Ван Бюрен против Соединенных Штатов

Дело Верховного суда США 2021 г.

Van Buren v. United States , 593 US 374 (2021), было делом Верховного суда США, касающимся Закона о компьютерном мошенничестве и злоупотреблении (CFAA) и его определения «превышает авторизованный доступ» в отношении человека, намеренно получающего доступ к компьютерной системе, на доступ к которой у него есть разрешение. В июне 2021 года Верховный суд постановил в 6–3 голосах, что человек «превышает авторизованный доступ», получая доступ к файлам и другой информации, находящимся в недоступном для доступа месте, к которым у него в противном случае было разрешение. Формулировка CFAA долгое время создавала разделение судебной практики по схеме 4–3, что привело к неудачному введению Закона Аарона , и это решение сузило применимость CFAA в судебном преследовании за кибербезопасность и компьютерные преступления.

Фон

Закон о компьютерном мошенничестве и злоупотреблении (CFAA) — федеральный закон, принятый в 1986 году для усиления законов о несанкционированном доступе к компьютерным системам. Закон был принят частично на основе опасений членов Конгресса, посмотревших фильм 1983 года « Военные игры» . ^[1] Среди его основных положений в 18 USC  § 1030(a)(2) говорится, что преднамеренный доступ к компьютерной системе «без разрешения или с превышением разрешенного доступа» для получения защищенной информации, финансовых записей или информации федерального правительства считается федеральным преступлением, которое может включать штрафы и тюремное заключение в качестве наказания.

Точное определение «превышает авторизованный доступ» неясно и привело к разделению дел в окружных судах на 4–3 округа . ^[2] В Первом, Пятом, Седьмом и Одиннадцатом округах суды поддержали широкую точку зрения на утверждение, что доступ к компьютеру с разрешением, но в ненадлежащих целях является нарушением CFAA. Второй, Четвертый и Девятый округа придерживались более узкой точки зрения, что нарушение происходит только в том случае, если авторизованный пользователь получает доступ к информации, к которой ему было запрещено получать доступ. ^[2]

Из-за раскола в прецедентном праве ведутся дебаты о том, следует ли толковать формулировку узко или широко, между исследователями кибербезопасности и правоохранительными органами, среди прочих. Для специалистов по кибербезопасности узкое толкование формулировки «превышает авторизованный доступ» в §1030(a)(2) позволило бы им лучше выполнять работу по выявлению и решению проблем безопасности с компьютерным оборудованием и программным обеспечением, чтобы сделать Интернет более безопасным. В противном случае неопределенность закона ставит под угрозу эти должностные функции. Правоохранительные органы и правительство США в целом предпочитают более широкое толкование, поскольку это позволяет им преследовать в судебном порядке тех, кто использует хакерство для вывода из строя или использования небезопасных систем в соответствии с CFAA. ^[3] Существуют дополнительные опасения, поскольку формулировка CFAA, если ее толковать широко, может применяться к общепринятым действиям в компаниях или в других местах, таким как использование офисных компьютеров для просмотра веб-страниц. Джеффри Л. Фишер , профессор права в Стэнфордском университете , представляющий истца в настоящем деле, утверждает, что формулировка закона устарела по сравнению с современным использованием компьютеров, а его широкое толкование «[делает] преступлением обычные нарушения компьютерных ограничений и условий обслуживания, о которых люди, вероятно, даже не знают, а если бы и знали, то не имели бы оснований считать это федеральным преступлением» ^{[3] .}

