案例解析

關於這個問題，在資訊化社會中，電腦系統已成為國家運作、公共服務與個人生活不可或缺的基礎設施，因此刑法自民國92年增訂妨害電腦使用罪章以來，即試圖透過刑罰手段維護資訊安全，其中刑法第358條規定無故輸入他人帳號密碼、破解保護措施或利用系統漏洞入侵他人電腦或相關設備者，處三年以下有期徒刑、拘役或科或併科三十萬元以下罰金，第359條規定無故取得、刪除或變更他人電腦或其相關設備之電磁紀錄，致生損害於公眾或他人者，處五年以下有期徒刑、拘役或科或併科六十萬元以下罰金，第360條則規定無故以電腦程式或其他電磁方式干擾他人電腦或相關設備，致生損害於公眾或他人者，處三年以下有期徒刑、拘役或科或併科三十萬元以下罰金。而第361條更進一步設計加重處罰機制，明定「對於公務機關之電腦或其相關設備犯前三條之罪者，加重其刑至二分之一」，顯示立法者對「公務機關」資訊安全的高度重視。

 

其立法理由明白指出，公務機關之電腦系統一旦遭入侵，往往導致國家機密或大量個人資料外洩，甚至可能危及國家安全或人民生命、身體，因此有必要提高刑責，以達到特別嚇阻效果，並與國際立法趨勢接軌，然而，關鍵問題即在於，所謂「公務機關」的範圍究竟為何，尤其當行為標的為「公立學校」的電腦系統時，是否應當適用刑法第361條加重其刑，實務與學說即產生重大爭議。依行政法學理，一般將學校定位為「公營造物」或「公法事業機構」，係行政主體為持續達成特定公目的，集合人與物所設置之行政組織，其性質與典型行使公權力之中央或地方行政機關有所不同，亦有學說稱之為「特殊之行政機關」，但並不當然等同於「公務機關」。

 

刑法第361條於92年增訂時，其立法理由明確載明：「本條所稱公務機關，係指電腦處理個人資料保護法第3條所定之公務機關」，因此必須回溯當時有效之「電腦處理個人資料保護法」之定義，該法於84年修正公布時，第3條第6款規定「公務機關：指依法行使公權力之中央或地方機關」，並於第7款明定「學校屬非公務機關」，其立法理由亦清楚說明，個人資料處理因公務機關與非公務機關性質不同，應作不同規範，並以「是否行使公權力」為區分標準，而非公務機關之範圍，即包括不涉行使公權力之公立醫院、公立學校，換言之，立法者於個資法體系中，已明確將公立學校排除於「公務機關」之外，而刑法第361條既明文援引該定義，即不得任意擴張解釋。嗣後於99年修正，法規名稱變更為「個人資料保護法」，將原第3條移列為第2條，並將「公務機關」定義為「依法行使公權力之中央或地方機關或行政法人」，同時修正「非公務機關」為前款以外之自然人、法人或其他團體，並於立法理由說明，此次修正係因行政法人制度逐步建立，為周全起見，將行政法人納入公務機關範圍。

 

然實際上，依行政法人法第2條，行政法人係由中央目的事業主管機關依法律設立之公法人，目前已設立之行政法人如國家表演藝術中心、國家災害防救科技中心、國家中山科學研究院等，均非學校體系，顯見即便在新制下，學校仍未被納入公務機關範圍。綜合上述修法歷程、立法理由、相關法規與學說見解，明確指出，刑法第361條所稱之公務機關，係限於符合電腦處理個人資料保護法所定之公務機關，其加重處罰之立法目的，在於防止國家機密外洩、維護國家安全與公務機關資訊安全，而公立學校在行政法上屬文教公營造物，並非行使公權力之行政機關，且立法者於個資法中已明文將公立學校列為非公務機關，後續修法亦未將學校納入行政法人或公務機關之範疇，是以，公立學校並非刑法第361條所稱之「公務機關」，對公立學校之電腦或其相關設備犯刑法第358條至第360條之罪者，依法不得適用加重其刑至二分之一之規定。

 

