最后更新于2021年12月12日星期日15:21:47 GMT

版权局发布了 latest rules 关于数字千年版权法案(DMCA)第1201条的豁免. 好消息:对独立安全研究的法律保护再次得到了有意义的加强. 总的来说,这些保护措施现在比几年前要大得多.

一些简单的背景知识:DMCA第1201条限制未经软件版权所有者授权的软件安全研究, 即使是研究人员拥有的设备上的软件. 长期以来,这一直被批评为对合法的安全研究产生了不利的寒蝉效应,否则这些研究将使消费者受益. However, 国会图书馆员(通过版权局行事)可以建立DMCA第1201条的例外情况, 必须每三年更新一次. 一个三年周期刚刚结束, 版权局发布了最新的安全研究例外.

有关DMCA对安全研究重要的其他背景信息,请参见 这篇早前的文章.]

最近的变化:删除了“所有其他法律”的要求

在此最新更新之前, 只有当研究人员符合世界上所有其他法律或法规时,安全研究人员例外才提供法律保护,不受第1201条的约束, 无论多么晦涩. 如果这听起来很繁重,很卡夫卡式,那是因为事实就是如此.

我们把这个“遵守所有其他法律”的问题作为我们在2020年和2021年对第1201条倡导的重点. As we argued extensively 版权署前, “所有其他法律”的限制意味着安全研究人员可能会因无意中违反具有重大灰色地带的法律而失去第1201节的责任保护 CFAA), 与安全无关的次要法律(如电气法规), 或者严格的外国法律(比如中国的法律) rules 有关漏洞披露).

Rapid7 proposed 解决此问题的特定语言. 谢天谢地,司法部(DOJ) 正式介入 并支持我们提议的语言. 没有司法部的行动来支持善意的安全研究人员, 这种努力很可能不会成功. Then the Dept. of Commerce 加入支持 语言也是如此.

2021年10月,版权局下发了一份 更新异常 对于采用我们建议的语言并删除“所有其他法律”要求的安全研究. 这有效地消除了之前规则中最有害的部分, 这代表着DMCA第1201条对安全研究人员的法律保护取得了重大进展. That DOJ, NTIA, 和版权局联合起来扩大保护,这表明人们越来越认识到这一活动的重要性.

语言的改变基本上把遵守所有其他法律的要求变成了一个有用的提醒,即其他法律可能仍然适用. 语言看起来是这样的:

Striking: ,并且不违反任何适用法律, 包括但不限于1986年的计算机欺诈和滥用法案, 如第18篇所修订和编纂, 美国法典."
Inserting: 符合本条第(b)(16)(i)段豁免条件的善意安全研究,仍可能根据其他适用法律承担责任, 包括但不限于1986年的计算机欺诈和滥用法案, 如第18篇所修订和编纂, 美国法典, 获得豁免的资格并不是一个安全港, or defense to, 其他适用法律规定的责任.

长途的宣传

许多人——太多的人在这里无法充分感谢——不知疲倦地工作,以确保安全研究人员免受DMCA第1201条的侵害. 这确实是一个社区的努力.

For our part, Rapid7在过去十年的大部分时间里一直致力于保护DMCA第1201条下的安全研究. Testimony from Rapid7 researchers 帮助建立了第一个安全研究豁免 in 2015. 但2015年的豁免是有限的,2016年我们 repeatedly pressed 版权局支持扩大保护和改革规则制定过程, 及版权局 implemented 我们的许多建议. 在版权局2018年的豁免周期内,我们 argued 反对让安全研究人员对第三方使用研究结果的行为负责, 由版权局负责 agreed. 2018年的周期也大大扩展了研究人员保护范围内的设备类型. 现在,在2021年,我们 worked 说服版权局 remove “任何其他法律”限制.

总的来说,这是一个很大的进步. Rapid7在支持独立网络安全研究方面投入了大量的时间和精力来实现其价值, 它已经结出了果实.

虽然得到了改进,但第1201条仍然存在缺陷

这些成果意义重大,值得欢迎. Still, 为了取得这一进展,在FUD和官僚主义的海洋中跋涉需要多少时间和精力,这是令人惊讶的. 这证明了监管惰性的危险.

在DMCA方面还有很多工作要做. 而根据DMCA第1201条,安全研究人员的保护现在大大加强了, 这有助于解决其对研究的寒蝉效应, 这项法律仍有许多缺陷. 正如Rapid7所指出的, DMCA第1201条仍然是使用安全工具的法律风险-研究人员豁免没有解决的问题. 在安全之外, DMCA继续影响修复权, 残疾人士无障碍设施, education, and much more. 这是一项迫切需要彻底改革的法律.

就美国计算机犯罪法律而言, DMCA第1201条无疑是最不健全和不合时宜的. 如果DMCA第1201条今天在国会提出, 它将被嘲笑为有毒的,永远不会进步到足以获得投票. DMCA第1201条现在最有益的用途是作为一个隐伏的例子,说明随着技术的成熟,对广泛使用的技术的全面限制如何成为一种荒谬的负担. 我们应该庆祝DMCA第1201条的侵蚀,即使我们哀叹这种侵蚀是渐进的.

我们对所有与版权局一起投入时间和资源推动这一进展的倡导者表示敬意和感谢.