Đạo luật Lạm dụng và Lừa đảo Máy tính (CFAA), một luật chống hack gây tranh cãi, cấm “vượt quá quyền truy cập được phép” trên một hệ thống máy tính, đã bị Tòa án Tối cao thu hẹp hôm thứ Năm. trong phán quyết 6-3. Tòa án cho biết luật không nên bao che những người lạm dụng các hệ thống mà họ được phép truy cập – và việc tuyên bố theo cách khác sẽ hình sự hóa “một lượng lớn” việc sử dụng máy tính hàng ngày.
Vụ án, Van Buren kiện Hoa Kỳ, liên quan đến một cựu cảnh sát Georgia tên là Nathan Van Buren. Van Buren chấp nhận trả 5.000 USD để đổi lấy biển số xe của một phụ nữ trong cơ sở dữ liệu của cảnh sát. (Thỏa thuận thực sự là một hoạt động gây nhức nhối của FBI, và biển số là hư cấu.) Bởi vì sàn giao dịch vi phạm các quy tắc của bộ, các công tố viên cho biết Van Buren đã “vượt quá quyền truy cập” vào hệ thống. Các luật sư của Van Buren lập luận rằng dù anh ta có lạm dụng cơ sở dữ liệu hay không, anh ta vẫn được phép truy cập nó – và do đó không vi phạm luật chống hack.
Ý kiến đa số của Tòa án Tối cao, được đưa ra bởi Thẩm phán Amy Coney Barrett, đồng tình. Nó hỗ trợ một cách tiếp cận “từ cổng lên hoặc xuống” để ủy quyền: truy cập vào các phần của hệ thống bị cấm cụ thể sẽ vi phạm các quy tắc của CFAA, nhưng chỉ truy cập vào các khu vực được ủy quyền theo cách không được phê duyệt thì không.
Ý kiến của Barrett lưu ý rằng mọi người thường xuyên bẻ cong hoặc phá vỡ các quy tắc của máy tính và dịch vụ web. Bà viết: “Cách giải thích của chính phủ về điều khoản ‘vượt quá quyền truy cập được cho phép’ sẽ gắn các hình phạt hình sự đối với một số lượng lớn hoạt động máy tính phổ biến”. “Nếu điều khoản ‘vượt quá quyền truy cập được cho phép’ sẽ hình sự hóa mọi vi phạm chính sách sử dụng máy tính, thì hàng triệu công dân tuân thủ luật pháp sẽ là tội phạm.” Chẳng hạn, luật có thể bao gồm việc một nhân viên gửi email cá nhân trên máy tính làm việc hoặc “hình sự hóa mọi thứ từ việc tạo một hồ sơ hẹn hò trực tuyến đến sử dụng một bút danh trên Facebook”.
Các chuyên gia pháp lý và những người ủng hộ quyền tự do dân sự đã ca ngợi rộng rãi phán quyết tổng thể. Esha Bhandari, Phó giám đốc Dự án Phát biểu, Quyền riêng tư và Công nghệ của Liên minh Quyền tự do Dân sự Hoa Kỳ, cho biết: “Đây là một thắng lợi quan trọng đối với quyền tự do dân sự và thực thi quyền công dân trong thời đại kỹ thuật số. Các nhân viên của Electronic Frontier Foundation là Aaron Mackey và Kurt Opsahl cũng được gọi là quyết định một chiến thắng, nói rằng tòa án “đã cung cấp ngôn ngữ tốt sẽ giúp bảo vệ các nhà nghiên cứu, nhà báo điều tra và những người khác.” (Cả hai tổ chức trước đây đã nộp bản tóm tắt hỗ trợ Van Buren.)
CFAA có thể được sử dụng để trấn áp hành vi hack độc hại hợp pháp, nhưng nó cũng nổi tiếng là mơ hồ và các tội danh khác nhau có thể chịu hình phạt lên đến 5, 10 hoặc 20 năm tù. Các nhà phê bình cho rằng sự kết hợp này đe dọa các nhà nghiên cứu và những người khác sử dụng thông tin có thể truy cập tự do theo những cách chưa được phê duyệt. Các công tố viên liên bang có thể buộc tội các mục tiêu đáng sợ, như trường hợp của nhà hoạt động Aaron Swartz, người đã chết do tự sát vào năm 2013 trong khi bị truy tố. Các công ty cũng có thể sử dụng nó để quấy rối nhà báo hoặc nhân viên làm rò rỉ tài liệu.
Về lý thuyết, các công tố viên hiện phải xác minh rằng người dùng thực sự đã truy cập vào các phần của hệ thống mà họ bị cấm xâm nhập. “Tôi nghĩ đó là một thỏa thuận thực sự quan trọng,” giáo sư James Grimmelmann của Trường Luật Đại học Cornell nói The Verge. “Nó thực sự làm rõ rằng nhân viên sử dụng máy tính một cách không trung thành không phải là một vấn đề của CFAA và điều đó đã loại bỏ một phần lớn tội phạm và sử dụng dân sự của CFAA.” Phán quyết cũng có thể ảnh hưởng đến các trường hợp liên quan đến cạohoặc thu thập hàng loạt dữ liệu có sẵn công khai từ các trang web.
Grimmelmann cho biết, nhân viên vẫn có thể phạm các tội khác, như đánh cắp bí mật thương mại và những người thu thập dữ liệu có thể phải đối mặt với cáo buộc của CFAA nếu các hoạt động của họ khiến một trang web không thể truy cập được. Nhưng Van Buren nâng cao rào cản cho những gì được coi là hack tội phạm. Ông nói: “Bạn thoát khỏi một đống lớn những thứ không thực sự là tội phạm công nghệ cao, nguy hiểm của hacker”.
Phán quyết cũng để lại những câu hỏi quan trọng chưa được giải đáp. Quyết định của tòa cuối cùng không phụ thuộc vào tác động hoặc hiệu lực tổng thể của luật. Nó tập trung vào định nghĩa từ điển của một từ (“vậy”) để quyết định xem “vượt quá quyền truy cập” có nên được định nghĩa giống như một lệnh cấm tương tự đối với việc sử dụng máy tính “không được phép” – sử dụng phép ẩn dụ cổng hay không. Và trong khi nó nói rằng những người vi phạm phải bỏ qua một số “cánh cổng” ẩn dụ, nó không xác định rõ ràng những cánh cổng này. Trên Twitter, giáo sư Luật Berkeley và chuyên gia CFAA Orin Kerr chỉ vào một chú thích ngụ ý rằng cổng có thể là hàng rào kỹ thuật hoặc là các quy tắc trong hợp đồng – theo lời của Kerr, một cái gì đó có khả năng rộng như “không truy cập máy tính này với mục đích xấu.”
Cựu nhân viên EFF và luật sư tội phạm máy tính Hanni Fakhoury cho biết: “Vẫn còn là một câu hỏi bỏ ngỏ liệu giới hạn truy cập phải là công nghệ hay hợp đồng. Như Fakhoury lưu ý, phán quyết nói rằng không nhất thiết phải “hợp lý” khi CFAA dựa vào sự khác biệt rõ ràng về ngữ nghĩa trong các hợp đồng tư nhân. “Đối với tôi, chắc chắn là họ không thoải mái về ý tưởng rằng bằng cách nào đó CFAA sẽ trở thành một công cụ để hình sự hóa các nghĩa vụ hợp đồng,” anh kết luận. Nhưng nó để lại câu hỏi lớn này cho các tòa án cấp dưới tranh luận – ít nhất là cho đến khi một vụ án khác đến được Tòa án Tối cao.
.
