摘要
- 我们希望您通过我们的漏洞赏金计划协调披露,并且不希望研究人员因其出于善意尝试遵守我们的漏洞赏金政策而担心法律后果。我们无法约束任何第三方,因此不要假设此保护范围扩展到任何第三方。如有疑问,请在采取任何您认为可能超出我们政策范围的具体行动之前咨询我们。
- 由于识别信息和非识别信息都可能使研究人员面临风险,因此我们限制了与第三方共享的内容。我们可能会将您报告中不含识别信息的实质性信息提供给受影响的第三方,但仅在通知您并获得第三方承诺不会对您提起诉讼后才这样做。我们仅在您提供书面许可的情况下,才会与第三方共享识别信息(姓名、电子邮件地址、电话号码等)。
- 如果您的安全研究作为漏洞赏金计划的一部分违反了我们网站政策中的某些限制,则安全港条款允许有限的豁免。
1. 安全港条款
为了鼓励安全漏洞的研究和协调披露,对于意外或善意违反本政策的行为,我们不会采取民事或刑事诉讼,也不会向执法部门发送通知。我们认为符合本政策进行的安全研究和漏洞披露活动是《计算机欺诈和滥用法案》、《数字千年版权法案》和其他适用的计算机使用法律(如加利福尼亚州刑法典 502(c))下的“授权”行为。我们放弃您为规避我们用来保护本漏洞赏金计划范围内的应用程序的技术措施而可能提出的任何潜在的《数字千年版权法案》索赔。
请注意,如果您的安全研究涉及第三方的网络、系统、信息、应用程序、产品或服务(非我们),我们无法约束该第三方,他们可能会提起诉讼或向执法部门发出通知。我们不能也不授权以其他实体的名义进行安全研究,并且无法以任何方式为您的行为提供辩护、赔偿或以其他方式保护您免受任何第三方的行动。
您始终应遵守适用于您的所有法律,并且不得破坏或损害超出本漏洞赏金计划允许范围的任何数据。
在进行可能与本政策不符或本政策未涉及的行为之前,请与我们联系。我们保留自行决定违反本政策的行为是否为意外或出于善意的权利,并且在采取任何行动之前主动与我们联系是该决定中的重要因素。如有疑问,请先咨询我们!
2. 第三方安全港
如果您通过我们的漏洞赏金计划提交了一份影响第三方服务的报告,我们将限制我们与任何受影响的第三方共享的内容。我们可能会与受影响的第三方共享您报告中不含识别信息的内容,但仅在通知您我们打算这样做并获得第三方的书面承诺,即他们不会因您的报告而对您提起诉讼或与执法部门联系后才这样做。未经您事先书面许可,我们不会与任何受影响的第三方共享您的识别信息。
请注意,我们无法以第三方名义授权超出范围的测试,此类测试超出我们政策的范围。如果第三方有漏洞赏金政策,请参考该第三方的漏洞赏金政策,或在开始对该第三方或其服务进行任何测试之前,直接或通过法律代表与该第三方联系。这并不构成,也不应被理解为,我们同意为您的行为辩护、赔偿或以其他方式保护您免受任何第三方因您的行为而采取的行动。
也就是说,如果第三方(包括执法部门)因您参与此漏洞赏金计划而对您提起法律诉讼,并且您已充分遵守我们的漏洞赏金政策(即未进行故意或恶意违规),我们将采取措施表明您的行为符合此政策。虽然我们认为提交的报告既是机密文件,也可能是特权文件,并且在大多数情况下受到强制披露的保护,但请注意,法院可能会尽管我们反对,也可能命令我们将信息与第三方共享。
3. 其他站点政策的有限豁免
在您的安全研究活动与我们相关站点政策中的某些限制不一致,但与我们漏洞赏金计划的条款一致的范围内,我们仅出于允许您根据此漏洞赏金计划进行安全研究的唯一和有限目的而放弃这些限制。就像上面一样,如有疑问,请先咨询我们!