משרד המשפטים האמריקאי פרסם בשבוע שעבר מדיניות חדשה בנוגע לחוק המחשבים האמריקאי (Computer Fraud and Abuse Act או CFAA), לפיה אין להעמיד לדין חוקרי אבטחת מידע שביצעו מחקר תם לב. לפי המדיניות, מחקר תם לב הוא גישה בתום לב למחשבים למטרות בדיקה, חקירה ותיקון נקודות תורפה, באופן שנועד למנוע פגיעה ביחידים ובציבור, וכאשר המידע המופק מהגישה משמש בעיקר לקידום אבטחת המכשירים, השירותים ואלו המשתמשים בהם.
המדיניות כוללת פירוט של הפרות אפשריות של ה-CFAA שאינן מספיקות כשלעצמן כדי להצדיק כתב אישום פלילי. ההפרות כוללות הקמת פרופיל בניגוד לתנאי השימוש באתרי היכרויות; יצירת משתמשים בדויים באתרי דרושים, דיור והשכרה; שימוש בשמות בדויים ברשתות חברתיות; בדיקת תוצאות ספורט במקום העבודה; תשלום חשבונות פרטיים במקום העבודה; והפרת הגבלות גישה הקיימות בתנאי שירות.
עם זאת, המדיניות עדיין מאפשרת להעמיד לדין חוקרי אבטחת מידע שביצעו מחקר בחוסר תום לב, לדוגמא כאשר חוקרים מנסים לסחוט בעלי מכשירים בהם גילו נקודת תורפה. במקרים בהם התובעים הפדרלים מעוניינים להגיש תביעה במסגרת החוק, עליהם להתייעץ קודם לכן עם מחלקה הרלוונטית במשרד המשפטים.
המדיניות נכנסה לתוקף באופן מיידי, וזמינה לעיון כאן.
law.co.il מזכיר כי גם בישראל פירסם ב-2018 פרקליט המדינה הנחיות בדבר שיקולי העמדה לדין בעבירות לפי חוק המחשבים. ההנחיה מורה כי "כאשר מבוצעות פעולות לאבטחת מידע או להגנה מפני דליפת מידע ממוחשב, ואגב ביצוען מושגת גישה לחומר מחשב ללא ידיעה או ללא הסכמה של המחזיק בו, והדבר נעשה בתום לב, ללא מניעים נוספים, בלא שנעברו עברות נוספות וללא עיון של ממש בתוכנו של המידע הממוחשב – הרי שככלל תגבר הנטייה להמנע מהעמדה לדין של החשוד."