Computer Fraud and Abuse Act
Computer Fraud and Abuse Act (CFAA) — федеральный закон США, принятый в 1986 году, устанавливающий уголовную и гражданскую ответственность за несанкционированный доступ к компьютерным системам, а также за превышение авторизованного доступа, повлёкшее за собой определённые последствия. Закон является одним из основных инструментов борьбы с киберпреступностью в Соединённых Штатах, однако на протяжении десятилетий подвергался критике за неоднозначность формулировок и чрезмерно широкое толкование.
История принятия
Предпосылки и контекст
В 1980-х годах развитие компьютерных технологий и распространение модемного доступа привели к росту числа инцидентов, связанных со взломом компьютерных сетей. Громкие дела, такие как взлом систем Министерства обороны США хакерской группой 414s в 1983 году, продемонстрировали пробелы в законодательстве. На тот момент существовавшие законы о мошенничестве и краже не охватывали электронные данные и компьютерные системы в полной мере.
Принятие закона
Первоначальная версия CFAA была принята Конгрессом США в 1986 году как дополнение к Комплексному закону о борьбе с преступностью (Comprehensive Crime Control Act of 1984). Основной целью закона было криминализировать несанкционированный доступ к компьютерам, используемым федеральными органами власти, финансовыми учреждениями и для межгосударственной торговли. Закон вступил в силу 16 октября 1986 года.
Основные поправки
CFAA многократно изменялся и дополнялся:
- 1988 год — поправки, уточняющие ответственность за повреждение данных и программного обеспечения.
- 1994 год — Закон о компьютерной безопасности (Computer Security Act) расширил определение «защищённого компьютера» и добавил ответственность за угрозы повреждения данных.
- 1996 год — Закон о национальной информационной инфраструктуре (National Information Infrastructure Protection Act) значительно расширил сферу действия CFAA, включив в неё любые компьютеры, используемые в межгосударственной или международной торговле.
- 2001 год — Патриотический акт (USA PATRIOT Act) увеличил сроки наказания и расширил полномочия правоохранительных органов.
- 2008 год — Закон о кибербезопасности (Cyber Security Enhancement Act) ужесточил наказания за киберпреступления, связанные с терроризмом.
- 2015 год — Закон о свободе США (USA Freedom Act) внёс незначительные корректировки в процедуры судебного преследования.
Основные положения
Определения
CFAA оперирует несколькими ключевыми понятиями:
- Защищённый компьютер — компьютер, используемый федеральным правительством, финансовым учреждением, а также любой компьютер, используемый в межгосударственной или международной торговле или коммуникации (фактически — практически любой компьютер, подключённый к интернету).
- Несанкционированный доступ — доступ без разрешения владельца или уполномоченного лица.
- Превышение авторизованного доступа — доступ, разрешённый в определённых пределах, но используемый для получения информации, на которую разрешение не распространяется.
Составы преступлений
CFAA криминализирует следующие деяния (основные разделы 18 U.S.C. § 1030):
- Несанкционированный доступ с получением информации национальной безопасности (пункт (a)(1)) — доступ к информации, защищённой в интересах национальной безопасности, с намерением или возможностью нанести ущерб США или выгоду иностранному государству. Наказание — до 10 лет лишения свободы (до 20 лет при повторном осуждении).
- Несанкционированный доступ с получением финансовой или иной информации (пункт (a)(2)) — доступ с целью получения информации из финансовых учреждений, кредитных бюро, государственных органов или любой информации, защищённой от несанкционированного доступа. Наказание — до 5 лет лишения свободы (до 10 лет при повторном осуждении).
- Несанкционированный доступ к правительственному компьютеру (пункт (a)(3)) — доступ к компьютеру, используемому исключительно правительством США. Наказание — до 1 года лишения свободы (до 10 лет при отягчающих обстоятельствах).
- Несанкционированный доступ с намерением мошенничества (пункт (a)(4)) — доступ с намерением совершить мошенничество и получение чего-либо ценного, если стоимость превышает 5000 долларов. Наказание — до 5 лет лишения свободы (до 10 лет при повторном осуждении).
- Повреждение компьютерных систем (пункт (a)(5)) — причинение ущерба путём передачи программы, кода или команды, а также несанкционированный доступ, повлёкший повреждение данных или нарушение работы системы. Наказание — до 10 лет лишения свободы (до 20 лет при повторном осуждении или если ущерб причинён умышленно).
