Kỷ yếu hội thảo khoa học Quốc tế: Tội phạm mạng: Pháp luật quốc tế, pháp luật một số quốc gia và kinh nghiệm cho Việt Nam

Theo đó, tội phạm mạng bao gồm các tội sau: Thứ nhất, các tội phạm tấn công hệ thống máy tính bao gồm: Truy cập hoặc cố ý truy cập bất hợp pháp vào một phần hoặc toàn bộ hệ thống máy tí

MỤC LỤC

1 Khái quát pháp luật quốc tế về tội phạm mạng và gợi mở cho Việt Nam

TS Nguyễn Quý Khuyến

2 Challenges in the practical implementation of legal requirements concerning

cybercrime: Defendant rights in cybercrime proceedings

Prof.Dr Michael Tsambikakis

3 Quy định của Luật hình sự Liên bang Úc về tội phạm liên quan đến công nghệ

thông tin, mạng viễn thông và kinh nghiệm cho Việt Nam

PGS.TS Nguyễn Thị Phương Hoa

4 Quy định pháp luật hình sự Việt Nam về tội phạm trong lĩnh vực công nghệ

thông tin và mạng viễn thông

KHÁI QUÁT PHÁP LUẬT QUỐC TẾ

VỀ TỘI PHẠM MẠNG VÀ GỢI MỞ CHO VIỆT NAM

TS Nguyễn Quý Khuyến*

Tóm tắt: Ngày nay, nhiệm vụ đấu tranh phòng, chống tội phạm mạng là một

trong những thách thức không chỉ đối với mỗi quốc gia mà còn mang tính toàn cầu Các quốc gia trên thế giới đã và đang tích cực hợp tác với nhau để đấu tranh loại tội phạm này Hơn hai mươi năm qua, nhiều văn bản pháp luật quốc tế về tội phạm mạng đã được ký kết và triển khai thực hiện hiệu quả Đối với Việt Nam, để đấu tranh hiệu quả với tội phạm mạng cần nghiên cứu tham khảo pháp luật quốc tế góp phần hoàn thiện quy định của pháp luật hình sự về tội phạm mạng Bài viết này sẽ phân tích khái quát pháp luật quốc tế và pháp luật hình sự Việt Nam về tội phạm mạng Trên cơ sở

đó đề xuất một số nội dung cần tiếp tục nghiên cứu hoàn thiện Pháp luật hình sự Việt Nam

về tội phạm mạng trong thời gian tới

Từ khóa: Tội phạm mạng, Pháp luật hình sự, Pháp luật quốc tế

1 Khái quát chung Pháp luật quốc tế về tội phạm mạng

Hiện nay, ảnh hưởng của tội phạm mạng đối với đời sống con người không chỉ giới hạn trong phạm vi lãnh thổ quốc gia Trong môi trường không gian mạng được kết nối toàn cầu, không một quốc gia nào được an toàn trước tội phạm mạng hoặc

xử lý hiệu quả loại tội phạm này nếu không có sự hợp tác với quốc gia khác Do nhu cầu của các quốc gia trong việc đấu tranh chống và phòng ngừa loại tội phạm này dẫn đến các quốc gia đã xây dựng nhiều văn bản pháp luật quốc tế về tội phạm trong lĩnh vực CNTT, MVT Các văn bản này rất đa dạng, bao gồm: (1) các văn bản pháp luật có phạm vi toàn cầu như Công ước về tội phạm mạng của Hội đồng Châu Âu (2001), Thỏa thuận hợp tác trong lĩnh vực an ninh thông tin quốc tế của Tổ chức hợp tác Thượng Hải (2009; (2) các văn bản pháp luật có phạm vi khu vực như Công ước về

xử lý tội phạm công nghệ thông tin của các nước khối Ả-rập (2010), Thỏa thuận hợp tác trong xử lý tội phạm liên quan đến thông tin máy tình của Các nước độc lập trong Khối thịnh vượng (2001), Công ước của các nước Châu Phi (2012)

Để đấu tranh có hiệu quả với tội phạm mạng, các quốc gia trên thế giới cần phải hợp tác chặt chẽ với nhau thông qua việc ký kết tham gia các văn bản trên Tính đến nay đã có hơn 80 quốc gia ký kết tham gia các văn bản pháp luật về tội phạm mạng như Công ước về tội phạm mạng của Hội đồng Châu Âu (48 nước), Công ước

* Trường Đại học Kiểm sát Hà Nội

của các nước Khối Ả-rập (18 nước và vùng lãnh thổ), Thỏa thuận của các quốc gia độc lập trong Khối thịnh vượng (10 nước) và Thỏa thuận của Tổ chức hợp tác Thượng Hải (6 nước)1 Số quốc gia tham gia các văn bản trên chắc chắn sẽ ngày càng tăng Điều đó cho thấy tính chất quốc tế của loại tội phạm trong lĩnh vực CNTT, MVT; đồng thời cho thấy nỗ lực của các quốc gia trong việc hợp tác với nhau để đấu tranh, phòng ngừa loại tội phạm này

Về nội dung, các văn bản quốc tế về tội phạm mạng thường tập trung quy định vào 4 vấn đề chính, gồm: (1) hình sự hóa các hành vi phạm tội mạng; (2) hợp tác quốc tế trong đấu tranh phòng chống tội phạm mạng; (3) xác định thẩm quyền xử lý tội phạm mạng; (4) thủ tục tố tụng trong xử lý tội phạm mạng như vấn đề chứng cứ điện tử Tuy nhiên, nội dung chính, lớn nhất trong các văn bản pháp luật quốc tế về tội phạm mạng là vấn đề hình sự hóa các hành vi phạm tội mạng2

Đến nay, dù đã có rất nhiều văn bản Pháp luật quốc tế về tội phạm mạng với sự tham gia của nhiều quốc gia trên thế giới, nhưng nhận thức và quy định về tội phạm mạng còn nhiều điểm chưa thống nhất Một trong những vấn đề lý luận của tội phạm mạng là chưa có quan điểm thống nhất về khái niệm tội phạm mạng Do đó, các văn bản pháp luật quốc tế về tội phạm mạng thường ít quy định về khái niệm tội phạm mạng Chỉ có một số ít văn bản pháp luật quốc tế quy định khái niệm này Trong số đó, có thể

kể đến Thỏa thuận hợp tác xử lý tội phạm liên quan đến thông tin máy tính của Các nước độc lập trong Khối thịnh vượng (2001)3 và Thỏa thuận hợp tác trong lĩnh vực an ninh thông tin quốc tế của Tổ chức hợp tác Thượng Hải (2010)4

Theo khoản a Điều 1 của Thỏa thuận hợp tác xử lý tội phạm liên quan đến thông tin máy tính của các nước độc lập trong Khối thịnh vượng (2001), tội phạm liên quan đến thông tin máy tính” là hành vi phạm tội xâm hại đến thông tin máy tính Trong đó, “thông tin máy tính” được hiểu là thông tin được lưu trữ trong bộ nhớ của máy tính, máy móc hoặc thiết bị lưu trữ khác được định dạng để máy tính có thể đọc được hoặc có thể truyền được qua các kênh viễn thông (khoản b Điều 1) Với quy định này, có thể thấy thỏa thuận trên đã định nghĩa tội phạm mạng theo nghĩa hẹp Chỉ những hành vi có mục đích tấn công, xâm hại “thông tin máy tính” được gọi là

“tội phạm liên quan đến thông tin máy tính” Các tội phạm liên quan đến thông tin máy tính theo khái niệm trên bao gồm 04 nhóm hành vi:

(1) xâm nhập bất hợp pháp thông tin máy tính được bảo vệ; (2) tạo, sử dụng hoặc phát tán mã độc máy tính; (3) vi phạm các quy định quản lý sử dụng máy tính, hệ thống

1 Xem: UNDOC, trang 65;

2 Xem: UNDOC trang 69;

3 Các nước tham gia gồm: Nga, Azerbaijan, Armenia, Belarus, Georgia, Kazakhstan, Kyrgyz, Moldova, Tajikistan, Turkmenistan, Uzbekistan, Ukraine;

4 Các nước tham gia gồm: Trung Quốc, Nga, Kazakhstan, Tajikistan, Uzbekistan và Kyrgyz

máy tính, mạng gây hậu quả nghiêm trọng; (4) sử dụng bất hợp pháp máy tính hoặc phần mềm cơ sở dữ liệu được bảo vệ gây thiệt hại đáng kể

Trong Thỏa thuận giữa các quốc gia thành viên của Tổ chức hợp tác Thượng Hải trong lĩnh vực đảm bảo an ninh thông tin quốc tế (2010) tại Phụ lục số 2 có quy định về khái niệm “tội phạm thông tin” (Information crime) Theo đó, tội phạm thông tin là hành vi của cá nhân, tổ chức sử dụng bất hợp pháp nguồn thông tin hoặc can thiệp trái phép vào nguồn thông tin nhằm mục đích phạm tội Đặc điểm của tội phạm thông tin

là vi phạm hệ thống thông tin thông qua việc xâm hại tính nguyên vẹn, tính khả dụng

và tính bảo mật của thông tin; cố ý sản xuất và phát tán vi-rút máy tính hoặc các chương trình mã độc khác; tấn công DoS (từ chối dịch vụ) và các ảnh hưởng tương tự; phá hủy nguồn thông tin; xâm phạm trái phép quyền và tự do của công dân trong lĩnh vực thông tin, bao gồm quyền sở hữu trí tuệ, thông tin cá nhân; sử dụng phương pháp và nguồn thông tin để phạm các tội phạm khác như lừa đảo, trộm cắp, tống tiền, buôn lậu, vận chuyển trái phép ma túy, phân phối tài liệu khiêu dâm trẻ em Với định nghĩa về tội phạm thông tin như trên có thể thấy quan niệm về tội phạm mạng đã được mở rộng phạm vi rất nhiều so với khái niệm về tội phạm mạng được quy định trong khoản a Điều 1 của Thỏa thuận hợp tác xử lý tội phạm liên quan đến thông tin máy tính của Các nước độc lập trong Khối thịnh vượng (2001) Tội phạm thông tin được hiểu là tội phạm mạng theo cả nghĩa hẹp và nghĩa rộng Một đặc điểm cần chú ý là các nước thành viên tham gia Thỏa thuận hợp tác xử lý tội phạm liên quan đến thông tin máy tính của Các nước độc lập trong Khối thịnh vượng (2001), đã số tham gia Thỏa thuận giữa các quốc gia thành viên của Tổ chức hợp tác Thượng Hải trong lĩnh vực đảm bảo an ninh thông tin quốc tế (2010), trong đó có thêm Trung Quốc Điều đó cho thấy quan điểm của các nước trên về khái niệm tội phạm mạng từ năm 2001 đến năm 2010 đã có sự chuyển biến mở rộng rất nhiều phạm vi khái niệm tội phạm mạng để đáp ứng yêu cầu đấu tranh phòng, chống loại tội phạm này

Đa số các văn bản pháp luật quốc tế về tội phạm mạng hiện nay không quy định về khái niệm tội phạm mạng, mà chỉ quy định những hành vi phạm tội cụ thể được coi là tội phạm mạng Tuy nhiên, việc quy định phạm vi những hành vi phạm tội được coi là tội phạm mạng, cũng như nội hàm của từng tội phạm được quy định là tội phạm mạng cũng có sự khác nhau giữa các văn bản pháp luật quốc tế Điều đó được thể hiện thông qua một số văn bản pháp luật quốc tế sau:

* Công ước của Hội đồng Châu Âu về tội phạm mạng 2001 (Công ước Budapest) chia tội phạm mạng thành thành 4 nhóm sau đây:

Thứ nhất, các tội xâm phạm tính bí mật, toàn vẹn và khả dụng của dữ liệu máy tính

và hệ thống máy tính gồm 05 tội: tội truy cập bất hợp pháp (Điều 2), tội ngăn chặn

bất hợp pháp (Điều 3), tội gây rối dữ liệu máy tính (Điều 4), tội gây rối hệ thống (Điều 5), tội lạm dụng các thiết bị (Điều 6)

Thứ hai, các tội liên quan đến máy tính gồm 2 tội: Tội giả mạo liên quan đến

máy tính (Điều 7), tội lừa đảo liên quan đến máy tính (Điều 8)

