比利时：道德黑客可免于刑责

2023年2月15日，比利时的一项新的“吹哨人”法律生效，该法律即使在被黑客入侵的实体没有同意的情况下，也合法化了“道德黑客”行为。为了从刑事责任中免除道德黑客，该法律对道德黑客行为提出了一些条件，必须满足这些条件。

什么是“道德黑客”？

在IT语境中，黑客通常被理解为未经授权就访问计算机系统或网络的人。这种未经授权的访问可能是出于犯罪的动机，例如通过阻止被黑客入侵者访问他们的系统，直到他们支付赎金费用(所谓的“勒索软件攻击”)来敲诈钱财。这种黑客通常被称为“黑帽子黑客”。然而，也有一些黑客出于其他考虑，例如当黑客入侵一个计算机系统或网络，以展示一个可能被黑帽子黑客利用的漏洞时。这些“道德”黑客也被称为“白帽子黑客”。道德黑客的工作对于管理计算机或网络系统的组织来说是非常有利的，因为他们能够在漏洞被利用之前解决任何网络安全漏洞，从而防止网络安全事件发生。因此，道德黑客可以是提高公司和公共部门IT系统网络安全水平的一种手段。

在新的比利时法律下，“道德”黑客什么时候合法？

在新的比利时吹哨人法律之前，所有形式的黑客行为，包括道德黑客行为，在比利时刑法下都是可处罚的，除非被黑客入侵的实体同意了。后者已经使得许多比利时组织能够利用道德黑客来提高他们的网络安全水平，例如通过为帮助他们发现漏洞的道德黑客提供(金钱)奖励，所谓的“漏洞赏金”。道德黑客和组织之间的合作通常发生在“协调漏洞披露政策”(CVDP)的背景下。CVDP是由管理IT系统的组织制定的一套规则，为该组织和道德黑客之间的合作提供了一个法律框架。它必须在线发布，例如在组织的网站上。道德黑客可以通过CVDP来表明他们有活动许可，以避免刑事责任。

新的吹哨人法律改变了这种情况。从现在开始，一个自然人或法人可以调查位于比利时的组织的安全漏洞，不管被调查者是否同意。但这不是随心所欲的空头支票，白帽子黑客需要遵守一定的条件：不能造成伤害或有获利企图，黑客不能在发现漏洞之后敲诈对方，除非是某些形式的漏洞悬赏计划；必须尽快向比利时网络安全中心(CCB)以及被调查的对象报告漏洞；黑客行动不能超出必要的范围；除非获得 CCB 同意黑客不能过早披露发现的漏洞。

Belgium legalises ethical hacking: a threat or an opportunity for cybersecurity?