简介
于2014年6月，苹果日报及普及投票（popvote.hk）的网站和手机应用程式受到专业黑客大规模的DDoS网络攻击。普及投票的手机应用程式在开始接受登记后的首30小时内，共录得超过100亿次造访，导致伺服器的正常功能瘫痪和受损。

随着科技日益进步，这类网络攻击现在越来越常见，估计对企业造成数以十亿元计的经济损失。虽然网络攻击造成的损失金额难以确切计算，但涉及的损失一般包括：(1) 业务或其他关键系统停顿，(2) 紧急维修及补救费用，(3) 法律费用，及 (4) 信心及声誉受损。

本文将探讨香港针对网络攻击的法律（或欠缺的法律），以及在涉及不同司法管辖区的情况下，追踪跨境黑客、搜证及提出检控的实际难题。

甚么是DoS和DDoS攻击？
阻断服务（Denial of Service，DoS）或分散式阻断服务（Distributed Denial of Service，DDoS）攻击，一般是试图在短时间内向主机（例如网络伺服器）传送大量数据，藉以暂时或无限期中断或暂停主机服务，阻碍访客正当使用。DoS和DDoS的分别在于前者是由一个人或系统进行的攻击，而后者则由多个系统（通常已受感染和损害）攻击一个主机。

触犯的罪行
香港现时尚未有针对DoS和DDoS攻击的法例，在这方面比其他主要司法管辖区落后。在英国，《1990年不当使用电脑法令》已透过《2006年警察及司法法令》修订，把DoS和DDoS攻击列为刑事罪行，而美国亦已实施类似法例打击这类网络攻击。

在缺乏清晰法例针对DoS和DDoS攻击的情况下，香港法院目前主要根据香港法例第200章《刑事罪行条例》（「该条例」）对网络攻击者施以刑责。

该条例第60条
该条例第60(1) 条规定，任何人无合法辩解而意图或罔顾后果地摧毁或损坏属于他人的财产，即属犯罪。该条例第59条「摧毁或损坏财产」的定义包括误用电脑，即导致电脑并非如其所设定的运作方式运作、更改或删抹任何程式或资料，或在电脑或电脑储存媒体所收纳的内容增加任何程式或资料。

该条例第161条
此外，该条例第161(c) 及 (d) 条规定，任何人如取用电脑的意图或目的在于使其本人或他人不诚实地获益，或不诚实地意图导致他人蒙受损失，即属犯罪。

香港的DoS攻击案例
香港的DoS攻击案例为数不多，其中一宗是HKSAR v Tse Man Lai CACC 455/2012。被告人被裁定两项为使其本人或他人不诚实地获益而取用电脑的罪名成立，违反该条例第116(1)(c) 条。被告人就定罪提出上诉，上诉法院需处理其上诉许可申请。

被告人从自己的电脑对香港交易及结算所有限公司设立的「披露易」网站进行DoS攻击。由于他的网络攻击活动，香港联合交易所被逼暂停七间上市公司的股份买卖，以致公众在网络被攻击期间无法取用该网站。

虽然被告人承认他是造成网络攻击的人，但他表示他并无该条例第161(1)(c) 条所指的不诚实意图。基于此案案情特别，上诉法院维持下级法院的裁断，认为被告人有不诚实地获益的意图，即宣传其公司的业务。因此，被告人的上诉申请被拒。

苹果日报和普及投票的情况与Tse Man Lai案有何不同？

DoS与DDoS之别
正如上文提到，DoS与DDoS攻击的性质不同。在Tse Man Lai一案中，进行DoS攻击的只有一人，较易找出谁是攻击者。但苹果日报和普及投票遇到的是DDoS攻击，牵涉大量受损害系统，要追查和找出网络攻击者困难得多。

罪行
如上所述， DoS及DDoS攻击者有可能被控触犯该条例第60或161条下的罪行。在Tse Man Lai一案中，被告人就是根据该条例第161条被检控。但要根据这项条文将被告人定罪，控方必须证明被告人有不诚实的意图而取用电脑，(i) 以使其本人或他人获益（第116(1)(c) 条），或 (2) 导致他人蒙受损失（第116(1)(d)）。在此案中，法院认为证据显示被告人怀有使其公司业务获益的不诚实意图；但在苹果日报和普及投票的个案中，似乎不能这样直接地运用该条例第161条。

在苹果日报和普及投票的个案中，看来没有清楚证据显示网络攻击者透过攻击获得任何利益或好处。要是没有这方面的证据，便很难根据该条例第116(1)(c) 条提出检控。

不过，检控部门仍可根据该条例第116(1)(d) 条提出检控，即：不诚实地意图导致他人蒙受损失而取用电脑。在苹果日报和普及投票的个案中，所蒙受的损失可能包括业务或其他关键系统停顿，以及紧急维修及补救费用。此外，苹果日报的业务、信心及声誉亦可能受损。在此类案件中，控方只需证明被告人的行为令他人蒙受潜在的损失，而不必证明实际损失（见R v. Tong Ka Kin HCMA 1031/1995一案）。

由于该条例第161条需额外证明「不诚实意图」这项元素，因此根据该条例第60提出检控可能比较容易。事实上，检控部门看来已改为倚赖该条例第60条来检控与DoS及DDoS有关的罪行。在普及投票的个案中，当事人就网络攻击报警后，便有两名男子被拘捕，其中一名其后承认一项企图刑事毁坏罪，违反该条例第60及159G条。

司法管辖区问题
鉴于很多网络攻击活动均源自香港境外，司法管辖区的问题令调查及检控工作更为复杂。正如我们在2013年5月份通讯《甚么情况下可在香港检控触犯跨境罪行的人？》一文提到，除非涉及《刑事司法管辖权条例》（香港法例第 461 章）涵盖的罪行，否则香港法院对刑事事宜一般没有境外司法管辖权。虽然政府早在2002年建议把该条例第60及161条以及其他电脑相关罪行纳入《刑事司法管辖权条例》的涵盖范围，但所需的修订至今仍未实施。

总结
与其他主要司法管辖区不同，香港并无专门针对网络罪行的法例。虽然检控部门经常倚赖该条例将网络犯罪者绳之以法，但条例中过时的字眼往往导致检控结果难以预料。此外，香港法院亦缺乏其审理跨境电脑罪行所需的境外司法管辖权。香港的法例急需改革，才能应付层出不穷的网络犯罪活动。

如有查询，请联络我们的诉讼及调解争议部门：

E: criminal@onc.hk

W: www.onc.hk

T: (852) 2810 1212

F: (852) 2804 6311

注意：以上内容涉及十分专门和复杂的法律知识或法律程序。本篇文章仅是对有关题目的一般概述，只供参考，不能作为任何个别案件的法律意见。如需进一步的法律谘询或协助，请联络我们的律师。