Ван Бюрен – победа над слишком широкими интерпретациями CFAA

ВанБюрен8211победанадслишкомширокимиинтерпретациямиcfaa

Верховного суда Бурен решение сегодня опровергает опасный прецедент и разъясняет печально известное двусмысленное значение термина «превышение разрешенного доступа» в Законе о компьютерном мошенничестве и злоупотреблении, федеральном законе о компьютерных преступлениях, который был неправильно использовался для преследовать в судебном порядке полезную и важную онлайн-деятельность.

Решение – это победа для всех Интернет-пользователи, поскольку он подтвердил, что онлайн-сервисы не могут использовать уголовные положения CFAA для обеспечения соблюдения ограничений на то, как и почему вы используете их сервис, в том числе для таких целей, как сбор доказательств дискриминации или выявление уязвимостей безопасности. Он также отказался от использования вызывающих беспокойство аналогий с физическим миром и юридических теорий для толкования закона, что в прошлом приводило к некоторым из его наиболее опасных злоупотреблений.

Решение Ван Бурена – особенно хорошая новость для исследователей безопасности. , чья работа по обнаружению уязвимостей системы безопасности жизненно важна для общественных интересов, но часто требует доступа к компьютерам способами, противоречащими условиям обслуживания. В соответствии с чтением закона Министерством юстиции , CFAA разрешило уголовное преследование физических лиц за любое нарушение условий обслуживания веб-сайта. Но большинство в Верховном суде отклонили интерпретацию Министерства юстиции. И хотя верховный суд не сузил CFAA так, как хотелось бы EFF, оставив открытым вопрос о том, требует ли закон обхода технологического барьера доступа, он предоставил хороший язык, который должен помочь защитить исследователей, журналистов-расследователей и других.

CFAA объявляет преступлением «Намеренно доступ компьютер без авторизации или превышения авторизованный доступ, и тем самым получить . . . информация с любого защищенного компьютера », но не определяет, что означает авторизация для целей превышения разрешенного доступа. В Ван Бюрен, бывший офицер полиции Джорджии был обвинен в получении денег в обмен на поиск номерных знаков в базе данных правоохранительных органов. Это была база данных, к которой он имел право получить доступ, и Ван Бурен был обвинен в превышении разрешенного доступа в соответствии с CFAA. Анализ Одиннадцатого Цепи включил одностороннюю политику владельца компьютера в отношении использования его сетей, что позволило частным лицам сделать EULA, TOS или другие политики использования уголовно наказуемыми.

Верховный суд справедливо отменил Одиннадцатый Circuit и постановил, что превышение разрешенного доступа в соответствии с CFAA не включает «нарушения ограничений доступа на компьютерах работодателей, основанных на конкретных обстоятельствах». Скорее, законодательный запрет ограничен тем, кто «получает доступ к компьютеру с авторизацией, но затем получает информацию, расположенную в определенных областях компьютера – таких как файлы, папки или базы данных, – которые для него недоступны». Суд избрал подход «верх или вниз»: либо вы имеете право на доступ к информации, либо нет. Если вам нужно прорваться через цифровые ворота, чтобы попасть внутрь, вход считается преступлением, но если вам разрешено пройти через открытый шлюз, то находиться внутри не является преступлением.

Это означает, что условия обслуживания частных лиц ограничивают то, как вы можете использовать информацию или для каких целей вы можете получить к нему доступ, CFAA не предусматривает уголовного преследования. Например, если вы можете просматривать рекламные объявления о жилье как пользователь, то это не является преступлением со стороны взлома, если вы привлечете их для своего исследовательского проекта с предвзятым отношением к жилью, даже если TOS запрещает это. Ван Бюрен действительно хорошая новость для сканирования портов, например: пока компьютер открыт для публики, вам не нужно беспокоиться об условиях использования для просканируйте порт.

