信息來源：secdoctor

        2017年12月18日，美國公布了總統(tǒng)特朗普任內首份《國家安全戰(zhàn)略》(National Security Strategy of the United States of America 2017)，戰(zhàn)略強化美國優(yōu)先，認為跨國威脅“主動”損害美國利益，將威脅的主動識別和信息共享作為提升美國能力的優(yōu)先行動領域之一。該戰(zhàn)略是對此前通過的《2018財年國防授權法案》(National Defense Authorization Act for Fiscal Year 2018, H.R.2810)中如何制定有關網絡空間，網絡安全和網絡戰(zhàn)爭的美國國家政策(SEC.1633)的直接回應。

        主動防御在管理和法律層面的爭議已經持續(xù)多年，特別是啟動后將引發(fā)的不可預測性的內外部后果，長期以來限制了其在立法層面的“主動”討論。公安部第三研究所網絡安全法律研究中心翻譯了美國2017年10月進入立法程序的《主動網絡防御確定法案》(Active Cyber Defense Certainty Act)，該法案尚未正式通過，但有助于探究美國立法層面主動防御構想的多重場景，了解主動防御理念在美國執(zhí)法層面的嘗試。

法案全文

第一條 簡稱

本法援引為《主動網絡防御確定法案》。

第二條 國會決議

國會決議如下：

(1) 網絡欺詐和相關網絡犯罪對美國國家安全和經濟活力構成嚴重威脅。

(2)由于網絡犯罪的特性，執(zhí)法部門及時響應和起訴網絡犯罪十分困難，導致現行法律威懾力低下，網絡犯罪威脅快速增加。2015年，司法部只起訴了153起計算機詐騙案。國會認為這種現狀不可接受，如果放任不管，網絡犯罪的趨勢只會繼續(xù)惡化。

(3) 網絡犯罪分子已經研發(fā)出了新的策略，以實現其犯罪所得貨幣化。如果不對現行法律進行改革，從而為防御者提供新的網絡工具和威懾方法，犯罪活動將被進一步激發(fā)。

(4) 當美國公民或企業(yè)成為此類罪行的受害者時，首先應將這一犯罪行為報告執(zhí)法機構，并尋求改進防御措施。

(5) 國會同時認為，通過改進網絡防御措施，包括加強培訓、強密碼以及對計算機系統(tǒng)進行定期更新和修補，可以預防諸多網絡攻擊。

(6) 國會認為，適當運用主動網絡防御技術，也有助于改善防御能力，遏制網絡犯罪。

(7) 國會亦認為，許多私營實體愈發(fā)關注關于遏制暗網發(fā)展導致的網絡犯罪的增長問題。司法部應嘗試為暗網中實施主動防御措施的實體明確合理的行為規(guī)則，以便該防御者能退回過失獲取的私人財產，例如知識產權和財務記錄。

(8) 國會還認為，由于許多網絡犯罪報告未獲得及時回應，導致許多企業(yè)和個人對該犯罪行為處理措施的嚴重不確定性。盡管聯邦機構需要優(yōu)先處理具有國家級重要性的網絡事件，但通過更積極地回應以各種報告機制報告的犯罪行為，協(xié)助私營機構也是潛在趨勢。

(9) 計算機防御者也應該格外小心，以避免違反攻擊者計算機所在國的法律。

(10) 國會認為，主動網絡防御技術只能由合格的防御者使用，該防御者在使用歸因技術時應當高度保密，并且應該極其謹慎，以避免對中間計算機(intermediary computer)造成影響或導致網絡活動的升級。

(11) 本法旨在通過闡明防御者可以使用的超越自身計算機網絡界限的工具和技術類型，以提供法律的確定性。

第三條 使用歸因技術(attributional technology)的豁免

美國法典第18篇第1030條，新增以下內容：

“(k)使用歸因技術的豁免——

(1) 本條不適用于防御者為響應網絡入侵的特定目的使用程序、代碼或命令，通過返回信號、位置或特定數據，以識別信號源的歸因技術的情況，如果：

(A) 該程序、代碼或命令來自防御者的計算機，但被經未授權用戶復制或移除，以及；

(B) 該程序、代碼或命令不會破壞攻擊者計算機系統(tǒng)中的數據或損害該計算機系統(tǒng)的基本操作功能，或故意創(chuàng)建后門以侵入該計算機系統(tǒng)。

(2) 定義——“屬性數據”是指各種數字信息，如日志文件、文本字符串、時間戳、惡意軟件樣本、標識符(包括用戶名稱、IP地址等)、元數據以及其他通過取證分析技術收集的數字文件。

第四條 對已采取主動網絡防御措施的特定計算機犯罪行為免于起訴

美國法典第18篇第1030條，新增以下內容：

“(1)主動網絡防御措施不違反——

(1)一般規(guī)定。若某一行為屬于本條規(guī)定的主動網絡防御措施，則可構成針對刑事檢控的抗辯。

(2)不適用于民事訴訟——對本條所規(guī)定的檢控行為的抗辯并不妨礙主動防御措施所針對的美國個人或實體尋求民事救濟的權利，包括依照(g)款提出補償性賠償或禁令救濟。

