德国联邦司法部发布了一项计算机刑法草案,旨在明确 IT 安全研究人员的某些行为不会受到计算机刑法的惩罚。“任何想要检测并弥补 IT 安全漏洞的人都不应该面临刑事责任的风险。”
德国联邦司法部长 Dr. Marco Buschmann 表示: “那些想要弥补 IT 安全漏洞的人应该得到认可,而不是一封检察官的来信......通过这项法律草案,我们将消除承担这一重要任务的人员承担刑事责任的风险”。
具体来说,在“排除发现安全漏洞的犯罪行为”方面:
法律应明确IT安全研究人员、IT安全公司和所谓“黑客”的某些行为不能受到计算机刑法的惩罚。这涉及旨在检测和消除安全漏洞而执行的操作。为确保此类行为不会承担刑事责任的风险,应补充《刑法》(StGB )第 202a条。根据这一刑事规范,任何“未经授权”访问数据的人都将受到起诉。新的第 3 款旨在澄清在什么情况下此类行为不是“未经授权”的,因此不会受到惩罚。新规定的刑事责任排除也应适用于另外两种刑事犯罪:拦截数据(《StGB》第202b条)和更改数据(《StGB》第303a条)。
此外,拟议的刑法修正案对严重的数据监视和拦截案件提出了更严厉的处罚,特别是针对关键基础设施的数据监视和拦截案件。对于严重的恶意数据监视和数据拦截案件,则规定将处以三个月至五年监禁的刑罚(《刑法典》第 202a 条)。
安全研究需满足的标准如下:
- 采取该措施的目的必须是为了识别 IT 系统中的漏洞或其他安全风险。
- 研究人员必须将发现的安全漏洞报告给能够解决该问题的负责实体,例如系统运营商、软件制造商或联邦信息安全办公室 (BSI)。
- 访问系统的行为必须是识别漏洞所必需的。这确保豁免仅适用于安全测试所需的范围,而不会出现不必要或过度的访问。
关于严重情节,草案提到了以下情形:
- 该犯罪行为造成了重大经济损失。
- 该行为是受盈利动机驱动、以商业规模实施或作为犯罪组织的一部分进行的。
- 危及关键基础设施(如医院、能源供应商或交通网络)或影响德国或德国某个州安全的案件,包括来自国外的攻击。
目前,德国联邦州和有关协会已收到该提案并进行审查,并必须在 2024 年 12 月 13 日之前提交反馈意见,然后提交给联邦议院进行议会审议。
更多详情可查看此处。
暂无更多评论