史密斯传播梅丽莎宏病毒案是美国首例病毒开发者被判刑的案例,也是继莫里斯传播蠕虫病毒案后,美国第二例起诉成功的计算机犯罪案件。该案的判决离不开《计算机欺诈和滥用法》的制定。20世纪80年代初,计算机在商业和政治活动中扮演着日益重要的角色,但日渐抬头的计算机犯罪让立法者意识到,计算机在带来高效的同时,也给现代社会埋下巨大隐患,如时常发生的破坏计算机系统、窃取计算机机密等事件。在《计算机欺诈和滥用法》颁布之前,美国已有1984年《全面控制犯罪法案》,该法仅仅规范故意非法或超出合法权限进入计算机系统的非法行为。面对计算机犯罪技术的层出不穷,《全面控制犯罪法案》难以起到保护效力,《计算机欺诈和滥用法》便在此背景下应运而生。
《计算机欺诈和滥用法》共分为10章。其中,较为重要的前5章分别规定各项计算机犯罪行为、密谋犯罪行为、刑罚、负责机构以及其他术语的定义。在第1章中,《计算机欺诈和滥用法》共规定7项罪行,其中包括:(1)计算机间谍[5];(2)非法入侵政府和金融机构的计算机[6];(3)非法入侵政府部门的计算机[7];(4)为欺诈目的非法入侵金融机构和美国政府的计算机[8];(5)通过散播恶意程序、信息、代码和命令,或故意非法进入被保护的计算机系统,造成计算机损坏[9];(6)为欺诈目的非法买卖政府或金融机构计算机密码[10];(7)故意敲诈勒索,破坏计算机[11]。为了维护各州的立法权威,不与各州原有的计算机法案起冲突,同时又能够避免州、联邦各自立法后,针对州际黑客攻击出现立法空白状态,联邦层面的《计算机欺诈和滥用法》不涉及州内部的计算机犯罪,而是主要针对州与州之间的计算机犯罪。
在史密斯传播梅丽莎宏病毒案中,法官援引18 U.S.C.§1030(a)(5)(A)和18 U.S.C.§1030(a)(2)进行判决。
18 U.S.C.§1030(a)(5)的争议焦点主要在:(1)故意的认定;(2)受保护计算机的定义;(3)损失的认定。
首先,故意的认定。18 U.S.C.§1030(a)(5)因主观和行为不同,分为两个重罪一个轻罪。重罪包括:(A)故意传播程序、信息、代码和命令,因而导致受保护计算机的损坏;(B)非法进入受保护的计算机,因鲁莽行为造成计算机的损坏。轻罪:(C)非法进入受保护的计算机并因此损坏受保护的计算机系统。主观因素是能否援引18 U.S.C.§1030(a)(5)判罚的关键衡量因素。对比(A)(B)两款,是否故意造成损害,是两款的区别所在。以该案中史密斯发送带病毒的电子邮件附件行为为例,若史密斯在明知邮件含有病毒的情况下,仍传播邮件,构成传播病毒且破坏计算机的主观故意,则检方可援引18 U.S.C.§1030(a)(5)(A),判决史密斯有罪。但若只是故意传播病毒,却无心造成计算机损害的,则应援引18 U.S.C.§1030(a)(5)(B)判罪。
在史密斯案中,史密斯用各种手段引诱用户打开带病毒邮件,该病毒可未经授权入侵其他计算机,非法进入受保护的计算机系统的故意心态已非常明显。若该案故意造成损害的证据不足的话,史密斯可辩称他虽然明知是个病毒,但他认为只是个无任何恶意的恶作剧。[12]“无任何恶意后果”则满足18 U.S.C.§1030(a)(5)(B)的判决条件,只是大意、鲁莽地造成此行为,无主观故意造成损害。
事实上,立法之初的18 U.S.C.§1030(a)(5)并未对主观方面做细分。但《计算机欺诈和滥用法》判决的第一案——莫里斯传播蠕虫病毒案使立法者意识到,细分是否主观故意造成损害非常必要。在莫里斯案中,莫里斯声称,他只是为了测量美国网络的规模以及印证当前网络防火墙存在漏洞,因而编写和传播蠕虫病毒,并无恶意造成损失的主观故意。[13]为了规范故意非法进入计算机,但无主观恶意造成损害的行为,立法者对18 U.S.C.§1030(a)(5)进行了细分。
其次,受保护计算机的定义。18 U.S.C.§1030(a)(5)中的计算机被定义为“被保护的计算机”,指“金融机构或美国政府专用计算机,或非专用计算机却被上述两类机构使用的计算机;同时也包含位于外国但影响美国国际与州际贸易和通信的计算机”[14]。该定义的关键点在“国际与州际通信”。根据“国际与州际通信”的定义,通过硬盘、软盘将病毒扩散至1台计算机的行为不属于该法案的打击范围。计算机未联网,则该计算机用于“国际与州际通信”同样无法成立。但如果通过计算机调制解调器[15]或传真进行国际或州际病毒的传播,则可称为国际与州际通信。在史密斯传播梅丽莎宏病毒案中,史密斯通过网络发送带病毒的邮件,造成至少有10万台计算机受感染,受感染计算机分布在全球各个地区,北美地区尤为严重,显然满足国际与州际通信的定罪条件。
