Ну хорошо, например, завтра haveibeenpwned[.]com официально начинает продавать базу, составленную по запросам с их веб-морды. Что вы будете делать? Подадите на них в суд?
Моя позиция тут очень проста. Хватать данные по API|покупать их базы и проверять у себя сколько влезет, не создавая доп. рисков. Благо технически такая задача - не рокетсаенс и не требует покупки мощностей целого ЦОДа
Я вновь повторю, что e-mail является секретом Полишинеля и большого ущерба от того, что кто-то получит список корпоративных e-mail не будет. Он с тем же успехом какой-нибудь TheHarvester запустит и получит немало информации, да еще и дополнительными полями, а не только голый e-mail.
API таких сервисов получают от клиента (нормализованные и иногда усечённые) хеши, и по ним уже ищут. А отдают то, что есть. Поэтому, если они уже не знают чего-то, они и не узнают.