2022年5月19日，美國司法部(DOJ)對《計算機欺詐和濫用法》(CFAA)進行修訂，明確指出網絡安全研究人員(白帽黑客)有著“改善技術”的良好愿景，因此司法部門將不再以CFAA起訴他們。

這對白帽黑客而言無疑是一項重大利好政策，此后他們再也不用擔心因尋找漏洞而身陷囹圄，為那些試圖改善技術的網絡安全研究人員減輕了壓力。對此，美國副司法部Lisa Monaca表示，計算機安全研究是改善網絡安全的重要關鍵驅動力。美國司法部門從未對將“善意的計算機安全研究”作為犯罪進行起訴感興趣。另外，今天(5月19日)的公告通過為善意的安全研究人員提供明確的規定以促進網絡安全的發展，他們將為了網絡安全的發展不斷發現新的漏洞。

資料顯示，CFAA頒布于1986年，是美國重要的反黑客法律，旨在禁止黑客惡意入侵未經授權的計算機系統。CFAA雖然不解決數據收集和使用等數據保護問題，但對于未經授權而侵入計算機并獲得他人信息的行為規定了法律責任。

這意味著，如果未獲得授權，那么白帽黑客們將不能私自掃描網站漏洞，也不能因此獲得任何非公開的數據，否則就有觸犯CFAA的風險，并因此受到法律的制裁。

如今，這一政策終于有所改善，CFAA法律將不再適用于白帽黑客群體。但需要注意的是，修訂后的CFAA明確指出必須要是“善意的計算機安全研究”，除此之外的非善意行為依舊會被追責。

美國對CFAA法案爭議由來已久

一直以來，美國對于CFAA法案存在較大爭議，很多人認為CFAA是技術法律書籍中 “最糟糕的法律”，其過時和模糊的法律條款給善意發現和披露安全漏洞的黑客帶來了極大的障礙。

由于CFAA所禁止的犯罪行為的范圍遠遠超越了傳統黑客攻擊的概念，并將未經授權的訪問行為以及使用越權所得信息，引起政府或其他方損失的越權訪問行為，或構成對該等主體的欺詐的越權訪問行為都定性為犯罪行為。CFAA還為遭受上述計算機犯罪行為損害的個人提供了民事訴由，同時規定了損害賠償和衡平法救濟。

對此，有專家認為CFAA的存在對白帽黑客全體產生了不良的“寒蟬效應”：即如果違反計算機系統的使用政策會有潛在的刑事(和民事)后果，那將使這些系統的所有者有權禁止善意的安全研究，并使研究人員噤若寒蟬，不敢披露他們在這些系統中發現的任何漏洞。

近年來，通過白帽黑客尋找安全漏洞一直是科技企業的普遍做法，作為回報，企業也會給他們不菲的報酬。這一做法成效斐然，白帽黑客為企業找到了無數的重量級漏洞，也讓企業有了將這些威脅消滅在萌芽之中的機會。

但是，這一行為在法律上一直處于灰色地帶，白帽黑客有可能因此被起訴。雖然Mozilla、Dropbox、特斯拉等科技巨頭承諾不會根據CFAA起訴善意的黑客，但是更多的公司還是保留了起訴的權利，甚至于在某些情況下會積極發起法律行動，防止出現一些不光彩的新聞。

令CFAA縮小范圍的標志性案件

2020年，美國佐治亞州的前警察警長Nathan Van Buren利用他對警用車牌數據庫的訪問權限，搜索一個熟人的車牌號并收取5000美元。該交易實際上是FBI的誘捕行動，車牌號是虛構的。

隨后，Van Buren被以越權訪問警方數據庫，違反CFAA的罪名被提起訴訟。Van Buren的律師稱，無論Van Buren是否濫用數據庫，他都是被授權訪問的，因此沒有違反反黑客法。

