美国司法部修订法律，不再起诉白帽黑客善意行为

2022 年 5 月 19 日，美国司法部(DOJ)对《计算机欺诈和滥用法》（CFAA）进行了修订，将不再依据 CFAA 对安全人员的善意研究行为进行指控。

新政策指出“如果现有证据表明被告的行为是进行善意的安全研究，政府应拒绝起诉。” 该政策将“善意安全研究”定义为“仅出于善意测试、调查和/或纠正安全漏洞的目的访问计算机”，并且此类活动主要用于促进计算机设备安全性。

新政策也声称进行安全研究并不是恶意行为者的免费通行证。例如，发现设备中的漏洞以勒索其所有者，即使声称是“研究”，也不是出于善意。

这对白帽黑客而言无疑是一项重大利好政策，此后他们再也不用担心因寻找漏洞而身陷囹圄，为试图改善技术的网络安全研究人员减轻了压力。“这份 CFAA 指南有望改善那些害怕因做正确的事情而遭到报复的人（比如我）的生活。”一位网络安全人员 Chris Vickery 在推特上写道。在此之前，CFAA 的模糊界限为企业提供了以“起诉白帽黑客来遮盖丑闻”的空间。

美国副司法部 Lisa Monaca 则表示，计算机安全研究是根除漏洞、改善网络安全的重要关键驱动力。她补充说，美国司法部门从未对将“善意的计算机安全研究”作为犯罪进行起诉感兴趣，对 CFAA 的修订将支持善意的安全研究人员，他们“为共同利益消除漏洞”。

CFAA 颁布于 1986 年，经过了多次修订，最近一次是在 2008 年。它是美国重要的反黑客法律，旨在禁止黑客恶意入侵未经授权的计算机系统。CFAA 虽然不解决数据收集和使用等数据保护问题，但对于未经授权而侵入计算机并获得他人信息的行为规定了法律责任。这意味着，如果未获得授权，那么白帽黑客们将不能私自扫描网站漏洞，也不能因此获得任何非公开的数据，否则就有触犯 CFAA 的风险。白帽黑客是网络安全产业的重要组成力量，此法律的完善无疑在促进网络安全产业的健康发展。

参考链接：

https://www.justice.gov/opa/pr/department-justice-announces-new-policy-charging-cases-under-computer-fraud-and-abuse-act

https://slate.com/technology/2022/05/cfaa-justice-department-policy-update.html