《计算机欺诈和滥用法》于1986年签署为联邦法律,早于我们所知的现代互联网,但直到今天仍在支配着什么构成黑客行为,即“未经授权”访问计算机或网络的行为。备受争议的法律旨在起诉黑客,但批评家称其为技术法律书籍中的“最糟糕的法律”,批评者说这已经过时且措辞含糊,无法保护信誉良好的黑客免于发现和披露安全漏洞。
案件的中心是佐治亚州前警察中士内森·范布伦。范布伦(Van Buren)使用他对警察牌照数据库的访问来寻找熟人以换取现金。范布伦(Van Buren)被捕,并因两项罪名被起诉:接受回扣以访问警察数据库,以及违反CFAA。第一次定罪被推翻,但CFAA的定罪被维持。
Van Buren可能已被允许通过其警察工作来访问数据库,但是他是否超出访问权限仍然是关键的法律问题。
加州大学伯克利分校的法学教授奥林·科尔(Orin Kerr)说,范布伦诉美国案是最高法院受理的“理想案”。他在四月份的一篇博客文章中说:“这个问题再清楚不过了。”
最高法院将通过确定法律对“未经授权”的访问权的含义,来试图阐明该法律已有数十年的历史。但这本身并不是一个简单的答案。
Riana Pfefferkorn表示:“最高法院在此案中的意见可能会决定数百万普通美国人是否在从事计算机活动时(无论是普通情况还是不符合在线服务或雇主的使用条款)是否犯了联邦罪行,”斯坦福大学法学院的监视和网络安全副总监。 (Pfefferkorn的同事Jeff Fisher在最高法院代表Van Buren。)
最高法院将如何判断“未经授权”是什么意思。法院可以在任何地方定义未经授权的访问,从违反站点的服务条款到登录没有用户帐户的系统。
普费弗科恩说,广泛阅读CFAA可能会将任何事情定为刑事犯罪,包括躺在约会个人资料上,将密码共享给流媒体服务或使用工作计算机供个人使用,均违反雇主的政策。
但是最高法院的最终裁决也可能对善意的黑客和安全研究人员产生广泛的影响,他们故意破坏系统以使其更加安全。黑客和安全研究人员数十年来一直在法律灰色地带开展业务,因为成文的法律将其工作暴露于起诉之下,即使目标是改善网络安全。
多年来,科技公司一直鼓励黑客私下接触安全漏洞。作为回报,这些公司修复其系统并向黑客支付其工作费用。 Mozilla,Dropbox和Tesla都是少数几家走得更远的公司,它们承诺不起诉CFAA下的诚信黑客。并非所有公司都欢迎审查,并威胁要对研究人员的研究结果提起诉讼,从而扭转了这一趋势,并且在某些情况下,他们会积极采取法律行动来防止头条新闻。
安全研究人员对法律威胁并不陌生,但是最高法院的一项裁决禁止Van Buren的裁决可能对其工作产生寒蝉效应,并将脆弱性披露推向地下。
Pfefferkorn表示:“如果违反计算机化系统的使用政策可能会导致刑事(和民事)后果,那将使此类系统的所有者能够禁止善意的安全研究,并使研究人员无法透露他们在这些系统中发现的任何漏洞。” 。 “即使不经意地在一组漏洞赏金规则的界限之外涂上颜色,也可能使研究人员承担责任。”
普费弗功说:“法院现在有机会解决对法律范围的歧义,使安全研究人员更安全地通过狭义地解释CFAA来开展他们急需的工作。” “我们无力吓跑那些想要改善网络安全性的人。”
最高法院可能会在今年晚些时候或明年年初对该案做出裁决。