Закон о компьютерном мошенничестве и злоупотреблении - Computer Fraud and Abuse Act

Закон 1986 Компьютерные мошенничества и злоупотребления ( ОФС ) является США кибербезопасности законопроекта , который был принят в 1986 году в качестве поправки к существующему компьютерного мошенничества закону ( 18 USC  § 1030 ), которые были включены в Законе о всеобъемлющей борьбе с преступностью 1984 года . Закон запрещает доступ к компьютеру без разрешения или с превышением разрешения. До принятия уголовных законов, касающихся компьютеров, компьютерные преступления преследовались как мошенничество с использованием почтовых и электронных писем , но применяемого закона часто было недостаточно.

Первоначальный закон 1984 года был принят в ответ на опасения, что преступления, связанные с компьютерами, могут остаться безнаказанными. Отчет комитета палаты представителей к первоначальному законопроекту о компьютерных преступлениях характеризует техно-триллер « Военные игры» 1983 года, в котором молодой подросток (которого играет Мэтью Бродерик ) из Сиэтла врывается в военный суперкомпьютер США, запрограммированный на предсказание возможных результатов ядерной войны, и невольно почти начинает Третья мировая война - как «реалистичное изображение возможностей персонального компьютера для автоматического набора номера и доступа ».

CFAA был написан для распространения существующего деликтного закона на нематериальную собственность , теоретически ограничивая федеральную юрисдикцию делами, «имеющими неотложный федеральный интерес, то есть когда задействованы компьютеры федерального правительства или определенных финансовых учреждений или где совершается само преступление. межгосударственный по своей природе », но его широкие определения распространились и на договорное право . (см. «Защищенный компьютер» ниже). Помимо внесения поправок в ряд положений первоначальной статьи 1030 , CFAA также криминализировал дополнительные действия, связанные с компьютерами. Положения касаются распространения вредоносного кода и атак типа «отказ в обслуживании» . Конгресс также включил в CFAA положение, предусматривающее уголовную ответственность за незаконный оборот паролей и подобных вещей.

С тех пор в этот закон несколько раз вносились поправки: в 1989, 1994, 1996 годах, в 2001 году Законом США PATRIOT от 2002 года и в 2008 году Законом о защите личных данных и реституции. С каждой поправкой к закону, типы поведения, которые подпадали под его действие, расширялись.

В январе 2015 года тогдашний президент Барак Обама предложил расширить CFAA и Закон RICO в своем предложении « Модернизация правоохранительных органов для борьбы с киберпреступностью» . Организатор DEF CON и исследователь Cloudflare Марк Роджерс, сенатор Рон Виден и представитель Зои Лофгрен выступили против этого на том основании, что это сделает многие регулярные действия в Интернете незаконными, и уходит дальше от того, что они пытались достичь с помощью Закона Аарона .

Защищенные компьютеры

Теоретически единственные компьютеры, на которые распространяется действие CFAA, определяются как « защищенные компьютеры ». Они определены в разделе 18 USC  § 1030 (e) (2) как компьютер:

  • исключительно для использования финансовым учреждением, правительством США или любым компьютером, когда поведение, составляющее преступление, влияет на использование компьютера финансовым учреждением или правительством или для них; или
  • который используется или влияет на межгосударственную или внешнюю торговлю или связь, включая компьютер, расположенный за пределами Соединенных Штатов, который используется таким образом, который влияет на межгосударственную или внешнюю торговлю или связь Соединенных Штатов ...

На практике любой обычный компьютер попал под юрисдикцию закона, включая сотовые телефоны, из-за межгосударственного характера большей части Интернет-коммуникаций.

