Открыть сервис

Computer Fraud and Abuse Act

Computer Fraud and Abuse Act (CFAA) — федеральный закон США, принятый в 1986 году, устанавливающий уголовную и гражданскую ответственность за несанкционированный доступ к компьютерным системам, а также за превышение авторизованного доступа, повлёкшее за собой определённые последствия. Закон является одним из основных инструментов борьбы с киберпреступностью в Соединённых Штатах, однако на протяжении десятилетий подвергался критике за неоднозначность формулировок и чрезмерно широкое толкование.

История принятия

Предпосылки и контекст

В 1980-х годах развитие компьютерных технологий и распространение модемного доступа привели к росту числа инцидентов, связанных со взломом компьютерных сетей. Громкие дела, такие как взлом систем Министерства обороны США хакерской группой 414s в 1983 году, продемонстрировали пробелы в законодательстве. На тот момент существовавшие законы о мошенничестве и краже не охватывали электронные данные и компьютерные системы в полной мере.

Принятие закона

Первоначальная версия CFAA была принята Конгрессом США в 1986 году как дополнение к Комплексному закону о борьбе с преступностью (Comprehensive Crime Control Act of 1984). Основной целью закона было криминализировать несанкционированный доступ к компьютерам, используемым федеральными органами власти, финансовыми учреждениями и для межгосударственной торговли. Закон вступил в силу 16 октября 1986 года.

Основные поправки

CFAA многократно изменялся и дополнялся:

Основные положения

Определения

CFAA оперирует несколькими ключевыми понятиями:

Составы преступлений

CFAA криминализирует следующие деяния (основные разделы 18 U.S.C. § 1030):

  1. Несанкционированный доступ с получением информации национальной безопасности (пункт (a)(1)) — доступ к информации, защищённой в интересах национальной безопасности, с намерением или возможностью нанести ущерб США или выгоду иностранному государству. Наказание — до 10 лет лишения свободы (до 20 лет при повторном осуждении).
  1. Несанкционированный доступ с получением финансовой или иной информации (пункт (a)(2)) — доступ с целью получения информации из финансовых учреждений, кредитных бюро, государственных органов или любой информации, защищённой от несанкционированного доступа. Наказание — до 5 лет лишения свободы (до 10 лет при повторном осуждении).
  1. Несанкционированный доступ к правительственному компьютеру (пункт (a)(3)) — доступ к компьютеру, используемому исключительно правительством США. Наказание — до 1 года лишения свободы (до 10 лет при отягчающих обстоятельствах).
  1. Несанкционированный доступ с намерением мошенничества (пункт (a)(4)) — доступ с намерением совершить мошенничество и получение чего-либо ценного, если стоимость превышает 5000 долларов. Наказание — до 5 лет лишения свободы (до 10 лет при повторном осуждении).
  1. Повреждение компьютерных систем (пункт (a)(5)) — причинение ущерба путём передачи программы, кода или команды, а также несанкционированный доступ, повлёкший повреждение данных или нарушение работы системы. Наказание — до 10 лет лишения свободы (до 20 лет при повторном осуждении или если ущерб причинён умышленно).
  1. Несанкционированное распространение паролей (пункт (a)(6)) — передача паролей или другой информации, позволяющей получить несанкционированный доступ, если это влияет на межгосударственную или международную торговлю. Наказание — до 1 года лишения свободы (до 10 лет при отягчающих обстоятельствах).
  1. Угрозы с использованием компьютера (пункт (a)(7)) — передача угроз с намерением вымогательства денег или иной ценности. Наказание — до 5 лет лишения свободы (до 10 лет при повторном осуждении).

Гражданская ответственность

CFAA предусматривает возможность подачи гражданского иска любым лицом, понёсшим ущерб в результате нарушения закона. Истец может требовать компенсации убытков, судебных издержек и предварительного судебного запрета.

Применение и судебная практика

Известные дела

Критика и споры

CFAA подвергается критике по нескольким направлениям:

  1. Неоднозначность термина «превышение авторизованного доступа» — закон не даёт чёткого определения, что считается превышением. Это привело к тому, что обвинения по CFAA выдвигались за нарушение условий обслуживания (например, указание ложного имени в профиле социальной сети), что многие юристы считают чрезмерным.
  1. Чрезмерная суровость наказаний — максимальные сроки заключения (до 20 лет) часто несоразмерны тяжести деяния, особенно в случаях, когда ущерб минимален или отсутствует.
  1. Использование против законных исследователей — закон может применяться против специалистов по кибербезопасности, тестирующих системы на уязвимости без явного разрешения владельца.
  1. Отсутствие защиты для «белых хакеров» — в отличие от некоторых других стран, CFAA не содержит чётких исключений для этичного хакинга или исследований безопасности.

Влияние на законодательство других стран

CFAA послужил моделью для разработки аналогичных законов в ряде стран, включая Великобританию (Закон о неправомерном использовании компьютеров 1990 года), Канаду и Австралию. В то же время, европейские страны в большей степени ориентируются на Конвенцию Совета Европы о киберпреступности (Будапештская конвенция, 2001 год), которая, в отличие от CFAA, содержит более детальные определения и процедуры международного сотрудничества.

Современное состояние

На 2025 год CFAA остаётся действующим федеральным законом США. После решения Верховного суда по делу Van Buren против США (2021) практика применения закона стала более узкой — обвинения в превышении авторизованного доступа теперь требуют доказательств того, что лицо получило доступ к информации, на которую у него не было никаких прав, а не просто использовало разрешённый доступ в неразрешённых целях. Тем не менее, закон продолжает применяться для преследования киберпреступников, включая хакеров, распространителей вредоносного ПО и участников DDoS-атак.

В 2023 году в Конгресс США вносились законопроекты, направленные на реформирование CFAA, в частности, на создание чётких исключений для исследователей безопасности и журналистов, однако ни один из них не был принят.

Источники

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →