白帽黑客的安全漏洞研究活動往往被看作是游走于法律邊緣的危險游戲，德國最新的立法草案正試圖為安全人才和安全研究工作清除法律雷區(qū)。

面對日益復(fù)雜的網(wǎng)絡(luò)安全威脅，德國聯(lián)邦司法部近日起草了一項(xiàng)新法案，為那些負(fù)責(zé)任地發(fā)現(xiàn)并報(bào)告漏洞的安全研究者提供法律保護(hù)。法案明確了在合法范圍內(nèi)進(jìn)行的網(wǎng)絡(luò)安全研究活動將不再受到刑事追責(zé)，旨在確保白帽黑客和安全專家在保護(hù)公共安全的同時，免于法律風(fēng)險。

“那些致力于修復(fù)IT安全漏洞的人應(yīng)當(dāng)獲得認(rèn)可，而不是收到檢察官的信函?！钡聡?lián)邦司法部長馬可·布施曼（Dr. Marco Buschmann）在聲明中強(qiáng)調(diào)道?！巴ㄟ^這項(xiàng)法律草案，我們將消除從事這一重要任務(wù)的人所面臨的刑事責(zé)任風(fēng)險。”

修訂刑法保護(hù)白帽黑客

新法案修訂了《德國刑法典》（StGB）第202a條，明確將IT安全研究人員、公司及“黑客”從計(jì)算機(jī)犯罪的法律追責(zé)中排除。該保護(hù)條款適用于在檢測和修復(fù)安全漏洞的情況下進(jìn)行的活動，但必須滿足特定條件，確保此類行為是“有授權(quán)”的合法活動。

新法案規(guī)定，安全研究行為需滿足以下標(biāo)準(zhǔn)，才能符合免于刑責(zé)的條件：

• 以檢測漏洞為目的：行為必須旨在識別IT系統(tǒng)中的安全漏洞或其他安全風(fēng)險。
• 向責(zé)任方報(bào)告漏洞：研究者應(yīng)有意將發(fā)現(xiàn)的漏洞報(bào)告給有能力解決問題的相關(guān)機(jī)構(gòu)，如系統(tǒng)運(yùn)營商、軟件制造商，或聯(lián)邦信息安全局（BSI）。
• 訪問行為的必要性：訪問系統(tǒng)的行為必須是識別漏洞所必需的，以確?；砻鈾?quán)僅適用于必要的安全測試，避免不必要或過度的訪問。

這一刑責(zé)豁免同樣適用于涉及數(shù)據(jù)截獲（第202b條）和數(shù)據(jù)修改（第303a條）的行為，前提是這些行為被視為“有授權(quán)”的行動。

嚴(yán)懲惡意數(shù)據(jù)竊取與關(guān)鍵基礎(chǔ)設(shè)施攻擊

在保護(hù)合法安全研究的同時，法案對惡意數(shù)據(jù)竊取和數(shù)據(jù)截獲的嚴(yán)重案例引入了更嚴(yán)格的處罰。新法案規(guī)定，惡意數(shù)據(jù)竊取的嚴(yán)重案件將面臨三個月到五年監(jiān)禁的刑罰。以下情形被定義為嚴(yán)重案件：

• 造成重大經(jīng)濟(jì)損失：犯罪行為導(dǎo)致了可觀的經(jīng)濟(jì)損失。
• 盈利動機(jī)與商業(yè)化操作：行為出于謀利動機(jī)，規(guī)?；蛏虡I(yè)性地進(jìn)行，或?qū)儆诜缸锝M織的活動。
• 危及關(guān)鍵基礎(chǔ)設(shè)施：攻擊影響到醫(yī)院、能源供應(yīng)商、交通網(wǎng)絡(luò)等關(guān)鍵基礎(chǔ)設(shè)施，或威脅德國或其聯(lián)邦州的安全，包括境外來源的攻擊行為。

與美國“善意”安全研究豁免政策呼應(yīng)

該法案目前已提交德國各聯(lián)邦州及相關(guān)協(xié)會審議，后者需在2024年12月13日前提交反饋，隨后將遞交聯(lián)邦議院進(jìn)行議會審議。值得注意的是，美國司法部在2022年5月對《計(jì)算機(jī)欺詐和濫用法》（CFAA）也進(jìn)行了類似的修訂，豁免“善意”安全研究者的起訴。

此次德國法案的出臺彰顯了德國政府對白帽黑客和安全研究者的支持與認(rèn)可，同時也加強(qiáng)了對惡意攻擊的打擊力度，明確了網(wǎng)絡(luò)安全研究與犯罪行為之間的界限。這一立法不僅順應(yīng)了了日益復(fù)雜的網(wǎng)絡(luò)安全需求，也為全球其他國家在制定相應(yīng)法規(guī)時提供了參考。