Thứ ba, các tội liên quan đến nội dung gồm: Các tội phạm liên quan đến tài liệu

khiêu dâm trẻ em (Điều 9) và các tội phân biệt chủng tộc hoặc bài ngoại thông qua

hệ thống máy tính Các tội phân biệt chủng tộc hoặc bài ngoại thông qua hệ thống máy tính được quy định trong Nghị định thư bổ sung Công ước Budapest năm 20035 Theo Điều 3 của Nghị định thư, tội phân biệt chủng tộc hoặc bài ngoại thông qua

hệ thống máy tính các hành vi của người không có thẩm quyền, cố ý phân phối hoặc phát tán các tài liệu phân biệt chủng tộc hoặc bài ngoại thông qua hệ thống máy tính Trong đó, theo Điều 2 của Nghị định thư, “tài liệu phân biệt chủng tộc hoặc bài ngoại” là bất kỳ tài liệu viết, hình ảnh hoặc các hình thức thể hiện ý tưởng, học thuyết ủng hộ, quảng bá, kích động thù hận, phân biệt, bạo lực chống lại cá nhân hoặc nhóm người dựa trên tiêu chí chủng tộc, mầu da, nguồn gốc, dân tộc, tôn giáo, các yếu tố khác

Thứ tư, các tội xâm phạm quyền tác giả và các quyền liên quan (Điều 10)

Ngoài 04 nhóm trên, Công ước Budapest 2001 quy định là tội phạm các hành vi đồng phạm xúi giục hoặc giúp sức để thực hiện các tội phạm theo quy định từ Điều 2 đến Điều 10 của Công ước Bên cạnh đó, Công ước cũng quy định các nước thành viên

có thể quy định là tội phạm đối với hành vi phạm tội chưa đạt đối với các tội phạm theo quy định tại Điều 3 đến Điều 5, Điều 7, Điều 8 và Điều 9.1 a và c của Công ước

* Luật mẫu về tội phạm máy tính và liên quan đến máy tính của Khối thịnh vượng chung (Anh, Autrialia, Newzland…) (2002)

Luật mẫu 2002 là văn bản quốc tế không có giá trị bắt buộc, nhưng các nước trong khối tham khảo để đưa vào luật của nước mình Luật mẫu 2002 không có quy định

về khái niệm tội phạm máy tính và liên quan đến máy tính, mà chỉ quy định cụ thể về những tội: tội truy cập bất hợp pháp (Điều 5), tội gây rối dữ liệu (Điều 6), tội gây rối

hệ thống máy tính (Điều 7), tội ngăn chặn bất hợp pháp dữ liệu (Điều 8), tội lạm dụng các công cụ, thiết bị liên quan đến máy tính (Điều 9), tội phạm liên quan đến tài liệu khiêu dâm trẻ em (Điều 10)

* Công ước của các nước Châu Phi về an ninh mạng và bảo vệ dữ liệu cá nhân (2014): Nội dung Công ước không có quy định về khái niệm tội phạm mạng, mà chỉ

5 Council of Europe, Additional Protocol to the Convention on Cybercrime, concerning the criminalisation

of acts of a racist and xen ophobic nature committed through computer systems,

https://rm.coe.int/CoERMPublicCommonSearchServices/DisplayDCTMContent?documentId=090000168008

16, ngày truy cập 20/8/2024

quy định liệt kê những hành vi phạm tội trong lĩnh vực này tại Điều 29 và 306 Theo đó, tội phạm mạng bao gồm các tội sau:

Thứ nhất, các tội phạm tấn công hệ thống máy tính bao gồm: Truy cập hoặc cố ý

truy cập bất hợp pháp vào một phần hoặc toàn bộ hệ thống máy tính hoặc vượt quá thẩm quyền truy cập; Truy cập hoặc cố ý truy cập bất hợp pháp vào một phần hoặc toàn bộ hệ thống máy tính hoặc vượt quá thẩm quyền truy cập với ý định phạm một tội khác hoặc chuẩn bị phạm tội khác; Gian dối để duy trì hoặc cố ý duy trì quyền truy cập vào một phần hoặc toàn bộ hệ thống máy tính (sau khi đã hết quyền truy cập vào hệ thống máy tính đó); Che giấu, làm sai lệch hoặc cố ý giấu, làm sai lệch chức năng của hệ thống máy tính; Nhập hoặc cố ý nhập dữ liệu giả vào hệ thống máy tính; Hủy hoại hoặc cố ý hủy hoại; xóa hoặc cố ý xóa; làm hư hỏng hoặc cố ý làm hư hỏng; thay thế hoặc cố ý thay thế; thay đổi hoặc cố ý thay đổi dữ liệu máy tính một cách gian dối; Ngoài ra, Công ước khuyến khích các quốc gia thành viên thực hiện các quy định sau:

- Áp dụng các quy định cần thiết để các nhà cung cấp các sản phẩm thông tin truyền thông có chính sách đánh giá về các biện pháp an toàn và bảo mật đối với sản phẩm (bởi những chuyên gia độc lập và nhà nghiên cứu) và phát hiện ra các lỗ hổng bảo mật của sản phẩm, đưa ra các giải pháp để sửa chữa các lỗi đó cho khách hàng

- Quy định là tội phạm đối với các hành vi sản xuất, bán, nhập khẩu, sở hữu, phổ biến,

đề nghị, nhượng lại hoặc sửa chữa bất hợp pháp các thiết bị máy tính, chương trình hoặc bất kỳ công cụ hoặc dữ liệu được thiết kế hoặc sửa chữa lại để phạm tội hoặc vi phạm pháp luật hoặc sản xuất mật khẩu, mã truy cập hoặc các dữ liệu máy tính tương tự cho phép truy cập vào một phần hoặc toàn bộ hệ thống máy tính

Thứ hai, các tội phạm xâm hại dữ liệu máy tính, bao gồm: Chặn hoặc cố ý chặn

dữ liệu máy tính trái phép bằng các biện pháp kỹ thuật trong quá trình truyền tải dữ liệu (không công khai) tới hệ thống máy tính, từ hệ thống máy tính hoặc bằng hệ thống máy tính; Cố ý đưa vào, thay thế, xóa hoặc ngăn chặn dữ liệu máy tính để tạo ra các

dữ liệu giả, sau đó cố ý sử dụng dữ liệu giả này như một dữ liệu thật (trong trường hợp này, các quốc gia có thể chỉ coi là tội phạm với ý định gian dối hoặc không trung thực);

Sử dụng dữ liệu mà biết rõ dữ liệu đó được thu thập một cách gian dối từ một hệ thống máy tính; Mua bán gian dối cho mình hoặc cho người khác bất kỳ một lợi ích nào bằng việc thêm vào, thay thế, xóa hoặc ngăn chặn dữ liệu máy tính hoặc bất kỳ hành vi can thiệp nào tới chức năng của một hệ thống máy tính; Cố ý hoặc vô ý không tuân thủ đúng quy trình trong việc xử lý dữ liệu cá nhân; Gia nhập hoặc thành lập tổ chức tội phạm để chuẩn bị hoặc để phạm một hoặc một số tội phạm được quy định trong Công ước này

6 Nguồn: https://ccdcoe.org/sites/default/files/documents/AU-270614-CSConvention.pdf, ngày truy cập 12/8/2024

Thứ ba, các tội phạm về nội dung có liên quan đến CNTT, MVT: Sản xuất,

đăng ký, đề nghị, cung cấp, phân phối và truyền tải hình ảnh hoặc cuộc biểu diễn khiêu dâm trẻ em thông qua hệ thống máy tính; Mua bán cho mình hoặc cho người khác, nhập khẩu hoặc đã nhập khẩu; xuất khẩu hoặc đã xuất khẩu hình ảnh hoặc cuộc biểu diễn khiêu dâm trẻ em thông qua hệ thống máy tính; Sở hữu một hình ảnh hoặc cuộc biểu diễn khiêu dâm trẻ em trong hệ thống máy tính hoặc phương tiện lưu giữ

dữ liệu máy tính; Tạo điều kiện hoặc cung cấp quyền truy cập vào dữ liệu có hình ảnh, tài liệu, âm thanh hoặc cuộc biểu diễn về khiêu dâm trẻ em; Tạo ra, tải xuống, phân phối hoặc cung cấp bất kể tài liệu viết, tin nhắn, hình ảnh, hình vẽ hoặc các hình thức thể hiện khác về tư tưởng hoặc học thuyết phân biệt chủng tộc, sắc tộc thông qua hệ thống máy tính; Thông qua hệ thống máy tính, đe dọa sẽ phạm tội chống lại người khác vì lý

do chủng tộc, mầu da, nguồn gốc, quốc tịch hoặc tôn giáo, tín ngưỡng; Thông qua

hệ thống máy tính, xúc phạm người khác vì lý do chủng tộc, mầu da, nguồn gốc, quốc tịch hoặc tôn giáo, tín ngưỡng; Thông qua mạng máy tính, chấp nhận, khuyến khích hoặc biện minh cho các hành vi phạm tội diệt chủng hoặc tội phạm chống loài người

Thứ tư, tội phạm về tài sản liên quan đến CNTT, MVT (khoản 1 Điều 30):

Các tội sử dụng CNTT, MVT để thực hiện trộm cắp tài sản, lừa đảo, tiêu thụ tài sản trộm cắp, lạm dụng tín nhiệm, tống tiền, khủng bố và rửa tiền

* Công ước các nước Ả - rập về chống tội phạm công nghệ thông tin:

Các tội phạm công nghệ thông tin được Công ước quy định từ Điều 6 đến Điều

18, bao gồm: tội truy cập bất hợp pháp (Điều 6), tội can thiệp bất hợp pháp (Điều 7), tội xâm phạm tính toàn vẹn của dữ liệu (Điều 8), tội lạm dụng công cụ, phần mềm dùng để phạm tội (Điều 9), tội giả mạo (Điều 10), tội phạm lừa đảo (Điều 11), tội phạm

về tài liệu khiêu dâm trẻ em (Điều 12), tội phạm về đánh bạc và khai thác tình dục thông qua việc sử dụng CNTT, MVT (Điều 13), tội phạm xâm phạm quyền riêng tư (Điều 14), tội phạm khủng bố thông qua CNTT, MVT (Điều 15), tội phạm liên quan đến tổ chức phạm tội được thực hiện bằng công nghệ thông tin như: rửa tiền, buôn ma túy, buôn người, tổ chức buôn người, buôn vũ khí (Điều 16), tội phạm về quyền tác giả và các quyền liên quan thông qua công nghệ thông tin (Điều 17), tội sử dụng bất hợp pháp các công cụ thanh toán điện tử (Điều 18)

2 Tội phạm mạng theo Pháp luật Hình sự Việt Nam

Theo khoản 7 Điều 2 Luật An ninh mạng (2018), tội phạm mạng là hành vi sử dụng không gian mạng, công nghệ thông tin hoặc phương tiện điện tử để thực hiện tội phạm được quy định tại Bộ luật Hình sự Trong đó, không gian mạng là mạng lưới kết nối của cơ sở hạ tầng công nghệ thông tin, bao gồm mạng viễn thông, mạng Internet, mạng máy tính, hệ thống thông tin, hệ thống xử lý và điều khiển thông tin,

cơ sở dữ liệu; là nơi con người thực hiện các hành vi xã hội không bị giới hạn bởi không gian và thời gian7 Công nghệ thông tin là tập hợp các phương pháp khoa học, công nghệ và công cụ kỹ thuật hiện đại để sản xuất, truyền đưa, thu thập, xử lý, lưu trữ

và trao đổi thông tin số8 Phương tiện điện tử là phần cứng, phần mềm, hệ thống thông tin hoặc phương tiện khác hoạt động dựa trên công nghệ thông tin, công nghệ điện, điện tử, kỹ thuật số, từ tính, truyền dẫn không dây, quang học, điện từ hoặc công nghệ khác tương tự9 Theo định nghĩa trên, tội phạm mạng trong Bộ luật Hình sự được chia thành 02 nhóm:

Thứ nhất, tội phạm trong lĩnh vực công nghệ thông tin, mạng viễn thông: Tội phạm

mạng là hành vi nguy hiểm cho xã hội được quy định trong BLHS, do người có năng lực TNHS sử dụng CNTT, MVT thực hiện với lỗi cố ý, xâm phạm an toàn mạng máy tính, mạng viễn thông, phương tiện điện tử, dữ liệu điện tử Các tội này được quy định tại Mục 2 Chương XXI Bộ luật hình sự có 9 điều, gồm: Điều 285 (Tội sản xuất, mua bán, trao đổi hoặc tặng cho công cụ, thiết bị, phần mềm để sử dụng vào mục đích trái pháp luật); Điều 286 (Tội phát tán chương trình tin học gây hại cho hoạt động của mạng máy tính, mạng viễn thông, phương tiện điện tử); Điều 287 (Tội cản trở hoặc gây rối loạn hoạt động của mạng máy tính, mạng viễn thông, phương tiện điện tử); Điều 288 (Tội đưa hoặc sử dụng trái phép thông tin mạng máy tính, mạng viễn thông); Điều 289 (Tội xâm nhập trái phép vào mạng máy tính, mạng viễn thông hoặc phương tiện điện tử của người khác); Điều 290 (Tội sử dụng mạng máy tính, mạng viễn thông, phương tiện điện tử thực hiện hành vi chiếm đoạt tài sản); Điều 291 (Tội thu thập, tàng trữ, trao đổi, mua bán, công khai hóa trái phép thông tin về tài khoản ngân hàng); Điều 293 (Tội

sử dụng trái phép tần số vô tuyến điện dành riêng cho mục đích cấp cứu, an toàn, tìm kiếm, cứu hộ, cứu nạn, quốc phòng, an ninh); Điều 294 (Tội cố ý gây nhiễu có hại)

