莫里斯案是援引《计算机欺诈与滥用法》判决的第一案。该案推动了美国国会对《计算机欺诈与滥用法》的完善。新的法案细化了“故意”和“未授权”两个概念。尽管如此,在量刑和定罪上,修订后的《计算机欺诈与滥用法》仍存在不少问题。
1984年,美国通过第一部计算机犯罪法案《1984年全面控制犯罪法案》(Comprehensive Crime Control Act of 1984)。由于当时的计算机犯罪还较少,该法案尚未摸清“计算机犯罪”的范围,因而所做规定适用性不强。该法案在1986年做了较大改动,并更名为《计算机欺诈与滥用法》。所做的改动主要有以下三方面:一是(a)(2)和(a)(3)中的“明知”(knowingly)改为“故意”(intentionally);二是(a)(1)和(a)(2)中的“超授权进入”改为“未授权进入”;三是新设立两项重罪和一项轻罪,分别为造成联邦利益相关的计算机损害罪、计算机诈骗罪以及非法买卖计算机密码罪。法案的修订不是一劳永逸的,尽管新法案已取得较大进步,但莫里斯蠕虫病毒案仍暴露出不少立法漏洞。
该案中,控辩双方对该法案§1030(a)(5)(A)的解释争议不断。1986年版的该法案§1030(a)(5)(A)规定:“故意未授权进入联邦利益的计算机,存在改变、损害、破坏联邦利益的计算机信息行为,或阻止任何其他计算机或信息的授权使用,因而在任一年内导致一方或多方至少1000美元损失。”针对该法条,莫里斯提出两点质疑,一为“故意”的行为范围。在该法条中,“故意”一词列在“未授权进入联邦利益的计算机”这个小分句前,但该条文是由3个被逗号分隔的小分句组成的,因而莫里斯认为,“故意”同样修饰后面的“存在改变、损害、破坏联邦利益的计算机信息行为”“阻止任何其他计算机或信息的授权使用”。然而他仅未授权进入联邦利益的计算机,并不存在故意改变、损害、破坏联邦利益的计算机信息行为,或故意阻止任何其他计算机或信息的授权使用,因此不构成违反该条文。另一个质疑为,作为康奈尔大学内网的使用者,应为“超授权”而非“未授权”访问其他计算机。事实上,基于以上两点,该案主审法官也对该条文感到迷惑。法官和检方在判决前各执一词,检方想定莫里斯重罪,而纽约州北部地区法院更倾向轻罪。
关于“故意”的认定,法官最终做出如下解释,“故意”仅修饰“未授权进入联邦利益的计算机”,并非修饰之后的两个短句。法官认为,法律解释应着眼于立法的历史和意图。1986年修正案之所以将“明知”(knowingly)改为“故意”(intentionally),是提高未授权访问他人计算机文件及数据的主观层级。因此,根据立法者的原意,“故意”旨在修饰“未授权进入联邦利益的计算机”,而不包含后面两个分句。同时,若国会在制定1986年修正案时,想要对“造成损害”补充“故意”这一主观要件,应分别在小分句前加上,而非将“故意”放在总句的前面。[8]所以“故意未授权进入联邦利益的计算机”,并非故意“存在改变、损害、破坏联邦利益的计算机信息行为”“阻止任何其他计算机或信息的授权使用”,也是违反§1030(a)(5)(A)的行为。尽管莫里斯不断申明自己并非故意造成损害,但根据§1030(a)(5)(A)的“故意”认定范围,莫里斯已违反该法。
至于“未授权访问”的定性,法院认为虽然莫里斯有权限使用康奈尔大学内网,但不代表他可以非授权访问该网络上的其他计算机。在20世纪80年代末,互联网规模还较小。莫里斯所访问的内网连接着康奈尔大学、加州大学伯克利分校、斯坦福大学、麻省理工学院、美国国家航空航天局、五角大楼等重要国家机构和顶尖高校,莫里斯有权限使用该网络,也有权发送邮件。因此,莫里斯认为他不是1984年法案§1030(a)(5)所规制的外部人员(outsider),而是该法案所保护的内部人员(insider)。法院认为,外部人员并非固定不变的群体,其定义要因背景而定。虽然某甲可进入某联邦利益的计算机,但不代表他可以进入同样连接该网络的另一联邦利益的计算机。法院通过对外部人员做扩张解释,认定莫里斯并非定义中的“内部人员”,他属于“外部人员”,因而是“未授权访问”。
除“故意”和“未授权访问”外,该案量刑也是争议焦点。莫里斯最终被判处3年缓刑,400小时社区服务,判处罚金10050美元并承担缓刑期间的监管费用。可见,所判刑罚并无服刑时间。依据《计算机欺诈与滥用法》,莫里斯违反§1030(a)(5)和§1030(a)(3),最高可被判5年有期徒刑,但最终却被判处3年缓刑。地区法院芒森(Munson)法官认为,由于莫里斯案是援引《计算机欺诈与滥用法》判决的第一案,尚无前例,因此无法参考之前的判决。鉴于莫里斯并无恶意造成损失,建议的惩罚方式重则入狱服刑、轻则进行社区服务或禁止再进入计算机行业。持轻判的人认为,既然所谓黑客并无攻击计算机的恶意,那么入狱服刑就没必要了。同时,由于计算机攻击的损失难以估计,法官认为统计的损失有所夸大。因此,虽然检方提议判决21至27个月有期徒刑,但最后莫里斯被判处3年缓刑。无服刑的判决招来不少反对,认为这个判决使《计算机欺诈与滥用法》失去应有的效力,将无法有效震慑网络犯罪行为,黑客将继续“胆大包天”。
