信息化觀察網(wǎng)

本文來自微信公眾號“GoUpSec”。

GoUpSec點評：新法案彰顯了德國政府對白帽黑客和安全研究人員的積極支持與肯定，將鼓勵更多安全人才參與漏洞研究。

白帽黑客的安全漏洞研究活動往往被看作是游走于法律邊緣的危險游戲，德國最新的立法草案正試圖為安全人才和安全研究工作清除法律雷區(qū)。

面對日益復(fù)雜的網(wǎng)絡(luò)安全威脅，德國聯(lián)邦司法部近日起草了一項新法案，為那些負責任地發(fā)現(xiàn)并報告漏洞的安全研究者提供法律保護。法案明確了在合法范圍內(nèi)進行的網(wǎng)絡(luò)安全研究活動將不再受到刑事追責，旨在確保白帽黑客和安全專家在保護公共安全的同時，免于法律風險。

“那些致力于修復(fù)IT安全漏洞的人應(yīng)當獲得認可，而不是收到檢察官的信函。”德國聯(lián)邦司法部長馬可·布施曼（Dr.Marco Buschmann）在聲明中強調(diào)道。“通過這項法律草案，我們將消除從事這一重要任務(wù)的人所面臨的刑事責任風險。”

修訂刑法保護白帽黑客

新法案修訂了《德國刑法典》（StGB）第202a條，明確將IT安全研究人員、公司及“黑客”從計算機犯罪的法律追責中排除。該保護條款適用于在檢測和修復(fù)安全漏洞的情況下進行的活動，但必須滿足特定條件，確保此類行為是“有授權(quán)”的合法活動。

新法案規(guī)定，安全研究行為需滿足以下標準，才能符合免于刑責的條件：

以檢測漏洞為目的：行為必須旨在識別IT系統(tǒng)中的安全漏洞或其他安全風險。

向責任方報告漏洞：研究者應(yīng)有意將發(fā)現(xiàn)的漏洞報告給有能力解決問題的相關(guān)機構(gòu)，如系統(tǒng)運營商、軟件制造商，或聯(lián)邦信息安全局（BSI）。

訪問行為的必要性：訪問系統(tǒng)的行為必須是識別漏洞所必需的，以確?；砻鈾?quán)僅適用于必要的安全測試，避免不必要或過度的訪問。

這一刑責豁免同樣適用于涉及數(shù)據(jù)截獲（第202b條）和數(shù)據(jù)修改（第303a條）的行為，前提是這些行為被視為“有授權(quán)”的行動。

嚴懲惡意數(shù)據(jù)竊取與關(guān)鍵基礎(chǔ)設(shè)施攻擊

在保護合法安全研究的同時，法案對惡意數(shù)據(jù)竊取和數(shù)據(jù)截獲的嚴重案例引入了更嚴格的處罰。新法案規(guī)定，惡意數(shù)據(jù)竊取的嚴重案件將面臨三個月到五年監(jiān)禁的刑罰。以下情形被定義為嚴重案件：

• 造成重大經(jīng)濟損失：犯罪行為導(dǎo)致了可觀的經(jīng)濟損失。
• 盈利動機與商業(yè)化操作：行為出于謀利動機，規(guī)?；蛏虡I(yè)性地進行，或?qū)儆诜缸锝M織的活動。
• 危及關(guān)鍵基礎(chǔ)設(shè)施：攻擊影響到醫(yī)院、能源供應(yīng)商、交通網(wǎng)絡(luò)等關(guān)鍵基礎(chǔ)設(shè)施，或威脅德國或其聯(lián)邦州的安全，包括境外來源的攻擊行為。

與美國“善意”安全研究豁免政策呼應(yīng)

該法案目前已提交德國各聯(lián)邦州及相關(guān)協(xié)會審議，后者需在2024年12月13日前提交反饋，隨后將遞交聯(lián)邦議院進行議會審議。值得注意的是，美國司法部在2022年5月對《計算機欺詐和濫用法》（CFAA）也進行了類似的修訂，豁免“善意”安全研究者的起訴。

此次德國法案的出臺彰顯了德國政府對白帽黑客和安全研究者的支持與認可，同時也加強了對惡意攻擊的打擊力度，明確了網(wǎng)絡(luò)安全研究與犯罪行為之間的界限。這一立法不僅順應(yīng)了了日益復(fù)雜的網(wǎng)絡(luò)安全需求，也為全球其他國家在制定相應(yīng)法規(guī)時提供了參考。

參考鏈接：

https://www.bmj.de/SharedDocs/Pressemitteilungen/DE/2024/1104_ComputerStrafR.html

https://www.bleepingcomputer.com/news/security/us-doj-will-no-longer-prosecute-ethical-hackers-under-cfaa/