2022年5月19日，美國(guó)司法部(DOJ)對(duì)《計(jì)算機(jī)欺詐和濫用法》(CFAA)進(jìn)行修訂，明確指出網(wǎng)絡(luò)安全研究人員(白帽黑客)有著“改善技術(shù)”的良好愿景，因此司法部門將不再以CFAA起訴他們。

這對(duì)白帽黑客而言無(wú)疑是一項(xiàng)重大利好政策，此后他們?cè)僖膊挥脫?dān)心因?qū)ふ衣┒炊硐萼蜞?，為那些試圖改善技術(shù)的網(wǎng)絡(luò)安全研究人員減輕了壓力。對(duì)此，美國(guó)副司法部Lisa Monaca表示，計(jì)算機(jī)安全研究是改善網(wǎng)絡(luò)安全的重要關(guān)鍵驅(qū)動(dòng)力。美國(guó)司法部門從未對(duì)將“善意的計(jì)算機(jī)安全研究”作為犯罪進(jìn)行起訴感興趣。另外，今天(5月19日)的公告通過(guò)為善意的安全研究人員提供明確的規(guī)定以促進(jìn)網(wǎng)絡(luò)安全的發(fā)展，他們將為了網(wǎng)絡(luò)安全的發(fā)展不斷發(fā)現(xiàn)新的漏洞。

資料顯示，CFAA頒布于1986年，是美國(guó)重要的反黑客法律，旨在禁止黑客惡意入侵未經(jīng)授權(quán)的計(jì)算機(jī)系統(tǒng)。CFAA雖然不解決數(shù)據(jù)收集和使用等數(shù)據(jù)保護(hù)問(wèn)題，但對(duì)于未經(jīng)授權(quán)而侵入計(jì)算機(jī)并獲得他人信息的行為規(guī)定了法律責(zé)任。

這意味著，如果未獲得授權(quán)，那么白帽黑客們將不能私自掃描網(wǎng)站漏洞，也不能因此獲得任何非公開(kāi)的數(shù)據(jù)，否則就有觸犯CFAA的風(fēng)險(xiǎn)，并因此受到法律的制裁。

如今，這一政策終于有所改善，CFAA法律將不再適用于白帽黑客群體。但需要注意的是，修訂后的CFAA明確指出必須要是“善意的計(jì)算機(jī)安全研究”，除此之外的非善意行為依舊會(huì)被追責(zé)。

美國(guó)對(duì)CFAA法案爭(zhēng)議由來(lái)已久

一直以來(lái)，美國(guó)對(duì)于CFAA法案存在較大爭(zhēng)議，很多人認(rèn)為CFAA是技術(shù)法律書籍中 “最糟糕的法律”，其過(guò)時(shí)和模糊的法律條款給善意發(fā)現(xiàn)和披露安全漏洞的黑客帶來(lái)了極大的障礙。

由于CFAA所禁止的犯罪行為的范圍遠(yuǎn)遠(yuǎn)超越了傳統(tǒng)黑客攻擊的概念，并將未經(jīng)授權(quán)的訪問(wèn)行為以及使用越權(quán)所得信息，引起政府或其他方損失的越權(quán)訪問(wèn)行為，或構(gòu)成對(duì)該等主體的欺詐的越權(quán)訪問(wèn)行為都定性為犯罪行為。CFAA還為遭受上述計(jì)算機(jī)犯罪行為損害的個(gè)人提供了民事訴由，同時(shí)規(guī)定了損害賠償和衡平法救濟(jì)。

對(duì)此，有專家認(rèn)為CFAA的存在對(duì)白帽黑客全體產(chǎn)生了不良的“寒蟬效應(yīng)”：即如果違反計(jì)算機(jī)系統(tǒng)的使用政策會(huì)有潛在的刑事(和民事)后果，那將使這些系統(tǒng)的所有者有權(quán)禁止善意的安全研究，并使研究人員噤若寒蟬，不敢披露他們?cè)谶@些系統(tǒng)中發(fā)現(xiàn)的任何漏洞。

近年來(lái)，通過(guò)白帽黑客尋找安全漏洞一直是科技企業(yè)的普遍做法，作為回報(bào)，企業(yè)也會(huì)給他們不菲的報(bào)酬。這一做法成效斐然，白帽黑客為企業(yè)找到了無(wú)數(shù)的重量級(jí)漏洞，也讓企業(yè)有了將這些威脅消滅在萌芽之中的機(jī)會(huì)。

但是，這一行為在法律上一直處于灰色地帶，白帽黑客有可能因此被起訴。雖然Mozilla、Dropbox、特斯拉等科技巨頭承諾不會(huì)根據(jù)CFAA起訴善意的黑客，但是更多的公司還是保留了起訴的權(quán)利，甚至于在某些情況下會(huì)積極發(fā)起法律行動(dòng)，防止出現(xiàn)一些不光彩的新聞。

令CFAA縮小范圍的標(biāo)志性案件

2020年，美國(guó)佐治亞州的前警察警長(zhǎng)Nathan Van Buren利用他對(duì)警用車牌數(shù)據(jù)庫(kù)的訪問(wèn)權(quán)限，搜索一個(gè)熟人的車牌號(hào)并收取5000美元。該交易實(shí)際上是FBI的誘捕行動(dòng)，車牌號(hào)是虛構(gòu)的。

隨后，Van Buren被以越權(quán)訪問(wèn)警方數(shù)據(jù)庫(kù)，違反CFAA的罪名被提起訴訟。Van Buren的律師稱，無(wú)論Van Buren是否濫用數(shù)據(jù)庫(kù)，他都是被授權(quán)訪問(wèn)的，因此沒(méi)有違反反黑客法。

對(duì)此美國(guó)最高法院法官Amy Coney Barrett的意見(jiàn)指出，如果“超過(guò)授權(quán)訪問(wèn)”條款將每一次違反計(jì)算機(jī)使用規(guī)定的行為視為犯罪，那么數(shù)百萬(wàn)在其他方面守法的公民就將成為罪犯。

2021年6月，美國(guó)最高法院以6票對(duì)3票的裁決確認(rèn)Van Buren沒(méi)有違反CFAA，而該案件的判決結(jié)果也直接縮小了CFAA的適用范圍。

對(duì)于該結(jié)果，有專家認(rèn)為，“這是數(shù)字時(shí)代公民自由和公民權(quán)利執(zhí)行的一個(gè)重要?jiǎng)倮?。這項(xiàng)裁決則留下了一些沒(méi)有得到解答的關(guān)鍵問(wèn)題，美最高法院的決定最終并未取決于該法律的整體影響或有效性，但是足以推動(dòng)社會(huì)各界人士對(duì)于CFAA的進(jìn)一步深入討論。

另外，還有一起著名案件讓CFAA的適用范圍變的更加清晰，這也是美國(guó)爬蟲斗爭(zhēng)歷史中極具意義的一個(gè)裁決。

2017年，微軟旗下的職業(yè)社交平臺(tái)LinkedIn向數(shù)據(jù)分析公司HiQ發(fā)送了禁止通知函，并在函中援引了CFAA，警告后者不要再通過(guò)爬蟲獲取LinkedIn 網(wǎng)站的數(shù)據(jù)。隨后HiQ向法院提起訴訟，控訴 LinkedIn 通過(guò)法律、技術(shù)等多種方式阻止其復(fù)制 LinkedIn 用戶的公開(kāi)個(gè)人資料，還向法院申請(qǐng)了臨時(shí)禁令。

雙方就這一問(wèn)題一直在打官司，并最終上訴至美國(guó)最高法院。此前，地方法院認(rèn)為，雖然HiQ公司對(duì)LinkedIn網(wǎng)站實(shí)施了網(wǎng)絡(luò)爬蟲，但這種爬蟲行為并不違反法律，因?yàn)? LinkedIn 網(wǎng)站上的數(shù)據(jù)是公開(kāi)數(shù)據(jù)，CFAA中的“未經(jīng)授權(quán)”或者以“超出所授予訪問(wèn)權(quán)限”條款，并不適用于 HiQ 從 LinkedIn 網(wǎng)站收集公開(kāi)數(shù)據(jù)的行為。

隨后，LinkedIn選擇繼續(xù)上訴，第九巡回法院最終還是維持原判，認(rèn)為該案件并不適用CFAA，認(rèn)為HiQ沒(méi)有違反該法律。這也讓CFAA的法律解釋進(jìn)一步清晰，“未經(jīng)授權(quán)”概念將不適用于公共網(wǎng)站。

對(duì)于白帽黑客來(lái)說(shuō)，規(guī)則清楚很重要

CFAA最令人詬病的地方在于法律條文出了名的模糊，不同的指控可以判處最高5年、10年或20年的監(jiān)禁。而不清不楚的條文也讓白帽黑客心驚膽戰(zhàn)，無(wú)法更好地完成漏洞發(fā)掘的工作。

我國(guó)也曾經(jīng)歷過(guò)一段“白帽黑客規(guī)則不清楚”的時(shí)代，白帽黑客們自然百無(wú)禁忌，其中免不了有人會(huì)因?yàn)橥诼┒吹姆椒ú坏卯?dāng)而觸犯法律，這大大限制了白帽黑客群體的成長(zhǎng)，也讓很多有技術(shù)的人才畏手畏腳，無(wú)所適從。

近年來(lái)，隨著我國(guó)網(wǎng)絡(luò)安全產(chǎn)業(yè)不斷發(fā)展，相關(guān)法律法規(guī)的不斷完善，白帽黑客的規(guī)則也也逐漸清晰明了。2021年，《網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定》正式頒布并實(shí)施讓白帽黑客群體的行為有了明確的規(guī)則。

此后，什么可以干，什么不能干都有了明確的說(shuō)法。只要是在法律允許的范圍內(nèi)，白帽黑客們將不用再畏首畏尾，也不用擔(dān)心會(huì)不小心觸碰到法律的底線，可以沉下心來(lái)挖漏洞。同時(shí)，《規(guī)定》也鼓勵(lì)廠家針對(duì)白帽子設(shè)立漏洞獎(jiǎng)勵(lì)機(jī)制，白帽群體可通過(guò)自己的技術(shù)獲得收入，從而形成良性循環(huán)，推動(dòng)安全產(chǎn)業(yè)不斷壯大。

在國(guó)內(nèi)網(wǎng)安政策和企業(yè)需求的不斷刺激下，我國(guó)白帽黑客群體的數(shù)量不斷增長(zhǎng)。FreeBuf發(fā)布的《2021中國(guó)白帽子調(diào)查報(bào)告》顯示，2021年國(guó)內(nèi)白帽總數(shù)已超過(guò)173300人，已經(jīng)幫助超過(guò)數(shù)萬(wàn)個(gè)客戶組織發(fā)現(xiàn)并修復(fù)了超過(guò)260萬(wàn)個(gè)漏洞。

可以這么說(shuō)，白帽黑客已經(jīng)成為網(wǎng)絡(luò)安全產(chǎn)業(yè)的重要組成力量，對(duì)于網(wǎng)絡(luò)安全產(chǎn)業(yè)的健康發(fā)展有著極為關(guān)鍵的作用。我們都知道，將風(fēng)險(xiǎn)掐滅在搖籃之中所付出的成本是最低的。而白帽黑客就是一群尋找風(fēng)險(xiǎn)的人，搶在漏洞爆發(fā)之前率先找到并上報(bào)給企業(yè)修復(fù)，化威脅于無(wú)形。

于他們而言，最重要的無(wú)非是一個(gè)清楚的規(guī)則，一個(gè)合法的保障。