美国CFAA司法部迎来重大修订，将不再起诉白帽黑客的行为

据外媒的一家Vice公司报道，美国司法部公布一项政策调整，将不再对违反美国联邦黑客法《计算机欺诈与滥用法》（CFAA）的善意安全研究提起诉讼。

 2022年5月19日，美国司法部(DOJ)对《计算机欺诈和滥用法》（CFAA）进行修订，明确指出网络安全研究人员（白帽黑客）有着“改善技术”的良好愿景，因此司法部门将不再以CFAA起诉他们。

这对白帽黑客而言无疑是一项重大利好政策，此后他们再也不用担心因寻找漏洞而身陷囹圄，为那些试图改善技术的网络安全研究人员减轻了压力。对此，美国副司法部Lisa Monaca表示，计算机安全研究是改善网络安全的重要关键驱动力。美国司法部门从未对将“善意的计算机安全研究”作为犯罪进行起诉感兴趣。另外，今天（5月19日）的公告通过为善意的安全研究人员提供明确的规定以促进网络安全的发展，他们将为了网络安全的发展不断发现新的漏洞。

这项举措意义重大。长期以来，出于漏洞发现和修复等目的，安全研究人员往往需要探测甚至入侵目标系统。《计算机欺诈与滥用法》无疑对这部分研究者构成了威胁。此次政策修订，意味着善意安全研究不应面临指控。

“计算机安全研究是提高网络安全的关键驱动力，”美国司法部副部长Lisa O. Monaco在公告的相关声明中表示，“司法部从不打算将善意的计算机安全研究视为应被起诉的罪行。此次公告希望为善意的安全研究人员提供清晰指引，鼓励研究者出于公共利益去根除漏洞。”

资料显示，CFAA颁布于1986年，是美国重要的反黑客法律，旨在禁止黑客恶意入侵未经授权的计算机系统。CFAA虽然不解决数据收集和使用等数据保护问题，但对于未经授权而侵入计算机并获得他人信息的行为规定了法律责任。这意味着，如果未获得授权，那么白帽黑客们将不能私自扫描网站漏洞，也不能因此获得任何非公开的数据，否则就有触犯CFAA的风险，并因此受到法律的制裁。

几十年来，专家们一直批评《计算机欺诈与滥用法》“管得太宽”。激进派组织电子前沿基金会此前曾表示，“安全研究对于保障所有计算机用户的安全非常重要。如果我们不知道漏洞的存在，就无法着手修复，更无法在未来制造出更好的计算机系统。《计算机欺诈与滥用法》应该保护白帽黑客，激励他们做好这份重要的工作。”

近年来，通过白帽黑客寻找安全漏洞一直是科技企业的普遍做法，作为回报，企业也会给他们不菲的报酬。这一做法成效斐然，白帽黑客为企业找到了无数的重量级漏洞，也让企业有了将这些威胁消灭在萌芽之中的机会。

但是，这一行为在法律上一直处于灰色地带，白帽黑客有可能因此被起诉。虽然Mozilla、Dropbox、特斯拉等科技巨头承诺不会根据CFAA起诉善意的黑客，但是更多的公司还是保留了起诉的权利，甚至于在某些情况下会积极发起法律行动，防止出现一些不光彩的新闻。

此次公告也提供了反面案例，即会被视为恶意而面临指控的“研究”行为。其中写道，“若发现设备中的漏洞并借此勒索所有者，即使声称属于‘研究’行为，仍将被视为非善意。”