第四节东亚计算机犯罪概论
随着信息技术的飞速发展以及全球金融活动规模的迅速增长,金融电子化的浪『潮』迅速席卷了金融业。各种高新技术被广泛地应用于金融机构,极大地推动了金融银行服务手段的现代化。从目前的情况看,金融活动的网络化、电子化是一个不可逆转的大趋势。特别是随着电子商务时代的来临,基于网络的电子化金融活动将成为金融活动的主流,逐渐取代传统的金融活动形式。与传统金融活动相比较,它具有以下几个突出特点:
一是债权人与债务人,买主与卖主不再是直接手对手的交易关系,而是通过电子网络系统间接的交易关系。人的因素越来越退化,符号与口令『操』作越来越重要。是不是持有身份证或护照越来越不重要,懂得口令(password)就可以进入计算机系统从而进入帐户或交易。
二是债权债务交易不再用实物形态的钞票和纸张作为媒介和记录载体,而是将交易媒体与记录载体统一为一体,统统采用电子数据信息来表达。用实物钞票和纸张表达时交易时,人们可以看得见『摸』得着,当人们采用电子数据信息表达交易时,人们只能看得见,但是却『摸』不着。用钞票作为媒介和用纸张作为记录载体进行交易时,交易的数量、规模、距离和速度都受到一定限制,但是采用电子网络系统进行金融数据信息交易时,上述限制都被轻而易举地突破了。
三是使用钞票和纸张直接交易时,如果发生债权债务争议,争议范围只限于双方,特殊情况下,可能会影响第三人。在多数情况下不会。在电子网络系统交易中,如果证券买卖双方如果发生争议,可能会影响到整个电子网络系统中的所有人。如期货交易市场上的买空方在市场价格上涨的情况下不平仓的例子,最终导致市场关闭。
四是使用钞票和纸张直接交易时,有品种、交易的复杂程度、时间、数额、规模和距离远近的限制,但是使用电子网络系统交易,交易速度比以往任何时候更快,交易规模更大,交易的距离更远,交易的金额更大,交易的交品更多,更复杂。这样的例子在期货市场、证券市场和外汇市场以及衍生产品市场上都可以看到。人们可以预感到金融交易在网络系统的支持下,其发展潜力是无限的。
但凡事必有两面,金融电子化也是如此,它的发展在为大家带来更多便利和更高效率的同时给金融犯罪分子提供了更为先进和便利的作案手段和条件。
就几乎在计算机技术开始在金融领域开始应用的同时,利用高科技的金融犯罪也随之而来。1979年,美国人里道夫通过银行的计算机系统,把他人的1000万美元存款转到了自己额定帐户上;而美国洛杉矶一家银行(wells fargo national bank)的业务经理利用在计算机终端上开立空头支票的方法,在1979年到1981年的两年之内,总共贪污了2100万美元;1981年,日本三和银行的一名职员利用计算机系统向自己私开帐户拨款1.2亿日元,然后提取现金逃之夭夭;1986年,前西德的4名罪犯利用计算机系统改变信用卡的磁带密码,非法获利10万克。根据统计,由于计算机犯罪造成的损失相当惊人,而且利用计算机进行的金融犯罪的平均损失远远超过传统的金融犯罪案件。根据美国斯坦福研究所的研究报告,利用计算机进行的金融诈欺或窃取案件所造成的平均损失高达数十万美元,而传统银行诈欺、抢劫去盗窃案件案件平均损失只有几千到一万多美元。在德国,由于计算机犯罪所造成的损失每年高达150亿马克。在东亚地区,虽然缺乏这方面的准确统计数字,但就一些已经披『露』的案件来看,损失也是相当巨大。
另一方面在现代社会中,人们在生活中工作中越来越多地使用和依赖计算机以及网络。但必须注意的是,计算机和网络系统有一个致命的弱点:计算机总是要接受指令的。它总是被动的,总要确认一个或几个有权进人系统和发出指令的合法使用者。确认的方法从最普通的也是最通常使用的密码口令到先进的指纹乃至视网虹膜辨认种类繁多而且不断发展,但只要破译了辨认程序的密匙,就可以让计算机把破译者(甚至任何人)认为是合法使用者,进而就可以对计算机发号施令了。
上面的这个道理其实非常简单,接触过计算机游戏的人都知道,为了防止盗版,游戏开始或者中途往往会要求玩家输入密码(可以在正版游戏软件的说明书里查找到)。但经过解密后收录在盗版游戏光碟里的游戏,无论玩家输入什么密码(可以按任意键),游戏软件都会认为密码正确,可以进入游戏。所以说,无论采取用怎样的高级加码和加密算法,计算机总要给合法用户留有在一段时间内可以重复使用的系统口令。这就决定了计算机安全措施总有可能通过某种手段和方法加以破坏,没有什么绝对安全的系统。例如,犯罪分子可以通过雇用佣专业黑客来破译系统口令,甚至通过绑架、贿赂或胁迫合法用户(如银行的工作人员)甚至系统管理员来获得系统口令甚至对系统的控制权。
所以,不管采取什么手段,只要计算机认为你符合通过安全程序的条件,你就可以进入系统并取得控制权,你甚至还可以通过修改程序使计算机拒绝原来的合法使用者进入计算机。在当今的计算机时代,这种对计算机的控制权意味着什么呢?可以不夸张地说,破译计算系统的安全程序这道关卡,就可以控制当今社会的大脑和神经中枢。这远比病毒的危害大,病毒只是干扰计算机工作或者使其瘫痪。而破译安全程序后取得控制权则可以对计算机发号施令,让其为我所用。打个比方,这就像武林高手的"练门"或者说像古希腊神话中阿咯琉斯的脚踵(achilles\' heel)一样,要紧无比确又柔嫩异常,只要对这个致命弱点一击得手就大事不好。问题在于,这个"练门"的存在是必然的,也是为斗争双方所共知的,双方只是在如何隐藏和寻找"练门"所在、如何保护和攻击练门的问题上相互斗法而已。
目前,电子商务的概念很是流行,其发展前景也为世人所公认。但在一些重要的问题,比如数字签章的效力,电子货币的『性』质与效力,电子支付、转帐的安全问题等,没有解决以前,电子商务的发展还存在很大的隐患,容易成为新的犯罪对象。但总的来说,凡事必有两面,不应该由于潜在的安全问题而全面否定电子商务,否则岂非有"因噎废食"之嫌?正视电子商务给现行法律制度所可能带来的挑战,认真研究,寻求应对方策,及时对法律制度进行必要的修正以适应现实情况发展,这才是正确的态度和应该着手做的事。
下面,我们还是对东亚地区、国家在防治网络化金融犯罪方面的情况进行介绍。在我们提到的国家和地区中,由于日本和台湾在信息产业和金融电子化发展方面比较先进,它们所遭遇的"网络化"金融犯罪问题也比较多,因此在防治方面起步比较早,相对来说形成制度『性』的东西而比较多。所以,我们就着重就日本和台湾、香港的情况进行介绍。
一、日本的情况
在日本、由于金融电子化和银行自动化的程度相当高,金融机构之间的网络化连接程度相当高。大街小巷到处都有全国联网、各银行联网的现金自动取款机(atm机),atm卡和信用卡的普及率和使用率都非常高,几乎每个人都有好几张不同银行的卡。在这种情况下,利用高科技者地的金融犯罪有相当比例是利用atm卡的犯罪,而且造成的损失非常惊人,动辄就是数千万日元甚至上亿日元。根据日本『政府』每年发布的《警察白皮书》披『露』,日本每年盗用、伪造、利用atm卡而进行的金融犯罪案件都较上年有成倍的增加。而且犯罪方式已经从"盗窃他人atm卡并破译密码,然后提取现金",发展到"伪造atm卡",再发展到"通过通信网络连接到银行的计算机系统,为了伪造atm卡而截取保密业务信息或者直接窃取帐户资金"的"线上犯罪"阶段。
80年代,日本屡屡发生犯罪分子通过制造假atm卡从自动取款机中盗取大量现金的案件。假atm卡的外观与其真卡有很大差别,用肉眼就可以识别。但是电脑识别atm卡的真伪仅仅是依据卡的一些物理特征(例如尺寸大小和厚度)以及卡上磁条或者晶片附带的信息,只要犯罪分子破译了自动取款机识别atm卡的程序,就可以自己大量印制假卡,而且使得自动取款机的电脑认定假卡为真卡从而依照犯罪分子的指令付款。假atm卡在日本一度非常猖獗,损失金额数以亿计,以致于日本银行最后不得不在所有atm机上都安装了摄像镜头,对前来提款的人进行24小时的监视,这样利用假卡提取现款的案件将得到控制。
在日本,高科技金融犯罪往往以银行等金融机构的内部职员居多,就象著名的伊藤素子窃取三和银行上亿日元案。1981年,三和银行职员伊藤素子诈取1.3亿日元的巨额金融犯罪案轰动了全日本。伊藤素子是三和银行的老职员,专门负责利用电脑存款、拨款。按照规定,她应该在接到拨款传票以后才能用计算机将款项拨到传票上注明的银行去,但她正利用了这一点进行作案。1981年3月12日,伊藤分别在三和银行的4个分行以她自己的名字开立了4个250日元的户头。3月15日上午10点,她在根本没有传票的情况下拨款1.8亿日元到这4个户头,然后她借口看牙离开工作岗位,分别在这一天的11点、13点、14点和15点从4个分行提取了1.3亿日元的现金。当晚,她就逃往马尼拉。伊藤的作案计划安排的十分周密,若不是银行内部职员很难了解如此多的内情。她作案的日子选在25日,这是每月给大量企业发薪的日子,所以当天业务很忙,每天中午按规定必须进行的中间核对(核对护款传票与拨出的款项是否相等)工作要推迟到下午才能进行,这时伊藤已经开始提取现金了。而且后来虽然发现了短少1.8亿日元的拨款传票,但其他职员以为是伊藤的疏忽,决定等她看牙回来再查,没有马上指示冻结款项,结果使得伊藤得逞。虽然伊藤本人在半年后被警察从马尼拉逮捕归案,但这起案件充分暴『露』了银行职工内控不严的弱点。
