距今已有35年曆史的《計算機濫用法》(CMA),至今仍像一塊沉重的枷鎖壓在英國網路安全從業者身上法律。儘管英國政府去年12月承諾推動該法律改革,但改革推進的每一分鐘拖延,都在制約著英國的安全創新、韌性建設、人才發展以及抵禦網路攻擊的整體能力。這是相關倡導團體近日發出的警告。
就在國家網路安全中心(NCSC)即將於格拉斯哥舉辦CYBERUK年度會議前夕,致力於推動《計算機濫用法》改革的CyberUp運動釋出了一份新報告,標題為《網路安全研究人員的保護現狀:英國正被世界甩在身後》,旨在繼續向英國政府施加壓力法律。
《計算機濫用法》對"未經授權訪問計算機"這一行為的界定含糊不清法律。倡導者希望推動修訂,原因在於該法律撰寫於35年前,根本沒有考慮到網路安全行業的發展現狀——事實上,網路安全專業人員在日常工作中,有時確實需要合法地入侵其他系統。
CyberUp運動的發言人表示:"網路攻擊的規模、複雜程度和危害程度正在不斷上升,對基礎設施、企業和公益機構造成了嚴重破壞法律。其他國家已陸續更新本國的網路安全法律以作回應,而英國的《計算機濫用法》自現代網際網路誕生之前便從未修訂過,這顯然不是推動未來十年防禦能力提升的良好基礎。"
該團體在報告中特別指出,澳大利亞、比利時、法國、德國、香港、馬耳他、葡萄牙和美國等國家和地區,均已為網路安全專業人員建立了相應的法律保護機制,使其能夠在不擔心遭受刑事追訴的前提下開展工作法律。
值得一提的是葡萄牙的做法法律。這個與英國擁有可追溯至14世紀條約的最古老正式盟友,於去年頒佈了第125/2025號法令,在落實歐盟《網路和資訊系統安全指令》(NIS2)的同時,對本國網路犯罪法律進行了修訂,明確承認並保護以善意方式從事工作的道德駭客和專業網路安全從業者。
葡萄牙的最新法律承認,某些網路安全工作可能需要在未獲得明確授權的情況下開展,或可能涉及出於合法目的、但超出預期範圍的技術操作法律。
據此,葡萄牙規定,只要安全研究人員符合一定條件,以善意進行的安全工作將不受刑事處罰法律。例如,研究人員只能以發現漏洞為目的,並須立即上報;必須避免實施有害行為,如發動DDoS攻擊或植入惡意軟體;同時須尊重所接觸資料的完整性,並在問題解決後10天內將相關資料刪除。
展開全文
CyberUp表示,葡萄牙的案例證明,網路犯罪法律完全可以實現現代化改革,從而在法律層面保護出於公共利益開展的安全研究活動法律。
該發言人進一步表示:"葡萄牙已透過網路安全立法,展示瞭如何對現行法律進行現代化改革法律。我們敦促英國政府以此為鑑,透過《網路安全與韌性法案》迅速採取行動,推動切實有效的改革,否則將面臨在國際同行中進一步落後的風險。"
防禦框架
CyberUp運動聯合網路安全專家和法律顧問,共同開發了一套"防禦框架"法律。依據該框架,網路安全專業人員只要遵守其中四項核心原則,即可在法庭上提出法定抗辯。
危害與收益:活動所帶來的收益必須超過其潛在危害法律;
相稱性:網路安全從業者必須採取一切合理措施法律,將相關活動的風險降至最低;
意圖:從業者必須以誠實、真誠的態度行事法律,並明確以提升安全性為目標;
能力:從業者的專業資質和職業會員資格,應能證明其具備開展網路安全工作的充分能力法律。
倡導者表示,該框架將為安全行業帶來清晰的指引和信心,使網路安全專業人員能夠在不懼怕刑事追訴的情況下開展核心研究工作,幫助各機構依照公認的法律標準運營,並推動網路安全行業與英國政府之間建立更加開放和協作的關係法律。
Q&A
Q1:英國《計算機濫用法》為什麼需要改革法律?
A:《計算機濫用法》制定於1990年,距今已有35年法律。該法律對"未經授權訪問計算機"的界定模糊,未能反映現代網路安全從業者的實際工作需求。網路安全專業人員在日常工作中有時需要合法入侵系統,但現行法律可能將此類行為入罪,嚴重製約了英國的安全創新能力和人才發展。
Q2:葡萄牙是如何保護網路安全從業者的法律?
A:葡萄牙於2025年頒佈第125/2025號法令,落實歐盟NIS2指令並修訂網路犯罪法律,明確保護以善意方式工作的道德駭客和安全從業者法律。只要研究人員以發現漏洞為目的、及時上報、避免有害操作,並在問題解決後10天內刪除相關資料,其安全工作便不受刑事追究。
Q3:CyberUp的防禦框架包含哪些核心原則法律?
A:CyberUp防禦框架包含四項核心原則:一是危害與收益相權衡,活動收益須超過潛在危害;二是相稱性,從業者須將活動風險降至最低;三是意圖,須以誠實態度並以提升安全為目標;四是能力,須以專業資質證明具備開展相關工作的能力法律。符合這四項原則的從業者可在法庭上提出法定抗辯。
