德国联邦司法部起草了一项法律,旨在为发现并负责任地向供应商报告安全漏洞的安全研究人员提供法律保护。在规定范围内进行安全研究时,责任人将免于承担刑事责任和被起诉的风险。
联邦司法部长Marco Buschmann博士表示:“那些想要弥补IT安全漏洞的人应该得到认可,而不是收到检察官的一封信。”部长在同一声明中提到:“通过这项法律草案,我们将消除承担这一重要任务的人员承担刑事责任的风险。”
此外,拟议的刑法修正案对严重的数据监视和拦截案件提出了更严厉的处罚,特别是针对关键基础设施的数据监视和拦截案件。
保护安全研究人员
新法律草案修订了《刑法》(StGB)第202a条,以保护信息技术安全研究人员、公司以及所谓的“黑客”免受计算机刑法的惩罚。当他们采取行动检测并关闭安全漏洞时,只要不被视为“未经授权”,这一规定就适用。
安全研究需满足的标准如下:
-
采取该措施的目的必须是为了识别IT系统中的漏洞或其他安全风险。 -
研究人员必须将发现的安全漏洞报告给能够解决该问题的负责实体,例如系统运营商、软件制造商或联邦信息安全办公室(BSI)。 -
访问系统的行为必须是识别漏洞所必需的。这确保豁免仅适用于安全测试所需的范围,而不会出现不必要或过度的访问。 -
同样的免除刑事责任规定也适用于与数据拦截(《刑法典》第202b条)和数据修改(《刑法典》第303a条)有关的犯罪,只要相关行为被视为获得授权。
关于严重情节,草案提到了以下情形:
-
该犯罪行为造成了重大经济损失。 -
该行为是受盈利动机驱动、以商业规模实施或作为犯罪组织的一部分进行的。 -
危及关键基础设施(如医院、能源供应商或交通网络)或影响德国或德国某个州安全的案件,包括来自国外的攻击。
联邦州和有关协会已收到该提案并进行审查,并必须在2024年12月13日之前提交反馈意见,然后提交给联邦议院进行议会审议。
美国司法部于2022年5月宣布对《计算机欺诈和滥用法案》(CFAA)进行类似的修订,引入对“善意”安全研究人员的起诉排除条款。
点赞关注,后台获取法律草案机译版。
参考资源
1、https://www.bleepingcomputer.com/news/security/germany-drafts-law-to-protect-researchers-who-find-security-flaws/
2、https://www.bmj.de/SharedDocs/Pressemitteilungen/DE/2024/1104_ComputerStrafR.html
3、https://www.bmj.de/SharedDocs/Gesetzgebungsverfahren/DE/2024_ComputerStrafR.html?nn=110490
原文始发于微信公众号(网空闲话plus):善意挖洞无罪!德国起草法律保护网络安全漏洞研究人员
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论