現原來喬美公司已經有裝了 這一套,我沒有特別跟上司報告這個外掛的存在,我將我找到的外掛也裝在本案網站系統上,變成有2套監控系統等語 (原審卷二第443至445頁),可知喬美公司主管人員對於本案網站是否存在外掛,以及該外掛之功能並不知情,才會重複指派被告完成原本系統外掛就已存在的功能,堪認喬美公司主管人員對於本案網站資訊安全之掌握不足,喬美公司於案發當時之資訊安全確實存在疑慮,則證人林韋呈證述外部入侵者得透過外掛方式刪除本案網站資料庫,殊堪採信。 ⒎證人謝碧光於本院審理時證以:我是電腦與通訊通路畢業,沒有取得JAVA的證照,有資料庫的專業級認證,從事相關資訊產業工作經驗十幾年,從讀書開始就從事相關科系,高中、大學,一路工作都是從事電腦相關行業,PROBE程式與JAVA相關,我沒有使用經驗,但這不影響我的LOG判讀,我判讀DATA只是針對LOG的紀錄,PROBE是一個工具,在LOG程序上 可以看出POST,POST是一個行為,與使用任何工具沒有關係。因為使用POST可以針對POST資料去做異動、寫入,回傳LOG上有呈現一個200,表示有執行成功。我的意思是即使沒有PROBE經驗,還是可以解讀LOG的意義,因為我們是針對資料庫的服務,工具每個公司不一樣,我們提供一個基礎建設的服務,使用者用什麼工具是自己決定。HTTP的標準協定上面有很多行為,從LOG紀錄看,像GET就是看的行為,POST這個行為表示針對後端伺服器去做寫入,然後回傳數值200,表 示執行成功。至於PROBE後面的目錄裡面程式是什麼要由他 們自己公司內部的程式去看,那個程式針對後端什麼資料做修改刪除這我們不涉入,但我們從LOG看到,就是POST行為 去執行回傳200成功,表示他有進入後端資料做異動。數值200,只能判斷有做資料庫的異動,但是不知道異動什麼?資料庫只負責硬體及服務部分,因為他做了修改,須要客戶去後端資料上去確認,同一筆的行為,對後端資料,比如下了指令,要去檢查後端資料是否有異動,是否有不見。但是我們從LOG看,就是用POST執行,然後回傳200,表示執行成功,我們判讀就是這樣而已。如果想要知道異動,就是客戶要去後端伺服器看,因為執行是連貫性,執行這個指令後,會對後端造成什麼影響,這客戶自己去看,我這邊沒有辦法看到。所有的HTTP行為,HTTP是一個標準,針對POST,對後端資料做異動,GET就是看,就是一個標準。就像我要挖土, 可以用挖土機、鏟子,我們只知道挖的行為,但是用什麼工具我不干涉。因為我使用的不是JAVA,程式語言有很多,使用什麼工具不影響我判斷。不是針對單一個工具,至於裡面做了什麼在LOG上看不出來,只知道用了POST,回傳200成功,表示有寫入或是異動,至於做了什麼要請客戶去後端資料庫確認。客戶自己的資料庫,銓鍇公司不會有備份,這是客戶自己的,他們沒有跟我們簽訂託管等合約,我們只是針對資料庫提供平台的教學等,客戶怎麼使用我們不干涉,客戶自己處理,我們也沒有辦法備份。且同事到客戶那邊去稽查也是用他們的電腦,請他們當下建立帳號,在他們的環境去檢視LOG,我們沒有帳號可以在我們公司直接查詢。銓鍇公 司幫喬美公司調資料,是銓鍇公司去喬美公司,請她們當下調出來,當時我們有兩位同事去喬美公司,跟他們討論。但我不是其中一個,我不知道當時調的狀況。我不是當時下去的,當時去的工程師已經離職了,第二份報告是我寫的,POST是一個行為,在HTTP裡面一個標準的行為,已經制定好的行為,要執行什麼動作,就要執行什麼指令,這個指令是固定的,看你要做什麼讀取、刪除等,會有對應的指令。我們在LOG看到的就是POST。