對於「濫發商業電子郵件管理條例」草案的評析 (4)

按：NCC已經研擬新版的Anti-Spam Bill，但最新版本條文內容為何，尚未公布於網站上，本文擬就過去第一屆委員任內送請行政院審議之條文為對象，簡要分析及檢討該草案內容。

發送商業電子郵件的行為規範

草案第5條規定發信人不得從事之行為：「一、發送首封商業電子郵件後，未經收信人明示同意接收之意思，仍為發送者。
二、明知或可得而知收信人已為拒絕接收商業電子郵件之表示，仍為發送者。
三、明知或可得而知商業電子郵件之主旨有虛偽不實或引人錯誤之表示，仍為發送者。
四、明知或可得而知商業電子郵件轉寄前之信首資訊有虛偽不實，仍為發送者。
五、以發送商業電子郵件為目的，實施字典式攻擊。」

本條規定第1、2款可以說是維持第4條第1、2款的Opt-out機制，以違反設置此一機制為禁止規定。綜合第3、4款及第4條第3、4款規定，則明示發信人對於商業電子郵件的主旨有正確標示之義務，除廣告特徵的標示外，尚不得有虛偽不實或引人錯誤的標示，以及維持信首資訊正確之義務，並將轉寄郵件者包括在內，以避免藉由轉寄方式規避此一義務之情形（Fn.1）。解釋上一般收到商業電子郵件的收信人，若將該封商業電子郵件轉寄出去，通常可能是為了與朋友分享該資訊內容（如商品折扣優惠等），不會有變更信首資訊的情形，亦非以行銷商品或商業服務為目的，因此解釋上非本草案所謂的「發信人」（Fn.2）。若以轉寄方式試圖規避第4條提供正確信首資訊義務，而其發送該商業電子郵件是以「行銷商品或商業服務」為目的者，本文認為仍應視其為發信人，而有本草案第4條、第5條規定之適用，此一解釋方足以避免發信人以轉寄方式規避第4條規定之適用。而對於「單純」明知或可得而知商業電子郵件轉寄前之信首資訊有虛偽不實，仍為轉寄發送之行為，由於「明知或可得而知」此一主觀要件難以判斷，轉寄者若明顯未具有行銷商品或商業服務之目的，此時是否仍以該款規定加以制裁，於立法政策上似不無疑問，本文認為應維持前述對於發信人之認定，限於「以行銷商品或商業服務為目的」者，而無本款規定之適用，盡可能避免將不具行銷目的的轉寄行為列入規範，以免徒增法律適用上的困擾。

第5款所明文禁止的「字典式攻擊」行為，按草案第2條的規定，係指「經由軟體或程式將字元、符號或數字進行隨機排列組合，自動產生電子郵件地址，以遂行無差別目的發送電子郵件之手法。」發信人若係以此方式隨機、無特定對象的發送商業電子郵件，若有破壞網路服務提供者系統、灌爆使用者信箱的故意，並致生損害於公眾或他人者，則同時違反刑法第360條無故干擾電腦系統或相關設備罪，而構成刑事犯罪。然而，倘若僅以軟體或程式隨機排列組成收信名單，且該商業電子郵件符合草案第4條之要件，亦即單純以自動化方式隨機組成收信名單，進行合法的發送商業電子郵件行為者，其行為所侵害之法益為何？本文認為有再予探討之必要。

從本文前述對於草案規範目的之分析可知，收信人使用網路的便利，以及維護網路環境的安全及效率，係吾人規範商業電子郵件發送的主要目的，亦即以此為草案之保護法益。對於收信人而言，單純以自動化方式隨機組成收信名單，進行合法的發送商業電子郵件行為，並未增加其處理商業電子郵件的成本（Fn.3）；再者，若未大量發送商業電子郵件，其對於網路環境的安全及效率是否造成損害，亦不無疑問（Fn.4）。是以本文認為第5款字典式攻擊的規定，應有修改之必要，建議修改為「以字典式攻擊方式，大量發送違法商業電子郵件者」，以符合法益保護之需要。且此一規定與草案第6條相對照，方較符合該條第2項賦予網路服務提供者拒絕傳送或接收字典式攻擊所寄出之電子郵件（詳見後述說明）。

Fn.1 參見本款規定之立法理由：「為防止發信人以轉寄方式規避第四條所定之要求，進而敦促其提供正確信首資訊，爰於第四款明文禁止明知或可得而知商業電子郵件轉寄前之信首資訊有虛偽不實時，仍為發送之行為。」

Fn.2 參見草案第2條立法理由第7點：「第一項第六款「發信人」，不限於首次寄送商業電子郵件者，私人轉寄之行為，若其係以行銷商品或商業服務為目的而為發送時，亦符合本款對於發送人之定義;發信人除符合本條第一款但書之要件者外，應遵守本條例之規定。」

Fn.3 草案立法理由所參考的美國2003年CAN-SPAM Act第5條第(b)項規定，其所禁止的字典式攻擊行為（dictionary attacks），限於已違法的商業電子郵件，與本款規定並不相同。參見該項第1款之文字：「(A) IN GENERAL- It is unlawful for any person to initiate the transmission, to a protected computer, of a commercial electronic mail message that is unlawful under subsection (a)（按：即該法對於商業電子郵件發送行為之規範）, or to assist in the origination of such message through the provision or selection of addresses to which the message will be transmitted, if such person had actual knowledge, or knowledge fairly implied on the basis of objective circumstances, that--
(i) the electronic mail address of the recipient was obtained using an automated means from an Internet website or proprietary online service operated by another person, and such website or online service included, at the time the address was obtained, a notice stating that the operator of such website or online service will not give, sell, or otherwise transfer addresses maintained by such website or online service to any other party for the purposes of initiating, or enabling others to initiate, electronic mail messages（按：非法取得電子信箱位址之行為address harvesting）; or
(ii) the electronic mail address of the recipient was obtained using an automated means that generates possible electronic mail addresses by combining names, letters, or numbers into numerous permutations.（按：字典式攻擊行為）」

Fn.4 美國2003年CAN-SPAM Act第5條第(b)項所規定的字典式攻擊行為，有「以姓名、字母或數字大量排列組成可能的電子郵件位址」之要件（原文詳見前註），實寓有大量發送之性質。