自30年前成立以来1990年计算机滥用法案(CMA)是英国主要的立法宝剑和盾牌,抵御日益增长的网络犯罪的威胁。那些利用一个组织的威胁载体的人,不再像媒体通常描述的那样,穿着连帽毛衣,躲在黑暗的地下室里,比如在流行的电视剧中机器人先生.根据最近的一项调查,网络依赖犯罪已经政府报告这个行业的年营业额高达270亿英镑,其中包括一些崭露头角的“剧本少年”,他们希望通过运转良好、涉嫌受到国家资助的犯罪企业来制造混乱。因此,网络钓鱼、勒索软件、DDoS攻击、数据盗窃和欺诈等组织面临的潜在威胁越来越普遍,也越来越令人担忧。

在许多情况下,CMA具有远见的本质,以及对其所作的一些修正,使该法案很好地跟上了时代的步伐。然而,现在看来情况可能不再如此。这反映在内政部决定承担和最近得出的结论a要求的证据该法案未能充分反映潜在犯罪行为和如今已成为日常生活一部分的数字景观的领域。英国内政部目前正在分析提供的证据,并将于今年晚些时候公布调查结果。

英国数字社会监管格局的演变

除了在立法中确定发展的关键领域,对证据的呼吁是政府承诺的一部分,以加强其在技术和计算领域的世界领先地位,以及更广泛地打击网络犯罪。作为这一承诺的一部分,政府将在今年晚些时候发布他们最新的英国网络战略,取代先前的迭代在2016年实现。

在新的战略下,政府的优先行动点将是:

  • 加强英国的网络生态系统,使全社会应对网络犯罪和更广泛的数字经济,并深化政府、学术界和产业界之间的伙伴关系;
  • 建设一个有弹性、繁荣的数字英国,让公民在网上感到安全,对自己的数据受到保护有信心;
  • 在对数字经济至关重要的技术上取得领先地位,并在必要时建立工业能力,确保英国能够安全地采用新兴技术;
  • 通过与其他政府和行业合作,借鉴英国在网络安全方面的思想领导地位,促进自由、开放、和平和安全的网络空间;和
  • 探测、破坏和威慑它的敌人。

为了实现这些目标,政府和其各自的部门必须继续发展他们的立法武器,使他们能够先发制人地打击新的威胁,在他们有机会破坏数字基础设施。通过这样做,政府可以希望保护公民和组织免受日益增长的犯罪行业的伤害。

呼吁对计算机滥用法案的证据

内政部最近呼吁收集证据,试图发展战略的最后一个方面,允许当局通过以下手段来发现、破坏和阻止任何潜在的威胁:

  • 赋予针对罪犯的特定权力;和
  • 对那些继续引起关注的国家造成重大后果。

要求工业界和学术界的所有领域提供投入,并特别侧重于发展新的罪行、保护、权力及其管辖范围。对证据的呼吁还要求提供一些国际方法的显著例子的细节,这些方法可能与发展一种用于实施其网络战略的方法相一致。因此,鉴于从同样广泛的来源所要求的资料各不相同,看到这项呼吁的结果将是很有趣的。在这个过程中,一个不变的是CMA不再觉得有能力满足当代数字社会的需求。

“发展中的技术的发展定义”

也许最值得注意的一个领域是对“计算机”定义的澄清。CMA没有提供一个定义,因为技术的快速变化可能导致这个定义很快就会过时。相反,这个定义留给判例法来填补空白。这在某种程度上已经实现了DPP v McKeown, DPP v Jones [1997] UKHL 4它被定义为一种用于存储、处理和检索信息的装置”。这种方法背后的逻辑很清楚,因为技术确实比立法修订进步得更快,但在此期间,它留下了潜在的差距和争议,比如首先应该由什么构成“设备”。

一个值得注意的问题是法律中灰色地带的形成,如果诉讼接踵而至,或者一项行动的辩护依赖于法官或陪审团对“计算机”的解释,这可能会特别成问题。这是因为当前的定义依赖于参与者的主观解释。尽管智能设备的设计尚不完善,但某些方面可能会将家庭中的智能设备视为电脑,因为它们具有与网络交互、处理命令和信息的能力。另一些人可能会将定义的范围限制在传统上与计算机定义相关联的更复杂的系统上,尽管这两种设备都为那些试图在连接到家庭或工作网络时利用漏洞的人提供了类似的潜在攻击面。根据现行立法,双方可以就该定义对其特定设备组的适用性进行辩论。因此,该法案的风险在于,它捕获了一些通常不会被认为是电脑的设备,比如智能灯泡,而忽略了更复杂的系统无法包含的更新颖的技术,比如快速血糖监测系统。

