Datasvindel og misbruk - Computer Fraud and Abuse Act

The Computer Fraud og Abuse Act of 1986 ( CFAA ) er en USA Cybersecurity lovforslag som ble vedtatt i 1986 som et tillegg til eksisterende datamaskinen svindel lov ( 18 USC  § 1030 ), som hadde blitt inkludert i Comprehensive Crime Control Act av 1984 . Loven forbyr tilgang til en datamaskin uten autorisasjon , eller utover autorisasjon. Før dataspesifikke straffelover ble datakriminalitet straffet som post- og wire-svindel , men gjeldende lov var ofte utilstrekkelig.

Det opprinnelige lovforslaget fra 1984 ble vedtatt som et svar på bekymring for at datamaskinrelaterte forbrytelser kan bli ustraffet. Huskomiteens rapport til den opprinnelige lov om datakriminalitet preget tekno-spenningsfilmen WarGames fra 1983- der en ung tenåring (spilt av Matthew Broderick ) fra Seattle bryter inn i en amerikansk militær superdatamaskin programmert til å forutsi mulige utfall av atomkrig og uforvarende nesten starter Andre verdenskrig - som "en realistisk fremstilling av de automatiske oppringings- og tilgangsmulighetene til den personlige datamaskinen ."

CFAA ble skrevet for å utvide eksisterende erstatningsrett til immateriell eiendom , mens den i teorien begrenser føderal jurisdiksjon til saker "med en overbevisende føderal interesse - dvs. hvor datamaskiner fra den føderale regjeringen eller visse finansinstitusjoner er involvert eller hvor selve kriminaliteten er interstate i naturen. ", men dens brede definisjoner har spilt over i kontraktsrett . (se "Beskyttet datamaskin" nedenfor). I tillegg til å endre en rekke bestemmelser i den opprinnelige seksjonen 1030 , kriminaliserte CFAA også ytterligere datarelaterte handlinger. Bestemmelser omhandlet distribusjon av ondsinnet kode og denial-of-service-angrep . Kongressen inkluderte også en bestemmelse i CFAA som kriminaliserer handel med passord og lignende.

Siden den gang har loven blitt endret flere ganger - i 1989, 1994, 1996, i 2001 av USA PATRIOT Act , 2002 og i 2008 av loven om håndheving og restitusjon av identitetstyveri. Med hver lovendring ble de typer oppførsel som falt innenfor rekkevidde utvidet.

I januar 2015 foreslo daværende president Barack Obama å utvide CFAA og RICO-loven i sine moderniserende lovhåndhevelsesmyndigheter for å bekjempe cyberkriminalitetsforslag . DEF CON -arrangør og Cloudflare -forsker Marc Rogers, senator Ron Wyden og representant Zoe Lofgren har uttalt seg mot dette med den begrunnelse at det vil gjøre mange vanlige Internett -aktiviteter ulovlige, og beveger seg lenger bort fra det de prøvde å oppnå med Arons lov .

Beskyttede datamaskiner

De eneste datamaskinene, i teorien, som dekkes av CFAA er definert som " beskyttede datamaskiner ". De er definert under seksjon 18 USC  § 1030 (e) (2) for å bety en datamaskin:

  • utelukkende for bruk av en finansinstitusjon eller USAs regjering, eller hvilken som helst datamaskin, når handlingen som utgjør lovbruddet påvirker datamaskinens bruk av eller for finansinstitusjonen eller regjeringen; eller
  • som brukes i eller påvirker interstate eller utenlandsk handel eller kommunikasjon, inkludert en datamaskin som ligger utenfor USA og som brukes på en måte som påvirker interstate eller utenlandsk handel eller kommunikasjon i USA ...

I praksis har en hvilken som helst vanlig datamaskin vært under lovens jurisdiksjon, inkludert mobiltelefoner, på grunn av de fleste internettkommunikasjoners interstatlige natur.

