近日，德國(guó)聯(lián)邦司法部起草了一項(xiàng)法律，目的在于為白帽黑客提供法律保護(hù)，白帽黑客在檢測(cè)并彌補(bǔ)IT安全漏洞時(shí)的行為將不再承擔(dān)刑事責(zé)任，也不會(huì)面臨被起訴的風(fēng)險(xiǎn)。

關(guān)注此類消息的朋友應(yīng)該知道，德國(guó)不是第一個(gè)立法保護(hù)白帽黑客的國(guó)家，2022年美國(guó)司法部就對(duì)《計(jì)算機(jī)欺詐和濫用法》（CFAA）進(jìn)行了修訂，明確指出網(wǎng)絡(luò)安全研究人員，即白帽黑客有著“改善技術(shù)”的良好愿景，因此司法部門將不再以CFAA的名義起訴他們；2023年比利時(shí)也通過(guò)了一項(xiàng)“吹哨人”法案，將“白帽黑客行為”賦予了正當(dāng)性并且免除任何刑事責(zé)任，即使是在未獲攻擊目標(biāo)同意的情況下。

不是惡意行為者的免費(fèi)通行證

可以看出，各國(guó)法律對(duì)白帽黑客的“松綁”已成趨勢(shì)，但這是否意味著他們真的就完全自由？細(xì)看了以上幾個(gè)國(guó)家的相關(guān)條規(guī)，會(huì)發(fā)現(xiàn)白帽黑客的行為仍要符合以下幾個(gè)大的條件，才不會(huì)被追究責(zé)任。

• 善意目的性：行為必須是出于善意測(cè)試、調(diào)查和/或糾正安全漏洞；
• 漏洞需上報(bào)：必須有意向?qū)l(fā)現(xiàn)的安全漏洞報(bào)告給能夠解決問題的相關(guān)實(shí)體；
• 行為必需性：對(duì)系統(tǒng)的訪問必須僅限于識(shí)別漏洞所必需的程度。

還有一個(gè)值得注意的點(diǎn)是，德國(guó)的法律中還有一條明確規(guī)定：同樣的刑事責(zé)任豁免也適用于與數(shù)據(jù)攔截和數(shù)據(jù)相關(guān)的犯罪行為，但涉及到數(shù)據(jù)修改或者刪減的行為需要經(jīng)過(guò)授權(quán)。

這些標(biāo)準(zhǔn)為界定“善意”黑客行為提供了明確的指導(dǎo)，旨在保護(hù)那些真正出于提高網(wǎng)絡(luò)安全目的而進(jìn)行的安全研究行為，同時(shí)也能排除一些以研究為名進(jìn)行惡意活動(dòng)的個(gè)體。

攻守兼?zhèn)渫晟凭W(wǎng)絡(luò)安全生態(tài)鏈

模糊的法律條款在過(guò)去給善意發(fā)現(xiàn)和披露安全漏洞的白帽黑客帶來(lái)了極大的障礙，松弛有度的條款更新可以避免因擔(dān)心法律后果而導(dǎo)致的“寒蟬效應(yīng)”，促使更多的安全研究人員參與到網(wǎng)絡(luò)安全保護(hù)中來(lái)。

正如沒有一個(gè)防御戰(zhàn)局是純粹由防御因素組成的，也沒有一個(gè)進(jìn)攻戰(zhàn)局是純粹由進(jìn)攻因素組成的，更加完善的網(wǎng)絡(luò)安全生態(tài)鏈需要更多攻守兼?zhèn)涞陌酌绷α俊?/p>