Уголовные преступления в соответствии с Законом

(а) Кто бы -

(1) сознательный доступ к компьютеру без разрешения или превышение разрешенного доступа, а также посредством такого поведения получение информации, которая была определена Правительством Соединенных Штатов в соответствии с исполнительным распоряжением или законом, требующим защиты от несанкционированного раскрытия по причинам национального защиты или внешних сношений, или любые данные с ограниченным доступом, как определено в параграфе y. раздела 11 Закона об атомной энергии 1954 г., имея основания полагать, что такая информация, полученная таким образом, может быть использована во вред Соединенным Штатам или в интересах любого иностранного государства, преднамеренно сообщает, доставляет, передает или вызывает передано, доставлено или передано, или пытается передать, доставить, передать или вызвать к сообщению, доставке или передаче то же самое любому лицу, не имеющему права на его получение, или умышленно сохраняет то же самое и не может доставить его должностному лицу или сотрудник США, имеющий право на его получение;
(2) намеренно получает доступ к компьютеру без авторизации или превышает разрешенный доступ, и таким образом получает:
(A) информация, содержащаяся в финансовой документации финансового учреждения или эмитента карты, как определено в разделе 1602 (n) [1] раздела 15, или содержащаяся в файле агентства по информированию потребителей о потребителе как таковом. термины определены в Законе о справедливой кредитной отчетности (15 USC 1681 et seq.);
(B) информация из любого департамента или агентства США; или
(C) информация с любого защищенного компьютера;
(3) намеренно, без разрешения на доступ к любому частному компьютеру департамента или агентства Соединенных Штатов, получает доступ к такому компьютеру этого департамента или агентства, который предназначен исключительно для использования правительством Соединенных Штатов или, в случае компьютер используется не только для такого использования, используется правительством США или для него, и такое поведение влияет на его использование правительством США или для него;
(4) сознательно и с намерением обмана, получает доступ к защищенному компьютеру без разрешения или превышает разрешенный доступ и посредством такого поведения способствует умышленному мошенничеству и получает что-либо ценное, если только объект мошенничества и полученная вещь не состоят только в использования компьютера и стоимость такого использования не превышает 5000 долларов США за любой годичный период;
(5)
(А) сознательно вызывает передачу программы, информации, кода или команды и в результате такого поведения умышленно без разрешения причиняет ущерб защищенному компьютеру;
(B) намеренно получает доступ к защищенному компьютеру без разрешения и в результате такого поведения по неосторожности причиняет ущерб; или
(C) намеренно получает доступ к защищенному компьютеру без разрешения и в результате такого поведения причиняет ущерб и убытки.
(6) сознательно и с намерением обманывать трафик (как определено в разделе 1029) в любом пароле или аналогичной информации, через которую компьютер может быть доступен без разрешения, если -
(A) такая торговля затрагивает межгосударственную или внешнюю торговлю; или
(B) такой компьютер используется Правительством США или для него;
(7) с намерением вымогать у любого человека деньги или другие ценные вещи, передает в межгосударственной или иностранной торговле любое сообщение, содержащее любое -
(А) угроза причинения вреда защищенному компьютеру;
(B) угроза получить информацию с защищенного компьютера без авторизации или с превышением авторизации или нарушить конфиденциальность информации, полученной с защищенного компьютера без авторизации или путем превышения разрешенного доступа; или
(C) требовать или запрашивать деньги или другие ценные вещи в связи с повреждением защищенного компьютера, если такой ущерб был причинен для облегчения вымогательства

Конкретные разделы

  • 18 USC  § 1030 (a) (1) : Компьютерный шпионаж. Этот раздел во многом заимствует язык из Закона о шпионаже 1917 года с примечательным дополнением, заключающимся в том, что он также охватывает информацию, относящуюся к «международным отношениям», а не просто «национальной обороне», как Закон о шпионаже.
  • 18 USC  § 1030 (a) (2) : Взлом компьютеров и получение правительственной, финансовой или коммерческой информации
  • 18 USC  § 1030 (a) (3) : компьютерное вторжение в правительственный компьютер
  • 18 USC  § 1030 (a) (4) : Совершение мошенничества с использованием компьютера
  • 18 USC  § 1030 (a) (5) : Повреждение защищенного компьютера (включая вирусы, черви)
  • 18 USC  § 1030 (a) (6) : Торговля паролями правительственного или коммерческого компьютера
  • 18 USC  § 1030 (a) (7) : Угроза повреждения защищенного компьютера
  • 18 USC  § 1030 (b) : Заговор с целью нарушения (а)
  • 18 USC  § 1030 (c) : Штрафы