行政法學上，一般將「學校」列為中央或地方行政機關以外，性質上屬文教「公營造物」，亦即行政主體為持續達成特定之公目的，集合人及物之手段，在公法上所設置之行政機構，學說上另稱「公法事業機構」。民國92年6月25日增訂刑法第361條，對於公務機關之電腦或其相關設備，犯同法第358條至第360條之罪者，加重其刑至2分之1；其立法理由敘明：「由於公務機關之電腦系統如被入侵，往往造成『國家機密』外洩，有危及『國家安全』之虞，因此對入侵公務機關電腦或其相關設備之犯行，加重刑度，以適當保護公務機關之資訊安全，並與國際立法接軌。本條所稱公務機關，係指『電腦處理個人資料保護法』第3條所定之公務機關」。是應依該條規定予以加重處罰之對象，僅限於符合電腦處理個人資料保護法第3條所定之公務機關；且因係對於公務機關之電腦或其他設備中，與「國家機密」有關之電磁紀錄，予以入侵，致危及該公務機關之資訊安全，才有加重處罰之適用。而84年8月11日修正公布之「電腦處理個人資料保護法」第3條第6款規定：「公務機關：指依法行使公權力之中央或地方機關」；並於第7款明定：學校屬「非公務機關」，且於立法理由第5項敘明：「個人資料之處理，因公務機關與非公務機關之性質不同，而宜作不同規範，爰於第七款及第八款分別規定公務機關及非公務機關之定義，並以『能否行使公權力』為區別之界限，分別規定在第二章及第三章。其中非公務機關之範圍，包括『不涉行使公權力』之公立醫院、『公立學校』……」，可見將「公立學校」明列為「非公務機關」。嗣於99年5月26日修正公布，法規名稱變更為「個人資料保護法」，第3條移列為第2條，於第2條第7款、第8款規定：「公務機關：指依法行使公權力之中央或地方機關或行政法人」、「非公務機關：指前款以外之自然人、法人或其他團體」；再於立法理由第9項、第10項敘載：「由於執行公務爾後將不限中央或地方機關，行政法人之組織型態亦將成為其中之一，爰將原條文第六款公務機關之定義，納入行政法人，以期周全，並改列款次為第七款。為配合本法放寬規範主體之修正意旨，爰修正原條文第七款非公務機關之定義，並改列款次為第八款」，可知此次修正，公務機關之主體放寬，加入行政法人。而參以「行政法人法」第2條規定：「本法所稱行政法人，指國家及地方自治團體以外，由『中央目的事業主管機關』，為執行特定公共事務，依『法律』設立之公法人。」實際上，現已設立之行政法人，例如：國家表演藝術中心（文化部依「國家表演藝術中心設置條例」設立）、國家災害防救科技中心（科技部依「國家災害防救科技中心設置條例」設立）、國家中山科學研究院（國防部依「國家中山科學研究院設置條例」設立），皆不含學校。

綜合上述修法經過、立法理由、相關法律規定及學說見解，足見「公立學校」並非刑法第361條所稱之「公務機關」。(最高法院108台上第3633號判決)

 

此一見解，第361條所欲規範者，係行為人無故以電腦程式入侵或干擾「公務機關」電腦或其相關設備之行為，其加重處罰之正當性基礎，在於政府機關電腦系統一旦遭入侵，可能造成國家機密或大量個資外洩，甚至危及人民生命、身體安全，具有高度公共危險性，而學校雖屬公共體系之一環，然其核心功能在於教育，並非典型行使公權力之行政機關，其資訊系統雖亦可能涉及學生個資或校務運作，但其危害性質與國家機關層級仍有本質差異，立法者既已透過明文定義將之排除，自不得以目的性解釋逕行擴張。從罪刑法定與嚴格解釋原則觀之，加重刑罰屬對人民不利之規定，更應採限縮解釋，避免以類推方式擴大適用範圍，否則將違反刑法謙抑性與明確性要求。

 

由於政府機關之電腦系統被入侵後，往往造成國家機密或個人資料外洩甚至可能影響民眾生命或身體之安全，因此有加重處罰之必要，故增訂第361 條。基此，刑法第361 條所欲規範者，係指即行為人無故以電腦程式入侵或干擾公務機關電腦或其相關設備，始成立該罪。

(臺灣高等法院刑事判決102年度上訴字第1764號)

 

是以，對於侵入、破壞公立學校電腦系統之行為，固仍構成刑法第358條至第360條之妨害電腦使用罪，並應依法論處，但在現行法制下，並無適用刑法第361條加重其刑之餘地，是否應另立法將公立學校納入加重範圍，則屬政策選擇問題，須由立法機關衡酌學校資訊系統之重要性、學生個資保護需求與刑罰必要性後另為規範，在修法完成前，司法實務仍應尊重既有法條文義與立法者明確表示之意旨，維持對「公務機關」概念之嚴格界定，方符合法治國原則與刑法基本精神。

 

-刑事-刑法-刑分-妨害電腦使用罪