美國CFAA迎來重大修訂,白帽黑客或?qū)o責(zé)

發(fā)布時(shí)間 2022-05-20

2022年5月19日,美國司法部(DOJ)對(duì)《計(jì)算機(jī)欺詐和濫用法》(CFAA)進(jìn)行修訂,明確指出網(wǎng)絡(luò)安全研究人員(白帽黑客有著“改善技術(shù)”的良好愿景,因此司法部門將不再以CFAA起訴他們。

這對(duì)白帽黑客而言無疑是一項(xiàng)重大利好政策,此后他們?cè)僖膊挥脫?dān)心因?qū)ふ衣┒炊硐萼蜞簦瑸槟切┰噲D改善技術(shù)的網(wǎng)絡(luò)安全研究人員減輕了壓力。對(duì)此,美國副司法部Lisa Monaca表示,計(jì)算機(jī)安全研究是改善網(wǎng)絡(luò)安全的重要關(guān)鍵驅(qū)動(dòng)力。美國司法部門從未對(duì)將“善意的計(jì)算機(jī)安全研究”作為犯罪進(jìn)行起訴感興趣。另外,今天(5月19日)的公告通過為善意的安全研究人員提供明確的規(guī)定以促進(jìn)網(wǎng)絡(luò)安全的發(fā)展,他們將為了網(wǎng)絡(luò)安全的發(fā)展不斷發(fā)現(xiàn)新的漏洞。

1.jpg

資料顯示,CFAA頒布于1986年,是美國重要的反黑客法律,旨在禁止黑客惡意入侵未經(jīng)授權(quán)的計(jì)算機(jī)系統(tǒng)。CFAA雖然不解決數(shù)據(jù)收集和使用等數(shù)據(jù)保護(hù)問題,但對(duì)于未經(jīng)授權(quán)而侵入計(jì)算機(jī)并獲得他人信息的行為規(guī)定了法律責(zé)任。

這意味著,如果未獲得授權(quán),那么白帽黑客們將不能私自掃描網(wǎng)站漏洞,也不能因此獲得任何非公開的數(shù)據(jù),否則就有觸犯CFAA的風(fēng)險(xiǎn),并因此受到法律的制裁。

2.jpg

如今,這一政策終于有所改善,CFAA法律將不再適用于白帽黑客群體。但需要注意的是,修訂后的CFAA明確指出必須要是“善意的計(jì)算機(jī)安全研究”,除此之外的非善意行為依舊會(huì)被追責(zé)。

美國對(duì)CFAA法案爭議由來已久

一直以來,美國對(duì)于CFAA法案存在較大爭議,很多人認(rèn)為CFAA是技術(shù)法律書籍中 “最糟糕的法律”,其過時(shí)和模糊的法律條款給善意發(fā)現(xiàn)和披露安全漏洞的黑客帶來了極大的障礙。

由于CFAA所禁止的犯罪行為的范圍遠(yuǎn)遠(yuǎn)超越了傳統(tǒng)黑客攻擊的概念,并將未經(jīng)授權(quán)的訪問行為以及使用越權(quán)所得信息,引起政府或其他方損失的越權(quán)訪問行為,或構(gòu)成對(duì)該等主體的欺詐的越權(quán)訪問行為都定性為犯罪行為。CFAA還為遭受上述計(jì)算機(jī)犯罪行為損害的個(gè)人提供了民事訴由,同時(shí)規(guī)定了損害賠償和衡平法救濟(jì)。

對(duì)此,有專家認(rèn)為CFAA的存在對(duì)白帽黑客全體產(chǎn)生了不良的“寒蟬效應(yīng)”:即如果違反計(jì)算機(jī)系統(tǒng)的使用政策會(huì)有潛在的刑事(和民事)后果,那將使這些系統(tǒng)的所有者有權(quán)禁止善意的安全研究,并使研究人員噤若寒蟬,不敢披露他們?cè)谶@些系統(tǒng)中發(fā)現(xiàn)的任何漏洞。

近年來,通過白帽黑客尋找安全漏洞一直是科技企業(yè)的普遍做法,作為回報(bào),企業(yè)也會(huì)給他們不菲的報(bào)酬。這一做法成效斐然,白帽黑客為企業(yè)找到了無數(shù)的重量級(jí)漏洞,也讓企業(yè)有了將這些威脅消滅在萌芽之中的機(jī)會(huì)。

但是,這一行為在法律上一直處于灰色地帶,白帽黑客有可能因此被起訴。雖然Mozilla、Dropbox、特斯拉等科技巨頭承諾不會(huì)根據(jù)CFAA起訴善意的黑客,但是更多的公司還是保留了起訴的權(quán)利,甚至于在某些情況下會(huì)積極發(fā)起法律行動(dòng),防止出現(xiàn)一些不光彩的新聞。

CFAA縮小范圍的標(biāo)志性案件

2020年,美國佐治亞州的前警察警長Nathan Van Buren利用他對(duì)警用車牌數(shù)據(jù)庫的訪問權(quán)限,搜索一個(gè)熟人的車牌號(hào)并收取5000美元。該交易實(shí)際上是FBI的誘捕行動(dòng),車牌號(hào)是虛構(gòu)的。