Thứ hai, tội phạm sử dụng mạng máy tính, mạng viễn thông, phương tiện điện tử để

thực hiện các tội phạm khác, gồm 03 nhóm:

(1) Tội phạm sử dụng mạng máy tính, mạng viễn thông, phương tiện điện tử để xâm phạm an ninh quốc gia: tội khủng bố nhằm chống chính quyền nhân dân bằng hình thức tấn công, xâm hại, cản trở, gây rối loạn hoạt động của mạng máy tính, mạng viễn thông, phương tiện của cơ quan, tổ chức, cá nhân quy định tại điểm d khoản 2 Điều 113 BLHS;

(2) Tội phạm sử dụng mạng máy tính, mạng viễn thông, phương tiện điện tử để xâm phạm danh dự, nhân phẩm con người: có 2 tội gồm tội làm nhục người khác (điểm

e khoản 2 Điều 155 BLHS) và vu khống người khác (điểm e khoản 2 Điều 156 BLHS);

7 Xem: khoản 3 Điều 2 Luật an ninh mạng;

8 Xem: khoản 1 Điều 4 Luật công nghệ thông tin;

9 Xem: khoản 2 Điều 3 Luật giao dịch điện tử

(3) Tội phạm sử dụng mạng máy tính, mạng viễn thông, phương tiện điện tử để phạm tội xâm phạm an toàn công cộng, trật tự công cộng (ngoài mục 2 Chương XXI):

Có 03 tội gồm tội khủng bố (điểm d khoản 2 Điều 299 BLHS), tội đánh bạc (điểm c khoản 2 Điều 321 BLHS) và tội truyền bá văn hóa phẩm đồi trụy (điểm g khoản 2 Điều 326 BLHS)

So sánh giữa pháp luật hình sự Việt Nam và một số văn bản pháp luật quốc tế về tội phạm mạng có thể thấy, pháp luật hình sự Việt Nam còn có một số vấn đề cần tiếp tục nghiên cứu hoàn thiện như nguồn của luật hình sự; bổ sung thêm các tội có dấu hiệu “sử dụng mạng máy tính, mạng viễn thông, phương tiện điện tử” để thực hiện các tội phạm truyền thống10; sửa đổi, bổ sung quy định của một số tội hiện có để xử lý triệt để, nghiêm minh hơn đối với tội phạm mạng trong thời gian tới

3 Một số gợi mở tiếp tục nghiên cứu hoàn thiện quy định của Bộ luật Hình sự

về tội phạm mạng

Thứ nhất, về nguồn của Luật Hình sự về tội phạm mạng

Cần nghiên cứu phương án mở rộng nguồn của LHS, theo hướng BLHS không còn là nguồn duy nhất của LHS, mà còn có các nguồn khác như có luật riêng về tội phạm mạng hoặc trong luật chuyên ngành CNTT, MVT có chứa quy phạm pháp luật hình sự Điều này thực sự cần thiết đối với tội phạm trong lĩnh vực CNTT, MVT Bởi

vì loại tội phạm này luôn có sự thay đổi theo sự phát triển của lĩnh vực CNTT, MVT Nếu BLHS là nguồn duy nhất của pháp luật hình sự, khi tội phạm mạng thay đổi dẫn đến sửa đổi, bổ sung BLHS sẽ rất phức tạp Trong khi đó, thủ tục thay đổi văn bản luật hình sự hoặc luật có chứa đựng quy phạm pháp luật hình sự sẽ đơn giản hơn nhiều Một số nước như Mỹ, Nhật bên cạnh Bộ luật Hình sự vẫn có văn bản Luật về tội phạm mạng11 Đối với Luật Hình sự của Đức, ngoài Bộ luật hình sự còn có các luật chuyên ngành lĩnh vực CNTT, MVT có chứa đựng quy phạm pháp luật hình sự12

Thứ hai, quy định bổ sung thêm một số hành vi phạm tội mới

Một là, bổ sung quy định để truy cứu TNHS đối với pháp nhân thương mại về

tội này Theo quy định tại Điều 76 BLHS năm 2015, pháp nhân thương mại không phải chịu TNHS về tội phạm trong lĩnh vực CNTT, MVT Tuy nhiên, với quy định của BLHS năm 2015 về tội phạm mạng như hiện nay, trong tương lai cần bổ sung theo hướng truy cứu TNHS pháp nhân thương mại đối với một số tội phạm mạng như tội sản xuất, mua bán, trao đổi, tặng cho công cụ, thiết bị, phần mềm để sử dụng vào mục đích phạm tội (Điều 285) Việc bổ sung này là cần thiết vì các lý do sau:

(1) nếu pháp nhân thương mại thực hiện tội này sẽ gây ra hậu quả rất lớn vì số lượng công cụ, thiết bị, phần mềm được sản xuất, mua bán sẽ rất lớn; (2) động cơ phạm tội của tội này thường là động cơ vụ lợi, trong khi đó pháp nhân thương mại là tổ chức hoạt động nhằm mục đích lợi nhuận nên có thể thực hiện tội phạm này; (3) Hiện một số văn bản quốc tế như Công ước Budapest 2001 tuy không quy định bắt buộc nhưng cũng đề cập đến việc xử lý trách nhiệm của pháp nhân đối với tội này, kể cả biện pháp

xử lý hình sự13

Hai là, xem xét bổ sung quy định dấu hiệu “Sử dụng mạng máy tính, mạng

viễn thông, phương tiện điện tử để phạm tội” vào các tội sau:

- Bổ sung điểm e khoản 2 Điều 225 (Tội xâm phạm quyền tác giả, quyền liên quan):

e) “Sử dụng mạng máy tính, mạng viễn thông, phương tiện điện tử để phạm tội”;

- Bổ sung điểm e khoản 2 Điều 225 (Tội xâm phạm quyền sở hữu công nghiệp):

e) “Sử dụng mạng máy tính, mạng viễn thông, phương tiện điện tử để phạm tội”;

- Bổ sung điểm h khoản 2 Điều 147 (Tội sử dụng người dưới 16 tuổi vào mục đích khiêu dâm):

h) “Sử dụng mạng máy tính, mạng viễn thông, phương tiện điện tử để phạm tội”;

- Bổ sung điểm g khoản 2 Điều 150 (Tội mua bán người):

g) “Sử dụng mạng máy tính, mạng viễn thông, phương tiện điện tử để phạm tội”;

- Bổ sung điểm i khoản 2 Điều 151 (Tội mua bán người dưới 16 tuổi):

i) “Sử dụng mạng máy tính, mạng viễn thông, phương tiện điện tử để phạm tội”;

- Bổ sung điểm i khoản 2 Điều 324 (Tội rửa tiền):

i) “Sử dụng mạng máy tính, mạng viễn thông, phương tiện điện tử để phạm tội”;

- Bổ sung điểm g khoản 2 Điều 341 (Tội làm giả con dấu, tài liệu của cơ quan,

tổ chức; tội sử dụng con dấu tài liệu giả của cơ quan, tổ chức):

g) “Sử dụng mạng máy tính, mạng viễn thông, phương tiện điện tử để phạm tội”;

- Bổ sung quy định dấu hiệu “Nội dung khiêu dâm, đồi truỵ về người dưới 16 tuổi” vào điểm i khoản 2 Điều 326 Coi đây là dấu hiệu tăng nặng định khung so với văn hoá phẩm đồi truỵ về người từ 16 tuổi trở lên

Thứ ba, sửa đổi một số nội dung để phù hợp với pháp luật quốc tế:

Một là, quy định bổ sung các hành vi “chiếm hữu, sở hữu nhằm cho người khác

sử dụng” và “đề nghị người khác sử dụng, nhập khẩu” công cụ, thiết bị, phần mềm

để sử dụng vào mục đích phạm tội tại Điều 285 (Tội sản xuất, mua bán, trao đổi hoặc tặng cho công cụ, thiết bị, phần mềm để sử dụng vào mục đích trái pháp luật):

Với quy định như hiện nay, Điều 285 BLHS năm 2015 chỉ quy định các hành vi

“sản xuất, mua bán, trao đổi, tặng cho” công cụ, thiết bị, phần mềm để sử dụng vào mục đích trái pháp luật là tội phạm

13 Xem: Điều 12 Công ước Budapest 2001

Còn các hành vi “chiếm hữu, sở hữu nhằm cho người khác sử dụng” hoặc “đề nghị người khác sử dụng, nhập khẩu” công cụ, thiết bị, phần mềm để sử dụng vào mục đích phạm tội không bị coi là tội phạm Thực tế, những hành vi này cũng nguy hiểm không kém gì so với hành vi mua bán, trao đổi, tặng cho quy định tại Điều 185 BLHS năm 2015 Hơn nữa, trong thực tế những hành vi như vậy đã và sẽ ngày càng nhiều Việc bổ sung

các hành vi “chiếm hữu, sở hữu nhằm cho người khác sử dụng” và “đề nghị người

khác sử dụng, nhập khẩu” công cụ, thiết bị, phần mềm để sử dụng vào mục đích phạm

tội tạo cơ sở pháp lý cho việc xử lý đối với những hành vi nguy hiểm này Đồng thời, việc bổ sung này cũng phù hợp với các văn bản pháp luật quốc tế hiện nay như Công ước Budapest 2001, Luật mẫu 2002 đều có quy định về các hành vi này14 Khi bổ sung thêm các hành vi “chiếm hữu, sở hữu nhằm cho người khác sử dụng” và “đề nghị người khác

sử dụng, nhập khẩu” công cụ, thiết bị, phần mềm để sử dụng vào mục đích phạm tội vào Điều 185 BLHS năm 2015, tên của điều luật này cũng phải sửa đổi, bổ sung theo Theo đó, tội danh tại Điều 185 BLHS năm 2015 sẽ là “Tội lạm dụng cộng cụ, thiết bị, phần mềm để sử dụng vào mục đích phạm tội”

Hai là, sửa đổi, bổ sung quy định về dấu hiệu trong cấu thành tội phạm cơ bản

kể cả khi hậu quả chưa xảy ra hoặc không xác định được hậu quả Cụ thể, đối với Điều 286, Điều 287 và Điều 288 của BLHS năm 2015 chỉ cần có hành vi tác động đến những đối tượng có tính quan trọng đặc biệt như hệ thống dữ liệu thuộc bí mật nhà nước;

hệ thống thông tin phục vụ quốc phòng, an ninh; cơ sở hạ tầng thông tin quốc gia;

hệ thống thông tin điều hành lưới điện quốc gia; hệ thống thông tin tài chính, ngân hàng;

hệ thống thông tin điều khiển giao thông đã thể hiện đầy đủ tính nguy hiểm cho xã hội của hành vi phạm tội Do đó, tội phạm sẽ được coi là hoàn thành kể từ khi có hành vi phạm tội, không kể hậu quả đã xảy ra hay chưa Trường hợp, các hành vi phạm tội đã gây ra hậu quả thì việc xâm hại đến những đối tượng trên được coi là dấu hiệu tăng nặng định khung của tội phạm đó

14 Xem: Điều 6 Công ước Busdapest 2001 và Điều 9 Luật mẫu 2002

Theo hướng này, tác giả đề xuất sửa đổi, bổ sung về cấu thành tội phạm của các tội sau đây:

(1) Đối với Điều 286 (Tội phát tán chương trình tin học gây hại cho hoạt động của mạng máy tính, mạng viễn thông, phương tiện điện tử), bổ sung dấu hiệu đối tượng

tác động của tội phạm là “hệ thống dữ liệu thuộc bí mật nhà nước; hệ thống thông tin phục vụ quốc phòng, an ninh” vào cấu thành cơ bản tại khoản 1 và cấu thành tăng

nặng tại khoản 3 Như vậy, chỉ cần người phạm tội cố ý phát tán chương trình tin học gây hại cho “hệ thống dữ liệu thuộc bí mật nhà nước; hệ thống thông tin phục vụ quốc phòng, an ninh” là tội phạm đã hoàn thành, chưa cần phải gây ra hậu quả hoặc

