跳到主要內容

CFAA 完整解析:美國聯邦反駭客核心法律的規範範圍與刑事民事雙重責任

作者:

CFAA 完整解析:美國聯邦反駭客核心法律的規範範圍與刑事民事雙重責任

📅 技術法律解析 ・ Computer Fraud and Abuse Act (CFAA)

在數位時代,網路攻擊、資料竊取與未授權存取已成為全球企業與個人面臨的重大威脅。美國於 1986 年通過的《電腦詐欺與濫用法》(Computer Fraud and Abuse Act,簡稱 CFAA),是目前美國聯邦層級最核心的反駭客法律,歷經多次修訂,至今仍是美國司法部起訴網路犯罪的主要法律武器。

無論是資安研究人員、企業法遵團隊,還是軟體工程師,理解 CFAA 的規範邊界都至關重要。誤觸 CFAA 的紅線,不僅可能面臨聯邦刑事起訴,更可能同時承擔高額民事賠償責任。本文將系統性地解析 CFAA 的立法背景、核心條文、實務案例,以及在資安實踐中的合規建議。

一、CFAA 的立法背景與歷史沿革

CFAA 最初於 1986 年由美國國會通過,其前身為 1984 年的《綜合犯罪控制法》(Comprehensive Crime Control Act)中的電腦詐欺條款。立法初衷源自當時好萊塢電影《WarGames》(1983)所引發的社會對於駭客入侵政府系統的恐慌,國會因此意識到需要建立專門的聯邦電腦犯罪法律框架。

CFAA 在通過後歷經多次重要修訂,逐步擴大其適用範圍。1994 年修訂首次引入民事訴訟條款,允許私人企業對駭客提起民事求償;1996 年修訂將「受保護電腦」(Protected Computer)的定義擴展至任何用於跨州或國際商業的電腦系統,大幅拓寬了聯邦管轄範圍;2001 年《愛國者法案》(USA PATRIOT Act)進一步強化了對網路恐怖主義的適用條款。

📅 CFAA 重要修訂時間軸

  • 1986 年:CFAA 正式通過,建立聯邦電腦犯罪基本框架
  • 1994 年:新增民事訴訟條款(18 U.S.C. § 1030(g))
  • 1996 年:擴大「受保護電腦」定義至商業用途電腦
  • 2001 年:《愛國者法案》強化網路恐怖主義條款
  • 2008 年:Identity Theft Enforcement and Restitution Act 強化身份盜竊相關條款
  • 2021 年:最高法院 Van Buren v. United States 判決限縮「超越授權」定義

二、CFAA 七大核心禁止行為(18 U.S.C. § 1030)

CFAA 的核心條文編碼為 18 U.S.C. § 1030,共列舉七類主要禁止行為,涵蓋從國家安全到電腦詐欺的廣泛情境。理解這七類條款,是判斷特定行為是否觸法的基礎。

§ 1030(a)(1):國家安全相關電腦入侵

禁止未授權存取與國防、外交或核武控制相關的電腦系統,並取得、傳遞或留存其中機密資訊。此條款為最嚴重的違規類型,可處最高 10 年有期徒刑,再犯可達 20 年。

§ 1030(a)(2):未授權取得資訊

禁止未授權或超越授權存取電腦,並取得金融機構資訊、美國政府部門資訊,或任何受保護電腦的資訊。此條款在實務上應用最為廣泛,包括資料竊取、未授權爬蟲等行為均可能觸犯。初犯可處最高 1 至 5 年有期徒刑(依取得資訊類型而異)。

§ 1030(a)(3):入侵政府電腦系統

專門針對未授權存取美國聯邦政府電腦的行為,即使未取得任何資訊,單純的未授權存取行為本身即構成犯罪,可處最高 1 年有期徒刑

§ 1030(a)(4):電腦詐欺

禁止利用受保護電腦實施詐欺,並藉此取得價值超過 $5,000 美元的物品或服務。此條款常用於起訴透過網路進行詐欺的犯罪行為,可處最高 5 年有期徒刑

§ 1030(a)(5):破壞電腦系統(含 DDoS 攻擊)

此條款分為三個子類型,禁止散布惡意程式、造成損害,或未授權存取導致系統損害等行為。DDoS 攻擊、勒索軟體散布均屬此類。造成嚴重損害或影響關鍵基礎設施者,可處最高 10 至 20 年有期徒刑

§ 1030(a)(6):非法販售電腦存取密碼

禁止以欺詐意圖販售或傳輸電腦存取密碼或類似資訊,可處最高 1 年有期徒刑,若為再犯或影響跨州商業則可達 10 年。

§ 1030(a)(7):電腦勒索威脅

禁止以威脅損害電腦系統、公開竊取資料或不阻止攻擊為手段進行勒索,此條款直接對應現代勒索軟體(Ransomware)攻擊情境,可處最高 5 至 10 年有期徒刑

三、刑事與民事雙重責任體系

CFAA 最獨特的設計之一,是同時建立了刑事起訴(Criminal Prosecution)與民事訴訟(Civil Litigation)兩條追責路徑,使受害者與政府均可透過法律手段追究加害者責任。

刑事責任:聯邦司法部主導追訴

CFAA 的刑事追訴由美國司法部(DOJ)主導,由聯邦大陪審團(Grand Jury)決定是否起訴。刑事定罪需達到「排除合理懷疑」(Beyond Reasonable Doubt)的舉證標準。刑事處罰包括監禁、罰款,以及強制支付被害人補償金(Restitution)。

⚖️ CFAA 刑事處罰量刑參考表

  • § 1030(a)(1) 國家安全入侵:初犯最高 10 年;再犯最高 20 年
  • § 1030(a)(2) 未授權取得資訊:初犯最高 1-5 年(依類型);再犯最高 10 年
  • § 1030(a)(4) 電腦詐欺:初犯最高 5 年;再犯最高 10 年
  • § 1030(a)(5) 破壞系統(重大損害):初犯最高 10 年;再犯最高 20 年
  • § 1030(a)(7) 勒索威脅:初犯最高 5-10 年(依損害程度)

民事責任:企業私人求償路徑(§ 1030(g))

1994 年修訂引入的 § 1030(g) 允許受害者直接向法院提起民事訴訟,無需等待刑事程序完結。民事訴訟的舉證標準較低(優勢證據,Preponderance of Evidence),受害者可請求實際損失(Compensatory Damages)、禁制令(Injunctive Relief),以及在某些情況下的懲罰性賠償。

提起民事訴訟的前提條件是損失需達到至少 $5,000 美元(1 年內累計),或涉及醫療設備損害、人身傷亡、司法系統影響等特定情形。許多企業選擇同時並行刑事舉報與民事訴訟,以最大化法律救濟效果。

Labels:

留言

張貼留言