Известные дела и решения, относящиеся к Закону

Закон о компьютерном мошенничестве и злоупотреблениях является одновременно уголовным законом и статутом, который создает частное право на иск , разрешая компенсацию и судебный запрет или другую справедливую защиту любому, кто пострадал в результате нарушения этого закона. Эти положения позволили частным компаниям подавать в суд на нелояльных сотрудников о возмещении ущерба, нанесенного незаконным присвоением конфиденциальной информации ( коммерческой тайны ).

Уголовные дела

  • Дело США против Морриса (1991) , 928 F.2d 504 (2d Cir. 1991), решение было вынесено 7 марта 1991 года. После распространения червя Морриса , одного из первых компьютерных червей , его создатель был осужден в соответствии с Законом за причинение ущерба. и получение несанкционированного доступа к компьютерам "федерального значения". В 1996 году в закон были внесены поправки, отчасти для уточнения формулировок, значение которых оспаривалось в данном случае.
  • Соединенные Штаты против Лори Дрю , 2009. Дело о киберзапугивании, связанном с самоубийством девушки, подвергшейся преследованиям на MySpace . Сборы были ниже 18 USC 1030 (a) (2) (c) и (b) (2) (c). Судья Ву решил, что использование 18 USC  § 1030 (a) (2) (C) против кого-либо, нарушающего соглашение об условиях обслуживания , сделает закон слишком широким. 259 FRD 449
  • США против Родригеса , 2010. Апелляционный суд одиннадцатого округа постановил, что сотрудник Управления социального обеспечения нарушил CFAA, когда использовал базу данных SSA для поиска информации о людях, которых он знал лично.
  • Соединенные Штаты против Коллинза и др. , 2011 г. Группа мужчин и женщин, связанных с коллективом Anonymous, подписала сделку о признании вины в сговоре с целью нарушения доступа к платежному сайту PayPal в ответ на закрытие платежа WikiLeaks через Wau Holland Foundation который был частью более широкой кампании Anonymous, Operation Payback . Позже они стали известны под названием PayPal 14.
  • США против Аарона Шварца , 2011 г. Аарон Шварц якобы вошел в коммутационный шкаф Массачусетского технологического института и установил портативный компьютер для массовой загрузки статей из JSTOR . Он якобы избежал различных попыток JSTOR и MIT остановить это, таких как подделка MAC-адреса . Ему было предъявлено обвинение в нарушении положений CFAA (a) (2), (a) (4), (c) (2) (B) (iii), (a) (5) (B) и (c) (4). ) (А) (i) (I), (VI). Дело было закрыто после того, как Шварц покончил жизнь самоубийством в январе 2013 года.
  • United States v. Nosal , 2011. Носал и другие предположительно получили доступ к защищенному компьютеру, чтобы взять базу данных контактов от своего предыдущего работодателя для использования в его собственном бизнесе, нарушив 1030 (a) (4). Это был сложный случай с несколькими поездками в Девятый округ, который постановил, что нарушение условий использования веб-сайта не является нарушением CFAA. Он был осужден в 2013 году. В 2016 году Девятый округ постановил, что он действовал «без разрешения», когда он использовал имя пользователя и пароль текущего сотрудника с их согласия, и подтвердил свою судимость. Верховный суд отказался рассматривать дело.
  • Соединенные Штаты против Питера Альфреда-Адеке, 2011. Адекей якобы нарушил (а) (2), когда он якобы загрузил CISCO IOS , что якобы не разрешено сотрудником CISCO, который дал ему пароль доступа. Адекай был генеральным директором Multiven и обвинил CISCO в антиконкурентной практике.
