过滤器
上一页

DDoS攻击──透过受害人网站误用受害人电脑的网络罪行

2019-05-01

 引言

在 HKSAR v Chu Tsun Wai [2019] HKCFA 3 一案中,一名网络攻击者透过受害人的网站误用受害人的电脑,最近被终审法院裁定损坏他人财产罪名成立,并阐述其定罪的依据。

背景

2014 年 10 月 12 日,朱峻玮(「上诉人」)参与以上海商业银行(「该银行」)网站为目标的分散式阻断服务(「 DDoS 」)攻击。上诉人被控违反《刑事罪行条例》第 60(1) 条的刑事罪行,即在无合法辩解的情况下损坏属于他人的财产,意图损坏该财产或罔顾该财产是否会被损坏。

甚么是DDoS?

DDoS 属于网络攻击的一种。一般来说,当电脑用户输入网址要求造访某网站后,其电脑会向有关网站伺服器(即支援该网站的电脑)发送读取该网站页面的请求。倘若伺服器运作正常,该网站将应请求传输页面。当用户的电脑屏幕出现有关页面后,用户便可点击想要存取的服务(例如操作银行帐户),然后用户的电脑便会发送有关请求,如此类推。网站伺服器在任何时刻处理页面请求的能力(即「频宽」)是有限的。DDoS 攻击就是指多部电脑有组织地几乎同时向某一网站伺服器发送请求,藉此消耗伺服器的频宽,从而令其他人无法透过该网站办理日常正当事务,继而可能导致伺服器系统超载瘫痪。

在本案中,该银行的伺服器在一小时内收到 504,592 个请求,当中 6,652 个请求是由上诉人的电脑在 16 秒内发出(「请求」)。由于该银行的伺服器拥有足够能力处理请求,该伺服器的运作并未遭受影响,因此该次DDoS攻击并不成功。

终审法院需审理的主要争议

《刑事罪行条例》第 59(1A) 条列明,「损坏财产」就电脑而言包括「误用电脑」。同一条文订明了「误用电脑」的定义:

  • 导致电脑并非如其拥有人或其拥有人代表对其所设定的运作方式运作,即使如此误用不会令该电脑的操作、该电脑内的程式或该电脑内的资料的可靠性减损亦然(「(a) 」);
  • 更改或删抹电脑内或电脑储存媒体内的程式或资料;
  • 在电脑或电脑储存媒体所收纳的内容上增加程式或资料(「(c) 」)。
  • 在裁判法院进行审讯时,上诉人被裁断为向该银行网站发动DDoS攻击的电脑的使用者,以及上诉人是蓄意参与攻击的。裁判官认为上诉人误用了该银行的电脑,因此裁定上诉人罪名成立。上诉人就定罪上诉,被原讼法庭驳回,案件最终上诉至终审法院。终审法院需审理的主要争议在于上诉人是否有导致该银行的电脑如 (a) 段所指「并非如其拥有人或其拥有人代表对其所设定的运作方式运作」。

终审法院的裁决

终审法院一致驳回上诉,并维持上诉人的定罪。

终审法院认为,「误用电脑」的定罪元素并不要求取用属未经授权,并适用于当电脑透过网站连接外界。任何人透过网站取用他人的电脑,使有关电脑「并非如其拥有人或其拥有人代表对其所设定的运作方式运作」,即属干犯《刑事罪行条例》第60(1A) 条下的罪行。因此,问题的关键在于如何描述拥有人对其电脑所设定的运作方式。

上诉人认为,该银行的电脑已按照该银行设定的方式运作,因为它已按照程式回应请求。然而,终审法院不接纳该论点,并认为电脑只可以按照人类设定的程式运作,而法例条文所关注的是电脑拥有人设定电脑去处理甚么事情。换言之,电脑被设定的运作方式所指的并非它如何操作(或未能操作),而是其拥有人拟定该电脑去处理甚么事情。该银行的网站及伺服器旨在提供银行服务,而非用来处理旨在对该银行及其客户带来不便以及使攻击者获得公众关注的大量请求。因此,终审法院认为将该次DDoS 攻击形容为误用该银行的电脑并无不妥,故裁定上诉人导致该银行的电脑并非如该银行对其所设定的运作方式运作。

另一方面,裁判官在裁定上诉人罪名成立时,在判决书内提到,上诉人在该银行的电脑的内增加资料,属于 (c) 段所指的行为。上诉人向终审法院指出,控方在原审时只倚赖了 (a) 段为检控基础,因此上诉人并没有提出与 (c) 段相关的证据。终审法院虽同意基于 (c) 段作出定罪对上诉人并不公允,但仍然驳回上诉,因为裁判官错误地倚赖 (c) 段这一点是无关重要的。

总结

终审法院在本案中阐明了网站攻击可被视为「误用电脑」、从而构成《刑事罪行条例》第 60(1A) 条下的「损坏财产」的法律依据,并特别指出,拥有人使用电脑的本意是判断电脑有否被误用的重要因素。


如有查询,请联络我们的诉讼及调解争议部门:

E: criminal@onc.hk                                                             

W: www.onc.hk                                                                   

T: (852) 2810 1212

F: (852) 2804 6311

香港中环康乐广场8号交易广场第三期19楼

注意:以上内容涉及十分专门和复杂的法律知识及法律程序。本篇文章仅是对有关题目的一般概述,只供参考,不能构成任何个别个案的法律意见。如需进一步的法律咨询或协助,请联络我们的律师。

律师团队

伍兆荣
伍兆荣
资深合伙人
甄灼宁
甄灼宁
主管合伙人
龚海欣
龚海欣
合伙人
伍兆荣
伍兆荣
资深合伙人
甄灼宁
甄灼宁
主管合伙人
龚海欣
龚海欣
合伙人
Back to top