司法部承诺不以黑客罪起诉安全研究人员

美国司法部表示，它不会根据反黑客法对“诚信安全研究”提出指控，承认对《计算机欺诈和滥用法案》（CFAA）的长期担忧。检察官还必须避免指控仅仅违反网站服务条款的人，包括轻微违反规则的人，如美化约会档案，或使用与工作相关的计算机执行个人任务。

2021，美国最高法院作出裁决，鼓励更狭隘地解读该法律，美国司法部的新政策试图缓解人们对美国联邦航空管理局的广泛和模糊范围的担忧。该裁决警告称，政府检察官先前的解释可能会将“数量惊人的普通电脑活动”定为刑事犯罪，并列举了几个司法部现在承诺不会起诉的假设性例子。这一变化为研究人员提供了一个安全的避风港，以“诚信测试、调查和/或纠正安全缺陷或漏洞”新规则立即生效，取代了2014年发布的旧准则。

司法部的一份新闻稿说：“该政策澄清了一些法院和评论员所关注的假设性CFAA违规行为不应受到指控。”。“违反交友网站的服务条款，美化在线交友档案；在招聘、住房或租赁网站上创建虚构账户；在禁止使用假名的社交网站上使用假名；在工作中查看运动成绩；在工作中支付账单；或违反服务条款中包含的访问限制，这些本身都不足以保证联邦l刑事指控。”

这些准则反映了对“超出授权访问权限”的新的有限解释，这一做法于1986年被CFAA定为刑事犯罪。正如作家兼法学教授奥林·克尔（OrinKerr）在2021所解释的那样，关于人们是否通过违反网络安全或计算机所有者制定的任何规则来“超越”自己的访问权限，或者是否必须访问明确禁止的系统和信息，已经存在了数十年的冲突。前一种解释导致了如下情况美国诉德鲁，检察官指控一名女子在Myspace上伪造个人资料。最高法院倾向于后者，而现在，司法部理论上也倾向于后者。

这项政策并没有解决对CFAA的所有批评，比如它可能被判不成比例的长期监禁。这并没有减少基本法律的模糊性，因为它只影响检察官对其的解释。司法部还警告称，安全研究例外情况并不是探测网络的“免费通行证”。例如，如果有人发现了一个bug，并利用这些知识敲诈了系统的所有者，则可能会因恶意进行该研究而受到指控。尽管有这些限制，但该规则的制定是为了避免对任何以其所有者不喜欢的方式使用计算机系统的人提出惩罚性的反黑客指控。