美国《计算机欺诈和滥用法》评述

一、概述

美国《计算机欺诈和滥用法》（CFAA）是针对计算机犯罪的成文法，首度实施于1984年。此法不仅针对传统的黑客攻击，更是广泛地禁止未经授权访问计算机系统及利用非法获取的信息造成损失的行为，甚至将上述行为视为欺诈行为。CFAA还为受害者提供了民事诉讼途径，包括损害赔偿和衡平法救济。本文着重探讨CFAA在案件中的适用情况。

二、授权问题

在雇主和前雇员之间的民事案件中，依据CFAA判决的案例颇为常见。行为模式通常涉及前雇员在任职期间非法获取保密信息，并利用这些信息对雇主造成损失。雇主则依据CFAA及其他诉由起诉前雇员，指控其未经授权恶意访问计算机系统或越权访问并使用获取的信息。然而，法庭对“授权”概念的界定存在分歧，这导致了“授权争议”。

2010年，美国联邦上诉法院第五巡回法庭在“John”案中解决了“越权访问”法定解释问题。法院认为，如果超过信息权限范围使用访问获取的信息，将被认定为“越权访问”。在此案例中，一家金融机构的雇员非法访问客户账户信息并泄露给他人，导致欺诈性收费。法院裁定，雇员因越权访问并获取金融记录信息而被判有罪。法院指出，越权访问不仅限于访问权限本身，还包括超出访问目的的使用行为。

在“LVRC Holdings LLC v. Brekka”案中，法院认为“无权访问”是指未经允许的访问。法院裁定雇员有权访问雇主计算机，因为工作职责要求其使用该计算机。然而，如果离职后访问，行为则被认定为“无权访问”。此判决结果与2006年美联邦上诉法院第七巡回法庭在“International Airport Centers, L.L.C v. Citrin”案中的判决相冲突。

三、损失和赔偿

CFAA第1030（g）节规定了受害者因违反CFAA行为而获得的民事赔偿方式。CFAA将“损失”定义为受害者的所有合理成本，包括应对措施成本、损失评估费、数据恢复、系统修复等费用，以及收益损失等。法院在处理有关CFAA的案件时，严格限制“损失”的解释，确保其定义符合文义。

四、合宪性异议

2009年，美国全境CFAA刑事案件提出了合宪性问题。在“United States v. Drew”案中，法庭认为依据CFAA定罪违反网站服务指南的行为无效，因为服务指南的规定模糊不清，未能提供合理通知。在“United States v. Powers”案中，法庭坚持CFAA的成文法条款已经充分告知禁止行为，认定被告超越访问授权范围。

五、结论

在讨论CFAA的争议问题时，商业律师应重新审视公司关于使用计算机系统的政策，并考虑是否通过CFAA对“不当行为”的员工发起诉讼。CFAA的解释和应用将继续引起争议，直至形成统一和连贯的解释。