近日，德國聯邦司法部起草了一項法律，目的在于為白帽黑客提供法律保護，白帽黑客在檢測并彌補IT安全漏洞時的行為將不再承擔刑事責任，也不會面臨被起訴的風險。

關注此類消息的朋友應該知道，德國不是第一個立法保護白帽黑客的國家，2022年美國司法部就對《計算機欺詐和濫用法》（CFAA）進行了修訂，明確指出網絡安全研究人員，即白帽黑客有著“改善技術”的良好愿景，因此司法部門將不再以CFAA的名義起訴他們；2023年比利時也通過了一項“吹哨人”法案，將“白帽黑客行為”賦予了正當性并且免除任何刑事責任，即使是在未獲攻擊目標同意的情況下。

不是惡意行為者的免費通行證

可以看出，各國法律對白帽黑客的“松綁”已成趨勢，但這是否意味著他們真的就完全自由？細看了以上幾個國家的相關條規，會發現白帽黑客的行為仍要符合以下幾個大的條件，才不會被追究責任。

• 善意目的性：行為必須是出于善意測試、調查和/或糾正安全漏洞；
• 漏洞需上報：必須有意向將發現的安全漏洞報告給能夠解決問題的相關實體；
• 行為必需性：對系統的訪問必須僅限于識別漏洞所必需的程度。

還有一個值得注意的點是，德國的法律中還有一條明確規定：同樣的刑事責任豁免也適用于與數據攔截和數據相關的犯罪行為，但涉及到數據修改或者刪減的行為需要經過授權。

這些標準為界定“善意”黑客行為提供了明確的指導，旨在保護那些真正出于提高網絡安全目的而進行的安全研究行為，同時也能排除一些以研究為名進行惡意活動的個體。

攻守兼備完善網絡安全生態鏈

模糊的法律條款在過去給善意發現和披露安全漏洞的白帽黑客帶來了極大的障礙，松弛有度的條款更新可以避免因擔心法律后果而導致的“寒蟬效應”，促使更多的安全研究人員參與到網絡安全保護中來。

正如沒有一個防御戰局是純粹由防御因素組成的，也沒有一個進攻戰局是純粹由進攻因素組成的，更加完善的網絡安全生態鏈需要更多攻守兼備的白帽力量。