Van Buren v. Estados Unidos (2021) fue uncaso de la Corte Suprema de los Estados Unidos que se ocupó de la Ley de Abuso y Fraude Informático (CFAA) y su definición de "excede el acceso autorizado" en relación con alguien que accede intencionalmente a un sistema informático al que tiene autorización para acceder . En junio de 2021, la Corte Suprema dictaminó en una opinión de 6 a 3 que uno "excede el acceso autorizado" al acceder a archivos prohibidos y otra información en un sistema informático al que de otro modo estaban autorizados a acceder. El lenguaje de la CFAA había creado durante mucho tiempo un circuito dividido en la jurisprudencia, y la decisión del Tribunal redujo la aplicabilidad de la CFAA en el enjuiciamiento de la seguridad cibernética y los delitos informáticos.
Van Buren contra Estados Unidos | |
---|---|
![]() Tribunal Supremo de los Estados Unidos | |
Discutido el 30 de noviembre de 2020 Decidido el 3 de junio de 2021 | |
Nombre completo del caso | Nathan Van Buren contra Estados Unidos |
Expediente no. | 19-783 |
Citas | 593 US ___ ( más ) |
Historia del caso | |
Previo |
|
Tenencia | |
Un individuo "excede el acceso autorizado" cuando accede a una computadora con autorización, pero luego obtiene información ubicada en áreas particulares de la computadora, como archivos, carpetas o bases de datos, que están fuera de su alcance. | |
Membresía de la corte | |
| |
Opiniones de casos | |
Mayoria | Barrett, junto con Breyer, Sotomayor, Kagan, Gorsuch, Kavanaugh |
Disentimiento | Thomas, acompañado por Roberts, Alito |
Leyes aplicadas | |
Ley de abuso y fraude informático |
Fondo
La Ley de Abuso y Fraude Informático (CFAA) es una ley federal aprobada en 1986 para fortalecer las leyes sobre el acceso no autorizado a los sistemas informáticos. La ley fue aprobada parcialmente en base a los temores de los miembros del Congreso que vieron la película de 1983 WarGames . [1] Entre sus estatutos básicos en está que el acceso intencional a un sistema informático "sin autorización o excede el acceso autorizado" para obtener información protegida, registros financieros o información del gobierno federal se considera un delito federal. que puede incluir multas y encarcelamiento como pena.
La definición exacta de "excede el acceso autorizado" no está clara y creó una división de 4 a 3 circuitos de casos en los Tribunales de Circuito . [2] En los Circuitos Primero, Quinto, Séptimo y Undécimo, los tribunales mantuvieron una visión amplia de la afirmación de que acceder a una computadora con autorización pero con un propósito inadecuado es una violación de la CFAA. Los Circuitos Segundo, Cuarto y Noveno adoptaron una visión más estrecha de que una violación solo ocurre si el usuario autorizado accede a la información a la que tenía prohibido acceder. [2]
Debido a la división de la jurisprudencia, ha habido un debate sobre si el lenguaje debe tratarse de manera estricta o amplia entre los investigadores de ciberseguridad y las fuerzas del orden, entre otros. Para los profesionales de la seguridad cibernética, una interpretación restringida del lenguaje "excede el acceso autorizado" en la §1030 (a) (2) les permitiría realizar un mejor trabajo identificando y resolviendo problemas de seguridad con hardware y software de computadora para hacer que Internet sea más seguro. Por lo demás, la vaguedad del estatuto pone en riesgo estas funciones laborales. Las fuerzas del orden y el gobierno de los EE. UU. En general prefieren una interpretación más amplia, ya que esto les permite enjuiciar a quienes usan la piratería para derribar o aprovechar los sistemas inseguros bajo la CFAA. [3] Existen preocupaciones adicionales ya que el lenguaje de CFAA, si se interpreta de manera amplia, podría aplicarse a actividades comúnmente aceptadas en las empresas o en otros lugares, como el uso de computadoras de oficina para navegar por la web. Jeffrey L. Fisher , profesor de derecho de la Universidad de Stanford que representa al peticionario en el presente caso, afirma que el lenguaje de la ley está desactualizado con el uso moderno de la computadora, y su interpretación amplia "[convierte] en un delito las infracciones ordinarias de las restricciones informáticas y términos de servicio que la gente probablemente ni siquiera conozca y, si lo supieran, no tendrían ninguna razón para pensar que sería un delito federal ". [3]
