2017年12月18日,美国公布了总统特朗普任内首份《国家安全战略》(National Security Strategy of the United States of America 2017),战略强化美国优先,认为跨国威胁“主动”损害美国利益,将威胁的主动识别和信息共享作为提升美国能力的优先行动领域之一。该战略是对此前通过的《2018财年国防授权法案》(National Defense Authorization Act for Fiscal Year 2018, H.R.2810)中如何制定有关网络空间,网络安全和网络战争的美国国家政策(SEC.1633)的直接回应。
主动防御在管理和法律层面的争议已经持续多年,特别是启动后将引发的不可预测性的内外部后果,长期以来限制了其在立法层面的“主动”讨论。公安部第三研究所网络安全法律研究中心翻译了美国2017年10月进入立法程序的《主动网络防御确定法案》(Active Cyber Defense Certainty Act),该法案尚未正式通过,但有助于探究美国立法层面主动防御构想的多重场景,了解主动防御理念在美国执法层面的尝试。
法案全文
第一条 简称
本法援引为《主动网络防御确定法案》。
第二条 国会决议
国会决议如下:
(1) 网络欺诈和相关网络犯罪对美国国家安全和经济活力构成严重威胁。
(2)由于网络犯罪的特性,执法部门及时响应和起诉网络犯罪十分困难,导致现行法律威慑力低下,网络犯罪威胁快速增加。2015年,司法部只起诉了153起计算机诈骗案。国会认为这种现状不可接受,如果放任不管,网络犯罪的趋势只会继续恶化。
(3) 网络犯罪分子已经研发出了新的策略,以实现其犯罪所得货币化。如果不对现行法律进行改革,从而为防御者提供新的网络工具和威慑方法,犯罪活动将被进一步激发。
(4) 当美国公民或企业成为此类罪行的受害者时,首先应将这一犯罪行为报告执法机构,并寻求改进防御措施。
(5) 国会同时认为,通过改进网络防御措施,包括加强培训、强密码以及对计算机系统进行定期更新和修补,可以预防诸多网络攻击。
(6) 国会认为,适当运用主动网络防御技术,也有助于改善防御能力,遏制网络犯罪。
(7) 国会亦认为,许多私营实体愈发关注关于遏制暗网发展导致的网络犯罪的增长问题。司法部应尝试为暗网中实施主动防御措施的实体明确合理的行为规则,以便该防御者能退回过失获取的私人财产,例如知识产权和财务记录。
(8) 国会还认为,由于许多网络犯罪报告未获得及时回应,导致许多企业和个人对该犯罪行为处理措施的严重不确定性。尽管联邦机构需要优先处理具有国家级重要性的网络事件,但通过更积极地回应以各种报告机制报告的犯罪行为,协助私营机构也是潜在趋势。
(9) 计算机防御者也应该格外小心,以避免违反攻击者计算机所在国的法律。
(10) 国会认为,主动网络防御技术只能由合格的防御者使用,该防御者在使用归因技术时应当高度保密,并且应该极其谨慎,以避免对中间计算机(intermediary computer)造成影响或导致网络活动的升级。
(11) 本法旨在通过阐明防御者可以使用的超越自身计算机网络界限的工具和技术类型,以提供法律的确定性。
第三条 使用归因技术(attributional technology)的豁免
美国法典第18篇第1030条,新增以下内容:
“(k)使用归因技术的豁免——
(1) 本条不适用于防御者为响应网络入侵的特定目的使用程序、代码或命令,通过返回信号、位置或特定数据,以识别信号源的归因技术的情况,如果:
(A) 该程序、代码或命令来自防御者的计算机,但被经未授权用户复制或移除,以及;
(B) 该程序、代码或命令不会破坏攻击者计算机系统中的数据或损害该计算机系统的基本操作功能,或故意创建后门以侵入该计算机系统。
(2) 定义——“属性数据”是指各种数字信息,如日志文件、文本字符串、时间戳、恶意软件样本、标识符(包括用户名称、IP地址等)、元数据以及其他通过取证分析技术收集的数字文件。
第四条 对已采取主动网络防御措施的特定计算机犯罪行为免于起诉
美国法典第18篇第1030条,新增以下内容:
“(1)主动网络防御措施不违反——
(1)一般规定。若某一行为属于本条规定的主动网络防御措施,则可构成针对刑事检控的抗辩。
(2)不适用于民事诉讼——对本条所规定的检控行为的抗辩并不妨碍主动防御措施所针对的美国个人或实体寻求民事救济的权利,包括依照(g)款提出补偿性赔偿或禁令救济。
(3) 定义——本款中:
(A)防御者,指某个人或实体,该个人或实体是计算机被持续、未经授权侵入的受害者;
(B)主动网络防御措施
(i) 指以下任一措施:
(I)由防御者实施或在其指示下实施;且