Факты дела

Полицейский Натан Ван Бюрен из Камминга, штат Джорджия , нуждался в деньгах и попросил о помощи мужчину по имени Эндрю Альбо. Известно, что Альбо был связан с проституцией в городе и имел предыдущие конфликты с полицией. Альбо сообщил об этом запросе в местный офис шерифа, откуда запрос был передан в Федеральное бюро расследований (ФБР). ФБР организовало операцию под прикрытием и поручило Альбо предложить Ван Бюрену 6000 долларов США , но в обмен на это попросить Ван Бюрена найти номерной знак в Информационном центре по преступлениям в Джорджии (GCIC), к которому у него был разрешен доступ, чтобы узнать, является ли его зарегистрированный владелец, стриптизерша, тайным офицером. Ван Бюрен выполнил запрос, что привело к его аресту ФБР за тяжкое компьютерное мошенничество в соответствии с CFAA §1030(a)(2). Ван Бюрен был признан виновным на суде присяжных и приговорен к 18 месяцам тюремного заключения Окружным судом Соединенных Штатов по Северному округу Джорджии . ^[2]

Ван Бюрен обжаловал приговор в Апелляционном суде США по одиннадцатому округу , утверждая, что доступ к GCIC, к которому он получил разрешение, но с ненадлежащей целью, не является нарушением пункта CFAA о «превышении разрешенного доступа». Хотя судьи округа с некоторой симпатией отнеслись к этому аргументу, они решили вынести решение на основе прецедента из предыдущего дела Одиннадцатого округа, Соединенные Штаты против Родригеса (2010), ^[4] , чтобы поддержать приговор Ван Бюрена. ^{[5] [2]}

Верховный суд

Ван Бюрен подал ходатайство в Верховный суд, который удовлетворил ходатайство об истребовании дела в апреле 2020 года. ^[3] Дело рассматривалось 30 ноября 2020 года по телефону из-за пандемии COVID-19 . ^[6]

Суд вынес свое решение 3 июня 2021 года. Решением 6–3 суд отменил и вернул на место постановление суда низшей инстанции. Мнение большинства было написано судьей Эми Кони Барретт , к которой присоединились судьи Стивен Брейер , Соня Сотомайор , Елена Каган , Нил Горсач и Бретт Кавано . Барретт постановил, что для CFAA человек нарушает формулировку «превышает разрешенный доступ», когда он получает доступ к файлам или другой информации, которая находится вне его полномочий в компьютерной системе, к которой у него в противном случае был разрешен доступ. Мнение большинства отличало это от дела Ван Бюрена тем, что информация, которую он получил, находилась в пределах того, к чему он мог получить доступ с его разрешения, но это было сделано по ненадлежащим причинам, и, таким образом, он не мог быть обвинен в соответствии с CFAA за это преступление. ^[7] По мнению Барретта, он согласился с критиками закона, что если бы они заняли позицию правительства, согласно которой «пункт о «превышении разрешенного доступа» криминализирует каждое нарушение политики использования компьютеров», «тогда миллионы в остальном законопослушных граждан являются преступниками». ^[8]

Судья Кларенс Томас написал особое мнение, к которому присоединились главный судья Джон Робертс и судья Сэмюэл Алито . Томас написал, что многие части федерального закона обозначают части закона, в которых человеку может быть предоставлен временный доступ к собственности, но все еще накладывают ограничения на то, что он может делать с этим доступом, например, парковщик, паркующий машину, и что большинство заняло надуманную позицию. Томас написал: «Понятно, что мы чувствуем дискомфорт от того, что так много поведения криминализируется, но этот дискомфорт не дает нам полномочий изменять законы». ^[8]

Это дело примечательно тем, что оно было первым, в котором судья Стивен Брейер вынес решение, выражающее мнение большинства. Поскольку главный судья и судья Томас оба не согласились, Брейер, который является вторым по старшинству членом Верховного суда, был самым старшим судьей в большинстве и, таким образом, вынес решение. Брейер решил вынести решение, выражающее мнение, на судью Барретта, который был самым новым судьей на тот момент. ^[9]

Реакции

Фонд Electronic Frontier Foundation , который подал в суд по делу доводы в поддержку решения суда, заявив, что «CFAA препятствует работе [исследователей безопасности]», и высказал мнение, что «широкое толкование CFAA правительством» означает, что «стандартные методы исследования безопасности  ... могут быть крайне рискованными», ^[10] назвал это решение «победой для всех пользователей Интернета» и «особенно хорошей новостью для исследователей безопасности». ^[11]

