文章总结： 葡萄牙更新网络犯罪法，设立法律安全港豁免善意安全研究人员。规定仅在非牟利、不破坏、不违规并及时向当局报告等严格条件下，对漏洞挖掘行为免予处罚。此举明确了研究界限，为安全人员主动发现漏洞提供法律保障，与美国、德国等地立法趋势一致。 综合评分： 78 文章分类： 政策法规

荐读丨葡萄牙更新网络犯罪法，可豁免安全研究人员

工业安全产业联盟平台

2026年1月5日 18:20 北京

葡萄牙修改了网络犯罪法，为善意的安全研究设立了法律安全港，并规定在某些严格条件下黑客行为不予惩罚。

第 8.oA 条中的一项新规定，标题为“因网络安全公共利益而不予处罚的行为”，该规定为以前被归类为非法系统访问或非法数据拦截的行为提供了法律豁免。

该豁免仅适用于安全研究人员为识别漏洞和促进网络安全而开展的活动。免于承担刑事责任必须满足的关键条件包括：

1. 该研究必须仅以发现非研究人员造成的漏洞为目标，并通过披露来提高网络安全。
2. 研究人员不得寻求或接受除正常职业报酬以外的任何经济利益。
3. 研究人员必须立即向系统所有者、任何相关的数据控制者和CNCS报告漏洞。
4. 这些操作必须严格限于检测漏洞所必需的操作，不得中断服务、更改或删除数据，或造成损害。
5. 该研究不得涉及违反GDPR规定的任何非法个人数据处理。
6. 研究人员不得使用禁止的技术，例如 DoS 或 DDoS 攻击、社会工程、网络钓鱼、密码窃取、故意篡改数据、系统破坏或部署恶意软件。
7. 研究过程中获得的任何数据都必须保密，并在漏洞修复后 10 天内删除。
8. 经系统所有者同意而实施的行为也免于处罚，但发现的任何漏洞仍必须向国家网络安全中心 (CNCS) 报告。

这篇新文章明确界定了安全研究的界限，同时也为善意的黑客提供了法律保护。

2024 年 11 月，德国联邦司法部提出了一项法律草案 ，为发现安全漏洞并负责任地向供应商报告的安全研究人员提供类似的保护。

此前，在 2022 年 5 月，美国司法部(DOJ) 宣布对其有关《计算机欺诈和滥用法案》(CFAA) 违规行为的联邦起诉政策进行修订，增加了“善意”研究的豁免。

在这些法律框架下，安全研究不仅得到认可，而且还被赋予了安全的空间，可以主动探测系统、发现漏洞并报告漏洞，而不必担心法律后果。

· end ·

来源 | 黑鸟略略略

责任编辑 | 赫敏

声明：本文由工业安全产业联盟平台微信公众号（微信号：ICSISIA）转发，如有版权问题，请联系删除。

如需合作或咨询，请联系工业安全产业联盟平台小秘书微信号：ICSISIA20140417

往期荐读

重磅 |《自动化博览》2025年第一期暨《工业控制系统信息安全专刊（第十一辑）》上线

征求意见稿丨网络安全技术 工业控制系统网络安全防护能力成熟度模型（附下载）

工信部丨关于防范针对DeepSeek本地化部署实施网络攻击的风险提示

干货丨长输油气管网工控安全防护：策略、实践与展望

DeepSeek分析丨零信任安全架构在工业领域的发展现状与未来展望

数字化安全丨工信部印发《高标准数字园区建设指南》（附全文+图解）

AI安全丨人工智能安全治理框架2.0版（附下载）

干货丨工业可编程控制系统加密技术研究

荐读 |安全人视角的DeepSeek洞察与思考

可信数据丨中国城市可信数据空间行业研究报告（附全文）

关注丨网络关键设备安全检测结果（第19批）

数据安全｜国家标准支撑《网络数据安全管理条例》生效施行（v1.0）

工信部、国家标准委联合印发丨云计算综合标准化体系建设指南（2025版）

国家标准丨数据安全国家标准体系（2025版），附下载

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：工业安全产业联盟平台 《荐读丨葡萄牙更新网络犯罪法，可豁免安全研究人员》