Kriminelle lovbrudd etter loven

(a) Hvem som helst -

(1) bevisst tilgang til en datamaskin uten autorisasjon eller overskridelse av autorisert tilgang, og ved hjelp av slik oppførsel ha innhentet informasjon som er bestemt av den amerikanske regjeringen i henhold til en bekendtgjørelse eller statutt for å kreve beskyttelse mot uautorisert avsløring av nasjonale årsaker forsvar eller utenlandske forbindelser, eller eventuelle begrensede data, som definert i avsnitt y. i § 11 i Atomenergiloven av 1954, med grunn til å tro at slik informasjon innhentet kan brukes til skade i USA, eller til fordel for enhver fremmed nasjon bevisst kommuniserer, leverer, overfører eller får kommunisert, levert eller overført, eller forsøk på å kommunisere, levere, overføre eller føre til å bli kommunisert, levert eller overført det samme til enhver person som ikke har rett til å motta det, eller bevisst beholder det samme og unnlater å levere det til offiseren eller ansatt i USA som har rett til å motta det;
(2) forsettlig får tilgang til en datamaskin uten autorisasjon eller overskrider autorisert tilgang, og får dermed -
(A) informasjon i finansregisteret til en finansinstitusjon, eller til en kortutsteder som definert i avsnitt 1602 (n) [1] i tittel 15, eller som finnes i en fil fra et forbrukerrapporteringsbyrå om en forbruker, som sådan vilkår er definert i Fair Credit Reporting Act (15 USC 1681 flg.);
(B) informasjon fra en avdeling eller et byrå i USA; eller
(C) informasjon fra enhver beskyttet datamaskin;
(3) forsettlig, uten autorisasjon til å få tilgang til en ikke -offentlig datamaskin fra en avdeling eller et byrå i USA, får tilgang til en slik datamaskin fra den avdelingen eller byrået som utelukkende er til bruk for USAs regjering eller, i tilfelle av en datamaskin ikke utelukkende til slik bruk, brukes av eller for regjeringen i USA, og slik oppførsel påvirker bruken av eller for regjeringen i USA;
(4) bevisst og med hensikt å bedra, får tilgang til en beskyttet datamaskin uten autorisasjon eller overskrider autorisert tilgang, og ved hjelp av slik oppførsel fremmer den påtenkte svindelen og oppnår noe av verdi, med mindre gjenstanden for svindelen og det som er oppnådd bare består bruken av datamaskinen og verdien av slik bruk er ikke mer enn $ 5000 i en periode på 1 år;
(5)
(A) bevisst forårsaker overføring av et program, informasjon, kode eller kommando, og som et resultat av slik oppførsel, med vilje forårsaker skade uten autorisasjon, til en beskyttet datamaskin;
(B) forsettlig får tilgang til en beskyttet datamaskin uten autorisasjon, og som følge av slik oppførsel forårsaker hensynsløst skade; eller
(C) forsettlig får tilgang til en beskyttet datamaskin uten autorisasjon, og forårsaker skade og tap som følge av slik oppførsel.
(6) bevisst og med hensikt å bedra trafikk (som definert i seksjon 1029) i passord eller lignende informasjon som en datamaskin kan få tilgang til uten autorisasjon, hvis—
(A) slik handel påvirker mellomstatlig eller utenlandsk handel; eller
(B) slik datamaskin brukes av eller til regjeringen i USA;
(7) med den hensikt å presse noen penger eller andre verdifulle ting fra noen person, overfører kommunikasjon som inneholder noen -
(A) trussel om å forårsake skade på en beskyttet datamaskin;
(B) trussel om å skaffe informasjon fra en beskyttet datamaskin uten autorisasjon eller utover autorisasjon eller å svekke konfidensialiteten til informasjon som er innhentet fra en beskyttet datamaskin uten autorisasjon eller ved å overskride autorisert tilgang, eller
(C) kreve eller be om penger eller andre ting av verdi i forbindelse med skade på en beskyttet datamaskin, der slik skade ble forårsaket for å lette utpressing

Spesifikke seksjoner

Viktige saker og beslutninger som viser til loven

Datasvindel og misbruk er både en straffelov og en lov som skaper en privat rett til handling , slik at kompensasjon og påbud eller annen rettferdig lindring kan skades for alle som er skadet av brudd på denne loven. Disse bestemmelsene har gjort det mulig for private selskaper å saksøke illoyale ansatte for erstatning for mislighold av konfidensiell informasjon ( forretningshemmeligheter ).