đã bị xử phạt vi phạm hành chính hay có bị kết án trước đó Trường hợp phạm tội đối với những đối tượng này mà đã gây ra hậu quả hoặc trước đó đã bị xử phạt hành chính hay bị kết án sẽ bị coi là dấu hiệu tăng nặng TNHS tại khoản 3 Điều 286 Theo đó, Điều 286 sẽ được sửa đổi, bổ sung như sau:

Điều 286 Tội phát tán chương trình tin học gây hại cho hoạt động của mạng máy tính, mạng viễn thông, phương tiện điện tử

1 Người nào cố ý phát tán chương trình tin học gây hại cho mạng máy tính, mạng viễn thông, phương tiện điện tử thuộc một trong các trường hợp sau đây, thì bị phạt tiền từ 50.000.000 đồng đến 200.000.000 đồng, phạt cải tạo không giam giữ đến

03 năm hoặc phạt tù từ 06 tháng đến 03 năm:

Các điểm (a), (b), (c) và (d): giữ nguyên

đ) Đối với hệ thống dữ liệu thuộc bí mật nhà nước; hệ thống thông tin phục vụ quốc phòng, an ninh;

Các điểm (b), (c), (d) và (d) giữ nguyên

4 Giữ nguyên

(2) Đối với Điều 287 (Tội cản trở hoặc gây rối loạn hoạt động của mạng máy tính, mạng viễn thông, phương tiện điện tử), bổ sung các đối tượng sau vào cấu thành

cơ bản tại khoản 1:

(1) Hệ thống dữ liệu thuộc bí mật nhà nước; hệ thống thông tin phục vụ quốc phòng,

an ninh;

(2) Cơ sở hạ tầng thông tin quốc gia; hệ thống thông tin điều hành lưới điện quốc gia;

hệ thống thông tin tài chính, ngân hàng; hệ thống thông tin điều khiển giao thông

Theo đó, người phạm tội chỉ cần có hành vi cản trở hoặc gây rối loạn hoạt động đối với các đối tượng này thì tội phạm đã hoàn thành, không kể hậu quả của tội phạm có xảy ra hay chưa Trường hợp hậu quả của tội phạm đã xảy ra hoặc người phạm tội trước

đó đã bị xử phạt hành chính hoặc đã bị kết án về tội này mà chưa được xoá án tích, việc xâm phạm tới các đối tượng trên được coi là tình tiết tăng nặng TNHS tại khoản 3 Sau khi sửa đổi, bổ sung Điều 287 BLHS năm 2015 sẽ có nội dung sau:

Điều 287 Tội cản trở hoặc gây rối loạn hoạt động của mạng máy tính, mạng viễn thông, phương tiện điện tử

1 Người nào tự ý xóa, làm tổn hại hoặc thay đổi phần mềm, dữ liệu điện tử hoặc ngăn chặn trái phép việc truyền tải dữ liệu của mạng máy tính, mạng viễn thông, phương tiện điện tử hoặc có hành vi khác cản trở hoặc gây rối loạn hoạt động của mạng máy tính, mạng viễn thông, phương tiện điện tử thuộc một trong các trường hợp sau đây, thì bị phạt tiền từ 30.000.000 đồng đến 200.000.000 đồng hoặc phạt tù từ

06 tháng đến 03 năm:

Các điểm (a), (b), (c), (d), (đ): giữ nguyên

e) Đối với hệ thống dữ liệu thuộc bí mật nhà nước; hệ thống thông tin phục vụ quốc phòng, an ninh;

g) Đối với cơ sở hạ tầng thông tin quốc gia; hệ thống thông tin điều hành lưới điện quốc gia; hệ thống thông tin tài chính, ngân hàng; hệ thống thông tin điều khiển giao thông;

đ khoản 1 Điều này;

b) Đối với cơ sở hạ tầng thông tin quốc gia; hệ thống thông tin điều hành lưới điện quốc gia; hệ thống thông tin tài chính, ngân hàng; hệ thống thông tin điều khiển giao thông nếu thuộc một trong các trường hợp quy định từ điểm a đến điểm đ khoản 1 Điều này;

Các điểm (c), (d), (đ) và (e): giữ nguyên

4 Giữ nguyên

(3) Đối với Điều 288 (Tội đưa hoặc sử dụng trái phép thông tin mạng máy tính,

mạng viễn thông), bổ sung thêm đối tượng là “những thông tin có tác hại lớn cho xã hội” vào cấu thành cơ bản của tội phạm Theo đó, hành vi phạm tội cho dù

chưa gây ra thiệt hại, chưa gây dư luận xấu làm giảm uy tín của Cơ quan, tổ chức, cá nhân hoặc chưa thu được lợi bất chính, nhưng đối với “những thông tin có tác hại lớn

cho xã hội” sẽ bị coi là tội phạm đã hoàn thành Như vậy, Điều 288 BLHS năm 2015

sẽ được sửa đổi, bổ sung như sau:

Điều 288 Tội đưa hoặc sử dụng trái phép thông tin mạng máy tính, mạng viễn thông

Người nào thực hiện một trong các hành vi sau đây, thu lợi bất chính từ 50.000.000 đồng đến dưới 200.000.000 đồng hoặc gây thiệt hại từ 100.000.000 đồng đến dưới 500.000.000 đồng hoặc gây dư luận xấu làm giảm uy tín của Cơ quan, tổ chức,

cá nhân hoặc đối với những thông tin có tác hại lớn cho xã hội thì bị phạt tiền từ

30.000.000 đồng đến 200.000.000 đồng, phạt cải tạo không giam giữ đến 03 năm hoặc bị phạt tù từ 06 tháng đến 03 năm./

DANH MỤC TÀI LIỆU THAM KHẢO

1 Công ước Budapest (2001);

2 Luật an ninh mạng (2018);

3 Luật công nghệ thông tin (2006);

4 Luật giao dịch điện tử (2023);

5 Luật liên bang về bảo vệ dữ liệu, Luật viễn thông của Đức;

6 Luật truy cập máy tính bất hợp pháp (1999) của Nhật;

7 Luật về trộm danh tính nghiêm trọng (18 U.S.C.§1028A);

8 Luật về gian lận và các hoạt động liên quan đến thiết bị truy cập (18 U.S.C.§ 2029) của Mỹ;

9 United Nations, https://www.unodc.org/

CHALLENGES IN THE PRACTICAL IMPLEMENTATION OF LEGAL REQUIREMENTS CONCERNING CYBERCRIME:

DEFENDANT RIGHTS IN CYBERCRIME PROCEEDINGS

Prof.Dr Michael Tsambikakis *

Summary

Data as digital evidence

Crimes committed via the internet leave behind data as traces of the crime The focus of investigations is on collecting this data The digital evidence can be stored on the end devices of the defendant, the victim and also with their respective service providers The collection of content data is specifically regulated for telecommunications surveillance in section 100a and for covert remote search of information technology systems in section 100b of the German Code of Criminal Procedure, while the collection

of traffic data, subscriber data and usage data is regulated in sections 100g, 100j and 100k

of the German Code of Criminal Procedure The growing importance of data as evidence

is accompanied by a strengthening of the role of the police, who are responsible for evaluating the data in criminal proceedings

Data can be stored at home and abroad The end device can be used to access storage media that are not located at the search location The regulation in section 110

of the German Code of Criminal Procedure is especially relevant for data stored in the cloud But the regulation only applies to servers in Germany If the data is stored on servers abroad, access by German authorities, even if it is carried out from Germany, is generally subject to legal assistance from the foreign state in question It is an ongoing discussion in Germany, whether German investigative authorities are allowed to gather data that is stored on servers abroad without a request for legal assistance for cross-border access

Covert and overt investigative measures

The distinction between covert and overt investigative measures is not entirely clear-cut Covert measures take precedence for tactical investigative reasons The accused cannot (yet) defend himself against the accusation due to a lack of knowledge The increased intensity of the investigative measures requires correspondingly higher requirements to justify the measure

The accused only learns of the investigation proceedings through an overt (or open) measure directed against him, especially a search of his premises regulated in

* Lawyer, Federal Republic of Germany

section 102 of the German Code of Criminal Procedure As a result, the probability of further evidence being obtained decreases

Open measures directed against third parties are especially problematic from a defendant’s point of view Crimes committed via the Internet usually involve service providers on whose servers the accused's data is stored As long as the defendant is not notified, the intensity of the investigative measures is similar to that of covert measures

As a result of the introduction of the deferral of notification regulated in section 95a of the German Code of Criminal Procedure, any seizure of evidence from third parties can now stay covert This leads to a de facto reversal of the rule-exception relationship between overt and covert measures

I Data as digital evidence

1 Telecommunications surveillance, section 100a GCoCP

The authorizations for source telecommunications surveillance and online searches were introduced in Germany by a new regulation in 2017 and serve to circumvent encryption Source telecommunications surveillance is limited to the recording and extraction of conversations and messages that the person concerned makes at the

‘source’ - usually their device (sect 100a German Code of Criminal Procedure (abbr

GCoCP)) In this way, data from ongoing communications can be obtained before or

after the encrypted transmission

In addition, the data stored on the system regarding the content and circumstances

of the communication can be collected if they could have been monitored and recorded during the ongoing transmission process (sect 100a GCoCP) This means that data can be collected from the time the order is issued - possibly retroactively to the actual installation

of the technical means - in order to maintain functional equivalence to traditional telecommunications surveillance.1

This is a covert investigative measure In the 2020 reporting year, 25 intrusions

into IT systems were ordered and 14 systems were actually intruded upon2

The surveillance software is secretly installed on an IT system used by the

accused An information technology system is characterized by the fact that it generates, stores and processes personal data with a high information content3 Data has a high information content if it allows conclusions to be drawn about at least significant parts of the user's personal life4 Whether the system is protected against unauthorized access

is irrelevant5 In practical terms, the systems are often devices such as smartphones or computers In principle, cloud computing systems used by the accused can also be the target of the measure

In general, access to the device for the purpose of installing the software may only take place by technical means or by tricking the accused The installation of the software

by tricking the accused would be possible, for example, as part of a baggage check at

the airport, for which the person concerned hands over their laptop to the officers For

installation by technical means, investigating authorities exploit the security flaws/

vulnerabilities in an operating system, a firewall, an anti-virus software or a browser There is no authorization to secretly enter the home of the person concerned for this purpose6

The investigating authority may use a broad variety of technical means to carry

out source telecommunications surveillance In addition to the spying software primarily intended in the legislative procedure,7 the use of hardware such as ‘keyloggers’ is also possible8 Passwords obtained by the investigating authority can also be used as

technical means9 For example, the investigating authority can use a password to log into

a messenger account and read messages before and after they are encrypted

The telecommunications service providers have a duty to cooperate to some extend

This obligation may include, for example, providing assistance with the decryption of telecommunications data However, there is no obligation to install the technical means on the defendant's IT system.10 This would require a more specific regulation11

The technical details of the source telecommunications surveillance must be logged

(sect 100a GCoCP) The logging of the technical means used, the infiltrated system, the changes made to the system, etc is a precondition to check the legality of the measure12

When surveillance software is used, its source code must also be disclosed in order

to determine its actual range of functions13 The resulting risks that criminals could protect themselves from future use of the same software or even use the software themselves must be accepted in the absence of an independent review body14

5 BVerfG, Urt v 27 2 2008 - 1 BvR 370/07, 1 BvR 595/07;

6 BT-Drs 18/12758, 52;

7 BT-Drs 18/12785 S.51;

8 Löwe-Rosenberg/Hauck § 100a Rn 120;

9 OLG Stuttgart Bes v 19.5.2021 – 2 Ws 75/21; MüKoStPO/Rückert StPO § 100a Rn 203;

10 Löwe-Rosenberg/Hauck § 100a Rn 115; MüKoStPO/Rückert StPO § 100a Rn 214;

11 Meldung des Bundesrats vom 17.12.2021 ( Stand: 11.04.2023) online abrufbar:

2 Covert remote search of information technology systems, section 100b GCoCP

The authorizations of source telecommunications surveillance and online searches were introduced in Germany by a new regulation in 2017 and serve to circumvent encryption Through online searches the active usage of an IT system can be monitored and all data stored on the device can be transmitted by remote access15

