?Федеральный судья США постановил, что нарушивших условия пользовательского соглашения нельзя автоматически привлекать к уголовной ответственности. Дело создает прецедент, на который правовая система страны будет опираться в будущем. Разбираемся в ситуации.


Фото — Markus Winkler — Unsplash

Закон раздора


На территории США действует «антихакерский закон» о компьютерном мошенничестве и злоупотреблениях — Computer Fraud and Abuse Act (CFAA). Он запрещает получать неавторизованный доступ к информации или компьютерным системам. Санкции за нарушение предусматривают денежные штрафы и тюремное заключение — в зависимости от тяжести преступления.

Этот документ подвергается серьезной критике со стороны общественности и экспертов по информационной безопасности. Специалисты из Фонда электронных рубежей (EFF) говорят, что формулировки в законе настолько расплывчатые, что под него может попадать простое нарушение пользовательского соглашения (terms of service). В частности, речь идет о создании псевдонимов и фейковых аккаунтов — практиках, запрещённых многими социальными сетями и сайтами.

?Серые формулировки в законе мешают деятельности исследовательских организаций, изучающих возможные случаи гендерной, возрастной и расовой дискриминации на веб-ресурсах. Их работа требует создания анонимных профилей для сбора данных и оценки алгоритмов, которые используют те или иные площадки (например, для поиска на сайте). Поэтому в 2016 году инициативная группа ученых и журналистов при поддержке Американского союза защиты гражданских свобод (ACLU) обратилась в суд и заявила, что закон, ограничивающий такие возможности, противоречит первой поправке к конституции США. Разбирательство шло несколько лет и закончилось в конце марта. Федеральный суд в Вашингтоне постановил, что нарушение условий пользовательского соглашения сайта не является преступлением с точки зрения CFAA.

Решение суда


Судья Джон Бейтс (John Bates) отметил, что нарушение пользовательского соглашения нельзя считать уголовным преступлением, потому что компании оставляют за собой право менять условия документа без уведомления пользователей. В результате деяние, которое было допустимым вчера, может неожиданно стать запрещенным завтра. Также суд руководствовался тем фактом, что terms of service многих ресурсов сложно найти, а сами правила написаны языком, который трудно воспринимать даже специалистам отрасли.

Но несмотря на то что нарушение требований пользовательского соглашения не может привести к уголовному преследованию, это не означает, что документы не имеют никакой юридической силы. Нарушение terms of service по-прежнему может стать причиной разбирательств по другим вопросам — например, связанным с правами на интеллектуальную собственность.

Еще одно интересное дело


В сентябре 2019 года завершилось другое важное разбирательство, связанное с CFAA — дело LinkedIn против аналитической фирмы hiQ Labs. Последняя собирала данные профилей пользователей для предоставления консалтинговых услуг работодателям. В LinkedIn посчитали, что деятельность аналитической компании нарушает CFAA, и потребовали прекратить скрейпинг.

Дело дошло до апелляционного суда девятого округа США, который постановил, что автоматизированный сбор данных с публичных сайтов не противоречит законодательству, а закон о компьютерном мошенничестве и злоупотреблениях не может применяться к открытой информации. При этом судья запретил LinkedIn чинить какие-либо технические препятствия для hiQ. Это постановление изменит баланс сил при рассмотрении аналогичных дел в будущем.
?

CFAA морально устарел


Computer Fraud and Abuse Act был принят еще в 1986 году, чтобы не оставлять безнаказанными компьютерные преступления. Но с тех пор он практически не менялся, поэтому плохо подходит для работы в современных условиях. Серые зоны возникают даже в ключевых областях, покрываемых законом и связанных со взломом вычислительных систем. Эти зоны вызывают множество разногласий в правовой среде, поскольку суды отдельных штатов трактуют CFAA по-разному.


Фото — Jeffrey Smith — CC BY-ND

В 2015 году полицейский из Нью-Йорка использовал служебную базу данных в личных целях для поиска информации о знакомом ему человеке. Стража порядка обвинили в неавторизованном доступе к информации, однако суд его оправдал. По мнению судьи, полицейский не нарушал CFAA, поскольку мог работать с БД и имел необходимые для этого логин и пароль. Однако в 2010 году суд одиннадцатого округа США приговорил к 12 месяцам тюрьмы сотрудника службы социального обеспечения за аналогичное нарушение.

Из-за подобных несостыковок многие призывают верховный суд разобраться в ситуации и сделать необходимые разъяснения. Например, в начале года с таким заявлением выступили специалисты Фонда электронных рубежей. Что из этого получится, предстоит увидеть в будущем.

Выводы


  • Нарушение требований, прописанных в пользовательском соглашении на сайте, не является уголовным преступлением, с точки зрения американского закона о компьютерном мошенничестве и злоупотреблениях CFAA.
  • Но подобны нарушения могут рассматриваться в рамках другого законодательства, например, связанного с правами на интеллектуальную собственность.
  • CFAA не запрещает скрейпинг интернет-ресурсов, а сайты не могут ему препятствовать.


У нас в 1cloud.ru есть корпоративный блог, посвященный IaaS и информационной безопасности.

Еще мы ведем Telegram-канал, в котором публикуем новости инсайты и кейсы из облачной индустрии.