圖片來源: 

美國司法部

美國司法部昨日(19)宣布修改政策,將不會依據美國電腦犯罪相關法令控告進行「善意」安全研究的研究人員。但倡議團體則認為遠遠不夠。

這是司法部首次明確表達善意安全研究不應及不會被控告。1986年實施的《電腦詐欺與濫用法案》(Computer Fraud and Abuse Act,CFAA)是《綜合犯罪控制法》(Comprehensive Crime Control Act, 1984)修正法案,1986年實施,禁止未經授權或逾越授權存取美國政府、各類企業及個人的電腦,也是美國司法機關定罪的主要法源之一。

隨著資訊產業網路犯罪及漏洞攻擊頻仍,白帽駭客成為促進軟體安全的重要推手。許多軟體大廠透過免責保護傘計畫,使安全研究人員免於被控告,但是因漏洞研究而被廠商告上法院的例子屢見不鮮。一群代表22國網路安全專家的團體去年聯合倡議修改過時法令,呼籲讓安全研究人員免於官司威脅。

去年美國最高法院首次介入審查法律上所謂「非授權」存取電腦的行為,並大幅對一些行為除罪,像是違反約會網站的服務條款美化個人資料、在招聘/租賃及房仲網站建假帳號、在社交平臺使用假名以繞過封鎖、在工作時查詢運動賽事得分、在工作時付個人帳單、或是違反服務條款規定的存取限制等。

司法部副部長Lisa Monaco指出,司法部從來都沒有意思要將善意的電腦安全當作提出刑事起訴,「今日的宣布將可對排除漏洞、創造公益的善意電腦研究人員說明司法部的立場。」

新政策將明白確認,一些法院及大眾擔心可能觸犯CFAA的行為將不會被起訴。新政策著重在「完全無存取授權」或「僅有部分存取授權」卻存取授權以外資訊的行為。司法部指出上面列舉的「非授權存取」行為不構成聯邦刑事起訴的行為。但司法部仍然強調,宣稱從事安全研究並非免死金牌,例如找到裝置漏洞卻向裝置持有者勒索的「研究」就無法稱為善意。

長期爭取漏洞安全研究法律保障的組織則認為稍嫌不足。電子疆域基金會指出,司法部透過這次新政策肯定安全研究對強化社會媒體應用程式、金融系統及其他大眾日常使用的眾多數位系統的重要性,但是這次的新政策並未觸及一些重要議題,像是說明「逾越權限的存取」包括突破技術限制,而這是電腦安全研究或記者等工作的必須。因此新政策只限制了控告範圍,但是並不能保障決心追殺到底的法律威脅,以及CFAA超過比例原則的刑責。

EFF甚至認為,新政策不但未提供釐清,反而因為明文列出無罪的行為,而造成更多不在範圍內的行為遭到司法控訴。

ZDNet分析,司法部所列的免控告行為僅僅屬於逾越服務條款的行為,和電腦安全研究相去甚遠。Techcrunch則說,這新政策並非法律修訂,只代表司法部今天的看法,未來也可能改變。

熱門新聞

Advertisement