英国网络安全专业人员的法律保护严重滞后

张开发
2026/6/18 16:57:27 15 分钟阅读

最新文章

推荐文章

相关文章

分享文章

英国网络安全专业人员的法律保护严重滞后
距今已有35年历史的《计算机滥用法》CMA至今仍像一块沉重的枷锁压在英国网络安全从业者身上。尽管英国政府去年12月承诺推动该法律改革但改革推进的每一分钟拖延都在制约着英国的安全创新、韧性建设、人才发展以及抵御网络攻击的整体能力。这是相关倡导团体近日发出的警告。就在国家网络安全中心NCSC即将于格拉斯哥举办CYBERUK年度会议前夕致力于推动《计算机滥用法》改革的CyberUp运动发布了一份新报告标题为《网络安全研究人员的保护现状英国正被世界甩在身后》旨在继续向英国政府施加压力。《计算机滥用法》对未经授权访问计算机这一行为的界定含糊不清。倡导者希望推动修订原因在于该法律撰写于35年前根本没有考虑到网络安全行业的发展现状——事实上网络安全专业人员在日常工作中有时确实需要合法地入侵其他系统。CyberUp运动的发言人表示网络攻击的规模、复杂程度和危害程度正在不断上升对基础设施、企业和公益机构造成了严重破坏。其他国家已陆续更新本国的网络安全法律以作回应而英国的《计算机滥用法》自现代互联网诞生之前便从未修订过这显然不是推动未来十年防御能力提升的良好基础。该团体在报告中特别指出澳大利亚、比利时、法国、德国、香港、马耳他、葡萄牙和美国等国家和地区均已为网络安全专业人员建立了相应的法律保护机制使其能够在不担心遭受刑事追诉的前提下开展工作。值得一提的是葡萄牙的做法。这个与英国拥有可追溯至14世纪条约的最古老正式盟友于去年颁布了第125/2025号法令在落实欧盟《网络和信息系统安全指令》NIS2的同时对本国网络犯罪法律进行了修订明确承认并保护以善意方式从事工作的道德黑客和专业网络安全从业者。葡萄牙的最新法律承认某些网络安全工作可能需要在未获得明确授权的情况下开展或可能涉及出于合法目的、但超出预期范围的技术操作。据此葡萄牙规定只要安全研究人员符合一定条件以善意进行的安全工作将不受刑事处罚。例如研究人员只能以发现漏洞为目的并须立即上报必须避免实施有害行为如发动DDoS攻击或植入恶意软件同时须尊重所接触数据的完整性并在问题解决后10天内将相关数据删除。CyberUp表示葡萄牙的案例证明网络犯罪法律完全可以实现现代化改革从而在法律层面保护出于公共利益开展的安全研究活动。该发言人进一步表示葡萄牙已通过网络安全立法展示了如何对现行法律进行现代化改革。我们敦促英国政府以此为鉴通过《网络安全与韧性法案》迅速采取行动推动切实有效的改革否则将面临在国际同行中进一步落后的风险。防御框架CyberUp运动联合网络安全专家和法律顾问共同开发了一套防御框架。依据该框架网络安全专业人员只要遵守其中四项核心原则即可在法庭上提出法定抗辩。危害与收益活动所带来的收益必须超过其潜在危害相称性网络安全从业者必须采取一切合理措施将相关活动的风险降至最低意图从业者必须以诚实、真诚的态度行事并明确以提升安全性为目标能力从业者的专业资质和职业会员资格应能证明其具备开展网络安全工作的充分能力。倡导者表示该框架将为安全行业带来清晰的指引和信心使网络安全专业人员能够在不惧怕刑事追诉的情况下开展核心研究工作帮助各机构依照公认的法律标准运营并推动网络安全行业与英国政府之间建立更加开放和协作的关系。QAQ1英国《计算机滥用法》为什么需要改革A《计算机滥用法》制定于1990年距今已有35年。该法律对未经授权访问计算机的界定模糊未能反映现代网络安全从业者的实际工作需求。网络安全专业人员在日常工作中有时需要合法入侵系统但现行法律可能将此类行为入罪严重制约了英国的安全创新能力和人才发展。Q2葡萄牙是如何保护网络安全从业者的A葡萄牙于2025年颁布第125/2025号法令落实欧盟NIS2指令并修订网络犯罪法律明确保护以善意方式工作的道德黑客和安全从业者。只要研究人员以发现漏洞为目的、及时上报、避免有害操作并在问题解决后10天内删除相关数据其安全工作便不受刑事追究。Q3CyberUp的防御框架包含哪些核心原则ACyberUp防御框架包含四项核心原则一是危害与收益相权衡活动收益须超过潜在危害二是相称性从业者须将活动风险降至最低三是意图须以诚实态度并以提升安全为目标四是能力须以专业资质证明具备开展相关工作的能力。符合这四项原则的从业者可在法庭上提出法定抗辩。

更多文章