最后,损失的认定。与实体损失不同,计算机损失通常是数据遭破坏或流失,数据的价值常常难以评估,因此损失统计方法仍模糊。18 U.S.C.§1030(e)(8)将本法案的损失定义为对数据、程序、系统或信息完整性的任何伤害。[16]在此定义下,某些损失是可以量化的,如修复系统的费用,但某些损失是难以衡量的,如病人的健康数据,等等。虽然损失无法衡量,但故意散播病毒和故意造成损害的行为仍然可被追究责任,许多法条将以造成5000美元损失作为重罪门槛。
该案中援引的另一法条是18 U.S.C.§1030(a)(2)。该法条同样从三个方面规定,对金融机构、美国政府以及国际与州际通信,禁止故意非法或超出合法权限进入计算机系统获取信息的行为。[17]在该案中,窃取金融机构、美国政府以及州际或国际通信的计算机中的信息三方面皆有举证。值得一提的是,《计算机欺诈和滥用法》对政府计算机遭受攻击的规定最为详细,不同程度损害行为对应不同的刑法条文。该案中,史密斯被指控通过邮件散播病毒,病毒入侵政府机构计算机后窃取信息,应适用18 U.S.C.§1030(a)(2)(B)。但是,若仅仅是故意进入未授权的政府计算机,并未窃取信息,则应以18 U.S.C.§1030(a)(3)判罚轻罪。相反,如果窃取的信息为关乎美国国防和外交的信息,该信息必须给予保护以防非法公开,那么入侵行为将按18 U.S.C.§1030(a)(1)判罚。若犯有该罪,不再局限于《计算机欺诈和滥用法》所规定的最高刑5年有期徒刑,而是以最高刑10年有期徒刑判处。对史密斯的起诉中,尚未提及入侵政府计算机,窃取美国国防和外交的信息,因而该案不适用加重处罚的条款。
综上而言,史密斯以虚假标题引诱收件人打开邮件、对邮件服务器进行高强度DoS攻击等行为,已充分体现其严重的犯罪主观故意;梅丽莎病毒侵犯的计算机分散在金融机构、美国政府以及州际和国际通信中,属于《计算机欺诈和滥用法》的保护对象;梅丽莎病毒席卷全球,导致8000万美元损失,远远超出5000美元的门槛。以上已满足18 U.S.C.§1030(a)(5)的三个要素:主观故意、受保护计算机和损失。此外,史密斯利用梅丽莎病毒入侵政府计算机,窃取信息的事实成立。两罪并罚,法院判处史密斯有期徒刑20个月。
【注释】
[1]Visual Basic(简称VB)是微软开发的一种通用的基于对象的程序设计语言,是一种可用于微软自家产品开发的语言。
[2]Normal模版是可用于任何文档类型的共用模板。可修改该模板,以更改默认的文档格式或内容。以Microsoft Word 2003软件为例,默认模板Normal.dot文件中保存着Word文档的默认信息。如果该模板文件被损坏,则可能导致Word文档无法打开的错误。
[3]2000年至2009年,AOL是美国时代华纳的子公司,著名的因特网服务提供商,可提供电子邮件、新闻组、教育和娱乐服务,并支持对因特网访问。(www.xing528.com)
[4]病毒通常会做一些有害的或者恶性的动作。在病毒代码中实现这个功能的部分叫作“有效负载”(payload)。Payload可以实现任何运行在受害计算机中的程序所能做的事情,能够执行的动作包括破坏文件、删除文件,向病毒的作者或者任意的接收者发送敏感信息,以及提供通向被感染计算机的后门。
[5]参见18U.S.Code§1030(a)(1)。
[6]参见18U.S.Code§1030(a)(2)。
[7]参见18U.S.Code§1030(a)(3)。
[8]参见18U.S.Code§1030(a)(4)。
[9]参见18U.S.Code§1030(a)(5)。
[10]参见18U.S.Code§1030(a)(6)。
[11]参见18U.S.Code§1030(a)(7)。
[12]Eric J.Sinrod,William P.Reilly,Cyber-Crimes:A Practical Approach to the Application of Federal Computer Crime Laws,Santa Clara Computer&High Technology law Journal,2000,220(16).
[13]参见U.S.v.Morris,728F.Supp.95(1990)。
[14]参见18U.S.C.§1030(e)(2)(A)。
[15]调制解调器是连接两台计算机的一种硬件,可将数字信号翻译成可沿普通电话线传送的脉冲信号,信号被另一个调制解调器接收后,再译成计算机可懂的语言。
[16]参见18U.S.C.§1030(e)(8)。
[17]参见18U.S.C.§1030(a)(2)。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。
