德國打算修改刑法內容，針對發現資安弱點的研究人員提供司法保障

11月4日德國聯邦司法部提出新的刑法修正草案，打算為願意協助供應商找到資安漏洞的研究人員提供法律層面的保障。聯邦司法部長Marco Buschmann表示，透過新的法律，消除資安研究人員承擔刑事責任的風險。

新的草案主要是調整《刑法（StGB）》第202a條的內容，當資安研究人員、資安業者，或是白帽駭客在偵測及防堵漏洞的過程中，只要不被認定為「未經授權（unauthorized）」，就有機會免除法律責任。

這些被視為資安研究的行為，必須滿足3項條件：

1.執行的工作內容必須與識別IT系統的弱點，或是其他資安風險有關。
2.研究人員必須打算將找到的漏洞通報給能夠處理的單位，例如：系統營運業者、軟體製造商、德國聯邦資訊安全辦公室（BSI）。
3.存取相關系統的行為必須是為了識別漏洞所需。

此外，相關的刑事法規調整，也排除刑法202b、303a條內容，即資料攔截與資料修改相關的犯罪，只要研究人員符合上述的資安研究行為，就不受這兩項條文的規範。

附帶一提的是，他們也對於網路犯罪行為提出明確的刑責。針對嚴重的資料間諜及資料攔截行為，將會被處以3個月至5年的監禁。

這項草案正尋求各州及相關機構的意見，並在12月13日前回覆，再由聯邦議會進行最終審議。