美国司法部昨日(19)宣布修改政策,将不会依据美国计算机犯罪相关法令控告进行“善意”安全研究的研究人员。但倡议团体则认为远远不够。
这是司法部首次明确表达善意安全研究不应及不会被控告。1986年实施的《计算机欺诈与滥用法案》(computer fraud and abuse act,cfaa)是《综合犯罪控制法》(comprehensive crime control act, 1984)修正法案,1986年实施,禁止未经授权或超过越授权访问美国政府、各类企业及个人的计算机,也是美国司法机关定罪的主要法源之一。
随着资讯产业网络犯罪及漏洞攻击频仍,白帽黑客成为促进软件安全的重要推手。许多软件大厂通过免责保护伞计划,使安全研究人员免于被控告,但是因漏洞研究而被厂商告上法院的例子屡见不鲜。一群代表22国网络安全专家的团体去年联合倡议修改过时法令,呼吁让安全研究人员免于官司威胁。
去年美国最高法院首次介入审查法律上所谓“非授权”访问计算机的行为,并大幅对一些行为除罪,像是违反约会网站的服务条款美化个人资料、在招聘/租赁及房产中介网站建假账号、在社交平台使用假名以绕过封锁、在工作时查询运动赛事得分、在工作时付个人账单、或是违反服务条款规定的访问限制等。
司法部副部长lisa monaco指出,司法部从来都没有意思要将善意的计算机安全当作提出刑事起诉,“今日的宣布将可对排除漏洞、创造公益的善意计算机研究人员说明司法部的立场。”
新政策将明白确认,一些法院及大众担心可能触犯cfaa的行为将不会被起诉。新政策着重在“完全无访问授权”或“仅有部分访问授权”却访问授权以外资讯的行为。司法部指出上面枚举的“非授权访问”行为不构成联邦刑事起诉的行为。但司法部仍然强调,宣称从事安全研究并非免死金牌,例如找到设备漏洞却向设备持有者勒索的“研究”就无法称为善意。
长期争取漏洞安全研究法律保障的组织则认为稍嫌不足。电子疆域基金会指出,司法部通过这次新政策肯定安全研究对强化社会媒体应用程序、金融系统及其他大众日常使用的众多数字系统的重要性,但是这次的新政策并未触及一些重要议题,像是说明“超过越权限的访问”包括突破技术限制,而这是计算机安全研究或记者等工作的必须。因此新政策只限制了控告范围,但是并不能保障决心追杀到底的法律威胁,以及cfaa超过比例原则的刑责。
eff甚至认为,新政策不但未提供厘清,反而因为明文列出无罪的行为,而造成更多不在范围内的行为遭到司法控诉。
zdnet分析,司法部所列的免控告行为仅仅属于超过越服务条款的行为,和计算机安全研究相去甚远。techcrunch则说,这新政策并非法律修订,只代表司法部今天的看法,未来也可能改变。