  • Соединенные Штаты против Сергея Алейникова , 2011. Алейников был программистом в Goldman Sachs, которого обвиняли в копировании кода, например кода высокочастотной торговли , якобы в нарушение 1030 (a) (2) (c) и 1030 (c) (2) ( B) i – iii и 2. Позже это обвинение было снято, и вместо этого ему было предъявлено обвинение в краже коммерческой тайны и транспортировке украденного имущества.
  • США - Нада Надим Прути , ок.  2010 . Прути был агентом ФБР и ЦРУ, который был привлечен к ответственности за мошеннический брак с целью получения вида на жительство в США. Она утверждает, что ее преследовал американский прокурор, который пытался привлечь внимание СМИ, назвав ее террористическим агентом и добившись повышения до должности федерального судьи.
  • Соединенные Штаты против Нила Скотта Крамера , 2011. Kramer - это судебное дело, в котором мобильный телефон использовался для принуждения несовершеннолетнего к сексуальным отношениям со взрослым. Центральным вопросом было то, является ли мобильный телефон компьютерным устройством. В конечном итоге Апелляционный суд США восьмого округа установил, что сотовый телефон можно считать компьютером, если «телефон выполняет арифметические, логические и запоминающие функции», что подготовило почву для более суровых последствий для преступников, вступающих в контакт с несовершеннолетними. по мобильным телефонам.
  • United States v. Kane , 2011. Использование ошибки программного обеспечения в покер-автомате не является взломом, потому что данный покерный автомат не является « защищенным компьютером » согласно закону (поскольку рассматриваемый покерный автомат не демонстрировал косвенной связи для межгосударственной торговли ) и потому, что последовательность нажатий кнопок, вызывавших ошибку, считалась «не превышающей [ed] их авторизованный доступ». По состоянию на ноябрь 2013 года обвиняемому по-прежнему предъявленообвинение в мошенничестве с использованием электронных средств связи .
  • США против Валле , 2015. Апелляционный суд второго округа отменил обвинительный приговор в отношении сотрудника полиции, который использовал базу данных полиции для поиска информации о женщинах, которых он знал лично.
  • Ван Бурен против Соединенных Штатов , 2020. Офицер полиции в Джорджии был пойман в ходе спецоперации ФБР, используя свой авторизованный доступ к базе данных номерных знаков, чтобы проверить личность человека для оплаты наличными, что является «ненадлежащей целью». Офицер был признан виновным и приговорен к 18 месяцам заключения в соответствии с CFAA §1030 (a) (2). Хотя он обжаловал приговор на том основании, что «ненадлежащая цель» не заключалась в «превышении разрешенного доступа», одиннадцатый округ оставил приговор в силе на основании прецедента. В июне 2021 года Верховный суд постановил, что в соответствии с CFAA, человек «превышает санкционированный доступ» к компьютерной системе, к которой у него есть доступ, когда он обращается к файлам и другому контенту, доступ к которым запрещен для тех частей компьютерной системы, на которые они были авторизованы. для доступа. По их мнению, CFAA не может применяться в случаях, когда человек получает информацию из областей, к которым у него есть авторизованный доступ, но использует эту информацию по ненадлежащим причинам.

