葡萄牙更新网络犯罪法，可豁免安全研究人员的正向研究行为

葡萄牙修改了网络犯罪法，为善意的安全研究设立了法律安全港，并规定在某些严格条件下黑客行为不予惩罚。

第 8.oA 条中的一项新规定，标题为“因网络安全公共利益而不予处罚的行为”，该规定为以前被归类为非法系统访问或非法数据拦截的行为提供了法律豁免。

该豁免仅适用于安全研究人员为识别漏洞和促进网络安全而开展的活动。免于承担刑事责任必须满足的关键条件包括：

1. 该研究必须仅以发现非研究人员造成的漏洞为目标，并通过披露来提高网络安全。
2. 研究人员不得寻求或接受除正常职业报酬以外的任何经济利益。
3. 研究人员必须立即向系统所有者、任何相关的数据控制者和CNCS报告漏洞。
4. 这些操作必须严格限于检测漏洞所必需的操作，不得中断服务、更改或删除数据，或造成损害。
5. 该研究不得涉及违反GDPR规定的任何非法个人数据处理。
6. 研究人员不得使用禁止的技术，例如 DoS 或 DDoS 攻击、社会工程、网络钓鱼、密码窃取、故意篡改数据、系统破坏或部署恶意软件。
7. 研究过程中获得的任何数据都必须保密，并在漏洞修复后 10 天内删除。
8. 经系统所有者同意而实施的行为也免于处罚，但发现的任何漏洞仍必须向国家网络安全中心 (CNCS) 报告。

这篇新文章明确界定了安全研究的界限，同时也为善意的黑客提供了法律保护。

2024 年 11 月，德国联邦司法部提出了一项法律草案 ，为发现安全漏洞并负责任地向供应商报告的安全研究人员提供类似的保护。

此前，在 2022 年 5 月，美国司法部(DOJ) 宣布对其有关《计算机欺诈和滥用法案》(CFAA) 违规行为的联邦起诉政策进行修订，增加了“善意”研究的豁免。

在这些法律框架下，安全研究不仅得到认可，而且还被赋予了安全的空间，可以主动探测系统、发现漏洞并报告漏洞，而不必担心法律后果。

声明：本文来自黑鸟略略略，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。