POST是一個指令,如果在資料庫裡 面有資料異動,刪掉資料的話,程式碼出現的不是一定的,他是從網頁做執行,我們LOG看到後面帶的程式碼,他是透 過那個程式去後端執行,所以我在前端看不到。(提示原審卷二第145頁)這是喬美公司的統一路口,這個請求,是放 在同一個負載型基底下,所以是相同的路徑,前後台使用同一站點。從LOG紀錄只能看到URL底下的路徑是執行哪個程式,或是哪個目錄底下的工具,要看喬美公司提供的服務,前台後台如果都是同一個路徑,沒有額外的網址或是其他路徑,又沒有限制的話,那就是前後台共用,差別說訪問的目錄這是提供前台,某些目錄是提供後台的,例如443之後是程 式或網頁的路徑。我們不是喬美公司人員,從這個路徑沒有辦法判斷前後台,我們只能說如果是他使用同一個,我們只能針對字面上去判讀,145頁整篇都是PROBE,前面都是POST,表示用POST這個行為在執行這個程式。銓鍇公司內部不會保留喬美公司的LOG紀錄,我們沒有重複抄錄喬美公司LOG紀錄,就是當時派人去,從他們那邊,根據他們的敘述,去過濾需要的資訊回來做報告,完整的LOG在喬美公司那邊。每 次喬美公司聲請LOG紀錄時,都是銓鍇公司的人去喬美公司 抄錄。我不知道喬美公司前台外掛系統PROBE怎麼操作。這 個環境不是我們負責,LOG上沒有顯示相關帳號密碼。無法 看出駭客用什麼帳號密碼登入資料庫做修改,就是單純HTTP的行為去做判讀。從LOG紀錄裡面他是透過程式去做後端資 料異動,所以相關異動的功能會寫在程式裡面,透過程式去執行,這個我們看不到。登入、登出要在他們後台使用者資料庫裡面才會顯示留下LOG紀錄,後面有相關登入登出紀錄 ,在我們LOG判讀上,不會顯示相關使用者的登入登出資訊 。LOG紀錄包含前台、後台路徑,如果喬美公司針對使用者 登入登出有將紀錄寫入儲存的話會有,但是我不知道他們有沒有做,這要問喬美公司,這是屬於使用者開發程式的階段,不在我們的服務裡面。剛剛提示的證物中,第一筆SQL/RECORDSET.AJAX,代表他們程式語言的檔案,每個程式語言有不同的副檔名,這是屬於他們的程式名稱。不能解釋代表什麼指令,這個名稱是可以更換,或是也可以取跟內容不一樣的名稱,我們不能看到這個名稱,就知道他內部的程式在做什麼,他只是檔名。LOG紀錄裡面最後一筆APP/EXPIRE_LIST.HTM,代表檔名,我們不知道裡面寫了什麼。只知道他使用POST執行這個檔。做什麼事情,要他們後端工程師,或是知道這個程式是在做什麼的。它就是放在那個目錄底下,我們從LOG紀錄上看,就是執行檔案,至於後端呈現什麼反映, 要請喬美公司去查後面的資料出現什麼問題。銓鍇公司提供的LOG紀錄,可以解讀每一項LOG紀錄代表什麼,我們針對資料庫平台上執行過的紀錄,如剛剛提過的,使用HTTP標準協定,用POST執行程式,返回200數值,表示執行成功,我們 的判讀就是這樣,至於最後資料做了什麼異動,就是喬美公司自行比對資料,如果有異動,就是當下那個程式造成的影響。LOG上沒有顯示相關的登入紀錄,LOG上只有看到連線行為,透過HTTP執行什麼連結URL,上面沒有顯示帳號密碼, 我們沒有辦法判讀。帳號密碼不能判讀,但是登入登出的動作是否可以判讀也要在喬美公司後台系統紀錄上,LOG紀錄 裡面上面有RECORDSET等等,這個LOG上,不是登入登出的紀錄,是針對你的訪問的紀錄。訪問的紀錄就是有一個IP訪問的服務,使用了什麼行為,這個LOG紀錄主要是呈現這個東 西。不是使用者哪個小王小明王小華來登入,上面沒有顯示這個東西,這個東西是紀錄在喬美公司的後台系統。我不清楚喬美公司後台系統是否可以調LOG紀錄,訪問行為沒有權 限上限制的話,公開的話,輸入對的URL就可以訪問。