Гражданские дела

  • Теофель против Фари Джонса , приложение для США, 2003 г. Постановление Lexis 17963 от 28 августа 2003 г. (Апелляционный суд США по девятому округу) постановило, что использование повестки в суд по гражданским делам является «явно незаконным», «недобросовестным» или «по крайней мере по грубой небрежности» для получения доступа сохранение электронной почты является нарушением как CFAA, так и Закона о хранимых коммуникациях .
  • International Airport Centres, LLC против Цитрина , 2006, 18 USC  § 1030 (a) (5) (A) (i) , в котором Апелляционный суд седьмого округа постановил, что Джейкоб Цитрин нарушил CFAA, когда удалил файлы из своих компьютер компании, прежде чем он уволился, чтобы скрыть предполагаемое плохое поведение, пока он был сотрудником.
  • LVRC Holdings v. Brekka , 2009 1030 (a) (2), 1030 (a) (4), в котором LVRC подала в суд на Brekka за якобы сбор информации о клиентах и ​​ее использование для открытия своего собственного конкурирующего бизнеса. Девятый округ постановил, что доступ сотрудника к компьютеру компании для сбора информации для своих целей не нарушает CFAA только потому, что такое личное использование противоречит интересам работодателя.
  • Craigslist v. 3Taps , 2012. 3Taps был обвинен Craigslist пробоины CFAA, обходя в блок IP для тогочтобы доступсайтам Craigslist и царапать свои объявлениябез согласия. В августе 2013 года федеральный судья США установил, что действия 3Taps нарушают CFAA и что ему грозит гражданский ущерб за «несанкционированный доступ». Судья Брейер написал в своем решении, что «обычный человек не использует« анонимные прокси »для обхода IP-блокировки, установленной для обеспечения запрета, передаваемого через лично адресованное письмо о прекращении и воздержании ». Он также отметил, что «Конгресс, очевидно, знал, как ограничить охват CFAA только определенными видами информации, и он ценил различие между общественностью и непубличностью, но [соответствующий раздел] не содержит таких ограничений или модификаторов».
  • Ли против PMSI, Inc. , 2011. PMSI, Inc. подала в суд на бывшего сотрудника Ли за нарушение CFAA путем просмотра Facebook и проверки личной электронной почты в нарушение политики допустимого использования компании . Суд установил, что нарушение политики допустимого использования работодателем не является «несанкционированным доступом» в соответствии с законом и, следовательно, не нарушает CFAA.
  • Sony Computer Entertainment America против Джорджа Хотца и Хотца против SCEA , 2011. SCEA подала в суд на "Geohot" и других за взлом системы PlayStation 3. В иске, среди прочего, утверждалось, что Хотц нарушил 18 USC  § 1030 (a) (2) (c) ([путем] получения информации с любого защищенного компьютера ). Хотц отрицал ответственность и оспаривал осуществление Судом личной юрисдикции над ним. Стороны урегулировали во внесудебном порядке. Из-за этого соглашения Geohot больше не может легально взломать систему PlayStation 3 .
  • Pulte Homes, Inc. против Международного союза рабочих 2011. Pulte Homes подала иск CFAA против Международного союза рабочих Северной Америки (LIUNA). После того, как Пулте уволил сотрудника, представляемого профсоюзом , LIUNA призвала членов позвонить и отправить электронное письмо в компанию, чтобы выразить свое мнение. В результате возросшего трафика произошел сбой почтовой системы компании .
  • Facebook против Power Ventures и Vachani , 2016. Апелляционный суд девятого округа постановил, что CFAA было нарушено, когда к серверам Facebook был осуществлен доступ, несмотря на блокировку IP и приказ о прекращении и отказе .
  • HiQ Labs против LinkedIn , 2019. Апелляционный суд девятого округа постановил, что очистка общедоступного веб-сайта без разрешения владельца веб-сайта не является нарушением CFAA. Апелляция в Верховный суд находится на рассмотрении.
  • Sandvig v. Barr , 2020. Федеральный окружной суд округа Колумбия постановил, что CFAA не криминализирует нарушение условий обслуживания веб-сайта.

Критика

Были привлечены к уголовной ответственности за нарушения CFAA в контексте гражданского права, за нарушение контракта или нарушения условий обслуживания . Многие обычные и незначительные онлайн-действия, такие как обмен паролями и нарушение авторских прав, могут превратить проступок CFAA в уголовное преступление . Наказания суровые, похожие на приговоры за продажу или импорт наркотиков, и могут быть несоразмерными . Прокуратура использовала CFAA для защиты интересов частного бизнеса и для запугивания активистов свободной культуры , сдерживая нежелательное, но законное поведение.

