美司法部正式承諾不控告從事安全研究的白帽駭客

美國司法部昨日（19）宣布修改政策，將不會依據美國電腦犯罪相關法令控告進行「善意」安全研究的研究人員。但倡議團體則認為遠遠不夠。

這是司法部首次明確表達善意安全研究不應及不會被控告。1986年實施的《電腦詐欺與濫用法案》（Computer Fraud and Abuse Act，CFAA）是《綜合犯罪控制法》（Comprehensive Crime Control Act, 1984）修正法案，1986年實施，禁止未經授權或逾越授權存取美國政府、各類企業及個人的電腦，也是美國司法機關定罪的主要法源之一。

隨著資訊產業網路犯罪及漏洞攻擊頻仍，白帽駭客成為促進軟體安全的重要推手。許多軟體大廠透過免責保護傘計畫，使安全研究人員免於被控告，但是因漏洞研究而被廠商告上法院的例子屢見不鮮。一群代表22國網路安全專家的團體去年聯合倡議修改過時法令，呼籲讓安全研究人員免於官司威脅。

去年美國最高法院首次介入審查法律上所謂「非授權」存取電腦的行為，並大幅對一些行為除罪，像是違反約會網站的服務條款美化個人資料、在招聘／租賃及房仲網站建假帳號、在社交平臺使用假名以繞過封鎖、在工作時查詢運動賽事得分、在工作時付個人帳單、或是違反服務條款規定的存取限制等。

司法部副部長Lisa Monaco指出，司法部從來都沒有意思要將善意的電腦安全當作提出刑事起訴，「今日的宣布將可對排除漏洞、創造公益的善意電腦研究人員說明司法部的立場。」

新政策將明白確認，一些法院及大眾擔心可能觸犯CFAA的行為將不會被起訴。新政策著重在「完全無存取授權」或「僅有部分存取授權」卻存取授權以外資訊的行為。司法部指出上面列舉的「非授權存取」行為不構成聯邦刑事起訴的行為。但司法部仍然強調，宣稱從事安全研究並非免死金牌，例如找到裝置漏洞卻向裝置持有者勒索的「研究」就無法稱為善意。

長期爭取漏洞安全研究法律保障的組織則認為稍嫌不足。電子疆域基金會指出，司法部透過這次新政策肯定安全研究對強化社會媒體應用程式、金融系統及其他大眾日常使用的眾多數位系統的重要性，但是這次的新政策並未觸及一些重要議題，像是說明「逾越權限的存取」包括突破技術限制，而這是電腦安全研究或記者等工作的必須。因此新政策只限制了控告範圍，但是並不能保障決心追殺到底的法律威脅，以及CFAA超過比例原則的刑責。

EFF甚至認為，新政策不但未提供釐清，反而因為明文列出無罪的行為，而造成更多不在範圍內的行為遭到司法控訴。

ZDNet分析，司法部所列的免控告行為僅僅屬於逾越服務條款的行為，和電腦安全研究相去甚遠。Techcrunch則說，這新政策並非法律修訂，只代表司法部今天的看法，未來也可能改變。