解决这一问题的一个潜在途径可能是发布政府指导,以补充更可靠的监管实施。这将意味着,尽管这个主题仍然是灰色的,但个人和组织对可能属于定义范围的内容有了进一步的清楚。它将成为指导方针这一事实也意味着它可以根据技术和司法方面的发展情况更定期地加以更新。因此,这将不是一个详尽的定义,但可能足以澄清大多数情况下,人们关心的是,从法律的角度看,他们是否在与“计算机”互动,以及使用它们是否可能产生法律责任。但是,人们也可以同样地认识到,对这种指导方针所适用的权重的程度可能会引起争端,因此,它可能的总体效力是不确定的。

披着狼皮的羊

另一个值得改变的领域是,为那些出于非恶意目的而实施犯罪行为的人提供的保护,这些行为通常属于CMA罪行的管辖范围。CMA目前的形式并不能充分区分犯罪行为和合乎道德的黑客行为。道德黑客(包括白帽和灰帽)和其他渗透和安全专家专门从事对计算机系统的蓄意攻击和测试,以发现可能被犯罪分子和黑帽利用的安全漏洞。

在黑客参与并得到明确同意的情况下,这不大可能造成任何问题。这是因为CMA的许多犯罪行为都依赖于未经授权的犯罪行为。这可能更让灰帽黑客或安全研究人员担心,他们通常在未经许可的情况下这样做,以便分析整个行业的潜在威胁,或监控组织对在线潜在威胁载体的响应。尽管出于良好的意图,但这些人在技术上是违法的,因为他们未经授权就侵入了第三方系统。

对证据的呼吁似乎至少在一定程度上承认了这一点,并质疑那些回应是否有足够的保护措施涵盖“合法”网络活动的人。一些人会辩称,考虑将保护范围扩大到那些更属于灰色范畴的企业将是明智的,这些企业的意图是好的,但它们的行动没有得到授权。全面豁免不太可能起作用,因为许多当事人可以简单地声称,他们一直在以这种方式行事,同时隐瞒犯罪行为。相反,一个潜在的警告,通过学术地位/认证或严格的专业标准,一个特定的合格方可以实施这种保护。目前还不清楚内政部将如何处理这一问题,但如果不这样做,可能会阻止那些寻求为社会做得更好的人参与到更广泛的保护与电脑和数字环境互动的人的行动中来。

“双刃剑”

另外一个,但绝不是唯一值得改变的领域,来自于我们对网络犯罪和潜在危险软件开发的理解。根据现行立法,CMA规定,提供或提供可能被用于实施或协助实施该法规定的犯罪行为的任何方案或数据为犯罪行为。从表面上看,这似乎是一个完全合理的要求,因为它限制了人们共享危险软件的机会,如勒索软件、木马或网络钓鱼程序。然而,它无意中也减少了研究人员和安全专家(包括业余和专业的)广泛分享他们的软件的机会,希望人们可以使用他们的工具来加强自己的在线保护,从而减少未来受到犯罪分子攻击的机会。这是因为,基于开源和共享平台(如GitHub)的本质,任何类型的人都可以访问它的存储库。因此,这既包括好人,也包括坏人。因此,很难说向用户提供这种软件是在不知道它可能被用于犯罪的情况下进行的。

源代码公开共享是一种非常宝贵的方式,可以增加社区发现和解决缺陷的可能性,从而创建更加健壮的平台。因此,不采取适当措施保护那些出于学术、分享知识和整体利他主义目的而这样做的人,似乎是违反直觉的。为了这些目的而共享软件或数据的条款的发展可能有利于推动英国数字环境的战略目标,即扰乱对手。一劳无功的做法同样是无效的,因为它可能会让许多坏人声称他们这样做是出于善意的目的。解决这一问题的一种潜在方法是使用经过授权和审查的门户,在这些门户中,共享的目的显然是为了使他人的安全受益。因此,通过要求帐户授权访问这些方案,可能会限制这些方案的总体使用,并将有助于建立一个可核实的审计线索,以了解谁拥有这些方案以及这些方案的分布情况。然而,如果认为这样做可以阻止不那么无私的用户访问,那就太愚蠢了。因此,这给立法者提出了一个有趣的难题,即如何鼓励知识共享,同时又不让不良行为者太容易利用这些项目。

最后的想法

30多年来,CMA在打击网络犯罪方面扮演了政府的利剑和盾牌的角色,表现得很好,但现在他们似乎变得迟钝了,漏洞百出,需要改变。为了跟上人们如何使用电脑的步伐,以及我们现在对网络犯罪危险的更大认识,现在需要明确的发展领域。在结束了对证据的呼吁后,现在有一个宝贵的机会开始考虑如何使英国的立法与时俱进,并适应我们快速发展的数字世界的下一个30年。