針對從事漏洞與資安技術研究的白帽駭客於網路上活動行為,美國司法部表示將不會依照自1986年開始實施的《電腦詐欺與濫用法案》 (Computer Fraud and Abuse Act,CFAA)等法令進行控訴。
《電腦詐欺與濫用法案》是從1984年開始實施的《綜合犯罪控制法》 (Comprehensive Crime Control Act)所修正,明定禁止任何未經授權,或是越權存取美國政府、各類企業與個人電腦設備的行為,同時也成為許多用於裁定非法駭客行為的引用法源之一。
但此項法案也成為許多從事漏洞與資安技術研究的白帽駭客阻礙,即便許多資安相關業者藉由免責聲明等方式保護旗下安全研究人員免於被告,但仍有不少獨立研究資安漏洞的技術人員被廠商告上法院,因此有越來越多聲音呼籲修改過時法令,讓白帽駭客能免於訴訟,藉此促進資安技術提升。
而在稍早對外聲明中,美國司法部宣布將調整政策,將使白帽駭客行為從美國電腦犯罪法令中除罪。美國司法部副部長Lisa Monaco表示,從未將挖掘系統漏洞與資安技術研究等良性行為視為犯罪,並且強調美國司法部支持白帽駭客行為的立場。
不過,美國司法部也強調此次調整並非代表對外聲稱從事安全研究行為即可除罪,若研究人員在挖掘系統漏洞同時也以任何形式做出威脅行為,自然無法視為合理的安全研究。
只是在美國司法部出面說明哪些範圍可視為合理的白帽駭客行為,電子前線基金會 (EFF)則擔心在科技技術持續演進下,若出現不在美國司法部認定範圍內的安全研究行為,或許就有可能被認定有犯罪事實,但不少看法則傾向認為美國司法部僅界定大致認可範圍,並非以正式法令界定白帽駭客行為,因此仍可能隨著技術演進而調整看法。