(3) 定義——本款中：

(A)防御者，指某個人或實體，該個人或實體是計算機被持續(xù)、未經授權侵入的受害者；

(B)主動網絡防御措施

(i) 指以下任一措施：

(I)由防御者實施或在其指示下實施；且

(II) 為以下目的，未經授權訪問向防御者網絡實施攻擊的攻擊者的計算機以收集信息：

(aa) 確定犯罪活動性質，以與負責網絡安全的執(zhí)法機構及其他美國政府機構共享；

(bb) 阻斷針對防御者網絡的、持續(xù)的、未經授權的訪問行為；或者

(cc) 監(jiān)視攻擊者行為，以為將來研發(fā)入侵防御或網絡防御技術提供協(xié)助；

(ii) 但不包括以下行為：

(I)故意破壞或導致存儲在其他個人或實體計算機上的，不屬于該受害者的信息不可用；

(II)過失(recklessly )導致(c)(4)款所述的人身傷害或經濟損失；

(III)對公眾健康或安全構成威脅；

(IV) 故意超出在該中間計算機(intermediary computer)上執(zhí)行偵察所需的行為限度，以允許對該網絡進行持續(xù)性的入侵。

(V) 故意侵入或遠程訪問中間計算機；

(VI) 故意對個人或實體的網絡連接實施持續(xù)破壞，導致(c)(4)款所定義的損害；或者

(VII)影響(a)(1)款規(guī)定的訪問國家安全信息的計算機、(a)(3)款規(guī)定的政府計算機，或(c)(4)(A)(i)(V)規(guī)定的為或由政府實體用于管理司法、國防或國家安全的計算機系統(tǒng)。

(C) 攻擊者，是指未經授權持續(xù)侵入受害者計算機的個人或實體；

(D) 中間計算機，是指不屬于攻擊者所有，也不在其主要控制下的，但被用來發(fā)起或掩蓋持續(xù)性網絡攻擊根源的個人或實體的計算機。

第五條 關于實施網絡防御措施的通知要求

美國法典第18篇第1030條，新增以下內容：

“(m) 有關實施網絡防護措施的通知要求：

(1) 一般規(guī)定。根據前條實施主動網絡防御措施的防御者必須事先通知聯邦調查局國家網絡調查聯合工作組( FBI National Cyber Investigative Joint Task Force)，并收到聯邦調查局確認收到前述通知的答復。

(2)必需信息。通知必須包括：導致個人或實體成為受害者的網絡違法行為類型，主動網絡防御措施的預期目標，防御者為保存攻擊者網絡入侵犯罪行為的證據而計劃采取的措施，以及為防止造成不屬于攻擊者所有的中間計算機的損害而計劃采取的措施，以及FBI要求協(xié)助監(jiān)督的其他信息。

第六條 主動防御措施的自愿性前置審查

(a)試行方案。FBI應與其他聯邦機構協(xié)調，制定一項試行方案，在本法施行后試行兩年，以允許針對主動防御措施進行自愿的事先審查。

(b) 事先審查。計劃根據第4條實施主動防御措施的防御者，可事先通知FBI國家網絡調查聯合工作組，以便FBI及其他機構可以對該通知進行審查，并就如何修改提出的主動防御措施以更好符合聯邦法律和第4條，以及改進措施的技術操作進行評估。

(c) 優(yōu)先請求。FBI可根據資源的可用性決定如何向防御者發(fā)布此類指導的優(yōu)先性。

第七條 關于聯邦政府遏制網絡詐騙和網絡犯罪進展的年度報告

司法部經與國土安全部和其他相關聯邦機構協(xié)商后，應在每年的3月31日之前向國會提交一份年度報告。該報告應詳細列出上一年度有關遏制網絡犯罪的執(zhí)法行為結果。

該報告應當包括：

(1) 美國公民和企業(yè)向FBI各地機構、特勤局電子犯罪工作隊、互聯網犯罪投訴中心(IC3)網站和其他聯邦執(zhí)法機構報告的計算機欺詐案件數量；

(2) 公開報告的計算機欺詐罪行的調查數量，以及獨立于報告的任何具體罪行的調查數量；

(3) 根據美國法典第18篇第1030條和涉及網絡犯罪的其他相關法規(guī)起訴的網絡欺詐案件數量，包括案件結果；

(4) 查明由美國嫌疑人實施的計算機詐騙罪的數量和由外國嫌疑人實施的詐騙罪的數量以及外國嫌疑人的國籍詳情；

(5) 被執(zhí)法活動禁止的暗網網絡犯罪市場和犯罪網絡的數量；

(6) 評估美國公民和企業(yè)因勒索軟件和其他欺詐性網絡攻擊而遭受的總體財務損失；

(7) 分配調查和起訴網絡犯罪的執(zhí)法人員的數量；以及

(8) 按照本法要求提交的主動網絡防御通知的數量，以及對通知程序和自愿前置審查試行方案的全面評估。

第八條 要求司法部更新網絡犯罪起訴指南

(a) 司法部應根據本法的修改，更新《計算機犯罪起訴手冊》。

(b) 鼓勵司法部尋求更多機會向公眾闡明手冊和其他指南，以反映不斷發(fā)展的防御技術和網絡技術。這些技術的使用不應違反美國法典第18篇第1030條，及其他聯邦法律和國際條約。

第九條 有效期

本法規(guī)定的免予起訴的時效自本法生效之日起兩年后屆滿。

以下是英文原文

 法案原文鏈接：https://www.congress.gov/bill/115th-congress/house-bill/4036/text