權限 設定是喬美公司,就LOG判讀,表示有訪問行為有返回200表示執行或訪問成功,訪問這個路徑有成功執行,就會顯示200。第一份LOG紀錄就是到喬美公司,由喬美公司去查詢。查詢的文件從亞馬遜的平台直接查詢下載,是唯讀的。如果有異動,檢查碼會不一樣。他有一個MD5相關的檢查碼,如果 針對LOG做異動,檢查碼會不一樣。可以從亞馬遜那邊看出 檢查碼,它會有相對應的檔案有一個檢查,如果有做異動,檢查碼就會呈現不一樣,有異動沒異動的檢查碼不是掌握在銓鍇公司,我們是派人去到喬美公司查詢,我們這邊沒有他們的帳號密碼可以修改,都是到喬美公司去查詢。我們不會修改。第二份報告是我製作,我們是針對第一份報告做進一部處理,因為來函時說要進一部說明,我們針對第一份報告作詳細說明。原始的LOG檔案我沒有直接性接觸。銓鍇公司 在107年時是對喬美公司提供雲端平台的服務,107年3月間 ,當時是我們收到通知說,喬美公司的服務有異常,資料有被異動,請我們派工程師到場去協助,查出哪裡有問題。LOG紀錄只能看出有人連線或是訪問的資料,可以看到有人透 過程式做後端的異動,異動寫在程式上,所謂透過程式做後端的異動就是HTTP剛才看到的訪問連結後端的檔名。用POST執行的請求連結,請求後端檔案名稱就是相關的程式,這是喬美公司所維護的所以我們不知道,他如果有異動,透過POST去執行,異動行為寫在程式裡面,所以那是要由喬美公司維護的人才知道,如果執行這個,會造成後端資料異動,那就是這個程式執行造成的,必須要比對喬美公司後端的資料跟時間點,執行是連貫性的,執行之後會對後端資料做異動,他的連線開始執行到後端的資料異動,這是連貫性的。我不清楚喬美公司除了107年3月25日請求我們協助之外,之前是否有反應過類似的情形,我們當下收到這個案件須要請求處理。根據喬美公司報案內容,表示因為公司帳戶金流問題,發現在107年2月21日、3月25日,有大量的錯帳及資料不 見,第一份報告有寫,我們根據喬美公司工程師說3月25日 ,第一份上面有敘明,時間點依照第三頁部分,第二點,喬美公司的工程師說明2018年3月25、26、27日遭受駭客攻擊 ,然後喬美公司比對入侵時間為2018年3月25日13:00開始,喬美公司須要對照AWS的LOG找出相關操作的IP,我們依照這個需求,照他給的時間點,協助調出LOG來判讀等語(本院 卷第107至212頁)。 ⒏證人乙○○於本院審理時證稱:我是臺灣資訊公司資訊顧問, 我是正職,就是跟他們一起配合的工作。我的學歷為中原大學資訊工程管理學系。我沒有證照,但是我在某個技術學院教Java的課程。我有14年的相關工作經驗,有使用PROBE程 式的使用經驗及管理經驗,有辦法分析銓鍇公司提供的LOG 紀錄報告,銓鍇公司所擷取提供的LOG紀錄,是喬美公司後 台的紀錄,是依據AWS公司來定義,它不是我們設定時間多 久,它是過了一段時間,它就會被覆蓋掉,所以它就像監視設備一樣,一直到期限就一直往前覆蓋,我們沒有辦法設定時間,我們只能設定大小。那段時間沒有一定,看客戶使用量,喬美公司現在的外掛系統在我進來之前它已經被停掉了,因為這事件關係,所以就把這個後台維護系統關閉,沒有再使用。我不曉得它的PROBE版本,也不曉得在駭客入侵當 下的版本為何,喬美公司的PROBE是要登入才能使用,且一 定要帳號與密碼才能使用。我不知道它當時是有幾組帳號、密碼可以登入,這不是我設定的,除了喬美公司的PROBE, 一般其他的PROBE也是需要自己開發人員在後端設定帳號、 密碼,登入的動作不會留下任何紀錄,(提示銓鍇之報告第143至153頁)這篇報告中,看不出來是從哪個開發人員登入的。PROBE系統是一個開放原始碼的工具,所以當然是可以 被修改的。