德國(guó)立法保護(hù)白帽黑客
白帽黑客的安全漏洞研究活動(dòng)往往被看作是游走于法律邊緣的危險(xiǎn)游戲,德國(guó)最新的立法草案正試圖為安全人才和安全研究工作清除法律雷區(qū)。
面對(duì)日益復(fù)雜的網(wǎng)絡(luò)安全威脅,德國(guó)聯(lián)邦司法部近日起草了一項(xiàng)新法案,為那些負(fù)責(zé)任地發(fā)現(xiàn)并報(bào)告漏洞的安全研究者提供法律保護(hù)。法案明確了在合法范圍內(nèi)進(jìn)行的網(wǎng)絡(luò)安全研究活動(dòng)將不再受到刑事追責(zé),旨在確保白帽黑客和安全專家在保護(hù)公共安全的同時(shí),免于法律風(fēng)險(xiǎn)。
“那些致力于修復(fù)IT安全漏洞的人應(yīng)當(dāng)獲得認(rèn)可,而不是收到檢察官的信函。”德國(guó)聯(lián)邦司法部長(zhǎng)馬可·布施曼(Dr. Marco Buschmann)在聲明中強(qiáng)調(diào)道。“通過這項(xiàng)法律草案,我們將消除從事這一重要任務(wù)的人所面臨的刑事責(zé)任風(fēng)險(xiǎn)。”
修訂刑法保護(hù)白帽黑客
新法案修訂了《德國(guó)刑法典》(StGB)第202a條,明確將IT安全研究人員、公司及“黑客”從計(jì)算機(jī)犯罪的法律追責(zé)中排除。該保護(hù)條款適用于在檢測(cè)和修復(fù)安全漏洞的情況下進(jìn)行的活動(dòng),但必須滿足特定條件,確保此類行為是“有授權(quán)”的合法活動(dòng)。
新法案規(guī)定,安全研究行為需滿足以下標(biāo)準(zhǔn),才能符合免于刑責(zé)的條件:
- 以檢測(cè)漏洞為目的:行為必須旨在識(shí)別IT系統(tǒng)中的安全漏洞或其他安全風(fēng)險(xiǎn)。
- 向責(zé)任方報(bào)告漏洞:研究者應(yīng)有意將發(fā)現(xiàn)的漏洞報(bào)告給有能力解決問題的相關(guān)機(jī)構(gòu),如系統(tǒng)運(yùn)營(yíng)商、軟件制造商,或聯(lián)邦信息安全局(BSI)。
- 訪問行為的必要性:訪問系統(tǒng)的行為必須是識(shí)別漏洞所必需的,以確保豁免權(quán)僅適用于必要的安全測(cè)試,避免不必要或過度的訪問。
這一刑責(zé)豁免同樣適用于涉及數(shù)據(jù)截獲(第202b條)和數(shù)據(jù)修改(第303a條)的行為,前提是這些行為被視為“有授權(quán)”的行動(dòng)。
嚴(yán)懲惡意數(shù)據(jù)竊取與關(guān)鍵基礎(chǔ)設(shè)施攻擊
在保護(hù)合法安全研究的同時(shí),法案對(duì)惡意數(shù)據(jù)竊取和數(shù)據(jù)截獲的嚴(yán)重案例引入了更嚴(yán)格的處罰。新法案規(guī)定,惡意數(shù)據(jù)竊取的嚴(yán)重案件將面臨三個(gè)月到五年監(jiān)禁的刑罰。以下情形被定義為嚴(yán)重案件:
- 造成重大經(jīng)濟(jì)損失:犯罪行為導(dǎo)致了可觀的經(jīng)濟(jì)損失。
- 盈利動(dòng)機(jī)與商業(yè)化操作:行為出于謀利動(dòng)機(jī),規(guī)模化或商業(yè)性地進(jìn)行,或?qū)儆诜缸锝M織的活動(dòng)。
- 危及關(guān)鍵基礎(chǔ)設(shè)施:攻擊影響到醫(yī)院、能源供應(yīng)商、交通網(wǎng)絡(luò)等關(guān)鍵基礎(chǔ)設(shè)施,或威脅德國(guó)或其聯(lián)邦州的安全,包括境外來源的攻擊行為。
與美國(guó)“善意”安全研究豁免政策呼應(yīng)
該法案目前已提交德國(guó)各聯(lián)邦州及相關(guān)協(xié)會(huì)審議,后者需在2024年12月13日前提交反饋,隨后將遞交聯(lián)邦議院進(jìn)行議會(huì)審議。值得注意的是,美國(guó)司法部在2022年5月對(duì)《計(jì)算機(jī)欺詐和濫用法》(CFAA)也進(jìn)行了類似的修訂,豁免“善意”安全研究者的起訴。
此次德國(guó)法案的出臺(tái)彰顯了德國(guó)政府對(duì)白帽黑客和安全研究者的支持與認(rèn)可,同時(shí)也加強(qiáng)了對(duì)惡意攻擊的打擊力度,明確了網(wǎng)絡(luò)安全研究與犯罪行為之間的界限。這一立法不僅順應(yīng)了了日益復(fù)雜的網(wǎng)絡(luò)安全需求,也為全球其他國(guó)家在制定相應(yīng)法規(guī)時(shí)提供了參考。