隨后,Van Buren被以越權(quán)訪問警方數(shù)據(jù)庫,違反CFAA的罪名被提起訴訟。Van Buren的律師稱,無論Van Buren是否濫用數(shù)據(jù)庫,他都是被授權(quán)訪問的,因此沒有違反反黑客法。

對(duì)此美國最高法院法官Amy Coney Barrett的意見指出,如果“超過授權(quán)訪問”條款將每一次違反計(jì)算機(jī)使用規(guī)定的行為視為犯罪,那么數(shù)百萬在其他方面守法的公民就將成為罪犯。

2021年6月,美國最高法院以6票對(duì)3票的裁決確認(rèn)Van Buren沒有違反CFAA,而該案件的判決結(jié)果也直接縮小了CFAA的適用范圍。

對(duì)于該結(jié)果,有專家認(rèn)為,“這是數(shù)字時(shí)代公民自由和公民權(quán)利執(zhí)行的一個(gè)重要?jiǎng)倮薄_@項(xiàng)裁決則留下了一些沒有得到解答的關(guān)鍵問題,美最高法院的決定最終并未取決于該法律的整體影響或有效性,但是足以推動(dòng)社會(huì)各界人士對(duì)于CFAA的進(jìn)一步深入討論。

另外,還有一起著名案件讓CFAA的適用范圍變的更加清晰,這也是美國爬蟲斗爭歷史中極具意義的一個(gè)裁決。

2017年,微軟旗下的職業(yè)社交平臺(tái)LinkedIn向數(shù)據(jù)分析公司HiQ發(fā)送了禁止通知函,并在函中援引了CFAA,警告后者不要再通過爬蟲獲取LinkedIn 網(wǎng)站的數(shù)據(jù)。隨后HiQ向法院提起訴訟,控訴 LinkedIn 通過法律、技術(shù)等多種方式阻止其復(fù)制 LinkedIn 用戶的公開個(gè)人資料,還向法院申請(qǐng)了臨時(shí)禁令。

雙方就這一問題一直在打官司,并最終上訴至美國最高法院。此前,地方法院認(rèn)為,雖然HiQ公司對(duì)LinkedIn網(wǎng)站實(shí)施了網(wǎng)絡(luò)爬蟲,但這種爬蟲行為并不違反法律,因?yàn)?LinkedIn 網(wǎng)站上的數(shù)據(jù)是公開數(shù)據(jù),CFAA中的“未經(jīng)授權(quán)”或者以“超出所授予訪問權(quán)限”條款,并不適用于 HiQ 從 LinkedIn 網(wǎng)站收集公開數(shù)據(jù)的行為。

隨后,LinkedIn選擇繼續(xù)上訴,第九巡回法院最終還是維持原判,認(rèn)為該案件并不適用CFAA,認(rèn)為HiQ沒有違反該法律。這也讓CFAA的法律解釋進(jìn)一步清晰,“未經(jīng)授權(quán)”概念將不適用于公共網(wǎng)站。

對(duì)于白帽黑客來說,規(guī)則清楚很重要

CFAA最令人詬病的地方在于法律條文出了名的模糊,不同的指控可以判處最高5年、10年或20年的監(jiān)禁。而不清不楚的條文也讓白帽黑客心驚膽戰(zhàn),無法更好地完成漏洞發(fā)掘的工作。

我國也曾經(jīng)歷過一段“白帽黑客規(guī)則不清楚”的時(shí)代,白帽黑客們自然百無禁忌,其中免不了有人會(huì)因?yàn)橥诼┒吹姆椒ú坏卯?dāng)而觸犯法律,這大大限制了白帽黑客群體的成長,也讓很多有技術(shù)的人才畏手畏腳,無所適從。

近年來,隨著我國網(wǎng)絡(luò)安全產(chǎn)業(yè)不斷發(fā)展,相關(guān)法律法規(guī)的不斷完善,白帽黑客的規(guī)則也也逐漸清晰明了。2021年,《網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定》正式頒布并實(shí)施讓白帽黑客群體的行為有了明確的規(guī)則。

此后,什么可以干,什么不能干都有了明確的說法。只要是在法律允許的范圍內(nèi),白帽黑客們將不用再畏首畏尾,也不用擔(dān)心會(huì)不小心觸碰到法律的底線,可以沉下心來挖漏洞。同時(shí),《規(guī)定》也鼓勵(lì)廠家針對(duì)白帽子設(shè)立漏洞獎(jiǎng)勵(lì)機(jī)制,白帽群體可通過自己的技術(shù)獲得收入,從而形成良性循環(huán),推動(dòng)安全產(chǎn)業(yè)不斷壯大。

可以這么說,白帽黑客已經(jīng)成為網(wǎng)絡(luò)安全產(chǎn)業(yè)的重要組成力量,對(duì)于網(wǎng)絡(luò)安全產(chǎn)業(yè)的健康發(fā)展有著極為關(guān)鍵的作用。我們都知道,將風(fēng)險(xiǎn)掐滅在搖籃之中所付出的成本是最低的。而白帽黑客就是一群尋找風(fēng)險(xiǎn)的人,搶在漏洞爆發(fā)之前率先找到并上報(bào)給企業(yè)修復(fù),化威脅于無形。

于他們而言,最重要的無非是一個(gè)清楚的規(guī)則,一個(gè)合法的保障。