- Несанкционированное распространение паролей (пункт (a)(6)) — передача паролей или другой информации, позволяющей получить несанкционированный доступ, если это влияет на межгосударственную или международную торговлю. Наказание — до 1 года лишения свободы (до 10 лет при отягчающих обстоятельствах).
- Угрозы с использованием компьютера (пункт (a)(7)) — передача угроз с намерением вымогательства денег или иной ценности. Наказание — до 5 лет лишения свободы (до 10 лет при повторном осуждении).
Гражданская ответственность
CFAA предусматривает возможность подачи гражданского иска любым лицом, понёсшим ущерб в результате нарушения закона. Истец может требовать компенсации убытков, судебных издержек и предварительного судебного запрета.
Применение и судебная практика
Известные дела
- США против Морриса (1991 год) — первое крупное дело по CFAA. Роберт Таппан Моррис-младший был признан виновным в создании и распространении «червя Морриса», парализовавшего работу значительной части интернета в 1988 году. Приговор — 3 года условно, 400 часов общественных работ и штраф.
- США против Аарона Шварца (2011 год) — дело, вызвавшее широкий общественный резонанс. Аарон Шварц обвинялся в массовом скачивании научных статей из базы данных JSTOR через компьютерную сеть Массачусетского технологического института. Ему грозило до 35 лет тюремного заключения. Шварц покончил с собой в 2013 году, что спровоцировало дискуссию о чрезмерной суровости CFAA.
- США против Лори Дрю (2008 год) — дело, в котором женщина обвинялась в нарушении CFAA за создание фальшивого профиля на MySpace, что привело к самоубийству подростка. Обвинение было основано на том, что она нарушила условия обслуживания сайта. Суд в итоге отклонил обвинение.
- Van Buren против США (2021 год) — Верховный суд США сузил толкование «превышения авторизованного доступа», постановив, что оно не распространяется на случаи, когда лицо использует разрешённый доступ для получения информации в неразрешённых целях. Дело касалось полицейского, который за вознаграждение проверил номерной знак в базе данных.
Критика и споры
CFAA подвергается критике по нескольким направлениям:
- Неоднозначность термина «превышение авторизованного доступа» — закон не даёт чёткого определения, что считается превышением. Это привело к тому, что обвинения по CFAA выдвигались за нарушение условий обслуживания (например, указание ложного имени в профиле социальной сети), что многие юристы считают чрезмерным.
- Чрезмерная суровость наказаний — максимальные сроки заключения (до 20 лет) часто несоразмерны тяжести деяния, особенно в случаях, когда ущерб минимален или отсутствует.
- Использование против законных исследователей — закон может применяться против специалистов по кибербезопасности, тестирующих системы на уязвимости без явного разрешения владельца.
- Отсутствие защиты для «белых хакеров» — в отличие от некоторых других стран, CFAA не содержит чётких исключений для этичного хакинга или исследований безопасности.
Влияние на законодательство других стран
CFAA послужил моделью для разработки аналогичных законов в ряде стран, включая Великобританию (Закон о неправомерном использовании компьютеров 1990 года), Канаду и Австралию. В то же время, европейские страны в большей степени ориентируются на Конвенцию Совета Европы о киберпреступности (Будапештская конвенция, 2001 год), которая, в отличие от CFAA, содержит более детальные определения и процедуры международного сотрудничества.
Современное состояние
На 2025 год CFAA остаётся действующим федеральным законом США. После решения Верховного суда по делу Van Buren против США (2021) практика применения закона стала более узкой — обвинения в превышении авторизованного доступа теперь требуют доказательств того, что лицо получило доступ к информации, на которую у него не было никаких прав, а не просто использовало разрешённый доступ в неразрешённых целях. Тем не менее, закон продолжает применяться для преследования киберпреступников, включая хакеров, распространителей вредоносного ПО и участников DDoS-атак.
В 2023 году в Конгресс США вносились законопроекты, направленные на реформирование CFAA, в частности, на создание чётких исключений для исследователей безопасности и журналистов, однако ни один из них не был принят.
Источники
- 18 U.S.C. § 1030 — Fraud and related activity in connection with computers
- United States v. Morris, 928 F.2d 504 (2d Cir. 1991)
- Van Buren v. United States, 593 U.S. ___ (2021)
- Orin S. Kerr, «Cybercrime’s Scope: Interpreting ‘Access’ and ‘Authorization’ in Computer Misuse Statutes», New York University Law Review, 2003
- Jonathan Zittrain, «The Future of the Internet — And How to Stop It», Yale University Press, 2008
- Отчёт Конгресса США «Computer Fraud and Abuse Act: A Primer», Congressional Research Service, 2022
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →