本文来自微信公众号“GoUpSec”。
GoUpSec点评:新法案彰显了德国政府对白帽黑客和安全研究人员的积极支持与肯定,将鼓励更多安全人才参与漏洞研究。
白帽黑客的安全漏洞研究活动往往被看作是游走于法律边缘的危险游戏,德国最新的立法草案正试图为安全人才和安全研究工作清除法律雷区。
面对日益复杂的网络安全威胁,德国联邦司法部近日起草了一项新法案,为那些负责任地发现并报告漏洞的安全研究者提供法律保护。法案明确了在合法范围内进行的网络安全研究活动将不再受到刑事追责,旨在确保白帽黑客和安全专家在保护公共安全的同时,免于法律风险。
“那些致力于修复IT安全漏洞的人应当获得认可,而不是收到检察官的信函。”德国联邦司法部长马可·布施曼(Dr.Marco Buschmann)在声明中强调道。“通过这项法律草案,我们将消除从事这一重要任务的人所面临的刑事责任风险。”
修订刑法保护白帽黑客
新法案修订了《德国刑法典》(StGB)第202a条,明确将IT安全研究人员、公司及“黑客”从计算机犯罪的法律追责中排除。该保护条款适用于在检测和修复安全漏洞的情况下进行的活动,但必须满足特定条件,确保此类行为是“有授权”的合法活动。
新法案规定,安全研究行为需满足以下标准,才能符合免于刑责的条件:
以检测漏洞为目的:行为必须旨在识别IT系统中的安全漏洞或其他安全风险。
向责任方报告漏洞:研究者应有意将发现的漏洞报告给有能力解决问题的相关机构,如系统运营商、软件制造商,或联邦信息安全局(BSI)。
访问行为的必要性:访问系统的行为必须是识别漏洞所必需的,以确保豁免权仅适用于必要的安全测试,避免不必要或过度的访问。
这一刑责豁免同样适用于涉及数据截获(第202b条)和数据修改(第303a条)的行为,前提是这些行为被视为“有授权”的行动。
严惩恶意数据窃取与关键基础设施攻击
在保护合法安全研究的同时,法案对恶意数据窃取和数据截获的严重案例引入了更严格的处罚。新法案规定,恶意数据窃取的严重案件将面临三个月到五年监禁的刑罚。以下情形被定义为严重案件:
- 造成重大经济损失:犯罪行为导致了可观的经济损失。
- 盈利动机与商业化操作:行为出于谋利动机,规模化或商业性地进行,或属于犯罪组织的活动。
- 危及关键基础设施:攻击影响到医院、能源供应商、交通网络等关键基础设施,或威胁德国或其联邦州的安全,包括境外来源的攻击行为。
与美国“善意”安全研究豁免政策呼应
该法案目前已提交德国各联邦州及相关协会审议,后者需在2024年12月13日前提交反馈,随后将递交联邦议院进行议会审议。值得注意的是,美国司法部在2022年5月对《计算机欺诈和滥用法》(CFAA)也进行了类似的修订,豁免“善意”安全研究者的起诉。
此次德国法案的出台彰显了德国政府对白帽黑客和安全研究者的支持与认可,同时也加强了对恶意攻击的打击力度,明确了网络安全研究与犯罪行为之间的界限。这一立法不仅顺应了了日益复杂的网络安全需求,也为全球其他国家在制定相应法规时提供了参考。
参考链接:
https://www.bmj.de/SharedDocs/Pressemitteilungen/DE/2024/1104_ComputerStrafR.html
https://www.bleepingcomputer.com/news/security/us-doj-will-no-longer-prosecute-ethical-hackers-under-cfaa/
