“访问或者使用计算机“的含义 <?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />

未授权访问(unauthorized access)的概念貌似很简单。在现实世界中,当某人侵犯他人的土地或财产时,对财产的公认社会价值以及观点使其相对清晰。但即使在这里,对的规定也不是一条明确的界限。你可以穿越某人的地产去按响门铃。穿过私人领地的近路到达海滩,这些可能是被允许的。如果商店在营业,即便没有看到售货员在店中也可以进入。当我们还是孩子时,我们在所有邻居的院子里玩耍,即使其中没有他们自己的孩子。这些社会习俗随着时间而发展,虽然还有意见不同的领域,但人们往往会理解这些习俗。

 

计算机的出现比土地晚太多,而且我们对于网络计算机有着更短的历史、更少的有关权利和责任的共同看法。访问或者使用计算机应为应为着什么?端口扫描是访问还是使用?发送电子邮件、访问或者某人访问我的网页算什么?打个来说,你向其他人的计算机发送电子邮件,但我们不能说设置网页获得了对浏览者的访问。从技术上讲,在每一个例子中,两台网络计算机都交换了电信号。那么,两者其一,还是两者都访问计算机?

法律已经对访问进行了较为广泛的调查,其中一种就是以电信号的物理交换以及计算周期的使用为基础。本质上,每一次对接入网络计算机的使用都是一次访问。事例说明访问计算机包括:

端口扫描

阅读网页

使用蜘蛛程序或者搜索机器人

发送电子邮件

对网络上公布的数据库进行自动寻找

由于基本上每一次与连接至网络的计算机进行通信都是访问,所以,在合法与非法之间的区分界线就是用户是否拥有许可或者授权。

 

访问计算机的恰当授权?

有些法律使用了授权authorization)这一名词,另一些法律则使用了许可permission)。其思想就是,未经许可的访问是不恰当而且因此的非法的

 

显而易见,我们很少到得直接使用一台网络计算机的许可。通常情况下,我们假定拥有许可——否则,计算机为什么要连接至网络呢?然而,还存在文件在物理上可以访问,但是在其他情况表明文件所有人不希望人们看到它们的情况。存在我们认为某文件的拥有者宁愿我们不拥有该文件的尴尬情形:例如,州长坦率讨论有关他对移民政策观点的录音记录;放在错误位置的密码文件;或者会议电子计票机的源代码。我们一直假设除非所有人另行制定,我们都拥有访问许可吗?我们应当假设除非用户明确声明,用户都没有访问许可吗?或者还有某种中间地带?

 

法律试图去区分用户拥有许可及另外的可访问文件保持关闭的情形。尽管某些拥有账号的人员允许你使用他们的信息登录,但拥有密码保护的文件是禁止访问的。签有竟业禁止协议的前雇员不能够访问原公司的网页,为他新任职的公司进行价格搜索。如果网页所有者规定用户不应该搜索该网页并且提起诉讼,那么恰恰证明了该用户不拥有许可。获知自己将要离职的雇员不应该为其新雇主获取客户名单为目的的现公司客户名单。但是,团体组织者可以获得成员名单,并且向竞争团体提供此信息。

 

甚至律师也发现这些规则很混乱、自相矛盾,并且不起作用。界限明确的规则是清楚的,但不可避免地会欠保护或者过保护。当事件落入灰色地带时,更加可变通的规则可以得到正确的答案,但这种规则很难预测法律结果会是什么。计算机***法律在两个世界中似乎都是最差的。

 

问题之一就是,很难定义合时的访问是可以接受的,而何时的访问不可以被接受。另一个问题可能涉及关于计算机访问应该由计算机所有者的个人喜好所控制的基本观念,尤其是如果计算机所有者不希望在安全手段方面被控制以保护其信息或者系统。考虑一下这种假设的例子:

我拥有一个非法销售麻醉品的网站。当你访问我的网站时,有一个信息条显示,如果你不是警察,就能够访问本站。如果执法者访问了它,那么由于他们访问了我的网站,他们违反了法律吗?

 

真实世界中有一些例证:存储了有缺陷电子投票仪代码的不安全计算机,或者表明烟草公司清楚并利用了尼古丁成瘾效果的文档,或者证明了电信公司为未经授权的政府调查提供用户的电话拔打记录,以及发送电子邮件的副本的文件。信息所有者可能不希望我们拥有这类信息,但并不意味着法律应当使得它不能获得。
 
[转自《计算机安全超级工具集》 清华大学出版社引进 O'Reilly Publish 第一章 1.2小节]