Хотя решение было сосредоточено вокруг толкование текста статута, Суд подкрепил свое заключение политическими проблемами, поднятыми amici, включая краткое EFF подано от имени компьютерной безопасности исследователи и организации, которые их нанимают и поддерживают. Объяснение Суда стоит процитировать подробно:

Если пункт «превышение разрешенного доступа» криминализирует каждое нарушение политики использования компьютеров, тогда миллионы законопослушных граждан являются преступниками. Возьмите рабочее место. Работодатели обычно заявляют, что компьютеры и электронные устройства могут использоваться только в деловых целях. Таким образом, при чтении закона правительством служащая, которая отправляет личное электронное письмо или читает новости с помощью своего рабочего компьютера, нарушила CFAA. Или возьмем Интернет. Многие веб-сайты, сервисы и базы данных…. разрешать доступ пользователю только при его согласии соблюдать указанные условия обслуживания. Если пункт «превышение разрешенного доступа» включает нарушения ограничений доступа на основе обстоятельств на компьютерах работодателей, трудно понять, почему он также не охватывает нарушения таких ограничений на компьютерах поставщиков веб-сайтов. И действительно, многочисленные друзья объясняют, почему чтение [would] правительства криминализирует все, от приукрашивания профиля онлайн-знакомств до использования псевдонима в Facebook.

Этот анализ показывает, что Суд признал огромная опасность чрезмерно широкого CFAA, и однозначно отвергает аргументы правительства в пользу сохранения широких полномочий, сдерживаясь только их прокурорским усмотрением.

Осталось неразрешенным: Требуют ли нарушения CFAA ограничения технического доступа

Решение суда было ограничен в одном важном отношении. В сноске Суд оставил открытым вопрос, означает ли обязательное ограничение доступа только «технологические (или« основанные на коде ») ограничения доступа или вместо этого также обращает внимание на ограничения, содержащиеся в контрактах или политиках », что означает, что мнение не принимало и не отклоняло ни один из путей. EFF выступала в судах и законодательной реформе усилия в течение многих лет, что это не преступление компьютерного взлома без взлома через технологическую защиту .

Эта сноска немного странная, поскольку основная часть мнения большинства, похоже, указывает на закон, требующий от кого-то преодолеть технологические ограничения доступа и бросающий тень на криминализацию нарушений УП. В большинстве случаев объем вашего доступа один раз на компьютере равен определяется технологией, например списком управления доступом или требованием повторного ввода пароля. Профессор Орин Керр предложил , что это могло быть необходимым ограничением для построения большинства из шести судей.

Позже в Ван Бюрен мнение, Суд отклонил довод властей Российской Федерации о том, что правило против « с использованием конфиденциальной базы данных не в правоохранительных целях » должно рассматриваться как ограничение доступа, подлежащее исполнению в уголовном порядке, отличное от « с использованием информации из базы данных в целях, не связанных с соблюдением законов »(выделено оригиналом). Это имеет смысл с точки зрения подхода « , открывающего или закрывающего ворота», принятого Судом . Вместе с политическими проблемами, признанными судом в отношении обеспечения соблюдения условий обслуживания, указанных выше, это помогает нам понять сноску об ограничении, предполагающую, что грамотное написание УО нелегко превратить условное правило в отношении того, почему вы можете получить доступ или что вы можете делать с информацией позже. , на ограничение доступа, подлежащее исполнению в уголовном порядке.

Тем не менее, оставление вопроса открытым означает, что нам придется оспаривать, может ли договор или письменная политика стать ограничением доступа в ближайшие годы и при каких обстоятельствах. Например, в Facebook против Power Ventures Девятый округ обнаружил, что письмо о прекращении и воздержании удаления авторизации было достаточно, чтобы создать нарушение CFAA для последующего доступа, даже несмотря на то, что нарушения условий Facebook не было. Поставщики услуг, вероятно, будут утверждать, что это своего рода нетехнические ограничения доступа, которые остались нерешенными Ван Бюрен.