俗话说得好,"家贼难防",即便在网络金融化的年代,利用高超的计算机手段从网上带进入金融机构的计算机系统进行金融犯罪活动,也毕竟是少数。因为从公用网络接口闯入防护严密的金融机构内部网,需要相当高超的计算机水平,而且也很容易留下闯入的痕迹从而为计算机家寻踪追捕犯罪分子创造了可能。而金融机构内部的工作人员熟悉金融业务流程,而且在使用金融机构内部的计算机系统方面又有着外部人员所不具备的方便条件,一旦他们进行犯罪活动,危害『性』和便利『性』都要大得多。
目前,日本法务省已着手草拟《数位签名法》,对金融网络化条件下越来越常见的通过网络传输的电子签名问题进行规制。另外就网络对各行各业所造成的流程改变,而导致法规也应该随之改变的部分,则由学界进行研究。
二、香港和台湾
台湾从70年代开始就大力发展以计算机和网络技术为代表的信息技术产业(information technology industry, 简称it产业),在政策措施上对it产业给予了相当倾斜。经过近20年的发展,台湾已经发展成为亚太地区重要的it产业基地,具备相当的it设备生产能力和软件开发能力。整个台湾地区的电子化、计算机化和网络化的程度相当高。在这种大背景下,台湾地区对比较活跃的高新技术违法和犯罪活动也比较重视,不仅进行了相当广泛和深入的研究,而且还开始了相关的立法规制活动。
在台湾,利用计算机和网络技术进行的金融犯罪活动,虽然与美国、日本等发达国家相比尚不十分严重,但发展势头也不容忽视。象80年代发生在彰化银行基隆仁爱分行的案件,该行职员利用『操』作电脑终端的机会帮助朋友擅自调用头寸数十万台币。另外,由于在台湾青少年中具有大量的电脑爱好者,其中有不少成为痴『迷』于计算机和网络安全防护技术与反安全防护技术的电脑黑客,总是想琢磨出绕过安全措施的办法,竭尽所能打入受到访问限制的计算机系统,同时防止留下痕迹被别人发现。因此,台湾的黑客问题在整个亚太地区来说是显得比较突出的。
需要指出的是,有相当多的电脑黑客并非犯罪分子,但是沉『迷』于计算机和网络上"道高一尺、魔高一丈"的斗争游戏。美国的头号电脑黑客凯文 米特尼克曾经对高技术罪犯和真正的计算机黑客进行过区分,真正的黑客不是为了钱而是为了知识,而高技术罪犯只不过是使用计算机的贼。不过,至少在美国的法律上,计算机黑客的行为还是可以构成犯罪。根据美国『政府』法令1030条第18款,"与计算机有关的欺骗以及相关活动"广泛地把计算机犯罪定义为"未经授权而有意地进入计算机",这里的计算机包括团体的计算机或者由任何美国机构所控制的那些计算机,即有"联邦标记"或者"联邦所有"标记的任何计算机。美国法令上这种广义『性』的定义对于台湾后来的立法具有相当的影响。
笔者在上文已经提及台湾作为刑法修正案的"电脑犯罪罚则",这是台湾地区针对日趋严重的利用电脑进行的犯罪活动而对现行刑法所进行的修正,希望藉此将电脑犯罪纳入原来缺乏对此相关规定的刑法体系当中。这部法令是由"法务部"负责起草制定,目前已经经过"行政院"和"司法院"的会签,正由"立法院"进行审议中。该法令草案增订了有关电脑犯罪的处罚规定以及将电脑处理的电磁记录视为文书和动产的规定,从而使得电脑犯罪能够被相关的刑法条文所约束。
"电脑犯罪罚则"的主要内容有以下三点:第一,电磁记录籍电脑之处理所显示的声音、影像或符号,以为表示其用意之证明者,不但以文书论,另以动产论;第二,无辜泄漏因利用电脑知悉的秘密、擅自使用电脑设备、以不正方法将虚伪资料或不正指令输入电脑、毁坏或干扰电磁记录之处理等,皆作为违反有关文书或动产之罪而予处罚;第三,利用电脑犯《刑法》第316条至318条规定之罪者,加重其刑罚至1/2。
另外,根据有关报道,香港最近也即将出台有关电子交易的法律规范。1999年7月7日,香港资讯科技署署长刘锦洪在香港的一个国际会议上表示,今年将实施新的"电子交易条例草案",为香港特区建立所需的法律架构,以及缔造适当的环境,使电子交易在稳妥可靠的情况下进行。随著条例草案的实施,电子记录和数码签署可以得到法律上的认可。条例草案还就核证机关的运作制定法律架构,以确定参与进行电子商业人士的身份。
入世带来的……