Hechos del caso
El oficial de policía Nathan Van Buren, de Cumming, Georgia , necesitaba dinero y pidió ayuda a un hombre, Andrew Albo. Se sabía que Albo tenía conexiones con la prostitución en la ciudad y tuvo conflictos previos con la policía. Albo informó esta solicitud a la oficina del alguacil local, donde la solicitud se pasó a la Oficina Federal de Investigaciones (FBI). El FBI organizó una operación encubierta y le ordenó a Albo que ofreciera a Van Buren US $ 6,000 , pero a cambio, que le pidiera a Van Buren que buscara una matrícula en el Centro de Información del Crimen de Georgia (GCIC) al que había autorizado el acceso, para ver si era posible. El propietario registrado, una stripper, era un oficial encubierto. Van Buren cumplió con la solicitud, lo que llevó al FBI a arrestarlo por fraude informático criminal bajo la CFAA §1030 (a) (2). Van Buren fue declarado culpable en un juicio con jurado y sentenciado a 18 meses de prisión en el Tribunal de Distrito de los Estados Unidos para el Distrito Norte de Georgia . [2]
Van Buren apeló la condena ante la Corte de Apelaciones del Undécimo Circuito de los Estados Unidos , afirmando que acceder al GCIC al que había autorizado el acceso pero con un propósito inadecuado no era una violación de la cláusula de "excede el acceso autorizado" de la CFAA. Si bien los jueces del circuito sintieron cierta simpatía por este argumento, optaron por pronunciarse sobre el precedente de un caso anterior del Undécimo Circuito, Estados Unidos v. Rodríguez (2010), [4] para mantener la condena de Van Buren. [5] [2]
Corte Suprema
Van Buren presentó una petición a la Corte Suprema, que otorgó certiorari en abril de 2020. [3] El caso fue argumentado el 30 de noviembre de 2020, vía telefónica debido a la pandemia de COVID-19 . [6]
La Corte emitió su decisión el 3 de junio de 2021. En una decisión de 6 a 3, la Corte revocó y devolvió la decisión del tribunal inferior. La opinión mayoritaria fue escrita por la juez Amy Coney Barrett , junto con los jueces Stephen Breyer , Sonia Sotomayor , Elena Kagan , Neil Gorsuch y Brett Kavanaugh . Barrett dictaminó que para la CFAA, una persona viola el lenguaje de "excede el acceso autorizado" cuando accede a archivos u otra información que está fuera de su alcance en un sistema informático al que de otra manera tiene acceso autorizado. La opinión mayoritaria lo distinguió del caso de Van Buren, en que la información que obtuvo estuvo dentro de los límites de lo que podía acceder con su autorización, pero se hizo por motivos indebidos, por lo que no pudo ser acusado bajo CFAA por este delito. [7] En la opinión, Barrett estuvo de acuerdo con los críticos de la ley en que si hubieran adoptado la postura del gobierno de que "la cláusula 'excede el acceso autorizado' criminaliza toda violación de una política de uso de computadoras", "entonces millones de ciudadanos respetuosos de la ley son criminales ". [8]
El juez Clarence Thomas escribió la opinión disidente junto con el presidente del Tribunal Supremo John Roberts y el juez Samuel Alito . Thomas escribió que muchas partes de la ley federal denotan partes de la ley en las que una persona puede tener acceso temporal a la propiedad, pero aún establece límites a lo que puede hacer con ese acceso, como un valet estacionando un automóvil, y que la mayoría había tomado un posición artificial. Thomas escribió: "Es comprensible sentirse incómodo con tanta conducta criminalizada, pero esa incomodidad no nos da autoridad para alterar los estatutos". [8]
