美国最高法院最近发布了一项裁决,解释了《计算机欺诈和滥用法案》(CFAA)的范围。该法案是1986年颁布的一项联邦法规,规定未经授权的计算机访问要承担民事和刑事责任。简而言之,最高法院裁定,只要个人被授权访问计算机和数据,他就没有违反CFAA的“超过授权访问”条款。换句话说,他对电脑和/或数据的预期用途与他是否违反了法规无关。因此,雇主可能需要重新考虑他们的员工手册、政策和程序。
内森·范·布伦警官被联邦警察管理局指控电脑欺诈,他从自己的巡逻车中进入警察局的电脑数据库,获取车牌信息,以换取经济利益。
作为一名警官,范布伦被授权访问数据库是出于执法目的,而不是出于其他原因。因此,他被指控根据CFAA第1030(a)(2)(c)条(以及诚实服务电信欺诈),并被陪审团定罪。
美国第11巡回上诉法院此前对CFAA采取了“广泛解释”,确认了范布伦的定罪。随后他向最高法院上诉。
最高法院的分析
CFAA将“超出授权访问权限”定义为“通过授权访问计算机,并使用该访问权限获取或更改计算机中[访问者]无权获取或更改的信息”。
范布伦认为,CFAA只适用于访问者在任何情况下无权获取信息的情况。根据狭义的解释,他声称即使出于不正当的目的访问数据库,也不是未经授权的,因为他有合法证件,可以出于执法原因搜索车牌信息。
政府不同意,认为CFAA将为特定目的获取信息视为犯罪,如果个人无权因此理由获取信息。在11月的口头辩论中,最高法院的法官们似乎对政府的宽泛解释表示怀疑。
索尼娅·索托马约尔法官担心政府宽泛的解释会产生歧义。尼尔·戈萨奇(Neil Gorsuch)法官表示,这扩大了警察的权力,其他法官承认,有州法律处理同样的行为,并补充说,为这种行为开脱可能会消除对个人隐私的保护。
法院的决定
正如最高法院在11月的口头辩论中暗示的那样,它拒绝了政府对CFAA的广泛解释。法官艾米·科尼·巴雷特(Amy Coney Barrett)代表多数人的意见,对该法案的模糊性以及它很容易被滥用提出了异议,认为范布伦并未“超出授权权限”,即使他出于不正当目的从数据库中获取信息。
在提到政府可能“耍手段”,以及“数以百万计的守法公民”成为罪犯时,巴雷特法官写道,“在政府对法令的解读中,一名员工用她的工作电脑发送私人邮件或阅读新闻已经违反了CFAA的规定,而且“从美化在线约会档案到在Facebook上使用假名”都可能是重罪。
巴雷特法官对CFAA的把握及其在日常环境中的应用(“取代工作场所”)与该法案的历史形成了鲜明对比。虽然该法规的主要目的是通过将黑客行为定为犯罪来挫败他们,但自1986年颁布以来,该法规很少进行修订。因此,一些州通过了自己的未经授权的访问法规。例如,犹他州和佛罗里达州已经颁布了《计算机滥用和数据恢复法案》,以保护组织免受未经授权的使用和访问计算机、平台和数据。
既然最高法院已经拒绝了对“越权访问”的广泛解释,那么CFAA就不能再被用来对付出于不正当目的访问公司信息的员工了。但正如巴雷特法官裁决的最后一段所明确指出的那样,当雇员“在获得授权的情况下访问计算机,但随后获得位于计算机特定区域的信息——如文件、文件夹或数据库——时,该法案就被违反了。他不能去的地方”(强调)。范布伦诉美国案。
展望未来
在过去,许多雇主依靠CFAA来追查滥用计算机资源和数据的现任和前任雇员,例如,复制客户数据库以供未来雇主使用。然而,为了保护数据,他们现在必须审查他们的选择(包括基于州的法律)。以下是防止滥用信息的其他方法:
- 通过添加特定的合同条款和/或将数据分割或分离到不同的数据库,限制对某些信息的访问。
- 保护受限制的数据,并在员工进入限制区域前安装软件进行警告。
- 修订员工手册、政策和程序以符合公司的要求范布伦以及任何基于国家的网络安全和数据隐私法律。
- 修订合同,包括对查阅资料的限制。
- 为管理层和员工提供培训,强调上述限制和限制以及不断发展的法律和行业标准。
虽然CFAA在起诉黑客方面仍然有效,但时间会证明联邦政府是否会修改法规,以解决“超出授权权限”的情况。鉴于数据的核心重要性,有关其机密性、可用性和完整性的法律将继续迅速发展。
何塞·a·Abarca,凯瑟琳·布拉沃,卢卡斯医生是律师阿姆斯特朗蒂斯代尔LLP).你可以通过jabarca@atllp.com,kbravo@atllp.com,或lamodio@atllp.com.