是你從網路上就可以Download下來的管理工具,所以我也不用修改,但一般人也不會去修改,下載下來就直接用了。喬美公司PROBE系統不會在前端任何一個路徑下讓 一般的使用者登入,所以一般的使用者是看不到這個路徑的,這可以證明,就是我們現在前端的網頁裡面沒有一個連結,可以透過前端的連結點進來,它必須是你要知道完整的路徑,你才能夠進來的東西,這狀況在我替這家公司服務之前,PROBE系統就已經被拿掉了,關閉這個系統,這個模組被 關閉了,就是把這個程式拿掉,把這個程式碼刪掉,再啟動時它就不會有這個模組可以讓你使用這個功能。所以喬美的系統在當初是有可以修改裡面資料的權限,就我所知,一開始預設時就可以,(提示原審卷第143頁銓鍇之報告)這份 報告裡面,下面第一筆Recordset的意思是透過PROBE系統去對資料庫做SQL語法的執行,執行什麼要配合後面的SQLLOG 來看,它只是說我要去執行,執行什麼要透過第二份LOG來 比對,,因為它是公開Source的程式碼,所以任何看得懂程式的人都知道這個東西在做什麼事情,(提示前次審判筆錄第5頁第五行以下至第6頁第九行)前次開庭時,銓鍇公司的證人表示「他們銓鍇公司只有辦法從回傳的數值,來確定是否有更動成功,至於實際上更動了什麼,這個部分銓鍇公司不曉得,是只有喬美公司的資訊人員可以知道,從後台看得到東西」等語,其實不是這樣,他這邊寫如果沒有PROBE經 驗可不可以解讀LOG,我看他的描述是可以,回傳數值200,只能判斷有資料庫的異動,但是不知道異動了什麼,他也回答對,至於異動的內容是什麼,因為從這份LOG,他們只看 一份LOG,他們當然看不出來執行的內容是什麼,所以要去 第二份內容看,我才知道說在這個時間,它進來Recordset 這個ajax以後,它實際上做了什麼要搭配第二個LOG來看, 這樣才看得出來這個comment進來之後要執行什麼動作。不 一定要喬美的人才知道實際做了什麼,就是有兩份LOG的人 ,他們應該看得懂,但我不知道他們有沒有看到第二份LOG ,如果他們只有判讀一份LOG的話,當然看不出來它執行了 什麼,當初我進去之後,他們有提供給我這兩份的內容。我判斷得出來,到底每個動作在那段時間它有哪些動作被執行,在SQL裡面都看得出來,所以它的第一筆Recordset,是我要告訴PROBE,我準備要執行一段SQL程式語言,至於執行的是什麼,它會包在後面,你看到的Recordset.ajax是看不到的,它是包在第二層,就是我要執行的動作,所以才會有第二份LOG是每個資料庫在執行的動作會是什麼內容,(提示 銓鍇之報告第143至153頁)最後一筆資料,它的最後一筆是app/expire,它要讀取一個網頁,但是那網頁內容是什麼我就沒有去看了,是看這樣我看不出來,我只知道它去讀取PROBE的一個網頁,最後一個expire,因為PROBE有很多功能,PROBE有很多頁面,有很多Menu的列表,這是它其中的項目 ,但是我不知道這個項目是什麼,但是我只知道它在讀取網頁而已。是它每個動作都不一定會執行對資料庫的修改,像這個就沒有,它只是讀取靜態網頁而已,所以它不會影響到資料庫的資料。第一筆Recordset看得出來是有修改的,但 是最後這筆expire你又說你看出來是沒有修改,差別是最後四個字是ajax,ajax代表說它要送某個封包到我們的PROBE 模組裡面去,HTML是說我要PROBE系統提供我一個頁面,所 以它要頁面當然沒有做任何的動作,但是ajax是我要送一個工作,請你幫我執行一下,登入這個行為它不是修改空間,它只是進到一個區域裡面,所以登入時樣態的應該會是像最後這筆資料一樣,可以看得出來它不是刪改,它是進到一個區域的,所以應該登入也會有一筆類似應該會有HTML之類的紀錄,依現在的紀錄沒有駭客進到系統的紀錄,為何當初沒有提供完整的記錄給銓鍇公司做分析是因為銓鍇公司有權利,在當時他可以從AWS上拿到完整的服務紀錄,就是這些LOG的資料檔,當初應該也有提供給包含南港警察局,應該有提供相關完整的資料,這邊擷取出來只是說跟PROBE系統,靠 近這個事件的時間點,銓鍇公司是透過我們的帳號,去AWS 這邊下載,AWS這邊應該也有提到說它是沒有竄改的可能性 ,在AWS上面我們不能直接修改這個檔案。