德國司法部起草法律保護白帽駭客為安全目的的入侵免於承擔刑事責任
德國聯邦司法部日前正在起草新法律用來保護幫助提高網路安全性的白帽駭客們,該法律規定負責任的向供應商報告漏洞的安全研究人員應得到認可而不是承擔刑事責任。這項法律主要是幫助白帽駭客和安全研究人員規避在發掘漏洞過程中產生的法律風險,通常情況下發掘漏洞可能涉及入侵系統等行為。
這件事的背景是先前在德國有程式設計師發掘漏洞但因為存在未經授權的存取行為而被起訴併罰款3000 歐元,這在安全業界引起很多關注,這應該也是促使德國修訂刑事法案的原因之一。
為此新法規定安全研究需符合以下標準:
- 採取該措施(例如入侵) 的目的必須是為了識別IT 系統中的漏洞或其他安全風險
- 研究人員必須將發現的安全漏洞報告給能夠解決該問題的負責實體,例如營運商、開發商或德國聯邦資訊安全辦公室
- 存取系統的行為必須是識別漏洞所必須的,這確保豁免權僅適用於安全測試所需的範圍,而不會出現不必要或過度訪問
- 同樣的免除刑事責任規定也適用於與資料攔截和資料修改有關的犯罪,只要相關行為被視為獲得授權
德國聯邦司法部長在聲明中表示:
那些想要彌補IT 安全漏洞的人應該得到認可而不是收到來自檢察官的來信,透過這項法律草案,我們將消除承擔這項重要任務的人員承擔刑事責任的風險。
同時德國司法部也起草對於惡意資料監視和資料攔截的認定標準,其中嚴重行為將被處以三個月到五年不等的監禁。
關於嚴重情節草案提到了以下情況:
- 該犯罪行為造成了重大經濟損失
- 該行為是受盈利動機驅動、以商業規模實施或作為犯罪組織的一部分進行的
- 危及關鍵基礎設施例如醫院、能源供應是或交通網絡,或影響德國或德國某個州安全的案件,包括來自國外的攻擊
目前德國聯邦州及相關協會已經收到了新草案並進行審查,需要在2024 年12 月13 日前提交回饋意見,最後交給德國聯邦議院進行議會審議。
除了德國外,美國司法部也在2022 年5 月對美國聯邦電腦詐欺和濫用法案(CFAA) 進行了類似的修訂,增加對善意安全研究人員的起訴排除條款。