美国司法部 (DOJ) 已宣布修订其关于联邦检察官应如何指控违反《计算机欺诈和滥用法案》(CFAA) 的政策，从而避免被起诉的“善意”安全研究。

通过此次政策更新，美国司法部将善意的安全研究案例与恶意的黑客行为区分开来，此前两者之间的界限很模糊，经常将道德安全研究置于有问题的灰色法律领域。

根据这些新政策，旨在促进目标设备或服务的安全性的软件测试、调查、安全漏洞分析和网络破坏不会受到联邦检察官的起诉。

“计算机安全研究是提高网络安全的关键驱动力，”副司法部长 Lisa O. Monaco 说。

“该部门从来没有兴趣将善意的计算机安全研究作为犯罪起诉，今天的公告通过为善意的安全研究人员提供清晰的信息来促进网络安全，这些研究人员为了共同利益而根除漏洞。”

善意安全研究被定义为“仅出于善意测试、调查和/或纠正安全漏洞或漏洞的目的访问计算机，其中此类活动的执行方式旨在避免对个人或公众，以及从活动中获得的信息主要用于促进被访问计算机所属的设备、机器或在线服务类别或使用此类设备、机器或在线服务的人的安全性或安全性。”

新政策特别侧重于故意违反计算机和网络的访问限制，甚至是其他用户的在线帐户。

但是，它并没有允许以进行安全研究为幌子进行黑客攻击，同时利用上述研究勒索公司。因此，联邦检察官将从道德角度审视所有案件，以确定行为人的意图。

“如果现有证据表明被告的行为包括并且被告有意进行善意的安全研究，政府的律师应该拒绝起诉。” -美国司法部。

例如，如果有人在产品上发现了一个严重漏洞，然后勒索软件供应商向他们支付一笔不向公众披露的费用，这仍然会被视为违反 CFAA 并相应收费。

同样，即使所有者没有回应，公开泄露在暴露数据库中发现的数据或将其出售给他人也是不合理的，因此仍会受到起诉。

虽然这对安全研究人员来说是个好消息，但仍将由联邦检察官确定研究人员是否出于善意行事。因此，仍然强烈建议研究人员加入漏洞赏金计划并联系公司以获取他们可能制定的漏洞研究指南。

CFAA 执法的目标仍然是促进隐私和网络安全，因此这里的案例是保护安全研究人员免受不区分道德报告和激进违规行为的公司发起的法律诉讼。

最近的一个例子是云安全工程师罗布·戴克（Rob Dyke），他在道德上向一家总部位于英国的非营利组织报告了数据泄露事件，并在不久后 面临 当地警方对“计算机滥用”的调查。

英国的《计算机滥用法案》对信息安全社区起到了恐吓作用，其故事与美国的 CFAA 非常相似

DOJ 还在 新政策 中对违反服务条款、在平台上创建多个假名帐户以及将工作计算机用于个人目的的案件进行了额外澄清。

虽然这些案件可能违反合同，但美国政府不会认为这些违反了 CFAA 的“超出授权访问”禁令。但是，如果公司通过法律手段（例如停止和终止函）明确撤销了用户访问这些服务的许可，则它可能属于联邦网络犯罪法的管辖范围。

一个基于此可能无法起诉的案例的突出示例是 Aaron Schwartz，他通过下载数百万份文档违反了 MIT 的 JSTOR 论文托管门户网站的条款。

施瓦茨被指控违反 CFAA“超出授权访问权限”，并最终屈服于面临牢狱之灾的压力而自杀。