Straffesaker

  • USA mot Morris (1991) , 928 F.2d 504 (2d Cir. 1991), bestemte 7. mars 1991. Etter utgivelsen av Morris -ormen , en tidlig datamask , ble skaperen dømt i henhold til loven for å ha forårsaket skade og få uautorisert tilgang til datamaskiner av "føderal interesse". Loven ble delvis endret i 1996 for å tydeliggjøre språk hvis betydning var omstridt i saken.
  • USA mot Lori Drew , 2009. Nettmobbing -saken som involverte selvmordet til en jente som ble trakassert på myspace . Gebyrene var under 18 USC 1030 (a) (2) (c) og (b) (2) (c). Dommer Wu bestemte at bruk av 18 USC  § 1030 (a) (2) (C) mot noen som bryter vilkårene for bruk vil gjøre loven altfor bred. 259 FRD 449
  • United States v. Rodriguez , 2010. Den ellevte lagmannsretten avgjorde at en ansatt i Social Security Administration hadde krenket CFAA da han brukte en SSA -database for å slå opp informasjon om personer han kjente personlig.
  • USA mot Collins et al , 2011. En gruppe menn og kvinner knyttet til kollektivet Anonymous signerte en påtale om anklager om sammensvergelse for å forstyrre tilgangen til betalingsnettstedet PayPal som svar på betalingsstopp til WikiLeaks over Wau Holland Foundation som var en del av en større anonym kampanje, Operation Payback . De ble senere kjent under navnet PayPal 14.
  • USA v. Aaron Swartz , 2011. Aaron Swartz skal angivelig ha gått inn i et MIT-ledningsskap og satt opp en bærbar datamaskin for å laste ned artikler fra JSTOR . Han skal ha unngått forskjellige forsøk fra JSTOR og MIT for å stoppe dette, for eksempel forfalskning av MAC -adresser . Han ble tiltalt for å ha brutt CFAA -bestemmelsene (a) (2), (a) (4), (c) (2) (B) (iii), (a) (5) (B) og (c) (4) ) (A) (i) (I), (VI). Saken ble henlagt etter at Swartz begikk selvmord i januar 2013.
  • USA mot Nosal , 2011. Nosal og andre har angivelig fått tilgang til en beskyttet datamaskin for å ta en database med kontakter fra sin tidligere arbeidsgiver for bruk i sin egen virksomhet, i strid med 1030 (a) (4). Dette var en kompleks sak med flere turer til den niende kretsen, som slo fast at brudd på nettstedets bruksvilkår ikke er brudd på CFAA. Han ble dømt i 2013. I 2016 bestemte den niende kretsen at han hadde opptrådt "uten autorisasjon" da han brukte brukernavnet og passordet til en nåværende ansatt med samtykke og bekreftet hans overbevisning. Høyesterett nektet å behandle saken.
  • USA mot Peter Alfred-Adekeye 2011. Adekeye skal ha brutt (a) (2), da han angivelig skulle laste ned CISCO IOS , angivelig noe CISCO-ansatte som ga ham et passord for tilgang ikke tillot. Adekeye var administrerende direktør i Multiven og hadde anklaget CISCO for konkurransebegrensende praksis.