對此美國最高法院法官Amy Coney Barrett的意見指出，如果“超過授權訪問”條款將每一次違反計算機使用規定的行為視為犯罪，那么數百萬在其他方面守法的公民就將成為罪犯。

2021年6月，美國最高法院以6票對3票的裁決確認Van Buren沒有違反CFAA，而該案件的判決結果也直接縮小了CFAA的適用范圍。

對于該結果，有專家認為，“這是數字時代公民自由和公民權利執行的一個重要勝利”。這項裁決則留下了一些沒有得到解答的關鍵問題，美最高法院的決定最終并未取決于該法律的整體影響或有效性，但是足以推動社會各界人士對于CFAA的進一步深入討論。

另外，還有一起著名案件讓CFAA的適用范圍變的更加清晰，這也是美國爬蟲斗爭歷史中極具意義的一個裁決。

2017年，微軟旗下的職業社交平臺LinkedIn向數據分析公司HiQ發送了禁止通知函，并在函中援引了CFAA，警告后者不要再通過爬蟲獲取LinkedIn 網站的數據。隨后HiQ向法院提起訴訟，控訴 LinkedIn 通過法律、技術等多種方式阻止其復制 LinkedIn 用戶的公開個人資料，還向法院申請了臨時禁令。

雙方就這一問題一直在打官司，并最終上訴至美國最高法院。此前，地方法院認為，雖然HiQ公司對LinkedIn網站實施了網絡爬蟲，但這種爬蟲行為并不違反法律，因為 LinkedIn 網站上的數據是公開數據，CFAA中的“未經授權”或者以“超出所授予訪問權限”條款，并不適用于 HiQ 從 LinkedIn 網站收集公開數據的行為。

隨后，LinkedIn選擇繼續上訴，第九巡回法院最終還是維持原判，認為該案件并不適用CFAA，認為HiQ沒有違反該法律。這也讓CFAA的法律解釋進一步清晰，“未經授權”概念將不適用于公共網站。

對于白帽黑客來說，規則清楚很重要

CFAA最令人詬病的地方在于法律條文出了名的模糊，不同的指控可以判處最高5年、10年或20年的監禁。而不清不楚的條文也讓白帽黑客心驚膽戰，無法更好地完成漏洞發掘的工作。

我國也曾經歷過一段“白帽黑客規則不清楚”的時代，白帽黑客們自然百無禁忌，其中免不了有人會因為挖漏洞的方法不得當而觸犯法律，這大大限制了白帽黑客群體的成長，也讓很多有技術的人才畏手畏腳，無所適從。

近年來，隨著我國網絡安全產業不斷發展，相關法律法規的不斷完善，白帽黑客的規則也也逐漸清晰明了。2021年，《網絡產品安全漏洞管理規定》正式頒布并實施讓白帽黑客群體的行為有了明確的規則。

此后，什么可以干，什么不能干都有了明確的說法。只要是在法律允許的范圍內，白帽黑客們將不用再畏首畏尾，也不用擔心會不小心觸碰到法律的底線，可以沉下心來挖漏洞。同時，《規定》也鼓勵廠家針對白帽子設立漏洞獎勵機制，白帽群體可通過自己的技術獲得收入，從而形成良性循環，推動安全產業不斷壯大。

在國內網安政策和企業需求的不斷刺激下，我國白帽黑客群體的數量不斷增長。FreeBuf發布的《2021中國白帽子調查報告》顯示，2021年國內白帽總數已超過173300人，已經幫助超過數萬個客戶組織發現并修復了超過260萬個漏洞。

可以這么說，白帽黑客已經成為網絡安全產業的重要組成力量，對于網絡安全產業的健康發展有著極為關鍵的作用。我們都知道，將風險掐滅在搖籃之中所付出的成本是最低的。而白帽黑客就是一群尋找風險的人，搶在漏洞爆發之前率先找到并上報給企業修復，化威脅于無形。

于他們而言，最重要的無非是一個清楚的規則，一個合法的保障。