BleepingComputer网站2024年11月6日消息,德国联邦司法部正在起草一项新法律,以为发现并负责任报告安全漏洞的安全研究人员提供法律保护。该法案旨在确保在合法边界内进行安全研究的人员,免于承担刑事责任或面临起诉风险。司法部长马尔科·布什曼(Marco Buschmann)表示:“那些为弥补IT安全漏洞做出贡献的人应当得到认可,而不是收到检察官的通知。”该草案明确规定,进行安全研究的行为,如果符合特定条件,将不再被视为未经授权的违法行为,进而免除刑事责任。研究人员需要在进行安全测试时,意图识别并报告安全漏洞,并确保他们的行动必要且不会过度访问系统。此外,草案还对严重的数据间谍行为和数据拦截行为提出了更严厉的惩罚,尤其是针对关键基础设施的攻击(如医院、电力供应商和交通网络)。根据草案,严重违法行为可处以3个月至5年的监禁。该草案目前已送交各联邦州和相关协会审议,征求意见的截止日期为2024年12月13日。待所有反馈整合后,该法案将提交至联邦议会讨论。
德国联邦司法部起草了一项法律,旨在为发现并负责任地向供应商报告安全漏洞的安全研究人员提供法律保护。在规定范围内进行安全研究时,责任人将免于承担刑事责任和被起诉的风险。
联邦司法部长Marco Buschmann博士表示:“那些想要弥补IT安全漏洞的人应该得到认可,而不是收到检察官的一封信。”部长在同一声明中提到:“通过这项法律草案,我们将消除承担这一重要任务的人员承担刑事责任的风险。”
此外,拟议的刑法修正案对严重的数据监视和拦截案件提出了更严厉的处罚,特别是针对关键基础设施的数据监视和拦截案件。
保护安全研究人员
新法律草案修订了《刑法》(StGB)第202a条,以保护信息技术安全研究人员、公司以及所谓的“黑客”免受计算机刑法的惩罚。当他们采取行动检测并关闭安全漏洞时,只要不被视为“未经授权”,这一规定就适用。
安全研究需满足的标准如下:
-
采取该措施的目的必须是为了识别IT系统中的漏洞或其他安全风险。
-
研究人员必须将发现的安全漏洞报告给能够解决该问题的负责实体,例如系统运营商、软件制造商或联邦信息安全办公室(BSI)。
-
访问系统的行为必须是识别漏洞所必需的。这确保豁免仅适用于安全测试所需的范围,而不会出现不必要或过度的访问。
-
同样的免除刑事责任规定也适用于与数据拦截(《刑法典》第202b条)和数据修改(《刑法典》第303a条)有关的犯罪,只要相关行为被视为获得授权。
同时,该草案还规定,对于严重的恶意数据监视和数据拦截案件,将处以三个月至五年监禁的刑罚(《刑法典》第202a条)。
关于严重情节,草案提到了以下情形:
-
-
该行为是受盈利动机驱动、以商业规模实施或作为犯罪组织的一部分进行的。
-
危及关键基础设施(如医院、能源供应商或交通网络)或影响德国或德国某个州安全的案件,包括来自国外的攻击。
有关该法律草案和拟议修正案的更多详细信息请参见此处。
联邦州和有关协会已收到该提案并进行审查,并必须在2024年12月13日之前提交反馈意见,然后提交给联邦议院进行议会审议。
美国司法部于2022年5月宣布对《计算机欺诈和滥用法案》(CFAA)进行类似的修订,引入对“善意”安全研究人员的起诉排除条款。
点赞关注,后台获取法律草案机译版。
参考资源
1、https://www.bleepingcomputer.com/news/security/germany-drafts-law-to-protect-researchers-who-find-security-flaws/
2、https://www.bmj.de/SharedDocs/Pressemitteilungen/DE/2024/1104_ComputerStrafR.html
3、https://www.bmj.de/SharedDocs/Gesetzgebungsverfahren/DE/2024_ComputerStrafR.html?nn=110490
原文始发于微信公众号(网空闲话plus):善意挖洞无罪!德国起草法律保护网络安全漏洞研究人员
