英国网络安全专业人员的法律保护严重滞后

距今已有35年历史的《计算机滥用法》（CMA），至今仍像一块沉重的枷锁压在英国网络安全从业者身上。尽管英国政府去年12月承诺推动该法律改革，但改革推进的每一分钟拖延，都在制约着英国的安全创新、韧性建设、人才发展以及抵御网络攻击的整体能力。这是相关倡导团体近日发出的警告。

就在国家网络安全中心（NCSC）即将于格拉斯哥举办CYBERUK年度会议前夕，致力于推动《计算机滥用法》改革的CyberUp运动发布了一份新报告，标题为《网络安全研究人员的保护现状：英国正被世界甩在身后》，旨在继续向英国政府施加压力。

《计算机滥用法》对"未经授权访问计算机"这一行为的界定含糊不清。倡导者希望推动修订，原因在于该法律撰写于35年前，根本没有考虑到网络安全行业的发展现状——事实上，网络安全专业人员在日常工作中，有时确实需要合法地入侵其他系统。

CyberUp运动的发言人表示："网络攻击的规模、复杂程度和危害程度正在不断上升，对基础设施、企业和公益机构造成了严重破坏。其他国家已陆续更新本国的网络安全法律以作回应，而英国的《计算机滥用法》自现代互联网诞生之前便从未修订过，这显然不是推动未来十年防御能力提升的良好基础。"

该团体在报告中特别指出，澳大利亚、比利时、法国、德国、香港、马耳他、葡萄牙和美国等国家和地区，均已为网络安全专业人员建立了相应的法律保护机制，使其能够在不担心遭受刑事追诉的前提下开展工作。

值得一提的是葡萄牙的做法。这个与英国拥有可追溯至14世纪条约的最古老正式盟友，于去年颁布了第125/2025号法令，在落实欧盟《网络和信息系统安全指令》（NIS2）的同时，对本国网络犯罪法律进行了修订，明确承认并保护以善意方式从事工作的道德黑客和专业网络安全从业者。

葡萄牙的最新法律承认，某些网络安全工作可能需要在未获得明确授权的情况下开展，或可能涉及出于合法目的、但超出预期范围的技术操作。

据此，葡萄牙规定，只要安全研究人员符合一定条件，以善意进行的安全工作将不受刑事处罚。例如，研究人员只能以发现漏洞为目的，并须立即上报；必须避免实施有害行为，如发动DDoS攻击或植入恶意软件；同时须尊重所接触数据的完整性，并在问题解决后10天内将相关数据删除。

CyberUp表示，葡萄牙的案例证明，网络犯罪法律完全可以实现现代化改革，从而在法律层面保护出于公共利益开展的安全研究活动。

该发言人进一步表示："葡萄牙已通过网络安全立法，展示了如何对现行法律进行现代化改革。我们敦促英国政府以此为鉴，通过《网络安全与韧性法案》迅速采取行动，推动切实有效的改革，否则将面临在国际同行中进一步落后的风险。"

防御框架

CyberUp运动联合网络安全专家和法律顾问，共同开发了一套"防御框架"。依据该框架，网络安全专业人员只要遵守其中四项核心原则，即可在法庭上提出法定抗辩。

危害与收益：活动所带来的收益必须超过其潜在危害；

相称性：网络安全从业者必须采取一切合理措施，将相关活动的风险降至最低；

意图：从业者必须以诚实、真诚的态度行事，并明确以提升安全性为目标；

能力：从业者的专业资质和职业会员资格，应能证明其具备开展网络安全工作的充分能力。

倡导者表示，该框架将为安全行业带来清晰的指引和信心，使网络安全专业人员能够在不惧怕刑事追诉的情况下开展核心研究工作，帮助各机构依照公认的法律标准运营，并推动网络安全行业与英国政府之间建立更加开放和协作的关系。

Q&A

Q1：英国《计算机滥用法》为什么需要改革？

A：《计算机滥用法》制定于1990年，距今已有35年。该法律对"未经授权访问计算机"的界定模糊，未能反映现代网络安全从业者的实际工作需求。网络安全专业人员在日常工作中有时需要合法入侵系统，但现行法律可能将此类行为入罪，严重制约了英国的安全创新能力和人才发展。

Q2：葡萄牙是如何保护网络安全从业者的？

A：葡萄牙于2025年颁布第125/2025号法令，落实欧盟NIS2指令并修订网络犯罪法律，明确保护以善意方式工作的道德黑客和安全从业者。只要研究人员以发现漏洞为目的、及时上报、避免有害操作，并在问题解决后10天内删除相关数据，其安全工作便不受刑事追究。

Q3：CyberUp的防御框架包含哪些核心原则？

A：CyberUp防御框架包含四项核心原则：一是危害与收益相权衡，活动收益须超过潜在危害；二是相称性，从业者须将活动风险降至最低；三是意图，须以诚实态度并以提升安全为目标；四是能力，须以专业资质证明具备开展相关工作的能力。符合这四项原则的从业者可在法庭上提出法定抗辩。