Data is stored if it is captured, recorded or stored on a data carrier for processing or

use16 Typically, the data are text documents, images and videos The collection of stored data makes it possible to monitor the entire user behaviour of the accused, in particular their internet usage17 It is also argued that in the context of online searches, all telecommunications data stored on the system can be collected as well as the telecommunications taking place during the measure can be monitored18

The online search is a covert investigative measure In the 2020 reporting year, online

searches were ordered in 10 investigations and 8 IT systems were actually interfered with19

The surveillance software is secretly installed on an information technology system used by the accused The device may only be accessed for the purpose of

installing the software by technical means or by tricking the accused The investigating

authority may use a broad variety of technical means Activation of the camera and microphone by remote access, which would be technically feasible, is not covered by

sect 100b GCoCP: According to the wording of the law, the data is to be collected from the infiltrated system Creating new data by using the IT device cannot be subsumed under the wording20 However, if the accused activates the camera and microphone themselves, e.g on a so-called smart speaker such as Amazon Echo with voice assistant Alexa, the collection and monitoring of this data is not fundamentally excluded21 In addition, investigating authorities can collect recordings of smart speakers, which the respective telemedia service provider stores as usage data, in accordance with sect 100k GCoCP

3 Examination of electronic storage media, section 110 GCoCP

Section 110 GCoCP has been in force in its current version since 2021 in Germany It

is carried out or started during the search and is an open investigative measure The rough inspection of the objects or data during the search serves to assess whether they

15 Löwe-Rosenberg/ Hauck § 100b Rn 106; KK-StPO/Henrichs/Weingast StPO § 100b Rn 5; KMR-

StPO/Bär § 100b Rn 17;

16 Löwe-Rosenberg/Hauck § 100b StPO Rn 106;

17 Meyer-Goßner/Schmitt/Köhler § 100b Rn 1;

18 KMR-StPO/Bär § 100b Rn 17; MüKoStPO/Rückert StPO § 100b Rn 44;

19 Bundesamt für Justiz, Übersicht Telekommunikationsüberwachung 2020 (Stand: August 2022); online

abrufbar: https://www.bundesjustizamt.de/DE/Service/Justizstatistiken/Justizstatistiken_node.html;

20 A.A KK-StPO/Henrichs/Weingast StPO § 100b Rn 5;

21 Anders ZIS 2/2020 S.77; a.A Rüscher NStZ 2018, 687 (691)

have potential significance as evidence 22 The inspection serves to prevent permanent state access to data that is not relevant to the proceedings, along with the associated risks of misuse 23

Investigators are authorized to review data on local storage media (such as USB sticks, hard drives, but also end devices such as mobile phones and PCs)

The device located at the location specified in the search warrant can be used to access spatially separated storage media that are not located at the search location The

regulation has practical relevance for data stored in the cloud This only includes

servers in Germany

If the data is stored on servers abroad, access by German authorities, even if it is

carried out from Germany, is an encroachment on foreign sovereign rights and as such generally subject to mutual legal assistance by the foreign state in question 24 If the person affected by the search does not give consent in accordance with Art 32 of the Cybercrime Convention, a request for mutual legal assistance is required for cross- border access 25

In practice, a request for mutual legal assistance is considered unnecessary if the

storage location of the data is unknown and there is a possibility that the storage

location is in Germany 26 But even if the country to be requested cannot be determined and may change at any time, this merely means that a request cannot be addressed and that evidence cannot be collected abroad This does not make it admissible This is because the principle of sovereignty must be observed in relation to all other states An examination of storage media pursuant to Section 110 GCoCP that takes place abroad is inadmissible, regardless of which foreign state would be affected by the measure 27

From a defence perspective, it is therefore advisable to provide the investigating authorities with knowledge of the server location as quickly as possible - ideally before accessing the storage location and the provisional seizure of data, or at least before starting to review the seized data If the person affected by the measure does not have contractual documents from their service provider that show the server locations, information accessible online may also suffice for large service providers It is sufficient

to state that the server is not located in Germany

22 Meyer-Goßner/Schmidt/Köhler § 110 Rn 1;

23 BVerfG, Beschl v 12.4.2005 – 2 BvR 1027/02;

24 Löwe-Rosenberg/Tsambikakis § 110 Rn 9; HK-StPO/Gercke § 110 Rn 26; Graf/StPO-Hegmann, § 110 Rn.16; Bär ZIS 2011, 53, (54 ff.); Brodowski/Eisenmenger ZD 2014, 119 (122 f.); Kudlich GA 2011, 193 (208); Gaede StV 2009, 96 (101); a.A Wicker MMR 2013; 765 (769); ebenso KK-StPO/Henrichs/Weingast StPO § 110 Rn 8a; Untch KriPoz 2022, 420 (421);

25 Zerbes/El-Ghazi NStZ 2015, 425 (430);

26 Meyer-Goßner/Schmitt/Köhler, StPO, § 110 Rn 7b; so auch BR-Beschl vom 06.07.2018, BR-Drs 215/18 (B), S 13;

27 Nadeborn StraFo 2022, 144, 146 entgegen LG Koblenz, Beschl v 24.8.2021 – 4 Qs 59/21; HK-StPO/Gercke § 110 Rn 28f

It is disputed whether the collection of data abroad without the existence of a request for legal assistance results in a prohibition to use the evidence According to

some, the violation of the principle of territoriality the evidence is not prohibited in

court if the foreign sovereignty was only disregarded by chance and not arbitrarily 28 According to others, the violation of international law - Act on International Mutual Assistance in Criminal Matters (= Gesetz über die internationale Rechtshilfe in Strafsachen) and Convention on Mutual Assistance in Criminal Matters between the Member States of the European Union (= Übereinkommen zur Rechtshilfe in Strafsachen zwischen den Mitgliedstaaten der Europäischen Union) - never leads to a prohibition of the evidence, as the violated law is not of an individual-protecting nature 29 The violation of the principle of territoriality per se does not, in principle, affect the legal sphere of the individual against whom the evidence is to be used; only the relationship between two states as subjects of international law is affected 30

This ongoing discussion in Germany, whether German investigative authorities are allowed to gather data that is stored on servers abroad, will be obsolete, when an

EU Directive comes in effect in Germany in 2026, that creates the conditions for the cross-border collection of electronic evidence within the EU

II Covert and overt investigative measures

1 Search of accused’s information technology systems, section 102 GCoCP

Investigating authorities are authorized to search for persons or objects in rooms (e.g motor vehicles or data carriers) and premises (e.g homes and business premises) even against the will of suspects in accordance with sect 102 of the GCoCP and non- suspected third parties in accordance with sect 103 of the GCoCP.31 If the search warrant orders the search for data carriers and data, which is regularly carried out using IT forensic

experts from the State Criminal Police Office, this is known as an IT search The search

and the subsequent seizure are the most important open investigative measures

In the case of a search of the accused (sect 102 GCoCP) and third parties (sect

103 GCoCP), the success of the measure - the obtaining of relevant evidence - must be

sufficiently probable, so-called presumption of discovery Because it can regularly be

assumed that relevant evidence will be found in the defendant's area of control, the

search pursuant to sect 102 GCoCP only requires an abstract presumption of

28 Wicker, MMR 2013, 765 (769); SK-StPO/ Wohlers/Jäger, 5 Aufl 2016, § 102 Rn 15a; so auch BR-Beschl

vom 06.07.2018 bzgl e-evidence, BR-Drs 215/18;

29 LG Berlin, Beschl v 29.12.2022 – 519 Qs 8/22 mit Verweis auf BGH, Beschl v 2.3.2022 - 5 StR 457/21, Rn

38 ; BGH, Beschl v 21.11.2012 - 1 StR 310/12, Rn.25; BGH, Urt v 8.4.1987 – 3 StR 11/87; OLG München, Beschl v 4.3.2015 - 4 OLG 13 Ss 662/14, Rn.9;

30 LG Berlin, Beschl v 29.12.2022 – 519 Qs 8/22; a.A BGH, Urt v 7.11.1991 - 4 StR 252/91, Rn.64; OLG Koblenz, Beschl v 30.10.2014 – 1 OWi 3 SsBs 63/14;

31

Park, Durchsuchung und Beschlagnahme, Rn 31; BGH Beschl v 6.5.2014 − 5 StR 99/14

discovery.32 In this case, it is sufficient to make an assumption based on forensic experience that evidence can be found on the accused 33 However, if a lot of time has

elapsed between the offence under investigation and the search warrant and the accused is aware of the proceedings, a successful search cannot (or can no longer) be assumed without further factual indications.34 Since there is no suspicion of an offence against a third

party, the search pursuant to sect 103 of the GCoCP requires a concrete presumption of discovery; there must be facts to support the assumption that the specific evidence sought is

likely to be found in the searched items belonging to the third party 35.

Before the search is carried out, the person concerned must be given the

opportunity to voluntarily hand over the evidence sought in order to avert the search36.

Rooms may also be searched at night if certain facts give rise to the suspicion that

an electronic storage medium will be accessed during the search which could be considered as evidence and without the search at night the evaluation of the electronic storage medium, in particular in unencrypted form, would be futile or considerably more difficult (sect 104 GCoCP) This is particularly the case if the unencrypted analysis is only possible while the device is being used by the accused37.

2 Deferring notification of accused, section 95a GCoCP

Sect 95a GCoCP was introduced in Germany in 2021 If a search has been carried out on a third party in accordance with sect 103 GCoCP, the notification of the accused can now be postponed and the third party affected by the measure can be prohibited to disclose the measure to the accused

The search and seizure itself can still be ordered on the basis of an initial suspicion

of any criminal offence Only the postponement of notification until the conclusion of the investigation requires the initial suspicion of a significant criminal offence The prohibition of disclosure can be enforced by means of an administrative fine and imprisonment

This leaves the investigating authorities with the option of other covert investigative measures38. In this context, the public prosecutor's office can refuse access

to the files until the investigation has been completed because the purpose of the

investigation would otherwise be jeopardized This prevents an effective early defence

32 Hiéramente NStZ 2021, 390 (391); BVerfG Beschl v 9.8.2019 – 2 BvR 1684/18;

33 BVerfG Beschl v 20.11.2019 – 2 BvR 31/19, 2 BvR 886/19;

34 BVerfG Beschl v 20.11.2019 – 2 BvR 31/19, 2 BvR 886/19; Park, Durchsuchung und Beschlagnahme, Rn 54;

35 Löwe-Rosenberg/Tsambikakis, § 103 Rn 14; BVerfG Beschl v 11.1.2016 – 2 BvR 1361/13;

36MüKoStPO/Hauschild, § 103 Rn 16; Meyer-Goßner/Schmitt/Köhler, StPO, § 103 Rn 1a; enger Löwe- Rosenberg/Tsambikakis, § 103 Rn 8;

37 BT Drs 19/30517, S 18;

38 BR-Drs 57/21, S 35

As long as the defendant is not notified, the intensity of the investigative measures is similar to that of covert measures The introduction of the deferral of notification regulated in section 95a of the German Code of Criminal Procedure leads to a de facto reversal of the rule-exception relationship between overt and covert measures./

REFERENCES LIST

1 MüKoStPO/Hauschild, § 103 Rn 16; Meyer-Goßner/Schmitt/Köhler, StPO, §

103 Rn 1a; enger Löwe- Rosenberg/Tsambikakis, § 103 Rn 8;

2 LG Berlin, Beschl v 29.12.2022 – 519 Qs 8/22; a.A BGH, Urt v 7.11.1991 - 4 StR 252/91, Rn.64; OLG Koblenz, Beschl v 30.10.2014 – 1 OWi 3 SsBs 63/14;

3 LG Berlin, Beschl v 29.12.2022 – 519 Qs 8/22 mit Verweis auf BGH, Beschl v 2.3.2022 - 5 StR 457/21, Rn 38; BGH, Beschl v 21.11.2012 - 1 StR 310/12, Rn.25; BGH, Urt

v 8.4.1987 – 3 StR 11/87; OLG München, Beschl v 4.3.2015 - 4 OLG 13 Ss 662/14, Rn.9;

4 Wicker, MMR 2013, 765 (769); SK-StPO/ Wohlers/Jäger, 5 Aufl 2016, § 102

Rn 15a; so auch BR-Beschl vom 06.07.2018 bzgl e-evidence, BR-Drs 215/18;

5 Löwe-Rosenberg/Tsambikakis § 110 Rn 9; HK-StPO/Gercke § 110 Rn 26; Graf/StPO-Hegmann, § 110 Rn.16; Bär ZIS 2011, 53, (54 ff.); Brodowski/Eisenmenger ZD

