DOJ重新审视计算机欺诈和滥用法案（CFAA）

关键要点

• 美国司法部宣布将不再针对“善意”安全研究者提起CFAA案件。
• 该政策旨在缓解对研究人员的法律威胁，促进网络安全研究。
• 尽管政策有所变动，但仍然存在其他潜在的法律风险和约束。

美国司法部正在重大修订其对国家主要黑客法律的解释和应用，宣布将不再针对【“善意”】(https://www.scworld.com/news/security-
news/legal-security-news/arrested-coalfire-pen-testers-push-for-good-
samaritan-law)的安全研究者或那些违反公司政策或服务条款中无关紧要部分的个人提起诉讼。

【计算机欺诈和滥用法案】(https://www.scworld.com/news/security-news/legal-security-
news/supreme-court-narrows-interpretation-of-cfaa-to-the-relief-of-ethical-
hackers)
是用于起诉黑客犯罪的主要法律。这一法律在大型犯罪和国家安全案件中被广泛使用，例如对俄罗斯情报人员提起的2016年黑客攻击和数据泄露案，以及个人案件，比如安全研究员亚伦·施瓦茨的起诉。

在一个重大的转变中，司法部周四宣布，将不再依据CFAA对参与“善意”安全研究的个体提出起诉。

“司法部不会基于被告对特定文件、数据库、文件夹或用户账户的访问权限受制于合同、协议或政策的理论提起‘超越授权访问’的案件，唯一的例外是完全禁止被告在任何情况下访问特定文件、数据库、文件夹或用户账户的合同、协议或政策,”
部门表示。

对研究人员的CFAA政策变更

该决定标志着联邦政府对其在CFAA下的起诉权力视角的重大变化。这也是信息安全界及其他团体多年来为了说服政府建立健康、功能良好的国家生态系统而努力的结果，该生态系统旨在查找、披露和修复损害软件和硬件漏洞的有效途径，研究人员如果总是要提防法律责任，就无法顺利工作。

检察官往往会以“超越授权访问”对特定设备、系统或数据提起CFAA指控，认为这是根据公司与用户之间的私有合同或服务条款设定的规则。但这使得外部的安全研究人员陷入困境，因为这允许公司设定自己的规则，使得对其产品的第三方审查变得困难、不可能或只能通过公司几乎完全控制的过程完成。

“计算机安全研究是改善网络安全的关键驱动因素，”
副检察长丽莎·摩纳哥在一份【声明】(https://www.justice.gov/opa/pr/department-justice-announces-
new-policy-charging-cases-under-computer-fraud-and-abuse-
act)中表示。“该部门从未有意将善意的计算机安全研究视为犯罪，今天的声明通过为善意的安全研究人员提供明确性来促进网络安全，他们为公共利益根除漏洞。”

理解“善意”

同时该政策还修改了司法部的【起诉指导方针】(https://www.justice.gov/opa/press-
release/file/1507126/download)，停止对违反私有服务条款的一般性指控进行起诉，尽管违反具体规则的人仍可能被起诉。此外，使用工作计算机支付个人在线账单的行为将不再被视为CFAA的侵犯。

“因此，在线约会网站上根据服务条款虚构一个约会资料；在招聘、住房或租赁网站上创建虚假账户；或在禁止使用假名的社交网络网站上使用假名，这些行为可能都违反了用户与保护计算机所有者的合同，但司法部不会认为仅仅违反合同就自动撤销了用户之前的授权，从那时起用户就违反了CFAA。”

“善意”这一术语至关重要，因为该部门仍然保留追诉黑客入侵系统或违反与网络安全相关的具体合同条款的个人或团体的权利，例如未经他人同意访问共享计算机上的其他帐户。

施瓦茨的案件【（链接）】(https://en.wikipedia.org/wiki/United_States_v._Swartz)在他2013年自杀等待审判时成为