如果有帳號、密 碼在當時當然可以全部下載回來,但是它有沒有需要全部下載回來,他們可以自己去判斷,比如說他們在那個事件的兩天前,他不需要這麼久遠的資料,他就沒有去下載了,所以當時應該是有非常多的檔案,他們應該只是抓事件前後的時間點、靠近的這幾個小時,把這資料抓出來而已。所以依照剛才提示那份的銓鍇公司的報告,它不是那個完整時段的所有資料,是銓鍇公司擷取他們覺得有需要的時間點的資料,因為不是只有這個事件,當初還有其他的User也會一起來,我們不可能把這些User、不相干的雜訊全部放在一起,會影響我們的判讀。原始的LOG資料是直接從AWS下載下來,是沒有辦法做異動的,它不是唯讀檔,每個檔案當然會有一個編碼,如果我們下載回來,你要在後面再去改它,當然也是有可能的。如果更改看得出來,修改的時間異動紀錄就會有,每個檔案只要被修改了,就像跟Windows看到的一樣,你檔 案被修改了,後面都有檔案修改的最後修改時間,所以可以看當初報案的時間跟檔案擷取的時間是不是一樣的,應該會有一些提供這個檔案的內容,喬美公司應該只有保留一些相關的,沒有全部的,「相關的」就是當初這些報案的內容,我只有在資料區裡面是有看到針對這件事情、要相關儲存的LOG,都是存在我們這裡了,(提示前次審判筆錄第5頁第五行以下)依據HTTP狀態碼的協議規範,資料如果有異動的話,它會回傳一個狀態碼,叫做200的數值,不是異動就會200,200代表的是我有收到、我有執行完成,所以我回傳200,執行完成,就會回傳200,如果有異常會回傳別的數字,如 果沒有執行成功,回傳的資訊不一定,這是可以在Http Protocol裡面,比如說我回傳401就是倒頁,300就是錯誤,類 似像這樣,通常200就是正常完成、沒有錯誤的完成。所以 從回傳這個HTTP動態碼的部分,無法判斷入侵者實際是做什麼動作,實際入侵者做什麼動作,就是要看SQL的LOG,只有看得到成功、失敗或是錯誤,Recordset就是我要執行某個 動作,執行什麼動作就是在SQL LOG裡面看,執行完成它就 會回傳200,所以它的邏輯順序是這樣跑完的,因為PROBE不是我們自己開發的,是一個Open Source的軟體,也就是說 大家都可以下載,它也不是我們寫的,我們只是拿來用而已,所以它的200不是我們定義的,是PROBE這個模組、Open Source的軟體,本身依照他們自己的協定去定義好的,我們 這個系統裡面有PROBE後台管理,跟我們一般的客戶使用的 系統,它回傳了200,是它自己PROBE這模組回傳的200,但 我們也可以還傳200,我們的意思是一樣,但是如果你今天 問我說,我們的200跟他們的200行為上會不會不一樣,當然也有可能,因為我們PROBE是Open Source的軟體,但是OpenSource軟體已經定義200,通常就是它有執行某個動作,而且有成功執行,它才會這樣回傳回來。資訊人員都會知道,因為它不是我們寫的,你也可以下載的,你就去打PROBE系 統,大家都可以下載,所以那個200的成功不是我們定義的 ,是Open Source這群編寫程式開發人員定義的。