摘要
- 我们希望您通过我们的漏洞赏金计划协调披露,并且不希望研究人员因其出于善意试图遵守我们的漏洞赏金政策而受到法律后果的恐惧。我们无法约束任何第三方,因此不要假设这种保护扩展到任何第三方。如有疑问,请在采取任何您认为可能超出我们政策范围的特定行动之前咨询我们。
- 由于识别信息和非识别信息都可能使研究人员面临风险,因此我们限制与第三方共享的信息。我们可能会向受影响的第三方提供来自您报告的非识别性实质性信息,但前提是您已收到通知,并承诺第三方不会对您采取法律行动。我们只会与第三方共享识别信息(姓名、电子邮件地址、电话号码等),前提是您已书面同意。
- 如果您在漏洞赏金计划中进行的安全研究违反了我们网站政策中的某些限制,则安全港条款允许有限的豁免。
1. 安全港条款
为了鼓励对安全漏洞的研究和协调披露,我们不会对意外或善意违反本政策的行为采取民事或刑事诉讼,也不会向执法部门发出通知。我们认为,根据本政策进行的安全研究和漏洞披露活动,在《计算机欺诈和滥用法》、《数字千年版权法》和其他适用的计算机使用法律(例如加州刑法典第 502(c) 条)下属于“授权”行为。我们放弃对您因绕过我们用来保护本漏洞赏金计划范围内的应用程序的技术措施而提出的任何潜在的《数字千年版权法》索赔。
请注意,如果您的安全研究涉及第三方(不是我们)的网络、系统、信息、应用程序、产品或服务,我们无法约束该第三方,他们可能会采取法律行动或向执法部门发出通知。我们不能也不授权以其他实体的名义进行安全研究,也不能以任何方式提供对您因您的行为而导致的任何第三方行动的辩护、赔偿或其他保护。
您始终应遵守所有适用的法律,并且不应破坏或损害超出本漏洞赏金计划允许范围的任何数据。
在进行可能与本政策不一致或未在本政策中解决的行为之前,请与我们联系。我们保留对是否违反本政策是意外或善意的决定权,在采取任何行动之前主动与我们联系是该决定的重要因素。如有疑问,请先咨询我们!
2. 第三方安全港
如果您通过我们的漏洞赏金计划提交了影响第三方服务的报告,我们将限制与任何受影响的第三方共享的信息。我们可能会与受影响的第三方共享来自您报告的非识别性内容,但仅在通知您我们打算这样做并获得第三方书面承诺,保证他们不会对您提起诉讼或根据您的报告与执法部门联系后。未经您事先书面许可,我们不会与任何受影响的第三方共享您的识别信息。
请注意,我们无法以第三方的名义授权超出范围的测试,此类测试超出了我们政策的范围。请参考该第三方的漏洞赏金政策(如果有),或直接或通过法律代表联系该第三方,然后再对该第三方或其服务进行任何测试。这并非,也不应被理解为我们同意为您的行为辩护、赔偿或以其他方式保护您免受任何第三方的行为。
也就是说,如果第三方(包括执法部门)因您参与此漏洞赏金计划而对您提起诉讼,并且您已充分遵守我们的漏洞赏金政策(即未故意或恶意违反),我们将采取措施让大家知道您的行为是符合此政策的。虽然我们认为提交的报告既是机密文件,又是潜在的特权文件,并且在大多数情况下受到强制披露的保护,但请注意,法院可能会在反对我们的情况下,命令我们与第三方共享信息。
3. 其他网站政策的有限豁免
在您的安全研究活动与我们相关网站政策中的某些限制不一致,但与我们的漏洞赏金计划条款一致的情况下,我们豁免这些限制,仅用于允许您在此漏洞赏金计划下进行安全研究。就像上面一样,如果有疑问,请先咨询我们!