Este caso destaca por ser el primero en el que el juez Stephen Breyer asignó la opinión mayoritaria. Debido a que el presidente del Tribunal Supremo y el juez Thomas estuvieron en desacuerdo, Breyer, que es el segundo juez asociado de mayor rango, fue el magistrado de mayor rango en la mayoría y, por lo tanto, asignó la opinión. Breyer decidió asignar esta opinión al juez Barrett, que es el juez más nuevo. [9]
Reacciones
La Electronic Frontier Foundation , que había presentado un escrito amici en el caso afirmando que "la CFAA ha obstaculizado [el] trabajo [de los 'investigadores de seguridad']" y opinó que "la interpretación amplia del gobierno de la CFAA" significaba que "la seguridad estándar las prácticas de investigación ... pueden ser muy arriesgadas ", [10] calificó el fallo como" una victoria para todos los usuarios de Internet "y" especialmente una buena noticia para los investigadores de seguridad ". [11]
Impacto
A la semana siguiente, sobre la base de Van Buren , el Tribunal Supremo anuló la decisión del Noveno Circuito en Hiq laboratorios v. LinkedIn (2019) a través de pedidos, en el que hiQ había prevalecido para poder raspar web datos de LinkedIn , que es propiedad de Microsoft . El Noveno Circuito se había basado en la interpretación de CFAA de que, dado que los datos de LinkedIn estaban disponibles públicamente, Microsoft no podía evitar que hiQ los recopilara incluso a una escala masiva más allá de las capacidades de un humano. La Corte Suprema anuló el fallo y ordenó al Noveno Circuito que revisara el caso bajo la decisión de Van Buren , que podría incorporar el web scraping como un acto indebido bajo CFAA dentro del fallo de la Corte Suprema. [12]
Referencias
- ^ Kopsidas, Andrew; Stark, Eda (7 de julio de 2020). "INSIGHT: la decisión de SCOTUS sobre la ley de fraude informático podría afectar los secretos comerciales" . Noticias de Bloomberg . Consultado el 15 de julio de 2020 .
- ^ a b c d Cloutier, Kevin M .; Poell, David M. (30 de abril de 2020). "Vista previa del caso de la Corte Suprema de EE. UU. - Van Buren v. Estados Unidos: ¿El uso de una computadora para un" propósito indebido "viola la Ley de abuso y fraude informático?" . Revista de Derecho Nacional . Consultado el 15 de julio de 2020 .
- ^ a b c Marks, Joseph (24 de abril de 2020). "La ciberseguridad 202: finalmente se avecina una batalla de la Corte Suprema sobre la principal ley de piratería informática del país" . The Washington Post . Consultado el 15 de julio de 2020 .
- ^ Estados Unidos contra Rodríguez , 628 F.3d 1258 ( 11 ° Cir. 2010).
- ^ Estados Unidos contra Van Buren , 940 F.3d 1192 (11 ° Cir. 2019).
- ^ "Argumento mensual - Tribunal Supremo de los Estados Unidos" . www.supremecourt.gov . Consultado el 27 de noviembre de 2020 .
- ^ Fung, Brian; de Vogue, Ariane; Cole, Devan (3 de junio de 2021). "La Corte Suprema se pone del lado del oficial de policía que buscó indebidamente la base de datos de matrículas" . CNN . Consultado el 3 de junio de 2021 .
- ^ a b Geller, Eric; Gerstein, Josh (3 de junio de 2021). "La Corte Suprema reduce el alcance de la amplia ley de delitos cibernéticos" . Politico . Consultado el 3 de junio de 2021 .
- ^ Barnes, Robert (3 de junio de 2021). "La Corte Suprema reduce la ley anti-piratería, se preocupa por criminalizar el comportamiento común" . The Washington Post . Consultado el 3 de junio de 2021 .
- ^ "Resumen de los investigadores de seguridad informática de Amici Curiae, Electronic Frontier Foundation, Center for Democracy & Technology, Bugcrowd, Rapid7, SCYTHE y Tenable en apoyo del peticionario" (PDF) . Fundación Frontera Electrónica. 8 de julio de 2020 . Consultado el 12 de junio de 2021 .
- ^ Mackey, Aaron; Opsahl, Kurt (3 de junio de 2021). "Van Buren es una victoria contra interpretaciones demasiado amplias de la CFAA y protege a los investigadores de seguridad" . Fundación Frontera Electrónica . Consultado el 12 de junio de 2021 .
- ^ Chung, Andrew (14 de junio de 2021). "La Corte Suprema de Estados Unidos revive la oferta de LinkedIn para proteger los datos personales" . Reuters . Consultado el 14 de junio de 2021 .
enlaces externos
- Opinión de deslizamiento