IT之家 5 月 21 日消息,美国司法部宣布根据《计算机欺诈和滥用法》起诉案件的新政策,该政策首次指示不应起诉善意的安全研究人员

善意安全研究是指仅出于善意测试、调查和 / 或纠正安全漏洞或漏洞的目的访问计算机,而此类活动的执行方式旨在避免对个人或公众造成任何伤害,从活动中获得的信息主要用于促进被访问计算机所属的设备、机器或在线服务类别或使用此类设备、机器或在线服务的人的安全性。

美国司法部不再指控或起诉“善意黑客”行为插图

但是,新政策也承认,声称进行安全研究并不是恶意行为者的免费通行证。例如,发现设备中的漏洞以勒索其所有者,即使声称是“研究”,也不是出于善意。该政策建议检察官就这一因素的具体应用咨询刑事司的计算机犯罪和知识产权科 (CCIPS)。

所有希望根据《计算机欺诈和滥用法》起诉案件的联邦检察官都必须遵守新政策,并在提出任何指控之前咨询 CCIPS。如果 CCIPS 反对,检察官必须先通知副检察长 (DAG),并且在某些情况下获得 DAG 的批准,然后再对 CFAA 案件提出指控。

新政策取代了 2014 年发布的早期政策,并立即生效。

作者 网路游侠

游侠安全网,前身为网路游侠的信息与网络安全博客,站长张百川。专注:网络安全、系统安全、应用安全、数据库安全、运维安全,及网络安全、信息安全前沿技术研究与发展趋势分析。对关键信息基础设施安全防护管理平台、网络安全态势感知平台、网络安全协调指挥平台有一定关注。