  • USA mot Sergey Aleynikov , 2011. Aleynikov var en programmerer hos Goldman Sachs anklaget for å ha kopiert kode, som høyfrekvent handelskode , angivelig i strid med 1030 (a) (2) (c) og 1030 (c) (2) ( B) i – iii og 2. Denne siktelsen ble senere henlagt, og han ble i stedet tiltalt for tyveri av forretningshemmeligheter og transport av stjålet eiendom.
  • USA mot Nada Nadim Prouty , ca.  2010 . Prouty var en FBI- og CIA -agent som ble tiltalt for å ha et uredelig ekteskap for å få amerikansk opphold. Hun hevder hun ble forfulgt av en amerikansk advokat som prøvde å få mediedekning ved å kalle henne en terroragent og få seg selv forfremmet til et føderalt dommer.
  • USA mot Neil Scott Kramer , 2011. Kramer var en rettssak der en mobiltelefon ble brukt til å tvinge en mindreårig til å ha sex med en voksen. Sentralt i saken var om en mobiltelefon utgjorde en datamaskin. Til syvende og sist fant USAs lagmannsrett for den åttende kretsen at en mobiltelefon kan betraktes som en datamaskin hvis "telefonen utfører [ar] aritmetiske, logiske og lagringsfunksjoner", og baner vei for strengere konsekvenser for kriminelle som kommer i kontakt med mindreårige over mobiltelefoner.
  • USA v. Kane 2011. Utnyttelse en software bug i en poker maskin utgjør ikke hacking fordi poker maskinen i spørsmålet ikke klarte å utgjøre en " beskyttet datamaskin " i henhold til loven (som poker maskinen i spørsmålet ikke demonstrere en tangential forhold til mellomstatlig handel ) og fordi rekkefølgen av knappetrykk som utløste feilen ble ansett å ha "ikke overstige [ed] sin autoriserte tilgang." Fra november 2013 står saksøkte fortsatt overfor en vanliganklager om svindel .
  • United States v. Valle , 2015. Second Circuit Court of Appeals opphevet en dom over en politimann som hadde brukt en politidatabase for å slå opp informasjon om kvinner han kjente personlig.
  • Van Buren mot USA , 2020. En politimann i Georgia ble fanget i en FBI -stikkoperasjon ved å bruke sin autoriserte tilgang til en registreringsdatabase for å kontrollere identiteten til en person for kontant betaling, et "upassende formål". Betjenten ble dømt og dømt til 18 måneder i henhold til CFAA §1030 (a) (2). Selv om han anket sin overbevisning på grunnlag av at det "upassende formålet" ikke var "å overskride autorisert tilgang", stadfestet den ellevte kretsen dommen basert på presedens. Høyesterett avgjorde i juni 2021 at under CFAA at en person "overskrider autorisert tilgang" til et datasystem de ellers har tilgang til når de får tilgang til filer og annet innhold som er begrenset til delene av datasystemet de ble autorisert å få tilgang. Deres mening begrenset CFAA fra å gjelde tilfeller der en person henter informasjon fra områder de har autorisert tilgang til, men bruker denne informasjonen av upassende årsaker.

