范伯恩是对跨越跨越CFAA解释的胜利

2021-06-04 11:38:12

今天最高法院的范伯恩决定推翻了一个危险的先例,并澄清了“超出授权访问”的“超出授权访问”的危险性含糊不清的意义,该法案被滥用,以滥用起诉有利和重要的在线活动。

该决定是所有互联网用户的胜利,因为它肯定了在线服务无法使用CFAA的刑事规定来强制执行您使用其服务的方式或为什么,包括收集歧视或识别安全漏洞的证据。它还拒绝了使用令人​​不安的物理世界类比和法律理论来解释法律,这在过去导致了一些最危险的滥用行为。

Van Buren决定为安全研究人员特别好消息,其工作发现安全漏洞对公共利益至关重要,但通常需要以违反服务条款的方式访问计算机。根据司法部的读书部,CFAA允许对任何网站违规条款的个人犯罪。但大多数最高法院拒绝了Doj的解释。虽然高等法院并没有像eff一样缩小CFAA,但留下了公开的问题,关于法律是否需要规避技术访问障碍,它提供了良好的语言,应该有助于保护研究人员,调查记者和其他人。

CFAA使其成为“故意访问或未授权或超过[]授权访问的计算机犯罪,从而获得[]。 。 。来自任何受保护的计算机的信息,但没有定义用于超出授权访问的目的的授权手段。在Van Buren,一名前佐治亚州警察被指控兑换换取执法数据库的牌照。这是他有权访问的数据库,而Van Buren则被指控超过CFAA的授权访问。第十一电路分析已打开计算机所有者对其网络使用的单方面政策,允许私人缔约方制作EULA,TO或其他使用刑事责任政策。

最高法院正确地推翻了第十一回路,并持续超过CFAA的授权访问并不涵盖“违反雇主计算机的基于环境的访问限制。”相反,法规的禁令仅限于“通过授权访问计算机的人,而是获得位于计算机的特定区域的信息 - 例如文件,文件夹或数据库 - 这是对他的限制。”该法院通过了“盖茨 - 上或下”方法:您有权访问信息或您不是。如果您需要突破数字门进入,则进入是犯罪,但如果您允许通过一个开放的网关,这不是一个犯罪。

这意味着私人缔约方对如何使用信息的信息或您可以访问它的目的的服务限制,而不是由CFAA执行的。例如,如果您可以将住房广告视为用户,那么即使TOS禁止它,将为您的偏见研究项目拉动它们并不是一种黑客犯罪。 Van Buren是端口扫描的好消息,例如:只要电脑向公众开放,您就不必担心用于扫描端口的条件。

虽然决定以法规案文的解释为中心,但法院将其结论与AMICI提出的政策问题纳入了结论,包括代表计算机安全研究人员和雇用并支持它们的组织提交的简要介绍。法院的解释值得引用深入:

如果“超过授权访问”条款将每一项违反计算机使用政策的违反刑事犯罪,那么数百万违法的公民是犯罪分子。拿走工作场所。雇主通常说明计算机和电子设备只能用于商业目的。因此,在政府阅读法规,一名员工,他们使用她的工作计算机发送个人电子邮件或阅读新闻的雇员违反了CFAA。或考虑互联网。许多网站,服务和数据库......仅授权用户访问他的协议,以遵循指定的服务条款。如果“超过授权访问”子句包含违反雇主计算机的基于环境的访问限制,很难明白为什么它也不会包含对网站提供商的计算机的违反这种限制。事实上,众多的aliCi解释了为什么政府的阅读[将]将一切归咎于在装饰在线约会型材以在Facebook上使用假名来裁判。

该分析表明,法院承认过度广泛的CFAA的巨大危险,并明确拒绝政府留下宽大权力的论点,只能通过其检察自行决定锻炼。

法院的决定在一个重要方面有限。在一个脚注中,如果可执行的访问限制只意味着“基于技术(或基于代码的”)的限制,或者也会留​​下合同或政策的限制,因此留下了一个开放的问题,这意味着意见既不是通过也没有拒绝任何道路。 eff在法院和立法改革努力中争论了多年的努力,即没有通过技术防御而没有黑客攻击的计算机黑客犯罪。

