สมมติว่า นะครับ
สมมติว่า ผมแฮกเว็บได้
โดยสามารถทำอะไรก็ได้ กับเว็บเค้า แต่ผมไม่ทำ  ผมเมลไปบอกเจ้าของบริษัท หรือเจ้าของเว็บว่าผมเข้าไปควบคุมเว็บของเขาได้เนื่องจากระบบมีจุดอ่อนเกี่ยวกับความปลอดภัย
ผมแค่สร้างหลักฐานในระบบเพื่อยืนยันว่าผมแฮกได้แล้วจริง ๆ (เพื่อให้เจ้าของเว็บทราบว่าผมเข้าควบคุมระบบได้ แต่ไม่สร้างความเสียหายใด ๆ) แล้วรายงานให้เจ้าของเว็บทราบว่าระบบมีจุดอ่อน หรือ บกพร่องด้านความปลอดภัยของข้อมูล  แต่ผมยังไม่ได้บอกจุดบกพร่องของระบบให้เขาทราบ

แต่ถ้าเขาต้องการทราบจุดอ่อนความปลอดภัยดังกล่าว  ผมสามารถเสนอแนวทางการการรักษาความปลอดภัย  โดยเขาต้องจ่ายเงินจำนวนหนึ่งเพื่อเป็นค่าบริการตรวจสอบความปลอดภัย  โดยผมบอกเขาว่า เขาจะซื้อหรือไม่ซื้อบริการตรวจสอบความปลอดภัยดังกล่าวหรือไม่ก็ได้  แต่ถ้าเขาไม่ซื้อผมก็ไม่ได้ทำอะไรเค้าอยู่แล้ว เพียงแต่ในอนาคตการแข่งขัน ใครจะเล่นคุณไสย์ไซเบอร์ใส่กันมันกํไม่แน่ เพราะ การแข่งขัยทางธุรกิจ แต่ก็คงไม่ใช่ผม

มันไม่ใช่การขโมยข้อมูล  ไม่ใช่การสร้างความเสียหายอะไรแก่ระบบ  แต่เป็นการชี้ให้เห็นว่าระบบมจุดอ่อนและต้องการการปรับปรุงความปลอดภัย  และเสนอขายบริการให้คำปรึกษาด้านความปลอดภัย ซึ่งไม่ได้บังคับ  จะซื้อก็ได้ไม่ซื้อก็ได้  ถ้าทำอย่างนี้ ถือว่าผิดกฎหมายไหมครับ