Sivile saker

  • Theofel v. Farey Jones , 2003 US App. Lexis 17963, avgjorde 28. august 2003 (US Court of Appeals for the Ninth Circuit) og slo fast at bruken av en sivil stevning som er "åpenbart ulovlig", "i ond tro" eller "i det minste grov uaktsomhet" for å få tilgang til lagret e -post er et brudd på både CFAA og lagret kommunikasjonslov .
  • International Airport Centers, LLC v. Citrin , 2006, 18 USC  § 1030 (a) (5) (A) (i) , der den syvende lagmannsretten bestemte at Jacob Citrin hadde brutt CFAA da han slettet filer fra sin selskapets datamaskin før han sluttet, for å skjule påstått dårlig oppførsel mens han var ansatt.
  • LVRC Holdings v. Brekka , 2009 1030 (a) (2), 1030 (a) (4), der LVRC saksøkte Brekka for angivelig å ha tatt informasjon om klienter og brukt den til å starte sin egen konkurrerende virksomhet. Den niende kretsen bestemte at en ansatt får tilgang til en firmamaskin for å samle informasjon for sine egne formål, ikke bryter CFAA bare fordi den personlige bruken var ugunstig for arbeidsgiverens interesser.
  • Craigslist v. 3Taps , 2012. 3Taps ble anklaget av Craigslist for å ha brutt CFAA ved å omgå en IP -blokk for å få tilgang til Craigslists nettsted og skrape annonsene uten samtykke. I august 2013 fant den amerikanske føderale dommeren at 3Taps handlinger krenket CFAA og at det står overfor sivile skader for "uautorisert tilgang". Dommer Breyer skrev i sin avgjørelse at "den gjennomsnittlige personen ikke bruker" anonyme fullmakter "for å omgå en IP-blokk som ble opprettet for å håndheve et forbud som ble kommunisert via personlig adressert opphør-og-avstå-brev ". Han bemerket også "Kongressen visste tydeligvis hvordan man skulle begrense rekkevidden til CFAA til bare visse typer informasjon, og den satte pris på det offentlige v. Ikke -offentlige skillet - men [den relevante delen] inneholder ingen slike begrensninger eller modifikatorer."
  • Lee v. PMSI, Inc. , 2011. PMSI, Inc. saksøkte tidligere ansatt Lee for brudd på CFAA ved å surfe på Facebook og sjekke personlig e -post i strid med selskapets retningslinjer for akseptabel bruk . Retten fant at brudd på en arbeidsgivers retningslinjer for akseptabel bruk ikke var "uautorisert tilgang" under loven, og derfor ikke krenket CFAA.
  • Sony Computer Entertainment America v. George Hotz og Hotz v. SCEA , 2011. SCEA saksøkte "Geohot" og andre for å ha jailbreaket PlayStation 3 -systemet. Søksmålet påsto blant annet at Hotz krenket 18 USC  § 1030 (a) (2) (c) ([ved] å ta informasjon fra en beskyttet datamaskin ). Hotz nektet ansvar og bestred domstolens utøvelse av personlig jurisdiksjon over ham. Partene avgjorde utenfor retten. Oppgjøret forårsaket Geohot å være ute av stand til å lovlig hacke det PlayStation 3 -systemet videre.
  • Pulte Homes, Inc. v. Laborers 'International Union 2011. Pulte Homes anket en CFAA -sak mot Laborers' International Union of North America (LIUNA). Etter at Pulte sparket en ansatt representert av fagforeningen , oppfordret LIUNA medlemmene til å ringe og sende e -posttil selskapet og uttrykke sine meninger. Som et resultat av økt trafikk krasjet selskapets e -postsystem .
  • Facebook v. Power Ventures og Vachani , 2016. The Ninth Circuit Court of Appeals avgjorde at CFAA ble brutt da Facebooks servere ble åpnet til tross for en IP -blokkering og opphør og avvis bestilling.
  • HiQ Labs v. LinkedIn , 2019. The Ninth Circuit Court of Appeals bestemte at skraping av et offentlig nettsted uten godkjenning av nettstedets eier ikke er et brudd på CFAA. En Høyesteretts anke venter.
  • Sandvig v. Barr , 2020. Federal District Court of DC avgjorde at CFAA ikke kriminaliserer brudd på nettstedets vilkår for bruk.

Kritikk

Det har vært straffedommer for brudd på CFAA i sivilrett, for brudd på kontrakten eller brudd på vilkårene for bruk . Mange vanlige og ubetydelige online handlinger, for eksempel deling av passord og brudd på opphavsretten, kan forvandle en CFAA- forseelse til en forbrytelse . Straffene er strenge, ligner straffer for salg eller import av narkotika, og kan være uforholdsmessige . Aktor har brukt CFAA for å beskytte private forretningsinteresser og for å skremme frikulturaktivister , og avskrekke uønsket, men likevel lovlig, oppførsel.

Tim Wu kalte CFAA "den verste loven innen teknologi".