2014, 119 (122 f.); Kudlich GA 2011, 193 (208); Gaede StV 2009, 96 (101); a.A Wicker MMR 2013; 765 (769); ebenso KK-StPO/Henrichs/Weingast StPO § 110 Rn;

6 Bundesamt für Justiz, Übersicht Telekommunikationsüberwachung 2020 (2022), https://www.bundesjustizamt.de/DE/Service/Justizstatistiken/Justizstatistiken_node.html;

7 Freiling/Safferling/Rückert JR 2018, 9 (12);

8 Löwe-Rosenberg/Tsambikakis, § 103 Rn 14; BVerfG Beschl v 11.1.2016 – 2 BvR 1361/13;

9 Freiling/Safferling/Rückert JR 2018, 9 (12)

QUY ĐỊNH CỦA LUẬT HÌNH SỰ LIÊN BANG ÚC VỀ TỘI PHẠM LIÊN QUAN ĐẾN CÔNG NGHỆ THÔNG TIN, MẠNG VIỄN THÔNG

VÀ KINH NGHIỆM CHO VIỆT NAM

PGS.TS Nguyễn Thị Phương Hoa * Tóm tắt: Bài viết phân tích quy định của Luật Hình sự Liên bang Úc liên quan đến

công nghệ thông tin và mạng viễn thông Trong đó, tác giả phân tích những khía cạnh liên quan đến dấu hiệu định tội, hình phạt đối với người thực hiện các tội liên quan đến công nghệ thông tin, mạng viễn thông Từ đó, nhìn nhận rõ hơn những điểm tương đồng và khác biệt trong quy định về hình phạt đối với người thực hiện tội phạm liên quan đến công nghệ thông tin, mạng viễn thông của Bộ luật Hình sự Úc v+à Việt Nam Trên cơ sở

đó, nhìn nhận những ưu điểm để Bộ luật Hình sự Việt Nam có thể tham khảo

Từ khóa: Bộ luật Hình sự Úc; Tội phạm công nghệ thông tin; Dấu hiệu định tội

1 Nguồn luật của luật hình sự Liên bang Úc về tội phạm liên quan đến công nghệ thông tin, mạng viễn thông

Hệ thống Luật của Úc thuộc gia đình thông luật Úc có cấu trúc liên bang với 06 bang (states) và 02 vùng lãnh thổ1 Mỗi Bang đều có cơ quan lập pháp với thẩm quyền ban hành luật để điều chỉnh quan hệ xã hội ngoài thẩm quyền của Liên bang Trong phạm vi của công trình nghiên cứu này, chúng tôi chỉ nghiên cứu Luật Hình sự của Liên bang Úc

Bộ luật Hình sự của Liên bang Úc (BLHS Úc) được ban hành năm 1995 Bộ luật này được sửa đổi, bổ sung nhiều lần Đáng chú ý là nhiều văn bản khác nhau có thể sửa đổi,

bổ sung BLHS Úc, ví dụ: Luật Viễn thông năm 1997 (Telecommunication Act 1997), Luật sửa đổi Luật về tội phạm (Tội phạm viễn thông và các biện pháp khác) năm 2004 hoặc Luật Tội phạm mạng năm 20012 Chúng tôi sử dụng bản cập nhật các sửa đổi, bổ sung đăng tải trên trang web của Liên bang3 Bên cạnh BLHS Úc, liên quan đến hình phạt đối với người phạm tội, có một văn bản quan trọng là Luật Tội phạm năm 1914, sửa đổi lần cuối năm 2018 (Crime Act 1914)4 Luật về tội phạm 1914 quy định về thẩm quyền, nghĩa vụ xử lý tội phạm liên bang (federal crimes) và các vấn đề liên quan như cách áp dụng hình phạt

* Trưởng khoa, Khoa Pháp luật hình sự, Trường Đại học Luật Thành phố Hồ Chí Minh

1 Edvisor Academy, Australia’s states and territories, Australia’s states and territories – Edvisor Academy;

2 Xem thêm: Dennis Miralis, Jasmina Ceic, Muhamed Naleemudeen, Cybersecurity Laws and Regulations of Legislation, Cybersecurity Laws and Regulations Report 2024 Australia (iclg.com);

3 Federal Register of Legislation (2019), Criminal Code Act 1995;

4 Về nguồn của luật này có thể xem tại: Federal Register of Legislation - Crimes Act 1914

23

Tội phạm liên quan đến công nghệ thông tin, mạng viễn thông

BLHS Úc được cấu trúc thành 10 Chương5 Tội phạm viễn thông (Telecommunications Offences) được quy định tại Phần 10.6 và Tội phạm máy tính (computer offences) được quy định tại Phần 10.7 Chương 10 về Cơ sở hạ tầng quốc gia (National Infrustructure) Như vậy, tội phạm viễn thông và tội phạm máy tính được quy định ở các phần khác nhau nhưng thuộc về cùng một chương

Quan sát quy định của BLHS Úc về tội phạm viễn thông và tội phạm máy tính có thể thấy rằng Liên bang Úc chọn cách tiếp cận rộng về các tội phạm này, bao gồm cả những tội phạm liên quan đến tình dục, khiêu dâm trẻ em và tự sát Đối với các tội phạm này, BLHS Việt Nam không quy định là tội phạm trong lĩnh vực công nghệ thông tin, mạng viễn thông (CNTTVT)

Căn cứ vào lý luận, tội phạm trong lĩnh vực CNTTVT có thể phân thành hai loại: (1) các tội phạm sử dụng CNTTVT để thực hiện tội phạm và (2) các tội phạm có đối tượng tác động là hệ thống CNTTVT hoặc dữ liệu điện tử 6 Thực tế cho thấy người phạm tội đã

sử dụng CNTTVT để thực hiện nhiều loại tội phạm khác nhau trong BLHS Do vậy, nếu không có quan điểm chỉ đạo rõ ràng về mặt lập pháp để phân định ranh giữa các tội phạm trong lĩnh vực CNTTVT như là một nhóm tội với các tội phạm khác thì dẫn đến phạm vi của các tội phạm trong lĩnh vực CNTTVT (Mục 2 Chương XXI) sẽ rất rộng Do vậy, với quan điểm rằng tội phạm trong lĩnh vực CNTTVT chỉ nên bao gồm những tội phạm xâm phạm an toàn CNTTVT mà đối tượng tác động là hệ thống CNTTVT và hoặc dữ liệu điện

tử, tác giả chỉ phân tích các tội phạm trong BLHS Úc có liên quan để đúc kết kinh nghiệm cho Việt Nam

2 Dấu hiệu định tội của các tội phạm liên quan đến công nghệ thông tin, mạng viễn thông trong BLHS Úc

2.1 Đối tượng tác động và hành vi khách quan của các tội về viễn thông

2.1.1 Tội gian dối đối với dịch vụ viễn thông

Đối tượng tác động của Tội gian dối đối với dịch vụ viễn thông

ĐTTĐ của tội này là dịch vụ viễn thông (carriage service) Theo giải thích của Luật viễn thông năm 1997, đó là các dịch vụ liên lạc bằng năng lượng điện từ (electromagnetic), bao gồm: dịch vụ điện thoại, dịch vụ internet và dịch vụ thoại qua giao thức Internet (VoIP)7

5 Mỗi chương quy định về một nhóm vấn đề và được cấu trúc thành phần (part) và mục (division) Có chương còn được cấu trúc thành tiểu mục (subdivision);

6 TS Trần Thanh Thảo, Mục 1.1 Khái niệm, đặc điểm của tội phạm trong lĩnh vực công nghệ thông tin, mạng viễn

thông trong Báo cáo tổng kết đề tài nghiên cứu khoa học cấp Bộ: Tội phạm trong lĩnh vực công nghệ thông tin, mạng viễn thông: Những hạn chế trong quy định, thực tiễn áp dụng và giải pháp khắc phục do PGS TS Nguyễn Thị Phương

Hoa (Chủ nhiệm), tr 2-3 Nội dung này cũng đã phát triển trong sách chuyên khảo từ đề tài

24

Hành vi khách quan của Tội gian dối đối với dịch vụ viễn thông

BLHS Úc quy định ba trường hợp phạm tội này với những dạng hành vi khách quan khác nhau Trường hợp thứ nhất: người phạm tội thực hiện bất cứ hành vi nào với ý định gian dối, thu được (obtaining) lợi ích từ nhà cung cấp dịch vụ viễn thông thông qua dịch

vụ viễn thông (s 474.2(1)) Đối với trường hợp này, BLHS Úc không chỉ rõ loại hành vi

mà người phạm tội đã thực hiện, chỉ nêu hai dấu hiệu quan trọng để xác định tội phạm

Đó là người phạm tội cố ý gian dối nhằm thu lợi ích từ nhà cung cấp dịch vụ viễn thông

và hành vi phạm tội được thực hiện thông qua dịch vụ viễn thông Dấu hiệu thứ nhất thuộc về lỗi nên sẽ phân tích ở phần sau Dấu hiệu thứ hai cho thấy người phạm tội thông qua việc cung cấp dịch vụ viễn thông thu lợi ích không chính đáng Có thể hiểu trường hợp này tương tự như một số trường hợp đã xảy ra ở Việt Nam như: người phạm tội đã lắp đặt trái phép ăng-ten parabol để sử dụng dịch vụ viễn thông mà không trả tiền

Nhà cung cấp dịch vụ viễn thông là những người cung cấp dịch vụ viễn thông cho công chúng bằng cách dùng các đơn vị kết nối mạng do chính mình sở hữu hoặc qua một nhà cung cấp dịch vụ (s 87 Luật viễn thông năm 1997)8 Hành vi cấu thành tội phạm ngay cả trong trường hợp người phạm tội không thu lợi ích cho chính mình mà cho người khác, hoặc xúi giục một người thứ ba thực hiện hành vi phạm tội để thu lợi ích (s 473.1) Trường hợp thứ hai: người phạm tội thực hiện bất cứ hành vi nào, với ý định gian dối, gây thiệt hại cho nhà cung cấp dịch vụ viễn thông liên quan đến việc cung cấp dịch

vụ viễn thông (s 474.2(2)) Theo BLHS Úc, “thiệt hại” được xác định là thiệt hại về tài sản, tạm thời hoặc vĩnh viễn, bao gồm thiệt hại mà người phạm tội không dự liệu trong suy nghĩ của họ (s 473.1) Như vậy, thiệt hại do tội phạm gây ra được xác định khách quan, bao gồm thiệt hại gây ra do cố ý hoặc vô ý Điều luật không đòi hỏi quy mô của thiệt hại Trong mối quan hệ với trường hợp phạm tội thứ ba nêu dưới đây, có thể hiểu rằng trong trường hợp này hành vi phạm tội đã gây ra thiệt hại về tài sản Ngoài ra, trong trường hợp này, hành vi phạm tội được thực hiện trong sự liên quan đến cung cấp dịch vụ viễn thông, chứ không nhất thiết thông qua cung cấp dịch vụ viễn thông

Trường hợp thứ ba: người phạm tội có hành vi, một cách gian dối, gây thiệt hại hoặc gây ra nguy cơ thiệt hại cho người cung cấp dịch vụ viễn thông liên quan đến việc cung cấp dịch vụ viễn thông; và biết hoặc tin rằng thiệt hại đó sẽ xảy ra hoặc có nguy cơ đáng

kể sẽ

7 S.7 Luật Viễn thông năm 1997;

8 Parliament of Australia, C Glossary, C Glossary – Parliament of Australia (aph.gov.au)

xảy ra (s 474.2(2)) Điều luật không đòi hỏi quy mô của thiệt hại và hành vi cấu thành tội phạm ngay cả trong trường hợp hậu quả đó chưa xảy ra mà chỉ tồn tại nguy cơ cao sẽ xảy ra

2.1.2 Tội về thiết bị ngăn chặn

Đối tượng tác động của Tội về thiết bị ngăn chặn

Đối tượng tác động của tội này là thiết bị ngăn chặn (interception devices) “Thiết bị ngăn chặn” được định nghĩa là “thiết bị hoặc công cụ mà, xét một cách hợp lý, cho phép một người

sử dụng để chặn đường truyền thông qua hệ thống viễn thông, và nó được thiết kế vì mục đích hoặc bao gồm mục đích chặn đường truyền thông qua hệ thống viễn thông nhưng không được thiết kế chủ yếu để nhận các thông tin truyền bằng vô tuyến” (s 473.1) Như vậy, các thiết bị này là công cụ có tác dụng chặn đường truyền viễn thông Tuy nhiên, chỉ coi là “thiết bị ngăn chặn” khi nó được thiết kế với chủ đích là để chặn đường truyền thông qua hệ thống viễn thông hoặc nó được thiết kế với nhiều mục đích khác nhau trong đó

có mục đích chặn đường truyền viễn thông Việc xem xét nó có được thiết kế vì mục đích này hoặc nó có được thiết kế bao gồm mục đích này không thì phải đánh giá toàn diện thiết kế của chúng dựa trên cơ sở hợp lý