这个脚注有点奇怪,因为大多数人的大部分似乎似乎指出要求某人违反访问的技术限制的法律,并在将TOS违规定罪下的阴影。在大多数情况下,计算机上一次访问的范围是由技术定义的,例如访问控制列表或重新输入密码的要求。奥林克斯教授建议这可能是建立六大正义的必要限制。

后来在面包车的意见中,法院驳回了一项政府的论点,即反对“使用机密数据库的非法执法目的”的规则应该被视为犯罪可执行的访问限制,与“使用数据库中的信息”不同非法执法目的“(强调原始)。根据法院通过的“盖茨上下”方法是有意义的。与政策发行的法院承认关于上述服务的执行条款,这有助于我们了解限制脚注,建议巧妙地编写TOS不会轻易转动条件规则,或者您可以稍后使用信息,陷入犯罪可执行的访问限制。

尽管如此,留下问题开放意味着我们必须在何种情况下诉诸于未来几年的获取限制的情况。例如,在Facebook v.powerventures中,第九次电路发现,即使仅违反Facebook术语的违反Facebook术语并非仅违反Facebook术语,即使仅违反Facebook术语的违规而无法进行停止和停止信函。服务提供商可能会争辩说,这是范伯伦未解析的非技术访问限制。

尽管大多数意见离开这一重要的CFAA问题尚未解决,但该决定仍然提供大量语言,这将有助于对余额的案例有所帮助。这是因为范伯伦多数人关注CFAA的技术定义,以及法律限制的计算机访问的类型应该为降低法律达到境内的降低法院提供指导。

这是一个胜利,因为过去的广泛的CFAA解释经常被阻止或冷却重要的安全研究和调查新闻。 CFAA部分地将这些活动放在法律危险中,部分原因是法院往往争取使用非数字法律概念和物理类比来解释法规。实际上,范博须多数和异议之间的原则分歧之一是CFAA是否应根据物理物业法则解释,例如侵入和盗窃。

大多数舆论裁定,原则上,计算机访问与物理世界不同,因为CFAA包含这么多的技术术语和定义。 “在解释法规时,法院注意到携带”技术意义“的术语,”大多数人写道“。

对于CFAA来说,规则尤其如此,因为它专注于恶意计算机使用和入侵,所以大多数是写道。例如,计算机使用的上下文中的术语“访问”具有自己的特定,合适的含义:“在计算上下文中,”访问“引用输入计算机”系统本身“或特定”部分的行为计算机系统,'如文件,文件夹或数据库。“基于该定义,CFAA的“超出授权访问”限制应限制为禁止“输入计算机用户缺乏访问权限的系统的一部分的行为”。

大多数人还认识到,定义损坏和损失的CFAA的部分是危害计算机文件和数据的危害,而不是一般非数字伤害,例如侵入另一个人的财产:“”损害“和”损害“的法定定义因此,损失专注于技术危害 - 例如未经授权用户对计算机系统和数据的类型腐败的损坏,“法院写道。这是重要的,因为损失和损坏是民事CFAA索赔的先决条件,私人实体执行CFAA的能力一直是一种威胁,这是妨碍公司可能何时可能缺乏公众未知的安全研究。

因为CFAA对损失和损害赔偿的定义重点是对计算机文件,系统或数据的伤害,而且大多数人写道,他们“不适用于修复”滥用“员工可能允许使用其计算机访问的敏感信息”滥用“。”

最高法院的范伯伦决定正确地限制了CFAA禁止“超出授权访问”,以禁止某人访问特定的计算机文件,服务或计算机的其他部分否则禁止对它们。和法院推翻了第十一回路的决定,允许基于违反网站的服务条款或雇主计算机使用限制的人的CFAA责任,确保很多重要的,合法的计算机使用不是犯罪。

但仍有更多的工作要做,以确保计算机犯罪法没有滥用研究人员,记者,活动家和日常互联网用户。由于长期倡导对CFAA的跨越解释,EFF将继续努力推动法院和立法者进一步缩小CFAA和类似国家计算机犯罪法,因此他们无法再滥用。