2023年2月15日，比利时出台了一项新的“举报人”法案，该法案将“道德黑客”合法化，即使在被黑客实体不同意的情况下也依然有效。为了从这种非刑事化中获益，该法案为道德黑客规定了一些条件，必须满足这些条件才能使黑客免于承担任何刑事责任。

什么时候黑客“道德”？

在 IT 业界，黑客通常被理解为未经授权访问计算机系统或网络的人。这种未经授权的访问可能出于犯罪意图，例如，通过阻止被黑客访问他们的系统直到他们支付赎金（所谓的“勒索软件攻击”）来勒索钱财。此类黑客通常被称为“黑帽黑客”。也有一些黑客出于其他意图，例如当黑客入侵计算机系统或网络以展示可能被黑帽黑客利用的漏洞时。这些“有道德”的黑客也被称为“白帽黑客”。道德黑客的工作可以为管理计算机或网络系统的组织带来巨大优势，因为它们将能够在任何网络安全漏洞被利用之前解决它们，从而防止网络安全事件的发生。因此，这种道德黑客行为可以成为提高公司和公共当局 IT 系统网络安全的一种手段。

根据新的比利时法律，“道德”黑客何时合法？

在新的比利时举报人法出台之前，所有形式的黑客攻击，包括道德黑客攻击，都将根据比利时刑法受到惩罚，除非被黑客攻击的实体同意这样做。后一种例外已经使各种比利时组织能够利用道德黑客来提高他们的网络安全水平，例如，通过为帮助他们发现漏洞的道德黑客提供（财务）奖励，即所谓的“漏洞赏金”漏洞。道德黑客和组织之间的合作通常发生在“协调的脆弱性披露政策”的背景下(CVDP)。CVDP 是由管理 IT 系统的组织创建的一组规则，它为该组织与道德黑客之间的协作提供了一个法律框架。它必须在线发布，例如在某个组织的网站上。道德黑客可以尝试通过 CVDP 表明他们已同意他们的活动，以避免承担刑事责任。然而，CVDP 并不是逃避道德黑客责任的万无一失的方式，因此，此类活动总是伴随着刑事起诉的潜在风险进行。

新的比利时举报人法 ( Klokkenluiderswet ) 改变了比利时道德黑客的法律状况。自然人或法人现在有权调查比利时的组织是否存在潜在的网络安全漏洞，即使他们不同意此类调查。该授权取决于法律规定的四个条件的满足，因此不能被理解为为黑客提供了对所有形式的网络安全研究的“全权委托”。只有遵守这些条件，黑客行为才不再属于比利时刑法中对黑客行为的刑事禁令。

法律规定的第一个条件是道德黑客不能有造成伤害的意图或通过他们的活动获得不正当利益。因此，法律排除了道德黑客要求付款以揭示他们发现的任何潜在漏洞，除非事先达成一致，例如作为漏洞赏金计划或 CVDP 的一部分。敲诈勒索不是法律认可的活动。

第二个条件要求道德黑客尽快向比利时网络安全中心(CCB) 报告任何未发现的网络安全漏洞，该中心是比利时的国家计算机安全事件响应小组。道德黑客还需要向他们正在调查的组织报告他们的发现，最迟在他们就漏洞通知 CCB 时报告。

第三个条件要求有道德的黑客不要为了发现网络安全漏洞而进行超出必要和相称的黑客攻击。道德黑客必须将自己限制在那些对于通知网络安全漏洞的目标绝对必要的活动中。例如，如果可以通过比道德黑客选择的侵入手段更少的侵入手段发现漏洞，则违反该条件。还要求道德黑客确保他们的活动不会影响被调查组织的服务可用性。

最后一个条件是道德黑客有义务在未经 CCB 同意的情况下不向更广泛的公众披露有关已发现漏洞的信息。因此，道德黑客不能在媒体上报告未发现的网络安全漏洞，例如通过在博客文章中注明，除非他们获得 CCB 的授权。

比利时新的网络安全规则有何后果？

新的比利时举报人法仅适用于比利时。如果网络安全漏洞涉及比利时境外的 IT 系统，则黑客攻击可能会受到系统所在国家/地区的规则的约束。虽然比利时法律基于欧盟 (EU) 指令（指令 2019/1937），但比利时已决定超出要求，这意味着即使在欧盟内部，现在根据比利时法律合法的活动也存在风险当其领土边界被跨越时，情况就不再如此。因此，网络安全新规则的任何后果仅限于比利时。

尽管新法律存在这一固有局限性，但仍有望促进比利时道德黑客的工作，从而促进他们在发现网络安全漏洞方面的贡献。防止网络安全事件的发生仍然是网络安全的一个重要但难以实现的组成部分，它不仅可以使组织受益，因为它们可以使组织免受与严重网络安全事件相关的声誉和经济损失，而且还可以使个人受益，否则他们可能会遭受网络安全危害，例如识别盗窃。

话虽如此，关于合法（道德）黑客行为与比利时刑法规定为犯罪的非法黑客行为之间的确切界限仍然存在疑问。这是因为新法律使用了相当开放的术语“必要和相称”来描述现在允许的活动。必要性和相称性将始终取决于手头的具体情况，因此有时很难预测哪些技术可以和不能用于道德黑客攻击。此外，在向公众通报网络安全漏洞时，该法律没有提供某些细节。如前所述，道德黑客在未经 CCB 许可的情况下不能发布他们的发现，但没有关于 CCB 必须如何以及何时给予此类许可的额外规则。

最后，只有时间才能证明比利时将道德黑客合法化的开创性尝试在多大程度上能改善了比利时的网络安全。然而，它的规定可以被视为朝着增加比利时组织之间的预防性网络安全实践迈出的（小）一步。