Det amerikanske justitsministerium siger, at det ikke vil udsætte “god trossikkerhedsforskning” for anklager i henhold til anti-hacking-lovene, idet de anerkender langvarige bekymringer omkring Computer Fraud and Abuse Act (CFAA). Anklagere skal også undgå at sigte folk for blot at overtræde et websteds servicevilkår – herunder mindre regelbrud som at pynte på en datingprofil – eller bruge en arbejdsrelateret computer til personlige opgaver.
Den nye DOJ-politik forsøger at dæmpe frygten for CFAA's brede og tvetydige anvendelsesområde efter en højesteretskendelse fra 2021, der tilskyndede til at læse loven mere snævert. Kendelsen advarede om, at regeringens anklageres tidligere fortolkning risikerede at kriminalisere en “betagende mængde almindelig computeraktivitet”, og opstillede flere hypotetiske eksempler, som DOJ nu lover, at den ikke vil retsforfølge. Denne ændring er parret med en sikker havn for forskere, der udfører “god trostestning, undersøgelse og/eller korrektion af en sikkerhedsbrist eller sårbarhed.” De nye regler træder i kraft med det samme og erstatter gamle retningslinjer udstedt i 2014.
Højesteret anklagede anklagere for at kriminalisere en “betagende mængde” computerbrug
“Politikken præciserer, at hypotetiske CFAA-overtrædelser, der har berørt nogle domstole og kommentatorer, ikke skal anklages,” siger en pressemeddelelse fra DOJ. “Udsmykning af en online dating profil i strid med vilkårene for service på datingsiden; oprettelse af fiktive konti på ansættelses-, bolig- eller lejewebsteder; brug af et pseudonym på et socialt netværkssted, der forbyder dem; kontrol af sportsresultater på arbejdet; betaling af regninger på arbejdet; eller overtrædelse af en adgangsbegrænsning indeholdt i en tjenesteperiode er ikke i sig selv tilstrækkelige til at berettige føderale strafferetlige anklager.”
Disse retningslinjer afspejler en nyligt begrænset fortolkning af “overskridelse af autoriseret adgang” til en computer, en praksis kriminaliseret af CFAA i 1986. Som forfatter og juraprofessor Orin Kerr forklarede i 2021, har der været en årtier lang konflikt om, hvorvidt folk “overskrider” deres adgang ved at overtræde enhver regel fastsat af en netværks- eller computerejer – eller hvis de er nødt til at få adgang til eksplicit systemer og information, der er forbudt. Den tidligere fortolkning har ført til sager som US v. Drew, hvor anklagere sigtede en kvinde for at have oprettet en falsk profil på Myspace. Højesteret hældede til den sidstnævnte version, og nu gør DOJ det teoretisk set også.
Politiken afgør ikke al kritik af CFAA, som dens potentiale for uforholdsmæssigt lange fængsler sætninger. Det gør ikke den underliggende lov mindre vag, da den kun påvirker, hvordan anklagerne fortolker den. DOJ advarer også om, at undtagelsen for sikkerhedsforskning ikke er et “frikort” til at undersøge netværk. En person, der fandt en fejl og afpressede systemets ejer ved at bruge denne viden, kunne for eksempel blive sigtet for at udføre denne forskning i ond tro. Selv med disse grænser er regeludformningen dog et løfte om at undgå at anklage enhver, der bruger et computersystem på en måde, dets ejer ikke kan lide.