銓鍇公司 當時是針對有駭客侵入的異常狀況的當天所有資料擷取出來,不需要把當天所有電腦的所有在AWS系統上面的資料全部 抓出來,因為還有很多客戶使用者跟駭客無關的資料這些就排除,而是擷取需要資料,銓鍇公司當時擷取的資料對於本案而言是完整的,現在喬美公司還有保存SQL LOG的紀錄, 是保存100個檔案,但是100檔案可以用多久不一定,我們現在保留大概一個月左右,107年3月的已經都被洗掉了,不會有公司保留這麼久的SQL LOG,那太耗成本了,亞馬遜那邊 也不會有,AWSL那邊也不會有,喬美公司回傳的HTTP數值200或是400,它是有符合HTTP碼協議規範的業界標準,且它與HTTP碼協議規範是相同的,任何程式都可以更動的,所以如果我今天把它下載回來,做一個惡意的修改,它會被更動的,但不能這樣做。就是我要去修改Open Source的檔案,我 針對這個Open Source的檔案進行一些調整,但也不能說惡 意,我可能因為開發業務的需求,我去調整了Open Source 的工具,但是如果調整的話,妳看到其他LOG都會跟著一起 調整,不會只有Recordset會回傳200,任何只要執行成功的,它都會變成其他的數值,PROBE的HTTP碼狀態有無被調整 過現在沒有辦法判斷檢驗,因為我們把這個模組與功能拿掉並關閉,關掉之前的紀錄全部都被洗掉,也可以檢驗,可以拿Open Source的軟體再下載回來看,因為這個是Open Source的,所以網路上依然還是有這個工具可以使用,把它下載回來之後,先前的紀錄不會存在,但是妳可以看到它的200 是什麼意思,就是在它那裡面,比如說Recordset在做什麼 事情,History是在做什麼事情,因為我們當初也沒有保留 這些模組功能,關掉就是刪掉的意思,就把這個模組刪掉了,以沒辦法再確認到以前的歷史記錄等等,PROBE程式是屬 於開放軟體,所以PROBE程式的原始碼是可以自行修改權限 的,它可以修改資料庫,但是它不能讓一個帳號有修改資料庫的權限,我可以透過它去修改資料庫的內容,但是因為資料庫有很多帳號,我不能透過這個系統去更動,其他原本在這個資料庫裡面其他帳號的權限。它不能更改其他資料庫的使用者的權限,但都可以用這個PROBE登入之後修改資料庫 的內容,所以就是有預設的帳號可以去修改權限,但是它不能去調整其他帳號的權限,系統裡面就只有一組預設帳號,(提示原審卷二第143頁以下之LOG資料)問:你剛才說這是後台的LOG資料,請問如果會員的話,他用他自己的帳號跟 密碼,只是瀏覽他自己前台的資料,是否會在後台的LOG留 下紀錄?答:這個問題應該要分兩邊來看,一般的使用者是跟這個模組的帳號、密碼是不一樣的,這個是管理系統的帳號、密碼,它不能拿來登入一般提供功能網頁的帳號、密碼,它是分開來,這是開發者自己的才會知道的帳號、密碼,所以一般的使用者如果要進來的話,他沒有辦法透過他自己的,他必須要開發者的才能進來這個地方。被告說當天他只是瀏覽我們公司外部,並使用自己的帳號與密碼登入,這會留下資料,但不是長的像這樣,在案發當時,依照此LOG判 斷,有用PROBE的外掛方式,利用帳號及密碼登入拜訪,顯 示執行回傳200,就是有成功,就我所知,在本件案發之前 在107年3月之間,這個帳號、密碼還是有修改資料庫的權限。一般使用者是沒有辦法修改資料庫的,就是你任何的使用我們的系統一定要寫入資料,所以他一定會透過一個帳號、密碼去寫入帳號資料,這個帳號資料在PROBE的系統下,我 講完整一點,我用PROBE的帳號、密碼進去,但是我其實不 需要知道資料庫的帳號、密碼,因為PROBE本身已經知道資 料庫的帳號、密碼,它當初可以設定在那裡面的,他可以透過這個方式直接修改資料庫,再簡單一點講,我只要有開發者的帳號、密碼進入PROBE,我就可以修改資料庫了。