Узкая интерпретация Суда CFAA должна помочь исследователям в области безопасности

Несмотря на то, что по мнению большинства этот важный вопрос CFAA оставлен нерешенным, решение все же предлагает множество формулировок. это будет полезно для последующих дел, касающихся сферы действия закона. Это потому, что Ван Бюрен большинство сосредотачиваются на технических определениях CFAA и типах компьютеров доступ, ограничиваемый законом, должен служить руководством для судов низшей инстанции, которые сужают сферу действия закона.

Это победа, потому что широкий CFAA интерпретации в прошлом часто сдерживали или сдерживали важные исследования в области безопасности и журналистские расследования. CFAA поставил эту деятельность под юридическую опасность отчасти потому, что суды часто борются с использованием нецифровых юридических концепций и физических аналогий для толкования закона. Действительно, одно из принципиальных разногласий между Ван Бюреном Большинство и несогласие заключается в том, следует ли толковать CFAA на основе доктрин закона о физической собственности, таких как посягательство на владение и кража.

По мнению большинства, в принципе компьютер доступ отличается от физического мира именно потому, что CFAA содержит так много технических терминов и определений. «При толковании законодательных актов суды принимают во внимание термины, которые имеют« техническое значение [s] », – написало большинство.

Правило особенно верно для Большинство писали, что CFAA нацелена на злонамеренное использование компьютеров и вторжения. Например, термин «доступ» в контексте использования компьютера имеет свое собственное конкретное, хорошо известное значение: «В вычислительном контексте« доступ »относится к действию входа в« саму систему »компьютера или конкретную« часть компьютера ». компьютерная система, например файлы, папки или базы данных ». Основываясь на этом определении, ограничение CFAA «превышение разрешенного доступа» должно быть ограничено запретом «действия входа в часть системы, к которой пользователь компьютера не имеет прав доступа».

Большинство также признало, что порции CFAA, которые определяют ущерб и убытки, основаны на повреждении компьютерных файлов и данных, а не на общем нецифровом ущербе, таком как вторжение в собственность другого лица: «Установленные законом определения« ущерба »и« потери », таким образом, сосредоточены на технологическом ущербе. – такое как повреждение файлов – такое, которое неавторизованные пользователи вызывают в компьютерных системах и данных », – написал Суд. Это важно, потому что потеря и повреждение являются предпосылками для подачи гражданских исков CFAA, а способность частных лиц обеспечивать соблюдение CFAA была угрозой, которая сдерживает исследования в области безопасности, когда компании предпочитают, чтобы их уязвимости оставались неизвестными общественности.

Поскольку определения потерь и Ущерб сосредоточен на нанесении вреда компьютерным файлам, системам или данным, большинство писало, что они «плохо приспособлены, однако, к исправлению« неправомерного использования »конфиденциальной информации, к которой сотрудники могут разрешить доступ с помощью своих компьютеров».

Ван Бюрен решение правильно ограничивает CFA Запрет A на «превышение разрешенного доступа» для запрета кому-либо доступа к определенным компьютерным файлам, службам или другим частям компьютера, которые в противном случае для них недоступны. И отмена судом решения Одиннадцатого округа, разрешающего ответственность CFAA на основании нарушения кем-либо условий обслуживания веб-сайта или ограничений на использование компьютеров работодателем, гарантирует, что большое количество важных и законных компьютеров не является преступлением.

Но есть еще кое-что, чтобы быть сделано для обеспечения того, чтобы законы о компьютерных преступлениях не использовались против исследователей, журналистов, активистов и обычных пользователей Интернета. Как давние защитники Против чрезмерно широких толкований CFAA, EFF будет продолжать прилагать усилия, чтобы подтолкнуть суды и законодатели должны еще больше сузить CFAA и аналогичные государственные законы о компьютерных преступлениях, чтобы они больше не могли использоваться не по назначению.