摘要
- 我们希望您通过我们的漏洞奖励计划协调披露,并且不希望研究人员因善意遵守我们的漏洞奖励政策而担心法律后果。我们无法约束任何第三方,因此请不要认为此保护适用于第三方。如有疑问,请在进行任何您认为*可能*超出我们政策范围的具体操作前先咨询我们。
- 由于可识别信息和不可识别信息都可能使研究人员面临风险,我们对向第三方共享的内容进行限制。我们可能会在通知您并获得第三方书面承诺保证其不会对您提起法律诉讼后,向受影响的第三方提供您报告中不可识别的实质性信息。仅在您书面授权的情况下,我们才会向第三方共享可识别信息(姓名、电子邮件地址、电话号码等)。
- 如果您在漏洞奖励计划中的安全研究违反了我们站点政策的某些限制,安全港条款允许有限的豁免。
1. 安全港条款
为鼓励研究以及对安全漏洞的协调披露,我们对因意外或善意违反本政策的行为不会采取民事或刑事诉讼,也不会向执法机构发送通知。我们认为符合本政策的安全研究和漏洞披露活动在《计算机欺诈与滥用法案》、DMCA 以及加州刑法第 502(c) 条等适用的计算机使用法律下属于“授权”行为。我们放弃对您因规避我们用于保护本漏洞奖励计划范围内应用的技术措施而可能产生的 DMCA 主张。
请理解,如果您的安全研究涉及第三方(非本公司)的网络、系统、信息、应用、产品或服务,我们无法约束该第三方,且该第三方可能会提起法律诉讼或向执法部门报案。我们既不代表其他实体授权安全研究,也不能以任何方式为您提供辩护、赔偿或其他保护,以免因您的行为受到第三方的追究。
一如既往,您应遵守所有适用于您的法律,并且不得在本漏洞奖励计划允许的范围之外破坏或危害任何数据。
若您将要进行的行为可能与本政策不符或未在本政策中明确涵盖,请务必事先与我们联系。我们保留唯一决定权,以判断某一违规是意外还是善意,并且您在采取任何行动前主动联系我们是该决定的重要因素。如有疑问,请先询问我们!
2. 第三方安全港
如果您通过漏洞奖励计划提交的报告涉及第三方服务,我们将限制向该第三方共享的内容。我们可能会在通知您并取得该第三方书面承诺保证其不会对您提起法律诉讼或基于您的报告联系执法部门后,向受影响的第三方共享报告中不可识别的内容。未经您书面许可,我们不会向任何受影响的第三方共享您的可识别信息。
请注意,我们无法代表第三方授权超出范围的测试,此类测试超出了本政策的适用范围。请查阅该第三方的漏洞奖励政策(如有),或在对该第三方或其服务进行任何测试前,直接或通过其法律代表与其取得联系。这并不构成我们对您因针对该第三方的行为而产生的任何第三方诉讼提供辩护、赔偿或其他保护的任何协议。
尽管如此,如果因您参与本漏洞奖励计划而遭到第三方(包括执法机关)的法律行动,并且您已充分遵守我们的漏洞奖励政策(即未出现故意或恶意违规),我们将采取措施表明您的行为是符合本政策的。虽然我们将提交的报告视为机密且在大多数情况下受特权保护,免于强制披露,但请注意,法院仍可能在不顾我们异议的情况下命令我们向第三方共享信息。
3. 对其他站点政策的有限豁免
只要您的安全研究活动与我们相关站点政策中的某些限制不符,但与本漏洞奖励计划条款相符,我们将为仅在本漏洞奖励计划下允许您的安全研究而放弃这些限制。如上所述,如有疑问,请先询问我们!