當時 的IT部門人員知道這種方式,他們只是沒有做這件事情而已,應該說我不知道他們知不知道,但是PROBE是可以做這件 事情的,PROBE是可以直接修改資料庫的資料內容等語(本 院卷第244至263頁)。 ⒐上開2位證人證言,互核相符。由此可見,喬美公司於發現有 人以PROBE方式透過網際網路直接登入本案網站後,發現有 人駭入網站並無故刪除本案網站客戶帳戶資料之電磁紀錄,乃尋求所委任之銓鍇公司人員前來除錯,並提供該電腦網站LOG紀錄供查核,結果發現有人執行POST行為,並回傳200,表示該人有進入後端資料做客戶之資料異動,且已成功執行,至於何時登入、何時登出、執行何種異動,依現有LOG紀 錄無從得知,而喬美公司只保存及提供該人可能駭入時端之LOG紀錄,並未保存其餘與本案無關之全部LOG紀錄,亦無從還原,此已完全剔除被告遭冒名駭入本案網站之可能性,益加形成被告確有於上開時、地為本案犯行之心證。 ㈥綜上所述,被告所辯均無可採,本件事證明確,被告犯行洵堪認定,應依法論科。 二、論罪科刑 ㈠按被告行為後,刑法第359條規定於108年12月25日修正公布,同年月27日施行,揆其立法理由係因本罪於72年6月26日 後並未修正,而於94年1月7日刑法修正施行後,所訂罰金之貨幣單位為新臺幣,依刑法施行法第1條之1第2項前段之規 定,本罪之罰金額應提高30倍,故係將前條文罰金數額調整換算後予以明定,其構成要件及法律效果均無變更,即無新舊法比較之問題,應逕適用裁判時法即現行法處斷,先予敘明。 ㈡查被告係刪除本案網站之電磁紀錄,而上開紀錄則是儲存於A WS之雲端服務,是核被告所為,係犯刑法第359條之無故刪 除他人電腦相關設備之電磁紀錄罪。 三、撤銷改判之理由 ㈠原審據以論科,固非無見。惟查被告係以其任職喬美公司時所取得之自己外掛帳號、密碼用PROBE方式侵入本案網站, 並非輸入他人帳號密碼侵入本案網站,核與刑法第358條之 犯罪構成要件有間,此外查無其他證據足證被告有此犯行,且未經檢察官起訴,自難遽以被告一行為犯有刑法第358條 、第359條之罪名,有裁判上一罪之牽連犯關係,從一重之 刑法第359條之罪處斷,認事用法均有未洽。被告上訴意旨 ,仍執前揭陳詞,砌詞否認犯罪,雖無理由,惟原判決既有上開可議之處,自屬無可維持,應由本院予以撤銷改判。 ㈡爰審酌被告率然入侵喬美公司所屬本案網站,無故刪改本案網站資料庫之資訊,破壞喬美公司客戶對喬美公司之信賴,並影響本案網站之運作,復考量其無刑事前科,兼衡以被告係專科畢業、現從事服務業、月薪約新臺幣12萬元、已婚、目前有2名未成年子女要扶養(偵13904卷第3頁、原審卷二 第454頁)及其犯罪之手段、犯後態度等一切情狀,量處有 期徒刑5月,並諭知易科罰金之折算標準。 據上論斷,應依刑事訴訟法第369條第1項前段、第364條、第299條第1項前段,判決如主文。 本案經檢察官黃逸帆提起公訴,檢察官何明楨到庭執行職務。 中 華 民 國 110 年 12 月 9 日刑事第十九庭 審判長法 官 曾淑華 法 官 陳文貴 法 官 許文章 以上正本證明與原本無異。 如不服本判決,應於收受送達後20日內向本院提出上訴書狀,其未敘述上訴之理由者並得於提起上訴後20日內向本院補提理由書(均須按他造當事人之人數附繕本)「切勿逕送上級法院」。 書記官 陳盈芝 中 華 民 國 110 年 12 月 9 日附錄:本案論罪科刑法條全文 中華民國刑法第359條 (破壞電磁紀錄罪) 無故取得、刪除或變更他人電腦或其相關設備之電磁紀錄,致生損害於公眾或他人者,處5年以下有期徒刑、拘役或科或併科60 萬元以下罰金。