CFAA presenterer i økende grad reelle hindringer for at journalister rapporterer historier som er viktige for publikums interesse. Etter hvert som datajournalistikk i økende grad blir "en god måte å komme til tingenes sannhet. . . i denne tiden etter sannheten, ”som en datajournalist fortalte Google, øker behovet for ytterligere klarhet rundt CFAA.

Aaron Swartz

Regjeringen var i stand til å anlegge slike uforholdsmessige anklager mot Aaron på grunn av det brede omfanget av lov om datasvindel og misbruk (CFAA) og statutten for nettsvindel. Det ser ut til at regjeringen brukte den vage formuleringen av disse lovene for å hevde at brudd på en nettjenestes brukeravtale eller vilkår for bruk er et brudd på CFAA og lov om svindel.

Å bruke loven på denne måten kan kriminalisere mange hverdagslige aktiviteter og tillate ekstremt alvorlige straffer.

Når lovene våre må endres, har kongressen et ansvar for å handle. En enkel måte å korrigere denne farlige juridiske tolkningen på er å endre CFAA og trådsvindelvedtektene for å utelukke brudd på vilkårene for bruk. Jeg vil presentere et lovforslag som gjør akkurat det.

- Rep. Zoe Lofgren , 15. januar 2013

I kjølvannet av påtalemyndigheten og påfølgende selvmord av Aaron Swartz (som brukte et manus for å laste ned vitenskapelige forskningsartikler utover det JSTORs vilkår for bruk tillot), foreslo lovgivere å endre loven om datasvindel og misbruk. Representanten Zoe Lofgren utarbeidet et lovforslag som skulle hjelpe "å forhindre at det som skjedde med Aaron skjer med andre Internett -brukere". Aaron's Law ( HR 2454 , S. 1196 ) ville utelukke brudd på vilkår for bruk fra loven om datasvindel og misbruk av datamaskiner fra 1984 og fra lov om svindel.

I tillegg til Lofgrens innsats, reiste representantene Darrell Issa og Jared Polis (også i House Judiciary Committee ) spørsmål om regjeringens håndtering av saken. Polis kalte anklagene "latterlige og trumfet", og omtalte Swartz som en "martyr". Issa, leder av House Oversight Committee , kunngjorde en etterforskning av justisdepartementets påtale.

I mai 2014 hadde Arons lov stoppet i komiteen. Filmskaper Brian Knappenberger påstår at dette skjedde på grunn av Oracle Corporation sin økonomiske interesse i å opprettholde status quo.

Arons lov ble gjeninnført i mai 2015 ( HR 2454 , S. 1030 ) og stoppet igjen.

Endringshistorie

2008

  • Eliminerte kravet om at informasjon må ha blitt stjålet gjennom en mellomstatlig eller utenlandsk kommunikasjon, og dermed utvide jurisdiksjonen for saker som gjelder tyveri av informasjon fra datamaskiner;
  • Eliminerte kravet om at tiltaltes handling må resultere i et tap som overstiger $ 5000 og skapte en grov lovbrudd der skaden påvirker ti eller flere datamaskiner, og lukker et hull i loven;
  • Utvidet 18 USC  § 1030 (a) (7) for å kriminalisere ikke bare eksplisitte trusler om å forårsake skade på en datamaskin, men også trusler om (1) å stjele data på offerets datamaskin, (2) offentliggjøre stjålne data, eller (3) ikke reparere skader som gjerningsmannen allerede har forårsaket på datamaskinen;
  • Opprettet en straffbar handling for å ha konspirert for å begå en datamaskinhacking i henhold til seksjon 1030;
  • Utvidet definisjonen av "beskyttet datamaskin" i 18 USC  § 1030 (e) (2) til fulle omfang av kongressens handelsmakt ved å inkludere de datamaskinene som brukes i eller påvirker interstate eller utenlandsk handel eller kommunikasjon; og
  • Leverte en mekanisme for sivilt og kriminelt fortapelse av eiendom som ble brukt i eller avledet fra brudd på seksjon 1030.

Se også

Referanser

Eksterne linker