ABD Adalet Bakanlığı, Bilgisayar Dolandırıcılığı ve Kötüye Kullanımı Yasası (CFAA) ile ilgili uzun süredir devam eden endişeleri kabul ederek, “iyi niyetli güvenlik araştırmalarını” bilgisayar korsanlığı karşıtı yasalar kapsamında suçlamalara tabi tutmayacağını söyledi. Savcılar ayrıca, bir flört profilini süslemek gibi küçük kural ihlalleri de dahil olmak üzere, bir web sitesinin hizmet şartlarını ihlal ettikleri veya kişisel görevler için işle ilgili bir bilgisayar kullandıkları için insanları suçlamaktan kaçınmalıdır.
bu yeni DOJ politikası Yasayı daha dar bir şekilde okumayı teşvik eden 2021 Yüksek Mahkemesi kararının ardından CFAA’nın geniş ve belirsiz kapsamı hakkındaki korkuları gidermeye çalışıyor. Karar, hükümet savcılarının daha önceki yorumlarının “nefes kesen miktarda sıradan bilgisayar faaliyetini” suç sayma riski taşıdığı konusunda uyardı ve Adalet Bakanlığı’nın şimdi dava açmayacağına söz verdiği birkaç varsayımsal örnek ortaya koydu. Bu değişiklik, “iyi niyetli testler, soruşturmalar ve/veya bir güvenlik kusuru veya güvenlik açığının düzeltilmesi” yürüten araştırmacılar için güvenli bir liman ile eşleştirilmiştir. Yeni kurallar, eski yönergelerin yerini alarak hemen yürürlüğe girer 2014 yılında yayınlandı.
“Politika, bazı mahkemeleri ve yorumcuları ilgilendiren varsayımsal CFAA ihlallerinin suçlanmayacağını açıklığa kavuşturuyor.” DOJ basın açıklaması diyor. “Çevrimiçi bir flört profilini flört sitesinin hizmet şartlarına aykırı olarak süslemek; işe alma, konut veya kiralama web sitelerinde kurgusal hesaplar oluşturmak; bunları yasaklayan bir sosyal ağ sitesinde takma ad kullanmak; iş yerinde spor puanlarını kontrol etmek; işyerinde fatura ödemek; veya bir hizmet süresinde yer alan bir erişim kısıtlamasını ihlal etmek, federal cezai suçlamaları haklı çıkarmak için tek başına yeterli değildir.”
Bu yönergeler, 1986’da CFAA tarafından suç olarak kabul edilen bir uygulama olan, bir bilgisayara “yetkili erişimi aşmanın” yeni sınırlı bir yorumunu yansıtmaktadır. yazar ve hukuk profesörü Orin Kerr 2021’de açıkladı, insanların bir ağ veya bilgisayar sahibi tarafından belirlenen herhangi bir kuralı ihlal ederek erişimlerini “aşıp aşmadıkları” veya açıkça sınırsız sistemlere ve bilgilere erişmeleri gerekip gerekmediği konusunda onlarca yıldır süren bir anlaşmazlık var. Önceki yorum şuna yol açtı: gibi durumlar ABD v. Drew, savcıların bir kadını Myspace’de sahte bir profil oluşturmakla suçladığı yer. Yüksek Mahkeme ikinci versiyona yöneldi ve şimdi DOJ teorik olarak da yapıyor.
Politika, orantısız bir şekilde uzun hapis cezaları potansiyeli gibi CFAA’ya yönelik tüm eleştirileri çözmüyor. Yalnızca savcıların onu nasıl yorumladığını etkilediği için, temel yasayı daha az belirsiz yapmaz. Adalet Bakanlığı ayrıca, güvenlik araştırması istisnasının ağları araştırmak için bir “serbest geçiş” olmadığı konusunda da uyarıyor. Örneğin, bir hata bulan ve sistem sahibini bu bilgiyi kullanarak gasp eden biri, bu araştırmayı kötü niyetle yapmakla suçlanabilir. Bununla birlikte, bu sınırlarla bile, kural koyma, bir bilgisayar sistemini sahibinin hoşlanmadığı bir şekilde kullanan herkese cezalandırıcı anti-hack suçlamalarından kaçınmak için bir taahhüttür.