德国联邦司法部正在起草一项新法律，旨在保护帮助提高互联网安全性的白帽黑客。该法律规定，负责任地向供应商报告漏洞的安全研究人员将获得认可，而不是承担刑事责任。此前，德国曾有程序员因发掘漏洞而被起诉，引发安全业界关注。新法律明确了安全研究的标准，包括目的、报告义务、访问范围等，并对恶意数据监视和拦截进行了认定标准的界定。目前，该法律草案正在征求意见，预计将在 2024 年 12 月提交德国联邦议院审议。此外，美国也曾对类似法律进行过修订，以保护善意安全研究人员。

🤔**目的：**该法律旨在保护白帽黑客和安全研究人员在发掘漏洞过程中免受刑事责任，鼓励他们积极参与网络安全工作，前提是其行为必须是为了识别IT系统中的漏洞或其他安全风险。

🔎**标准：**安全研究需满足特定标准，包括将发现的安全漏洞报告给相关实体，且访问系统的行为必须是识别漏洞所必须的，确保豁免权仅适用于安全测试所需的范围。

⚠️**恶意行为认定：**法律也定义了恶意数据监视和拦截的认定标准，严重行为将面临3个月到5年的监禁，例如造成重大经济损失、受盈利动机驱动或危及关键基础设施等。

🤝**国际趋势：**除了德国，美国也在2022年对相关法律进行了类似修订，体现了全球范围内对网络安全和白帽黑客的重视。

🗓️**进程：**目前该法律草案正在征求意见，预计将在2024年12月提交德国联邦议院审议，未来将对网络安全领域产生积极影响。

德国联邦司法部日前正在起草新法律用来保护帮助提高互联网安全性的白帽黑客们，该法律规定负责任的向供应商报告漏洞的安全研究人员应得到认可而不是承担刑事责任。

这部法律主要就是帮助白帽黑客和安全研究人员规避在发掘漏洞过程中产生的法律风险，通常情况下发掘漏洞可能会涉及到入侵系统等行为。

这件事的背景是此前在德国有程序员发掘漏洞但因为存在未经授权的访问行为而被起诉并罚款 3000 欧元，这在安全业界引起很多关注，这应该也是促使德国修订刑事法案的原因之一。

为此新法律规定安全研究需满足如下标准：

采取该措施 (例如入侵) 的目的必须是为了识别 IT 系统中的漏洞或其他安全风险研究人员必须将发现的安全漏洞报告给能够解决该问题的负责实体，例如运营商、开发商或德国联邦信息安全办公室访问系统的行为必须是识别漏洞所必须的，这确保豁免权仅适用于安全测试所需的范围，而不会出现不必要或过度访问同样的免除刑事责任规定也适用于与数据拦截和数据修改有关的犯罪，只要相关行为被视为获得授权

德国联邦司法部长在声明中表示：

那些想要弥补 IT 安全漏洞的人应该得到认可而不是收到来自检察官的来信，通过这项法律草案，我们将消除承担这一重要任务的人员承担刑事责任的风险。

与此同时德国司法部还起草对于恶意数据监视和数据拦截的认定标准，其中严重行为将被处以三个月到五年不等的监禁。

关于严重情节草案提到了以下情形：

该犯罪行为造成了重大经济损失该行为是受盈利动机驱动、以商业规模实施或作为犯罪组织的一部分进行的危及关键基础设施例如医院、能源供应是或交通网络，或影响德国或德国某个州安全的案件，包括来自国外的攻击

目前德国联邦州及有关协会已经收到了新草案并进行审查，需要在 2024 年 12 月 13 日前提交反馈意见，最后交给德国联邦议院进行议会审议。

除了德国外，美国司法部也在 2022 年 5 月对美国联邦计算机欺诈和滥用法案 (CFAA) 进行了类似的修订，增加对善意安全研究人员的起诉排除条款。