美國司法部不再指控或起訴“善意黑客”行為

IT之家 5 月 21 日消息，美國司法部宣布根據《計算機欺詐和濫用法》起訴案件的新政策，該政策首次指示不應起訴善意的安全研究人員。

善意安全研究是指僅出于善意測試、調查和 / 或糾正安全漏洞或漏洞的目的訪問計算機，而此類活動的執行方式旨在避免對個人或公眾造成任何傷害，從活動中獲得的信息主要用于促進被訪問計算機所屬的設備、機器或在線服務類別或使用此類設備、機器或在線服務的人的安全性。

但是，新政策也承認，聲稱進行安全研究并不是惡意行為者的免費通行證。例如，發現設備中的漏洞以勒索其所有者，即使聲稱是“研究”，也不是出于善意。該政策建議檢察官就這一因素的具體應用咨詢刑事司的計算機犯罪和知識產權科 (CCIPS)。

所有希望根據《計算機欺詐和濫用法》起訴案件的聯邦檢察官都必須遵守新政策，并在提出任何指控之前咨詢 CCIPS。如果 CCIPS 反對，檢察官必須先通知副檢察長 (DAG)，并且在某些情況下獲得 DAG 的批準，然后再對 CFAA 案件提出指控。

新政策取代了 2014 年發布的早期政策，并立即生效。