Тим Ву назвал CFAA «худшим законом в сфере технологий».

CFAA все чаще представляет реальные препятствия для журналистов, освещающих истории, важные для общественных интересов. По мере того, как журналистика данных все больше становится «хорошим способом узнать правду о вещах». . . В эту эпоху постправды », - сказал Google один журналист, работающий с данными, - потребность в большей ясности в отношении CFAA возрастает.

Аарон Шварц

Правительство смогло выдвинуть такие несоразмерные обвинения против Аарона из-за широкой сферы действия Закона о компьютерном мошенничестве и злоупотреблениях (CFAA) и закона о мошенничестве с использованием электронных средств. Похоже, что правительство использовало расплывчатую формулировку этих законов, чтобы заявить, что нарушение пользовательского соглашения или условий обслуживания онлайн-сервиса является нарушением CFAA и закона о мошенничестве с использованием электронных средств.

Подобное использование закона могло бы криминализировать многие повседневные действия и предусматривать невероятно суровые наказания.

Когда нужно изменить наши законы, Конгресс обязан действовать. Простой способ исправить это опасное правовое толкование - изменить CFAA и статут о мошенничестве с использованием электронных средств, чтобы исключить нарушения условий обслуживания. Я представлю законопроект, который сделает именно это.

-Rep. Зои Лофгрен , 15 января 2013 г.

После судебного преследования и последующего самоубийства Аарона Шварца (который использовал сценарий для загрузки научных статей сверх того, что позволяли условия обслуживания JSTOR ), законодатели предложили внести поправки в Закон о компьютерном мошенничестве и злоупотреблениях. Представитель Зои Лофгрен разработала законопроект, который поможет «предотвратить то, что случилось с Аароном, от других пользователей Интернета». Закон Аарона ( HR 2454 , S. 1196 ) исключает нарушения условий обслуживания из Закона 1984 года о компьютерном мошенничестве и злоупотреблениях и из закона о мошенничестве с использованием электронных средств.

В дополнение к усилиям Лофгрена представители Даррелл Исса и Джаред Полис (также входящие в Судебный комитет Палаты представителей ) подняли вопросы о том, как правительство ведет дело. Полис назвал обвинения «смехотворными и сфабрикованными», назвав Шварца «мучеником». Исса, председатель комитета палаты представителей по надзору , объявил о расследовании уголовного преследования Министерства юстиции.

К маю 2014 года закон Аарона застопорился в комитете. Режиссер Брайан Кнаппенбергер утверждает, что это произошло из-за финансовой заинтересованности Oracle Corporation в сохранении статус-кво.

Закон Аарона был вновь введен в действие в мае 2015 года ( HR 2454 , S. 1030 ) и снова застопорился.

История изменений

2008 г.

  • Отменено требование, согласно которому информация должна была быть украдена посредством межгосударственного или зарубежного сообщения, тем самым расширив юрисдикцию для дел, связанных с кражей информации с компьютеров;
  • Отменено требование о том, что действия ответчика должны приводить к ущербу, превышающему 5000 долларов, и установлено уголовное преступление, при котором ущерб затрагивает десять или более компьютеров, что устраняет пробел в законе;
  • 18 USC  § 1030 (a) (7) расширен для криминализации не только явных угроз причинения вреда компьютеру, но также угроз (1) кражи данных на компьютере жертвы, (2) публичного раскрытия украденных данных или (3) не устранять повреждения, уже нанесенные преступником компьютеру;
  • Создали уголовное преступление за сговор с целью взлома компьютера в соответствии с разделом 1030;
  • Расширено определение «защищенного компьютера» в 18 USC  § 1030 (e) (2) до полной степени торговых полномочий Конгресса, включая те компьютеры, которые используются или влияют на межгосударственную или иностранную торговлю или связь; а также
  • Предусмотрен механизм гражданской и уголовной конфискации имущества, использованного или полученного в результате нарушений статьи 1030.

Смотрите также

использованная литература

внешние ссылки