Hành vi khách quan của Tội về thiết bị ngăn chặn

Hành vi khách quan của tội này là một trong các dạng hành vi sau: sản xuất; quảng cáo, trưng bày, chào bán; bán; hoặc sở hữu thiết bị ngăn chặn ở dạng đã lắp ráp hoặc chưa lắp ráp (s 474.4(1)) BLHS Úc không giải thích chi tiết về các loại hành vi đã nêu Có thể thấy rằng, Luật Hình sự của Úc đã tội phạm hóa tất cả các hành vi liên quan đến thiết bị ngăn chặn, bắt đầu từ làm ra, chào bán đến bán và sở hữu chúng

2.1.3 Tội chuyển giao sai thông tin liên lạc

Đối tượng tác động của Tội chuyển giao sai thông tin liên lạc

Đối tượng tác động của tội này là thông tin liên lạc (communication) Theo định nghĩa tại Luật Viễn thông năm 1997, thông tin liên lạc có nghĩa là bất kỳ thông tin liên lạc nào, bao gồm:

(a) giữa người với người, vật với vật hoặc người với vật; và (b) dưới dạng lời nói, âm nhạc hoặc các âm thanh khác; và (c) dưới dạng dữ liệu; và

(d) dưới dạng văn bản; và (e) dưới dạng hình ảnh trực quan (hoạt hình hoặc dạng khác); và (f) dưới dạng tín hiệu; và

(g) dưới bất kỳ hình thức nào khác; và (h) dưới bất kỳ hình thức kết hợp nào (s 7)

Định nghĩa trên bao quát được các dạng tồn tại của thông tin liên lạc và là kinh nghiệm tốt cho Việt Nam trong việc hướng dẫn áp dụng pháp luật Đáng lưu ý là thông tin liên lạc

có thể truyền giữa vật với vật hoặc người với vật Trong trường hợp của tội này, thông tin liên lạc có thể bị điều hướng đến một người khác hoặc một địa chỉ/thiết bị khác với địa chỉ/thiết bị mà người gửi dự định ban đầu

Hành vi khách quan của Tội chuyển giao sai thông tin liên lạc

Hành vi khách quan của tội này là, khi thông tin liên lạc đang trong quá trình truyền tải viễn thông, người phạm tội làm cho thông tin liên lạc được nhận bởi một người hoặc dịch vụ viễn thông khác, không phải là người hoặc dịch vụ viễn thông mà nó hướng tới (s 474.5(1)) Bản chất của tội này là làm sai lệch địa chỉ đến của thông tin liên lạc và không đòi hỏi thêm bất cứ dấu hiệu nào về mục đích của việc làm sai lệch Khác với hành vi chặn thông tin trên đường truyền viễn thông, đối với tội này, thông tin vẫn được truyền tải nhưng đến sai người nhận hoặc nơi nhận

BLHS Úc lưu ý những trường hợp không phạm tội này là trường hợp người điều hướng thông tin liên lạc được sự đồng ý hoặc ủy quyền của người nhận thông tin hoặc người đang thực hiện dịch vụ viễn thông (s 474.5(2))

2.1.4 Tội can thiệp vào cơ sở vật chất

Đối tượng tác động của Tội can thiệp vào cơ sở vật chất

Đối tượng tác động của tội phạm là cơ sở vật chất cung cấp dịch vụ viễn thông và được hiểu là bất kỳ bộ phần nào trong cơ sở hạ tầng của mạng viễn thông; hoặc bất kỳ đường dây, thiết bị, máy móc, tháp, cột buồm, ăng-ten, đường hầm, ống dẫn, lỗ, hố, cột hoặc cấu trúc, đồ vật khác được sử dụng hoặc để sử dụng trong mạng viễn thông hoặc liên quan đến mạng viễn thông (s 7 Luật viễn thông 1997) Mạng viễn thông được định nghĩa là

“một” hệ thống hoặc một chuỗi các hệ thống mang hoặc có khả năng truyền thông tin liên lạc bằng năng lượng điện từ có hướng dẫn và/hoặc không có hướng dẫn (s 7 Luật Viễn thông 1997) Như vậy, cơ sở vật chất của mạng viễn thông rất đa dạng Hành vi phạm tội chỉ cần tác động đến một bộ phận cơ sở vật chất của mạng viễn thông, không phân biệt về tầm quan trọng của bộ phận này

Hành vi khách quan của Tội can thiệp vào cơ sở vật chất

BLHS Úc quy định hai dạng hành vi khách quan của tội này Dạng hành vi khách quan thứ nhất là can thiệp vào cơ sở vật chất sở hữu hoặc vận hành bởi người cung cấp dịch vụ viễn thông hoặc người cung cấp dịch vụ viễn thông được chỉ định (s 474.6(1))

Hành vi can thiệp này là trái phép, có nghĩa là không có thẩm quyền hoặc không đúng thẩm quyền Hành vi của người có thẩm quyền (ví dụ như điều tra viên hoặc nhân viên

an ninh) can thiệp vào cơ sở vật chất với thiện chí và hợp lý trong quá trình thực hiện nhiệm vụ của họ thì không cấu thành tội phạm (s 474.6(2)) Nếu hành vi can thiệp gây cản trở cho hoạt động bình thường của dịch vụ viễn thông, ví dụ: làm thay đổi, hư hỏng hoặc cản trở hoạt động bình thường của dịch vụ viễn thông, thì sẽ bị áp dụng hình phạt nặng hơn (s 474.6(3))

Dạng hành vi khách quan thứ hai của tội này là sử dụng hoặc vận hành thiết bị hoặc công cụ (có hoặc không bao gồm sự tích hợp vào hoặc kết nối với hoặc sử dụng cùng với mạng viễn thông) cản trở hoạt động bình thường của dịch vụ viễn thông của nhà cung cấp dịch vụ viễn thông (s 474.5(5)) Đối với dạng hành vi này, hành vi phạm tội không nhất thiết tác động trực tiếp vào cơ sở vật chất của dịch vụ viễn thông Ví dụ: người phạm tội dùng thiết bị phát sóng làm nhiễu sóng và do vậy cản trở đường truyền viễn thông Khi thực hiện tội phạm, người phạm tội sử dụng phương tiện để can thiệp vào hoạt động bình thường của dịch vụ viễn thông (s 474.5(6))

Tương tự như trường hợp thứ nhất ở trên, hành vi không cấu thành tội phạm nếu hành vi

sử dụng hoặc vận hành thiết bị hoặc công cụ cản trở hoạt động bình thường của dịch vụ viễn thông do người có thẩm quyền thực hiện trong sự hợp lý của nhiệm vụ mà họ được giao Ngoài ra, hành vi cũng không cấu thành tội phạm nếu phù hợp với yêu cầu hỗ trợ kỹ thuật hoặc tuân thủ thông báo về hỗ trợ kỹ thuật hoặc thông báo về năng lực kỹ thuật (s 474.5(7A))

2.1.5 Các tội về mã nhận diện thiết bị viễn thông

BLHS Úc quy định 03 loại tội về mã nhận diện, gồm: Sửa đổi mã nhận diện thiết bị viễn thông (s 474.7); Sở hữu hoặc kiểm soát dữ liệu hoặc thiết bị nhằm mục đích sửa đổi

mã nhận diện thiết bị viễn thông (s 474.8); Sản xuất, cung cấp hoặc thu thập dữ liệu hoặc thiết bị nhằm mục đích sửa đổi mã nhận diện thiết bị viễn thông Sau đây chúng tôi phân tích các tội này cùng nhau

Đối tượng tác động của các tội về mã nhận diện thiết bị viễn thông

Đối tượng tác động của các tội này là mã nhận diện thiết bị viễn thông (telecommunication device identifier) Đó là mã nhận diện điện tử của thiết bị viễn thông

di động được nhà sản xuất cài đặt trong thiết bị và được sử dụng để phân biệt thiết bị viễn thông di động này với thiết bị khác.9 Lưu ý rằng các thiết bị cố định có thể dễ phân biệt

9 Xem: Sydney Criminal Lawyers (2023), Modification of Telecommunications Device Identifier, Modification of

Telecommunications Device Identifier

dựa vào vị trí lắp đặt cố định của chúng Đối với thiết bị di động thì chỉ việc xác định chính xác

và phân biệt chúng cần dựa trên mã nhận diện

Hành vi khách quan của các tội về mã nhận diện thiết bị viễn thông

Trong Tội sửa đổi mã nhận diện thiết bị viễn thông, hành vi khách quan của tội phạm

là sửa đổi mã nhận diện thiết bị viễn thông hoặc can thiệp vào hoạt động của mã nhận diện thiết bị viễn thông (s 474.7) BLHS Úc không giải thích chi tiết về các dạng hành vi nào được coi là can thiệp vào hoạt động của mã nhận diện thiết bị viễn thông (s 474.9) Thông thường, can thiệp vào hoạt động của một thiết bị có nghĩa là làm cho chức năng hoạt động của thiết bị đó bị ảnh hưởng và không còn đúng đắn như thiết kế ban đầu Đối với Tội sở hữu hoặc kiểm soát dữ liệu hoặc thiết bị nhằm mục đích sửa đổi mã nhận diện thiết bị viễn thông, hành vi khách quan của tội phạm là sở hữu bất cứ thứ gì hoặc

dữ liệu nhằm mục đích để bản thân hoặc người khác sử dụng thực hiện tội phạm sửa đổi

mã nhận diện thiết bị viễn thông (s 474.8) Sở hữu dữ liệu được hiểu là sở hữu một máy tính hoặc thiết bị lưu trữ hoặc chứa dữ liệu; hoặc sở hữu tài liệu chứa dữ liệu (s 473.2)

Đối với Tội sản xuất, cung cấp hoặc thu thập dữ liệu hoặc thiết bị nhằm mục đích sửa đổi

mã nhận diện thiết bị viễn thông, hành vi khách quan của tội phạm là sản xuất, cung cấp hoặc thu thập bất cứ thứ gì hoặc dữ liệu với mục đích để bản thân hoặc người khác sử dụng thực hiện tội phạm sửa đổi mã nhận diện thiết bị viễn thông (s 474.9)

Như vậy, BLHS Úc đã tội phạm hóa đa dạng các hành vi liên quan đến mã nhận diện thiết bị viễn thông, bao gồm từ làm ra, sở hữu, thu thập dữ liệu hoặc thiết bị nhằm sửa đổi

mã nhận diện đến hành vi sửa đổi mã nhận diện

2.1.6 Các tội về mã định danh tài khoản

BLHS Úc quy định nhiều tội phạm liên quan đến mã định danh tài khoản, bao gồm: Tội sao chép dữ liệu liên quan đến một đăng ký cụ thể được bảo mật (s 474.10); Tội sở hữu hoặc kiểm soát dữ liệu hoặc thiết bị với mục đích sao chép mã định danh tài khoản (s 474.11)

và Tội sản xuất, cung cấp hoặc thu thập dữ liệu hoặc thiết bị nhằm mục đích sao chép mã định danh tài khoản (s 474.12)

Đối tượng tác động của các tội về mã định danh tài khoản

Đối tượng tác động của các tội này là mã định danh tài khoản, đó là bất cứ thứ gì chứa

dữ liệu liên quan đến một đăng ký cụ thể được bảo mật và được cài đặt hoặc có khả năng cài đặt vào thiết bị viễn thông di động hoặc bất cứ thứ gì khác để cho phép xác định một tài khoản viễn thông di động cụ thể (s 473.1) Về bản chất, mã định danh là những dữ liệu (data) dùng để xác định một tài khoản viễn thông Mã nhận diện thiết bị và mã định danh

tài khoản đều có tác dụng xác định thiết bị hoặc tài khoản di động, chúng chỉ khác nhau ở chỗ chúng được sử dụng cho thiết bị (device) hay tài khoản (account) người dùng

Hành vi khách quan của các tội về mã định danh tài khoản

Tội sao chép dữ liệu liên quan đến một đăng ký cụ thể được bảo mật có hai dạng hành vi khách quan Dạng hành vi khách quan thứ nhất là sao chép dữ liệu của một đăng ký

cụ thể được bảo mật từ một mã định danh tài khoản với mục đích sử dụng dữ liệu đã sao chép