Влияние

На следующей неделе, на основании Van Buren , Верховный суд отменил решение Девятого округа в hiQ Labs против LinkedIn (2019) посредством постановления, в котором hiQ преобладала возможность извлекать данные из LinkedIn , принадлежащей Microsoft . Девятый округ опирался на толкование CFAA, что, поскольку данные LinkedIn были общедоступны, Microsoft не могла помешать hiQ собирать их даже в огромных масштабах, выходящих за рамки возможностей человека. Верховный суд отменил постановление и поручил Девятому округу пересмотреть дело в соответствии с решением Van Buren , которое могло включить извлечение данных из веб-страниц в качестве ненадлежащего деяния в соответствии с CFAA в постановлении Верховного суда. ^[12]

Ссылки

1. Копсидас, Эндрю; Старк, Эда (7 июля 2020 г.). «INSIGHT: Решение Верховного суда США по Закону о компьютерном мошенничестве может повлиять на коммерческие тайны». Bloomberg News . Получено 15 июля 2020 г.
2. Клотье, Кевин М.; Поэлл, Дэвид М. (30 апреля 2020 г.). «Предварительный просмотр дела Верховного суда США — Ван Бюрен против Соединенных Штатов: нарушает ли использование компьютера в «ненадлежащих целях» Закон о компьютерном мошенничестве и злоупотреблении?». National Law Review . Получено 15 июля 2020 г. .
3. Marks, Joseph (24 апреля 2020 г.). «Кибербезопасность 202: Наконец-то грядет битва в Верховном суде по главному закону страны о хакерстве». The Washington Post . Получено 15 июля 2020 г.
4. Соединенные Штаты против Родригеса , 628 F.3d 1258 ( 11th Cir. 2010).
5. Соединенные Штаты против Ван Бюрена , 940 F.3d 1192 (11th Cir. 2019).
6. «Ежемесячный аргумент – Верховный суд Соединенных Штатов». www.supremecourt.gov . Получено 27 ноября 2020 г. .
7. Фанг, Брайан; де Вог, Ариан; Коул, Деван (3 июня 2021 г.). «Верховный суд встал на сторону полицейского, который неправильно просмотрел базу данных номерных знаков». CNN . Получено 3 июня 2021 г.
8. Геллер, Эрик; Герштейн, Джош (3 июня 2021 г.). «Верховный суд сужает сферу действия всеобъемлющего закона о киберпреступности». Politico . Получено 3 июня 2021 г. .
9. Барнс, Роберт (3 июня 2021 г.). «Верховный суд сужает антихакерский закон, беспокоясь о криминализации обычного поведения». The Washington Post . Получено 3 июня 2021 г.
10. «Краткое изложение Amici Curiae Computer Security Researchers, Electronic Frontier Foundation, Center for Democracy & Technology, Bugcrowd, Rapid7, SCYTHE и Tenable в поддержку заявителя» (PDF) . Electronic Frontier Foundation. 8 июля 2020 г. . Получено 12 июня 2021 г. .
11. Макки, Аарон; Опсаль, Курт (3 июня 2021 г.). «Van Buren — победа над слишком широкими толкованиями CFAA и защита исследователей безопасности». Electronic Frontier Foundation . Получено 12 июня 2021 г.
12. Чанг, Эндрю (14 июня 2021 г.). «Верховный суд США возобновляет попытку LinkedIn защитить персональные данные». Reuters . Получено 14 июня 2021 г.

Внешние ссылки

• Текст дела «Ван Бюрен против Соединенных Штатов» , 593 U.S. 374 (2021) доступен по адресу: Justia Oyez (аудиозапись устных аргументов) Верховный суд (мнение по запросу) Верховный суд (предварительная печать)