5月19日消息,據外媒Vice報道,美國司法部公布一項政策調整(類似于司法解釋文件),將不再對違反美國聯邦黑客法《計算機欺詐與濫用法》(CFAA)的善意安全研究提起訴訟。
善意安全研究是指僅出于善意測試、調查和/或糾正安全漏洞或漏洞的目的訪問計算機,而此類活動的執行方式旨在避免對個人或公眾造成任何傷害,從活動中獲得的信息主要用于促進被訪問計算機所屬的設備、機器或在線服務類別或使用此類設備、機器或在線服務的人的安全性。
“計算機安全研究是提高網絡安全的關鍵驅動力,”美國司法部副部長Lisa O. Monaco在公告的相關聲明中表示,“司法部從不打算將善意的計算機安全研究視為應被起訴的罪行。此次公告希望為善意的安全研究人員提供清晰指引,鼓勵研究者出于公共利益去根除漏洞。”
該政策的文本也提到,“司法部執行《計算機欺詐與濫用法》的目標是維護個人、網絡所有者、運營商及其他方的合法權利,促進隱私和網絡安全,保障信息系統內所承載信息的機密性、完整性和可用性。”
《計算機欺詐和濫用法》(CFAA)最初于1986年頒布,旨在懲治黑客犯罪。然而,由于是在互聯網的早期設計的,它經常被批評為過于寬泛的法律語言,批評者說它未能區分涉及 "黑帽 "網絡罪犯和道德黑客或 "白帽 "的黑客案件。
激進派組織電子前沿基金會此前曾表示,“安全研究對于保障所有計算機用戶的安全非常重要。如果我們不知道漏洞的存在,就無法著手修復,更無法在未來制造出更好的計算機系統。《計算機欺詐與濫用法》應該保護白帽黑客,激勵他們做好這份重要的工作。”
即使CFAA已被多次修訂,批評者仍擔心該法的廣泛授權可能會使無辜的網絡專業人士被卷入嚴厲的法律案件中。
這項舉措意義重大。長期以來,出于漏洞發現和修復等目的,安全研究人員往往需要探測甚至入侵目標系統。《計算機欺詐與濫用法》無疑對這部分研究者構成了威脅。此次政策修訂,意味著善意安全研究不應面臨指控。
此次公告也提供了反面案例,即會被視為惡意而面臨指控的“研究”行為。其中寫道,“若發現設備中的漏洞并借此勒索所有者,即使聲稱屬于‘研究’行為,仍將被視為非善意。”
公告還補充稱,新政策將立即生效,所有根據《計算機欺詐與濫用法》起訴案件的聯邦檢察官必須遵循新政策要求。
及時掌握網絡安全態勢 盡在傻蛋網絡安全監測系統
本文來源:網絡
如涉及侵權,請及時與我們聯系,我們會在第一時間刪除或處理侵權內容。
電話:400-869-9193 負責人:張明
工商執照