虽然该案最终以轻判结束,但“非故意”的主观要件引起了立法者的关注。在莫里斯案的启发下,根据主观要件的不同,1996年的《计算机欺诈与滥用法》修正案对§1030(a)(5)做了三层划分。§1030(a)(5)(A)规定:故意传播恶意程序、信息、代码和指令,并因此故意未授权造成受保护计算机的破坏,此规定为重罪。§1030(a)(5)(B)规定:故意未授权进入受保护计算机,并因此行为鲁莽地造成破坏,此规定同为重罪。§1030(a)(5)(C)规定:未授权进入受保护计算机,并因此行为导致破坏或损失属于轻罪。总结而言,§1030(a)(5)主观要件分为故意、鲁莽和完全不知情。举例而言,甲通过故意发送email入侵计算机系统,明知email带有病毒,且明知此病毒具有极大危害性,但仍故意为之,则符合§1030(a)(5)(A)的主观“故意”;明知email带有病毒,但认为病毒不会造成多大危害,这样的主观符合§1030(a)(5)(B)的“鲁莽”;完全不知晓email带有病毒,这样的行为则适用§1030(a)(5)(C)的“完全不知情”。这样的分层规定有助于区分不同的主观故意,而非过于扩大主观故意的范围。
然而,这样的规定还是暴露出不少问题。虽然新法案已经对“故意”和“鲁莽”的量刑做了较充分的区分,但在衡量是否判重罪的另一对要素“授权”与“未授权”上,法律规定仍有不完善的地方,使得因鲁莽或不知情入侵计算机且造成损害的授权者可以免罪。相比之下,因鲁莽或不知情入侵计算机的未授权者则被严厉判罚。这样的漏洞主要体现在§1030(a)(5)(A),§1030(a)(5)(B)和§1030(a)(5)(C)三个法条上。§1030(a)(5)(A)规制故意进入计算机的授权或未授权者,即内部者和外部者均受规制。然而,§1030(a)(5)(B)和§1030(a)(5)(C)则只规制未授权故意入侵计算机者,即只规制外部人员。事实上,现实中存在大量内部人员鲁莽或毫不知情地入侵计算机的案件,造成难以估量的损失。但是,按照《计算机欺诈与滥用法》的现行规定,这样的行为得不到应有的惩罚。此外,还存在不少技术人员,为测试计算机系统性能或寻找清除病毒的解决办法,不得不违规进入计算机寻找解决方法。例如,在未知服务器和“肉鸡”[9]主体身份的情况下,微软试图清除“僵尸网络”时,很难得到服务器和“肉鸡”主体的授权。同时,面对“僵尸网络”快速扩展,企业方无法尽快采取措施,这给企业方带来极大困扰。因此,实务中出现的难题已经大大挑战了《计算机欺诈与滥用法》的规定。
虽然截至目前,《计算机欺诈与滥用法》已修订五次之多,每次修订都在不断细化和扩张概念,但是发展迅速的黑客技术已让《计算机欺诈与滥用法》难以招架。诸多学者认为《计算机欺诈与滥用法》中关于“未授权进入计算机”等的表述十分模糊。在日新月异的计算机技术变革的大背景下,该法的完善仍然任重道远。
【注释】
(www.xing528.com)
[1]Multics是一个分时操作系统,其目的是开发出一套安装在大型主机上多人多任务的操作系统。
[2]尤尼斯操作系统(Unix)是一个强大的多用户、多任务操作系统,支持多种处理器架构,按照操作系统的分类,属于分时操作系统。
[3]Sendmail是最重要的邮件传输代理程序。电子邮件程序被分解成用户代理、传输代理和投递代理。当用户试图发送一封电子邮件的时候,他并不能直接将信件发送到对方的机器上,用户代理必须试图去寻找一个信件传输代理,把邮件提交给它。
[4]Finger既是协议名也是应用程序名,通过它可以查询互联网上主机或用户的状态。Finger通常被用来查询用户是否登录以及登录的账户、登录时间、办公地址、电话、邮件地址等。
[5]Rsh是“remoteshell”的缩写,shell俗称“计算机壳层”,该命令在指定的远程主机上启动一个shell并执行用户指定的命令。
[6]Rexec是服务的远程计算机上运行命令。
[8]Susan M.Mello,Administering the Antidote to Computer Viruses:A Comment on United States v.Morris,Rutgers Computer&Technology Law Journal,1993,259(19):269.
[9]“肉鸡”也称傀儡机,是指可以被黑客远程控制的机器,“肉鸡”通常被用作DDoS攻击。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。