Last updated at Sun, 12 Dec 2021 15:21:47 GMT
The Copyright Office has issued the 最新的规则 关于数字千年版权法案(DMCA)第1201条的豁免. 好消息:对独立安全研究的法律保护再次得到了有意义的加强. 总的来说,这些保护措施现在比几年前要大得多.
一些简单的背景知识:DMCA第1201条限制未经软件版权所有者授权的软件安全研究, even for software on devices the researcher owns. 长期以来,这一直被批评为对合法的安全研究产生了不利的寒蝉效应,否则这些研究将使消费者受益. 然而, 国会图书馆员(通过版权局行事)可以建立DMCA第1201条的例外情况, which must be renewed every three years. A three-year cycle has just concluded, 版权局发布了最新的安全研究例外.
有关DMCA对安全研究重要的其他背景信息,请参见 this earlier post.]
Most recent change: “All other laws” requirement 删除d
Prior to this most recent update, 只有当研究人员符合世界上所有其他法律或法规时,安全研究人员例外才提供法律保护,不受第1201条的约束, no matter how obscure. 如果这听起来很繁重,很卡夫卡式,那是因为事实就是如此.
我们把这个“遵守所有其他法律”的问题作为我们在2020年和2021年对第1201条倡导的重点. As we 认为 广泛 before the Copyright Office, “所有其他法律”的限制意味着安全研究人员可能会因无意中违反具有重大灰色地带的法律而失去第1201节的责任保护 业内人士), minor laws unrelated to security (like the electrical code), or sweepingly restrictive foreign laws (such as China’s 规则 on vulnerability disclosure).
Rapid7 提出了 specific language to address this problem. And thankfully, the Department of Justice (DOJ) formally weighed in 并支持我们提议的语言. 没有司法部的行动来支持善意的安全研究人员, this effort would likely not have succeeded. 然后是部门. 商务部 joined in support of the language as well.
In October 2021, the Copyright Office h和ed down an updated exception 对于采用我们建议的语言并删除“所有其他法律”要求的安全研究. 这有效地消除了之前规则中最有害的部分, 这代表着DMCA第1201条对安全研究人员的法律保护取得了重大进展. ,司法部, NTIA, 和版权局联合起来扩大保护,这表明人们越来越认识到这一活动的重要性.
语言的改变基本上把遵守所有其他法律的要求变成了一个有用的提醒,即其他法律可能仍然适用. The language looks like this:
引人注目:"和 does not violate any applicable law, 包括但不限于1986年的计算机欺诈和滥用法案, as amended 和 codified in title 18, United 状态s Code."
插入: 符合本条第(b)(16)(i)段豁免条件的善意安全研究,仍可能根据其他适用法律承担责任, 包括但不限于1986年的计算机欺诈和滥用法案, as amended 和 codified in title 18, United 状态s Code, 获得豁免的资格并不是一个安全港, 或者辩护, liability under other applicable laws.”
Long-haul advocacy
许多人——太多的人在这里无法充分感谢——不知疲倦地工作,以确保安全研究人员免受DMCA第1201条的侵害. It has truly been a community effort.
对我们来说, Rapid7在过去十年的大部分时间里一直致力于保护DMCA第1201条下的安全研究. 证词 从Rapid7 研究人员 helped establish the first security research exemption in 2015. But this 2015 exemption was limited, 和 in 2016 we 反复 按下 版权局支持扩大保护和改革规则制定过程, 和 the Copyright Office 实现 many of our recommendations. During the Copyright Office’s 2018 exemption cycle, we 认为 反对让安全研究人员对第三方使用研究结果的行为负责, to which the Copyright Office 同意. 2018年的周期也大大扩展了研究人员保护范围内的设备类型. And now, in 2021, we 工作 with DOJ to convince the Copyright Office to 删除 the “any other law” restriction.
Taken together, this is a lot of progress. Rapid7在支持独立网络安全研究方面投入了大量的时间和精力来实现其价值, 和 it has borne fruit.
Though improved, Section 1201 remains flawed
These gains are significant 和 welcome. 仍然, 为了取得这一进展,在FUD和官僚主义的海洋中跋涉需要多少时间和精力,这是令人惊讶的. It is a testament to the danger of regulatory inertia.
And there is still more to be done on DMCA. 而根据DMCA第1201条,安全研究人员的保护现在大大加强了, which helps address its chilling effect on research, the law still has many flaws. As Rapid7 has noted, DMCA第1201条仍然是使用安全工具的法律风险-研究人员豁免没有解决的问题. And outside of security, DMCA continues to affect the right to repair, accessibility for the disabled, 教育, 还有更多. This is a law in acute need of a ruthless overhaul.
As far as US computer crime laws go, DMCA第1201条无疑是最不健全和不合时宜的. If DMCA Section 1201 were introduced in Congress today, 它将被嘲笑为有毒的,永远不会进步到足以获得投票. DMCA第1201条现在最有益的用途是作为一个隐伏的例子,说明随着技术的成熟,对广泛使用的技术的全面限制如何成为一种荒谬的负担. 我们应该庆祝DMCA第1201条的侵蚀,即使我们哀叹这种侵蚀是渐进的.
我们对所有与版权局一起投入时间和资源推动这一进展的倡导者表示敬意和感谢.
