簡介
於2014年6月，蘋果日報及普及投票（popvote.hk）的網站和手機應用程式受到專業黑客大規模的DDoS網絡攻擊。普及投票的手機應用程式在開始接受登記後的首30小時內，共錄得超過100億次造訪，導致伺服器的正常功能癱瘓和受損。

隨著科技日益進步，這類網絡攻擊現在越來越常見，估計對企業造成數以十億元計的經濟損失。雖然網絡攻擊造成的損失金額難以確切計算，但涉及的損失一般包括：(1) 業務或其他關鍵系統停頓，(2) 緊急維修及補救費用，(3) 法律費用，及 (4) 信心及聲譽受損。

本文將探討香港針對網絡攻擊的法律（或欠缺的法律），以及在涉及不同司法管轄區的情況下，追踪跨境黑客、搜證及提出檢控的實際難題。

甚麼是DoS和DDoS攻擊？
阻斷服務（Denial of Service，DoS）或分散式阻斷服務（Distributed Denial of Service，DDoS）攻擊，一般是試圖在短時間內向主機（例如網絡伺服器）傳送大量數據，藉以暫時或無限期中斷或暫停主機服務，阻礙訪客正當使用。DoS和DDoS的分別在於前者是由一個人或系統進行的攻擊，而後者則由多個系統（通常已受感染和損害）攻擊一個主機。

觸犯的罪行
香港現時尚未有針對DoS和DDoS攻擊的法例，在這方面比其他主要司法管轄區落後。在英國，《1990年不當使用電腦法令》已透過《2006年警察及司法法令》修訂，把DoS和DDoS攻擊列為刑事罪行，而美國亦已實施類似法例打擊這類網絡攻擊。

在缺乏清晰法例針對DoS和DDoS攻擊的情況下，香港法院目前主要根據香港法例第200章《刑事罪行條例》（「該條例」）對網絡攻擊者施以刑責。

該條例第60條
該條例第60(1) 條規定，任何人無合法辯解而意圖或罔顧後果地摧毀或損壞屬於他人的財產，即屬犯罪。該條例第59條「摧毀或損壞財產」的定義包括誤用電腦，即導致電腦並非如其所設定的運作方式運作、更改或刪抹任何程式或資料，或在電腦或電腦儲存媒體所收納的內容增加任何程式或資料。

該條例第161條
此外，該條例第161(c) 及 (d) 條規定，任何人如取用電腦的意圖或目的在於使其本人或他人不誠實地獲益，或不誠實地意圖導致他人蒙受損失，即屬犯罪。

香港的DoS攻擊案例
香港的DoS攻擊案例為數不多，其中一宗是HKSAR v Tse Man Lai CACC 455/2012。被告人被裁定兩項為使其本人或他人不誠實地獲益而取用電腦的罪名成立，違反該條例第116(1)(c) 條。被告人就定罪提出上訴，上訴法院需處理其上訴許可申請。

被告人從自己的電腦對香港交易及結算所有限公司設立的「披露易」網站進行DoS攻擊。由於他的網絡攻擊活動，香港聯合交易所被逼暫停七間上市公司的股份買賣，以致公眾在網絡被攻擊期間無法取用該網站。

雖然被告人承認他是造成網絡攻擊的人，但他表示他並無該條例第161(1)(c) 條所指的不誠實意圖。基於此案案情特別，上訴法院維持下級法院的裁斷，認為被告人有不誠實地獲益的意圖，即宣傳其公司的業務。因此，被告人的上訴申請被拒。

蘋果日報和普及投票的情況與Tse Man Lai案有何不同？

DoS與DDoS之別
正如上文提到，DoS與DDoS攻擊的性質不同。在Tse Man Lai一案中，進行DoS攻擊的只有一人，較易找出誰是攻擊者。但蘋果日報和普及投票遇到的是DDoS攻擊，牽涉大量受損害系統，要追查和找出網絡攻擊者困難得多。

罪行
如上所述， DoS及DDoS攻擊者有可能被控觸犯該條例第60或161條下的罪行。在Tse Man Lai一案中，被告人就是根據該條例第161條被檢控。但要根據這項條文將被告人定罪，控方必須證明被告人有不誠實的意圖而取用電腦，(i) 以使其本人或他人獲益（第116(1)(c) 條），或 (2) 導致他人蒙受損失（第116(1)(d)）。在此案中，法院認為證據顯示被告人懷有使其公司業務獲益的不誠實意圖；但在蘋果日報和普及投票的個案中，似乎不能這樣直接地運用該條例第161條。

在蘋果日報和普及投票的個案中，看來沒有清楚證據顯示網絡攻擊者透過攻擊獲得任何利益或好處。要是沒有這方面的證據，便很難根據該條例第116(1)(c) 條提出檢控。

不過，檢控部門仍可根據該條例第116(1)(d) 條提出檢控，即：不誠實地意圖導致他人蒙受損失而取用電腦。在蘋果日報和普及投票的個案中，所蒙受的損失可能包括業務或其他關鍵系統停頓，以及緊急維修及補救費用。此外，蘋果日報的業務、信心及聲譽亦可能受損。在此類案件中，控方只需證明被告人的行為令他人蒙受潛在的損失，而不必證明實際損失（見R v. Tong Ka Kin HCMA 1031/1995一案）。

由於該條例第161條需額外證明「不誠實意圖」這項元素，因此根據該條例第60提出檢控可能比較容易。事實上，檢控部門看來已改為倚賴該條例第60條來檢控與DoS及DDoS有關的罪行。在普及投票的個案中，當事人就網絡攻擊報警後，便有兩名男子被拘捕，其中一名其後承認一項企圖刑事毀壞罪，違反該條例第60及159G條。

司法管轄區問題
鑒於很多網絡攻擊活動均源自香港境外，司法管轄區的問題令調查及檢控工作更為複雜。正如我們在2013年5月份通訊《甚麼情況下可在香港檢控觸犯跨境罪行的人？》一文提到，除非涉及《刑事司法管轄權條例》（香港法例第 461 章）涵蓋的罪行，否則香港法院對刑事事宜一般沒有境外司法管轄權。雖然政府早在2002年建議把該條例第60及161條以及其他電腦相關罪行納入《刑事司法管轄權條例》的涵蓋範圍，但所需的修訂至今仍未實施。

總結
與其他主要司法管轄區不同，香港並無專門針對網絡罪行的法例。雖然檢控部門經常倚賴該條例將網絡犯罪者繩之以法，但條例中過時的字眼往往導致檢控結果難以預料。此外，香港法院亦缺乏其審理跨境電腦罪行所需的境外司法管轄權。香港的法例急需改革，才能應付層出不窮的網絡犯罪活動。

如有查詢，請聯絡我們的訴訟及調解爭議部門：

E: criminal@onc.hk

W: www.onc.hk

T: (852) 2810 1212

F: (852) 2804 6311

注意：以上內容涉及十分專門和複雜的法律知識或法律程序。本篇文章僅是對有關題目的一般概述，只供參考，不能作為任何個別案件的法律意見。如需進一步的法律諮詢或協助，請聯絡我們的律師。