德国联邦司法部日前正在起草新法律用来保护帮助提高互联网安全性的白帽黑客们,该法律规定负责任的向供应商报告漏洞的安全研究人员应得到认可而不是承担刑事责任。这部法律主要就是帮助白帽黑客和安全研究人员规避在发掘漏洞过程中产生的法律风险,通常情况下发掘漏洞可能会涉及到入侵系统等行为。
这件事的背景是此前在德国有程序员发掘漏洞但因为存在未经授权的访问行为而被起诉并罚款 3000 欧元,这在安全业界引起很多关注,这应该也是促使德国修订刑事法案的原因之一。
为此新法律规定安全研究需满足如下标准:
采取该措施 (例如入侵) 的目的必须是为了识别 IT 系统中的漏洞或其他安全风险
研究人员必须将发现的安全漏洞报告给能够解决该问题的负责实体,例如运营商、开发商或德国联邦信息安全办公室
访问系统的行为必须是识别漏洞所必须的,这确保豁免权仅适用于安全测试所需的范围,而不会出现不必要或过度访问
同样的免除刑事责任规定也适用于与数据拦截和数据修改有关的犯罪,只要相关行为被视为获得授权
德国联邦司法部长在声明中表示:
那些想要弥补 IT 安全漏洞的人应该得到认可而不是收到来自检察官的来信,通过这项法律草案,我们将消除承担这一重要任务的人员承担刑事责任的风险。
与此同时德国司法部还起草对于恶意数据监视和数据拦截的认定标准,其中严重行为将被处以三个月到五年不等的监禁。
关于严重情节草案提到了以下情形:
该犯罪行为造成了重大经济损失
该行为是受盈利动机驱动、以商业规模实施或作为犯罪组织的一部分进行的
危及关键基础设施例如医院、能源供应是或交通网络,或影响德国或德国某个州安全的案件,包括来自国外的攻击
目前德国联邦州及有关协会已经收到了新草案并进行审查,需要在 2024 年 12 月 13 日前提交反馈意见,最后交给德国联邦议院进行议会审议。
除了德国外,美国司法部也在 2022 年 5 月对美国联邦计算机欺诈和滥用法案 (CFAA) 进行了类似的修订,增加对善意安全研究人员的起诉排除条款。