đó vào một mã định danh tài khoản hoặc bất kỳ một thứ nào khác mà nó hoạt động như một

mã định danh tài khoản Một cách ngắn gọn, đây là hành vi sao chép mã định danh từ một tài khoản với mục đích sử dụng cho một tài khoản khác

Dạng hành vi khách quan thứ hai là chép dữ liệu liên quan đến một đăng ký cụ thể được bảo mật vào một mã định danh tài khoản hoặc bất kỳ một thứ nào khác mà nó hoạt động như một mã định danh tài khoản Hành vi cấu thành tội phạm không phân biệt người phạm tội có biết về tài khoản cụ thể đã bị sao chép mã định danh hay không (s 474.10(1,2)) Đây là trường hợp một người sử dụng mã định danh tài khoản đã bị sao chép trái phép Hành vi khách quan của Tội sở hữu hoặc kiểm soát dữ liệu hoặc thiết bị với mục đích sao chép mã định danh tài khoản là sở hữu hoặc kiểm soát dữ liệu hoặc bất cứ thứ gì với mục đích để bản thân họ hoặc người khác thực hiện tội phạm về sao chép dữ liệu liên quan đến một đăng ký cụ thể được bảo mật (s 474.11(1)) BLHS Úc có quy định bổ sung rằng trong trường hợp người phạm tội đã thực hiện Tội sao chép dữ liệu liên quan đến một đăng ký

cụ thể được bảo mật, họ vẫn có thể phạm cả hai tội là tội này và tội về sao chép (s 474.11(2)) Hành vi khách quan của Tội sản xuất, cung cấp hoặc thu thập dữ liệu hoặc thiết bị nhằm mục đích sao chép mã định danh tài khoản là sản xuất cung cấp hoặc thu thập dữ liệu hoặc thiết bị với mục đích để bản thân hoặc người khác thực hiện tội phạm về sao chép

dữ liệu liên quan đến một đăng ký cụ thể được bảo mật (s 474.12(1)) Khi đã thực hiện hành vi sao chép mã định danh tài khoản, người phạm tội có thể phạm cả hai tội, đó là tội này

và tội về sao chép ở trên (s 474.12(2))

Đối với tất cả các trường hợp đã nêu, BLHS Úc đều có quy định về trường hợp loại trừ tính chất phạm tội của hành vi hay nói cách khác hành vi được coi là hợp pháp Cụ thể, hành vi không cấu thành tội phạm nếu đó là hành vi của người cung cấp dịch vụ hoặc người được người cung cấp dịch vụ đồng ý hoặc ủy quyền thực hiện những việc liên quan đến điều hành hoạt động cung cấp dịch vụ viễn thông, hoặc hành vi của người có thẩm quyền (người bảo vệ pháp luật, nhân viên an ninh, nhân viên của bộ phận kỹ thuật) trong quá trình thực hiện nhiệm vụ một cách hợp lý (s 474.10(3,4)), (s 474.11(4,5)), (s 474.12(4,5))

2.1.7 Tội sử dụng mạng viễn thông với ý định thực hiện một tội phạm nghiêm trọng Đối tượng tác động của Tội sử dụng mạng viễn thông với ý định thực hiện một tội phạm nghiêm trọng

Tội này không có đối tượng tác động cụ thể Bản chất của tội này là hành vi nguy hiểm xâm hại đến trật tự, an toàn xã hội khi dùng thiết bị kết nối với mạng viễn thông để thực hiện một tội phạm nghiêm trọng

Hành vi khách quan của Tội sử dụng mạng viễn thông với ý định thực hiện một tội phạm nghiêm trọng

BLHS Úc quy định hai dạng hành vi khách quan của Tội sử dụng mạng viễn thông với ý định phạm tội nghiêm trọng Dạng hành vi khách quan thứ nhất là kết nối một thiết bị với mạng viễn thông với ý định thực hiện hoặc tạo điều kiện thuận lợi cho bản thân hoặc người khác thực hiện một tội phạm nghiêm trọng theo luật của Liên bang, Bang hoặc vùng lãnh thổ hoặc luật nước ngoài (s 474.14(1)) Dạng hành vi khách quan thứ hai là sử dụng một thiết bị kết nối với mạng viễn thông thực hiện hoặc tạo điều kiện thuận lợi cho bản thân hoặc người khác thực hiện một tội phạm nghiêm trọng theo luật của Liên bang, Bang hoặc vùng lãnh thổ hoặc luật nước ngoài (s 474.14(2)) Hành vi cấu thành tội phạm ngay cả khi việc thực hiện một tội phạm nghiêm trọng là bất khả thi (s 474.14(5))

2.2 Hành vi khách quan, đối tượng tác động và lỗi của các tội phạm máy tính

BLHS Úc chia tội phạm về máy tính thành hai nhóm, gồm: các tội phạm nghiêm trọng

và các tội phạm khác Tội phạm nghiêm trọng là tội phạm có thể bị xử phạt tù chung thân hoặc tù có thời hạn từ 5 năm trở lên (s 477.1(9)) Sau đây chúng tôi lần lượt phân tích các tội cụ thể

Nhóm 1: Các tội phạm máy tính nghiêm trọng

2.2.1 Tội truy cập, sửa đổi hoặc cản trở trái phép với ý định thực hiện tội phạm nghiêm trọng Đối tượng tác động của Tội truy cập, sửa đổi hoặc cản trở trái phép với ý định thực hiện tội phạm nghiêm trọng

Đối tượng tác động của tội này là dữ liệu được lưu trữ trong máy tính Tuy nhiên trong BLHS và các luật liên quan không nêu định nghĩa cụ thể về máy tính.10 Do vậy, trên thực tế có những tranh luận về phạm vi những thiết bị được coi là máy tính (computer).11

10 Xem: Jonathan Clough (2010), Principles of Cybercrime, Cambridge University Press, trang 53;

11 Lucy Cottier, Isobel O’Brien, Lesley Sutton, Is a mobile phone a computer? The Federal Court says no, Is a mobile

Hành vi khách quan của Tội truy cập, sửa đổi hoặc cản trở trái phép với ý định thực hiện tội phạm nghiêm trọng

Hành vi khách quan của tội này là truy cập, sửa đổi dữ liệu lưu trữ trong một máy tính hoặc làm cản trở trái phép một liên lạc điện tử đến hoặc từ một máy tính khi biết rõ việc truy cập, sửa đổi hoặc cản trở này là trái phép và với ý định thực hiện hoặc tạo điều kiện thuận lợi cho bản thân hoặc người khác thực hiện một tội phạm nghiêm trọng theo luật của Liên bang, Bang hoặc vùng lãnh thổ (s 477.1(1)) Hành vi cấu thành tội phạm ngay cả khi việc thực hiện tội phạm nghiêm trọng là bất khả thi

BLHS Úc giải thích “truy cập dữ liệu trong máy tính” là hiển thị tài liệu bằng máy tính hoặc hiển thị bất kỳ kết quả nào của tài liệu từ máy tính; hoặc sao chép, di chuyển tài liệu đến bất kỳ địa điểm nào trên máy tính hoặc đến thiết bị lưu trữ dữ liệu; hoặc đối với trường hợp tài liệu là một chương trình thì truy cập có nghĩa là chạy chương trình (s 476.1) Các thuật ngữ khác như sửa đổi hoặc cản trở không được giải thích chi tiết trong luật này cũng như Luật viễn thông 1997

2.2.2 Các tội về sửa đổi trái phép dữ liệu

BLHS Úc quy định hai tội về sửa đổi trái phép dữ liệu, đó là Tội sửa đổi trái phép

dữ liệu để gây hư hỏng và Tội sửa đổi trái phép thông tin liên lạc điện tử Lưu ý là trong trường hợp không thể truy cứu TNHS người phạm tội về tội sửa đổi trái phép thông tin liên lạc điện tử thì có thể truy cứu về Tội sửa đổi trái phép dữ liệu điện tử để gây thiệt hại hoặc ngược lại (s 477.2(4) và 477.3(3))

Đối tượng tác động của các tội về sửa đổi trái phép dữ liệu

Đối tượng tác động của các tội về sửa đổi trái phép dữ liệu là dữ liệu được lưu trữ trong máy tính hoặc thông tin liên lạc điện tử Thông tin liên lạc điện tử được hiểu là thông tin liên lạc bằng năng lượng điện từ (electromagnetic energy) có hướng dẫn hoặc không có hướng dẫn hoặc cả hai (s 23 Luật sửa đổi luật về tội phạm (Tội phạm viễn thông và các biện pháp khác) năm 2004)

Hành vi khách quan của các tội về sửa đổi trái phép dữ liệu

Hành vi khách quan của Tội sửa đổi trái phép dữ liệu để gây hư hỏng là sửa đổi trái phép

dữ liệu được lưu trữ trong máy tính, trong khi biết việc sửa đổi là trái phép và thiếu thận trọng trong việc xác định liệu việc sửa đổi có làm suy yếu hay sẽ làm suy yếu: (i) quyền truy cập vào dữ liệu đó hoặc bất kỳ dữ liệu nào khác được lưu giữ trong bất kỳ máy tính nào; hoặc (ii) độ tin cậy, tính bảo mật hoặc hoạt động của bất kỳ dữ liệu nào như vậy (s 477.2(1))

Hành vi cấu thành tội phạm ngay cả khi chưa có hoặc sẽ không có bất cứ một thiệt hại thực tế

nào đối với dữ liệu lưu trữ trong máy tính hoặc ảnh hưởng đến độ tin cậy hoặc tính bảo mật của dữ liệu (s 477.2(2))

Hành vi khách quan của Tội sửa đổi trái phép thông tin liên lạc điện tử là sửa đổi trái phép dữ liệu điện tử từ hoặc đến một máy tính trong khi biết việc sửa đổi này là trái phép (s 477.3(1)) Hai tội trên có thể truy cứu thay thế cho nhau, có nghĩa là khi người phạm tội

có hành vi sửa đổi trái phép dữ liệu điện tử và biết việc sửa đổi này là trái phép thì có thể bị truy cứu về tội này hoặc Tội sửa đổi trái phép dữ liệu để gây hư hỏng Trong trường hợp của Tội sửa đổi trái phép thông tin liên lạc điện tử, thông tin liên lạc này đang trong quá trình liên lạc, đang truyền từ một máy tính hoặc đang đến một máy tính

Nhóm 2: Các tội phạm máy tính khác

2.2.3 Tội truy cập trái phép hoặc sửa đổi dữ liệu hạn chế

Đối tượng tác động của Tội truy cập trái phép hoặc sửa đổi dữ liệu hạn chế

Đối tượng tác động của tội này là dữ liệu hạn chế (restricted data) Đó là các dữ liệu lưu trữ trong máy tính mà quyền truy cập bị hạn chế bởi hệ thống kiểm soát truy cập gắn liền với chức năng của máy tính (s 478.1(3)) Ví dụ: các file hình ảnh hoặc video lưu trữ trong máy tính của một cá nhân mà quyền truy cập bị hạn chế bởi người có thẩm quyền sử dụng bằng cách phải nhập mã định danh tài khoản mới có thể truy cập

Hành vi khách quan của Tội truy cập trái phép hoặc sửa đổi dữ liệu hạn chế

Hành vi khách quan của tội này là truy cập trái phép hoặc sửa đổi dữ liệu hạn chế trong khi biết rằng việc truy cập hoặc sửa đổi các dữ liệu này là trái phép nhưng vẫn mong muốn thực hiện (s 478.1(1)) BLHS Úc giải thích “truy cập đến dữ liệu lưu trữ trong máy tính”

là hiển thị tài liệu bằng máy tính hoặc hiển thị bất kỳ kết quả nào của tài liệu từ máy tính; hoặc sao chép, di chuyển tài liệu đến bất kỳ địa điểm nào trên máy tính hoặc đến thiết bị lưu trữ dữ liệu; hoặc đối với trường hợp tài liệu là một chương trình thì truy cập có nghĩa

là chạy chương trình (s 476.1) Như vậy, BLHS Úc giải thích thuật ngữ truy cập đến dữ liệu trong máy tính và truy cập tài liệu giống nhau Việc truy cập không được phép của người

có thẩm quyền đối với các dữ liệu hạn chế

2.2.4 Tội gây thiệt hại trái phép cho dữ liệu được lưu giữ trên đĩa máy tính, v.v Đối tượng tác động của Tội gây thiệt hại trái phép cho dữ liệu được lưu giữ trên đĩa máy tính, v.v

Đối tượng tác động của tội này là dữ liệu được lưu trữ trong máy tính hoặc thiết bị lữu trữ điện tử Các thiết bị lưu trữ điện tử rất đa dạng như: disk, USB, ổ cứng