(II) 为以下目的,未经授权访问向防御者网络实施攻击的攻击者的计算机以收集信息:
(aa) 确定犯罪活动性质,以与负责网络安全的执法机构及其他美国政府机构共享;
(bb) 阻断针对防御者网络的、持续的、未经授权的访问行为;或者
(cc) 监视攻击者行为,以为将来研发入侵防御或网络防御技术提供协助;
(ii) 但不包括以下行为:
(I)故意破坏或导致存储在其他个人或实体计算机上的,不属于该受害者的信息不可用;
(II)过失(recklessly )导致(c)(4)款所述的人身伤害或经济损失;
(III)对公众健康或安全构成威胁;
(IV) 故意超出在该中间计算机(intermediary computer)上执行侦察所需的行为限度,以允许对该网络进行持续性的入侵。
(V) 故意侵入或远程访问中间计算机;
(VI) 故意对个人或实体的网络连接实施持续破坏,导致(c)(4)款所定义的损害;或者
(VII)影响(a)(1)款规定的访问国家安全信息的计算机、(a)(3)款规定的政府计算机,或(c)(4)(A)(i)(V)规定的为或由政府实体用于管理司法、国防或国家安全的计算机系统。
(C) 攻击者,是指未经授权持续侵入受害者计算机的个人或实体;
(D) 中间计算机,是指不属于攻击者所有,也不在其主要控制下的,但被用来发起或掩盖持续性网络攻击根源的个人或实体的计算机。
第五条 关于实施网络防御措施的通知要求
美国法典第18篇第1030条,新增以下内容:
“(m) 有关实施网络防护措施的通知要求:
(1) 一般规定。根据前条实施主动网络防御措施的防御者必须事先通知联邦调查局国家网络调查联合工作组( FBI National Cyber Investigative Joint Task Force),并收到联邦调查局确认收到前述通知的答复。
(2)必需信息。通知必须包括:导致个人或实体成为受害者的网络违法行为类型,主动网络防御措施的预期目标,防御者为保存攻击者网络入侵犯罪行为的证据而计划采取的措施,以及为防止造成不属于攻击者所有的中间计算机的损害而计划采取的措施,以及FBI要求协助监督的其他信息。
第六条 主动防御措施的自愿性前置审查
(a)试行方案。FBI应与其他联邦机构协调,制定一项试行方案,在本法施行后试行两年,以允许针对主动防御措施进行自愿的事先审查。
(b) 事先审查。计划根据第4条实施主动防御措施的防御者,可事先通知FBI国家网络调查联合工作组,以便FBI及其他机构可以对该通知进行审查,并就如何修改提出的主动防御措施以更好符合联邦法律和第4条,以及改进措施的技术操作进行评估。
(c) 优先请求。FBI可根据资源的可用性决定如何向防御者发布此类指导的优先性。
第七条 关于联邦政府遏制网络诈骗和网络犯罪进展的年度报告
司法部经与国土安全部和其他相关联邦机构协商后,应在每年的3月31日之前向国会提交一份年度报告。该报告应详细列出上一年度有关遏制网络犯罪的执法行为结果。
该报告应当包括:
(1) 美国公民和企业向FBI各地机构、特勤局电子犯罪工作队、互联网犯罪投诉中心(IC3)网站和其他联邦执法机构报告的计算机欺诈案件数量;
(2) 公开报告的计算机欺诈罪行的调查数量,以及独立于报告的任何具体罪行的调查数量;
(3) 根据美国法典第18篇第1030条和涉及网络犯罪的其他相关法规起诉的网络欺诈案件数量,包括案件结果;
(4) 查明由美国嫌疑人实施的计算机诈骗罪的数量和由外国嫌疑人实施的诈骗罪的数量以及外国嫌疑人的国籍详情;
(5) 被执法活动禁止的暗网网络犯罪市场和犯罪网络的数量;
(6) 评估美国公民和企业因勒索软件和其他欺诈性网络攻击而遭受的总体财务损失;
(7) 分配调查和起诉网络犯罪的执法人员的数量;以及
(8) 按照本法要求提交的主动网络防御通知的数量,以及对通知程序和自愿前置审查试行方案的全面评估。
第八条 要求司法部更新网络犯罪起诉指南
(a) 司法部应根据本法的修改,更新《计算机犯罪起诉手册》。
(b) 鼓励司法部寻求更多机会向公众阐明手册和其他指南,以反映不断发展的防御技术和网络技术。这些技术的使用不应违反美国法典第18篇第1030条,及其他联邦法律和国际条约。
第九条 有效期
本法规定的免予起诉的时效自本法生效之日起两年后届满。
以下是英文原文
法案原文链接:https://www.congress.gov/bill/115th-congress/house-bill/4036/text
本文转载自:公安三所网络安全法律研究中心
声明:本文来自公安三所网络安全法律研究中心,版权归作者所有。文章内容仅代表作者独立观点,不代表士冗科技立场,转载目的在于传递更多信息。如有侵权,请联系 service@expshell.com。