11月4日德国联邦司法部提出新的刑法修正草案,打算为愿意协助供应商找到安全漏洞的研究人员提供法律层面的保障。联邦司法部长Marco Buschmann表示,通过新的法律,消除安全研究人员承担刑事责任的风险。
新的草案主要是调整《刑法(StGB)》第202a条的内容,当安全研究人员、安全企业,或是白帽黑客在侦测及防堵漏洞的过程中,只要不被认定为“未经授权(unauthorized)”,就有机会免除法律责任。
这些被视为安全研究的行为,必须满足3项条件:
1.执行的工作内容必须与识别IT系统的弱点,或是其他安全风险有关。
2.研究人员必须打算将找到的漏洞通报给能够处理的单位,例如:系统运营企业、软件制造商、德国联邦资讯安全办公室(BSI)。
3.访问相关系统的行为必须是为了识别漏洞所需。
此外,相关的刑事法规调整,也排除刑法202b、303a条内容,即数据拦截与数据修改相关的犯罪,只要研究人员符合上述的安全研究行为,就不受这两项条文的规范。
附带一提的是,他们也对于网络犯罪行为提出明确的刑责。针对严重的数据间谍及数据拦截行为,将会被处以3个月至5年的监禁。
这项草案正寻求各州及相关机构的意见,并在12月13日前回复,再由联邦议会进行最终审议。
